Inicio Nuestras firmas APUNTES SOBRE VIDEOVIGILANCIA Y DATOS PERSONALES

APUNTES SOBRE VIDEOVIGILANCIA Y DATOS PERSONALES

209
0

Por Viviana García y Mathias Spielvogel

En la era de la explosión de información en que vivimos, se dice que quien tiene los datos tiene el oro. Y, si se trata de obtener datos, y en particular, datos personales, la videovigilancia ha cobrado gran relevancia dado el vertiginoso desarrollo de la tecnología subyacente. La videovigilancia, como tal, puede definirse como el monitoreo y captación de imágenes, videos o audios de lugares, personas u objetos, siendo que la información captada puede o no ser objeto de almacenamiento a través de su grabación [1].

Ahora bien, a medida que avanza la ciencia y cambian las condiciones de la modernidad, cada vez es más fácil y accesible videovigilar a las personas, sus conductas y, muchas veces, realizar inferencias respecto de los actos que estas realizan, a pesar de no ser dichos actos “visibles” a las cámaras. Esta expansión y facilidad de la videovigilancia ha afectado ciertamente tanto al sector público como al privado; no obstante, lo cual es posible distinguir los propósitos o finalidades que los caracterizan.

Los objetivos de la videovigilancia en el sector público normalmente están relacionados a la protección física de los ciudadanos, la seguridad y el orden público y, generalmente, buscan evidenciar se ha incurrido en actos delictivos o faltas, o anticipar la comisión de acciones criminales. De otro lado, en el caso del sector privado, es común ver la proliferación de sistemas de cámaras de videovigilancia para uso doméstico, orientadas a proteger las viviendas de robos o realizar grabaciones al interior y que se transmiten en tiempo real a los teléfonos de los propietarios u ocupantes de los inmuebles. También, ha existido un aumento de la videovigilancia al interior de las empresas, quienes ahora cuentan con las herramientas para fiscalizar las labores que realizan los trabajadores, verificar si cumplen con sus obligaciones en materia de seguridad y salud en el trabajo y, por otro lado, el uso de la tecnología de drones también orientados al control de extensas áreas a veces inaccesibles, capturando imágenes desde el aire que, de otra forma, serían difíciles de obtener, en particular en industrias como la agricultura, minería, energía, infraestructura en general.

Se han planteado muchas preguntas sobre la legalidad y la ética de las prácticas actuales empleadas tanto por las empresas como por los gobiernos, la mayoría relacionadas a si estos desarrollos pueden ser susceptibles de afectar la privacidad de los individuos. En efecto, existen ciudades que están casi enteramente cubiertas por sistemas de videovigilancia, tanto así que las fuerzas de orden, más que dedicarse a lo que era la tradicional acción de patrullaje, responden rápidamente a lo que las cámaras captan y evidencian como la presunta comisión de delitos [2].

Efectivamente, la evolución de estos sistemas ha logrado que no sólo se puedan captar imágenes y voz, pero también temperatura corporal (cámaras termográficas) y se acceda a reconocimiento facial de rostros, lo cual genera adicionalmente muchas controversias en lo que respecta a los sesgos biométricos y discriminaciones que tienen los algoritmos que alimentan estos sistemas. Y es que las diferentes jurisdicciones operan bajo diferentes nociones de cómo debe regularse la vigilancia y los derechos que deben tener los ciudadanos para proteger su anonimato. A grandes rasgos, la Unión Europea se ha mostrado más protectora a la hora de legislar y responder a los problemas de la vigilancia masiva (no sólo videovigilancia), regulando los asuntos de ciberseguridad de forma centralizada. Por otro lado, los Estados Unidos de Norteamérica mantiene tanto una solución por estados, que da un mayor margen de maniobra, y una federal. Por ejemplo, a nivel de seguridad nacional, la USA Patriot Act permite a las agencias de seguridad, controlar y vigilar la actividad terrorista tentativa; sin embargo, también ha recibido muchas críticas, siendo la más conocida la originada por las revelaciones hecha por Edward Snowden y compartidas en su libro “Vigilancia permanente” sobre cómo, supuestamente, el gobierno estadounidense espió a ciudadanos sin ninguna afiliación terrorista, así como a líderes políticos mundiales.

En el caso de Perú, el marco legal de la videovigilancia está compuesto por una serie de normas que van desde las relacionadas al derecho fundamental a la protección de datos personales previsto en la Constitución Política del Perú; la Ley No. 29733, Ley de Protección de Datos Personales (en adelante, la Ley) y su Reglamento aprobado mediante Decreto Supremo No. 003-2013-JUS, (en adelante, el Reglamento); la seguridad ciudadana (Ley No. 27933, Ley del Sistema de Seguridad Ciudadana y la Ley No. 30120, Ley de apoyo a la seguridad ciudadana con cámaras de videovigilancia públicas y privadas); la prevención de la violencia en espectáculos deportivos (Ley No. 30037, Ley que previene y sanciona la violencia en los espectáculos deportivos y su Reglamento aprobado mediante Decreto Supremo No. 007-2016-IN); las normas que regulan la explotación de juegos en casinos y tragamonedas (Ley No. 27153, Ley que regula la explotación de juegos de casinos y máquinas tragamonedas y su Reglamento aprobado mediante Decreto Supremo No. 009-2002-MINCETUR); el uso y operación de sistemas de aeronaves pilotadas a distancia (Ley No. 30740, Ley que regula el uso y las operaciones de los sistemas de aeronaves pilotadas a distancia – RPAS); entre otras. Se trata de un conjunto de normas con diferentes alcances y promulgadas en distintos momentos.

