El procedimiento sancionador PS/00381/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad SEGUR IBERICA, S.A., se inicia vista la denuncia presentada por la Sección de la Guardia Civil del Aeropuerto de Gran Canaria, que aportó un CD, compuesto por once ficheros, con una duración estimada de 2:22:00 horas, donde se comprueba que éste contiene una serie de imágenes en las que aparecen una serie de personas perfectamente identificables por sus rasgos faciales y anatómicos. Dichas imágenes fueron obtenidas mediante la utilización de las cámaras de seguridad instaladas en dicho recinto aeroportuario, pudiendo visualizarse en las mismas determinadas partes de la anatomía del personal femenino objeto de grabación, ya que los objetivos de las cámaras se dirigieron por la persona responsable de su manejo, y mediante la utilización del “zoom”, de forma especial hacia las zonas pectorales y las nalgas de las empleadas y viajeras que trabajaban en el aeropuerto o utilizaban sus instalaciones.
Las imágenes contenidas en el mencionado soporte fueron captadas por el vigilante de seguridad de la empresa SEGUR IBERICA, S.A. responsable del Centro de Control de Videocámaras de vigilancia del Aeropuerto de Gran Canaria. El mencionado empleado fue dado de “baja no voluntaria” en la Tesorería General de la Seguridad Social como trabajador de SEGUR IBÉRICA, S.A.
SEGUR IBERICA, S.A. está inscrita en el Registro de Empresas de Seguridad, encontrándose habilitada para prestar, entre otros, servicios de vigilancia y protección de bienes, establecimientos, espectáculos, certámenes o convecciones de conformidad con la Ley y Reglamento de Seguridad Privada, y había suscrito un contrato de prestación de servicios de seguridad privada con la Entidad Pública Empresarial Aeropuertos Españoles y Navegación Aérea (en adelante AENA) en el año 2000. Entre las estipulaciones del reseñado contrato figuran, entre otras, que el objeto del mismo es la prestación por parte de SEGUR de un servicio de vigilancia y protección en el Aeropuerto de Gran Canaria y que su duración será de cuatro años, rigiéndose por la normativa reguladora de la seguridad privada. En la estipulación Decimocuarta, relativa a la normativa aplicable consta que: “El presente contrato y las actividades derivadas del mismo, sin perjuicio del cumplimiento de las normas generales que le sean de aplicación, se regirá igualmente por la normativa reguladora de seguridad privada.”
Se ha verificado que en la copia del contrato aportado por SEGUR no figura ninguna estipulación relativa al acceso y tratamiento de datos de carácter personal por cuenta de terceros conteniendo las garantías y regulación a las que se refiere el artículo 12.2 de la LOPD.
La representación de SEGUR alegó:
Según explica la AEPD en los Fundamentos de Derecho:
Y como conclusión:
Y por lo tanto:
Las imágenes contenidas en el mencionado soporte fueron captadas por el vigilante de seguridad de la empresa SEGUR IBERICA, S.A. responsable del Centro de Control de Videocámaras de vigilancia del Aeropuerto de Gran Canaria. El mencionado empleado fue dado de “baja no voluntaria” en la Tesorería General de la Seguridad Social como trabajador de SEGUR IBÉRICA, S.A.
SEGUR IBERICA, S.A. está inscrita en el Registro de Empresas de Seguridad, encontrándose habilitada para prestar, entre otros, servicios de vigilancia y protección de bienes, establecimientos, espectáculos, certámenes o convecciones de conformidad con la Ley y Reglamento de Seguridad Privada, y había suscrito un contrato de prestación de servicios de seguridad privada con la Entidad Pública Empresarial Aeropuertos Españoles y Navegación Aérea (en adelante AENA) en el año 2000. Entre las estipulaciones del reseñado contrato figuran, entre otras, que el objeto del mismo es la prestación por parte de SEGUR de un servicio de vigilancia y protección en el Aeropuerto de Gran Canaria y que su duración será de cuatro años, rigiéndose por la normativa reguladora de la seguridad privada. En la estipulación Decimocuarta, relativa a la normativa aplicable consta que: “El presente contrato y las actividades derivadas del mismo, sin perjuicio del cumplimiento de las normas generales que le sean de aplicación, se regirá igualmente por la normativa reguladora de seguridad privada.”
Se ha verificado que en la copia del contrato aportado por SEGUR no figura ninguna estipulación relativa al acceso y tratamiento de datos de carácter personal por cuenta de terceros conteniendo las garantías y regulación a las que se refiere el artículo 12.2 de la LOPD.
