El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la situación de un spa independiente ubicado dentro de las instalaciones de un hotel en Canarias. La consulta plantea dos cuestiones principales: la responsabilidad del tratamiento de datos y la posibilidad de instalar cámaras de videovigilancia para garantizar la seguridad de los usuarios.
En primer lugar, la AEPD aclara que, aunque el spa y el hotel son negocios independientes gestionados por diferentes empresarios, el responsable del tratamiento de datos del spa será el gestor del mismo. Esto se basa en el artículo 4.7 del Reglamento General de Protección de Datos (RGPD), que define al responsable del tratamiento como la persona o entidad que determina los fines y medios del tratamiento de datos.
En cuanto a la segunda cuestión, la AEPD analiza la exigencia de la Comunidad Autónoma de Canarias de contratar un socorrista o implementar un sistema telemático de visión simultánea en la piscina del spa. El Decreto 212/2005 de Canarias establece que toda piscina de uso público debe contar con al menos un socorrista durante su horario de funcionamiento. La posibilidad de un sistema telemático solo se permite cuando la configuración de la piscina impide la visión completa por un único socorrista y siempre que esté conectado a un socorrista de servicio.
La AEPD también aborda la legalidad de la instalación de cámaras de videovigilancia en el spa. Según el RGPD, el tratamiento de datos personales, como las imágenes captadas por cámaras, debe estar legitimado. En este caso, la AEPD considera que la captación de imágenes puede ampararse en el interés público por razones de seguridad, siempre que se respeten ciertos límites. Por ejemplo, las cámaras pueden instalarse en zonas comunes como los vasos de las piscinas o pasillos, donde los usuarios pueden esperar ser observados. Sin embargo, no se permiten en áreas como aseos o vestuarios, donde los usuarios tienen derecho a la intimidad.
El informe subraya que el responsable del tratamiento debe cumplir con varias obligaciones del RGPD, como mantener un registro de actividades de tratamiento y proporcionar información clara a los usuarios sobre la videovigilancia. Además, debe implementar medidas técnicas y organizativas para garantizar la seguridad de los datos y respetar el principio de responsabilidad proactiva.
En resumen, la AEPD concluye que el gestor del spa es el responsable del tratamiento de datos y que la instalación de cámaras de videovigilancia puede ser legal si se respeta la intimidad de los usuarios y se cumplen las obligaciones del RGPD.