La representación de SEGUR alegó:
Que la función de los vigilantes de seguridad en relación con el sistema de videovigilancia instalado en el Aeropuerto de Gran Canaria es la de visualizar las pantallas con fines preventivos a efectos de seguridad, teniendo éstos orden expresa de que cualquier incidencia sospechosa de poner en peligro la seguridad aeroportuaria debe ser comunicada de forma inmediata al jefe de equipo y a la Guardia Civil, si la incidencia se produce en la zona restringida, o a la Policía Nacional, si la incidencia se produce en la zona pública, añadiendo que no es responsable del sistema de videovigilancia al no ostentar la titularidad del mismo.
Que resulta cierto que en las fechas aludidas se detectó un comportamiento anómalo del empleado con número de T.I.P. 3###, quien desviaba la actividad de prevención a fines particulares utilizando, al parecer, el zoom del mando direccional de seguimiento de las cámaras para enfocar determinadas partes de la anatomía del personal femenino. Esta actitud conllevó su baja en el servicio y posterior despido.
Según explica la AEPD en los Fundamentos de Derecho:
Por lo tanto, el tratamiento que SEGUR ha realizado por un período de tiempo superior a cinco años de los datos personales de los afectados mediante la visualización de las imágenes captadas por las cámaras de vigilancia, tanto en las zonas restringidas como públicas del Aeropuerto de Gran Canaria, y que se ha desarrollado en el Centro de Control de Seguridad del citado Aeropuerto a través de los vigilantes de seguridad (operadores) que desempeñan las funciones de control y manejo de las cámaras de videovigilancia, no estaba regulado en la forma descrita en el artículo 12.2 de la LOPD, no existiendo así constancia de que la conducta de SEGUR se produjera con arreglo a las estipulaciones que constaran en un contrato escrito o en cualquier otra forma que permita acreditar su celebración y contenido. De lo que se infiere que en el período mencionado SEGUR decidió sobre las concretas actividades que suponía el tratamiento de datos de carácter personal derivado de la captación de imágenes a través de videocámaras en el reseñado recinto, convirtiéndose, por ello, en responsable del tratamiento.
No puede perderse de vista que la LOPD que debe velar para que no se lesionen los derechos de los afectados, causa por la que no puede permitir que los datos personales sean objeto de tratamiento por cuenta de tercero en el modo que mejor convenga a éste y al responsable del fichero o del tratamiento, sin someterse a la cobertura formal exigida en la Ley que garantiza la existencia de relación contractual en los términos antes transcritos.
En primer lugar, el responsable del fichero debe haber encomendado el tratamiento de los datos mediante un contrato, pactado de forma que permita comprobar su existencia así como su contenido. En segundo término, dicha convención ha de contener las instrucciones que el responsable del tratamiento impone para el uso de los datos y de las que el encargado no puede separarse. Finalmente, tiene que constar también el fin que legítima la comunicación, que no pueden obviar las partes, quienes, además, han de abstenerse de comunicar los datos a otras personas.
Y como conclusión:
De conformidad con lo expuesto en los Fundamentos de Derecho anteriores SEGUR ha incurrido en las dos infracciones graves descritas. Así, ha quedado acreditado, por un lado, que en la fecha de los hechos se han utilizado los dispositivos de seguridad (videocámaras y elementos para su manejo) del Centro de Control de Seguridad del Aeropuerto de Gran Canaria para captar y visualizar imágenes de forma inadecuada y excesiva para el cumplimiento de los servicios de vigilancia y seguridad encomendados a la empresa de seguridad contratada, habiéndose actuado de una forma que no responde a la intervención mínima que exige la ponderación entre la finalidad de vigilancia y control de bienes y personas y la posible afectación por la utilización de las mencionadas videocámaras al derecho al honor, a la propia imagen, a la intimidad de las personas y a la normativa de protección de datos, hecho que vulnera el principio de calidad de los datos recogido en el artículo 4.1 de la LOPD. Igualmente, ha quedado probado, por otro lado, que SEGUR durante la prestación del servicio de seguridad contratado con AENA ha accedido a datos de carácter personal por cuenta de terceros sin cumplir con las garantías exigidas en el artículo 12.2 de la LOPD, conductas ambas que encuentran su tipificación en este artículo 44.3.d).
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad SEGUR IBERICA, S.A., por una infracción del artículo 4.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 30.000 € (Treinta mil euros), de conformidad con lo establecido en el artículo 45. 2, 4 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad SEGUR IBERICA, S.A., por una infracción del artículo 12.2 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (Sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45. 2 y 4 de la citada Ley Orgánica.