En lo que respecta a la videovigilancia y la protección de datos personales cabe mencionar que la Autoridad Nacional de Protección de Datos Personales del Perú (en adelante, ANPDP), al amparo de la Ley y el Reglamento, ha desarrollado a lo largo de los años distintos criterios a través de una serie de opiniones consultivas donde se pronuncia sobre el tratamiento de datos personales a través de sistemas de videovigilancia. Es interesante notar que, de las opiniones emitidas, existe una clara preocupación por el desarrollo de los sistemas de videovigilancia en el marco del control laboral, así como también una necesidad de brindar una mayor claridad a los administrados, mediante la emisión de la Directiva No. 01-2020-JUS/DGTAIPD, sobre tratamiento de datos personales mediante sistemas de videovigilancia (en adelante, la Directiva) aprobada mediante Resolución Directoral 02-20-JUS/DGTAIPD del 10 de enero de 2020 [3].

En el año 2018 la ANPDP, a los casi 5 años de la promulgación del Reglamento, señaló en las conclusiones de la Opinión Consultiva No. 49-2018/JUS/DGTAIPD, que las empresas pueden utilizar la videovigilancia como una forma de control laboral, siempre que dicho tratamiento sea proporcional a la finalidad. Para ello, se debe informar al trabajador sobre las características del tratamiento. En efecto, según se indica en el análisis de dicha opinión, en razón al poder de dirección empresarial, el empleador está facultado a realizar controles y a tomar medidas para vigilar el ejercicio de las actividades laborales de sus trabajadores sin su consentimiento, entre las que puede encontrarse la captación y/o tratamiento de imágenes a través de un sistema de videovigilancia. Se precisa además que, el hecho que no sea necesario el consentimiento de los trabajadores no significa que no se le deba informar sobre el tratamiento en cuestión, lo que puede realizarse a través de carteles informativos. Poder de dirección, deber de información y proporcionalidad son entonces conceptos claves para la entrega de datos personales en el marco del control laboral.

Posteriormente, en el año 2021, la ANPDP a través de su Opinión Consultiva No. 045-2021-JUS/DGTAIPD, se pronunció también sobre sistemas de videovigilancia con fines de control laboral, pero en un contexto particular, el del uso de los vehículos corporativos. En aquella oportunidad, resulta interesante que la Autoridad indicara que la proporcionalidad es un principio que debe evaluarse en cada caso concreto, citando como ejemplo la seguridad y salud en el trabajo. Expresamente se indicó en dicha opinión: “Por ejemplo, resulta proporcional el uso de la videovigilancia laboral en aquellos casos en los que los trabajadores deben de cumplir con medidas de seguridad, como el uso de implementos de seguridad o uso correcto de máquinas en los casos de trabajos de riesgo.”

Asimismo, en cuanto al deber de informar, se precisó que el mismo debe también adaptarse a las circunstancias, así: “(…) si el espacio no permite colocar el cartel, como por ejemplo los sistemas de videovigilancia de actividades al aire libre a través de drones, podrá informarse a los trabajadores a través de otro medio.” Mientras que: “En el caso de la videovigilancia al interior de vehículos corporativos que permiten transportar a personas, tales como trabajadores que no estén a cargo del vehículo o a personas externas al centro laboral, se debe colocar el cartel informativo al interior del mismo, teniendo en cuenta la dimensión del espacio, el cual debe indicar dónde encontrar el aviso o informativo adicional.”

Un año antes, en el año 2020, mediante la Directiva, la ANPDP ya había distinguido lo que denominaba tratamientos específicos con fines de seguridad de los llamados tratamientos distintos a los fines de seguridad, entre los que se encontraba la antes comentada videovigilancia para el control laboral. En lo que respecta a los tratamientos específicos con fines de seguridad, la Directiva desarrollaba dos ámbitos que hacían uso de estos sistemas y que, dada la casuística, eran de especial interés: entidades financieras y entornos escolares. Como se indicó en la propia Exposición de Motivos de la Directiva [4], existía ya la necesidad de despejar dudas, explicitar las obligaciones y deberes de titulares de bancos de datos de videovigilancia o los encargados de su tratamiento para garantizar su uso adecuado y legítimo.

De esta manera, en lo que respecta a sistemas de videovigilancia en entidades financieras se dispuso, por ejemplo, que en caso la entidad financiera decida no encargar el tratamiento de sistemas de videovigilancia a una empresa especializada, debería contar con un responsable de la propia entidad especializado en sistemas de seguridad videovigilada. Asimismo, señaló que las imágenes que registren la supuesta comisión de un acto delictivo o falta deben ser puestas a conocimiento de la Policía Nacional del Perú o del Ministerio Público de forma inmediata, como medio de identificación de los presuntos autores de delitos.

En el caso de entornos escolares, la Directiva prevé que los usos de sistemas de videovigilancia con fines de seguridad en aulas y otros ámbitos en los que se desarrolla la personalidad de los niños, niñas y adolescentes podrán grabar imágenes si existen circunstancias excepcionales, justificadas por la presencia de un riesgo objetivo y previsible para la seguridad y derechos fundamentales de los menores. En todo caso, el acceso a las imágenes de los sistemas de videovigilancia queda restringido al director del centro o la persona designada como responsable del tratamiento, no pudiendo ser de libre acceso para cualquier personal docente o administrativo no autorizado para ello. Un tema importante que también señala expresamente la Directiva es la prohibición de instalar cámaras de videovigilancia en espacios privados como baños, vestuarios o aquellos en los que se desarrollen actividades cuya captación pueda afectar la imagen o la intimidad de forma desproporcionada. [5]

El alcance de la Directiva es sin duda mayor y no se restringe a distinguir distintos tipos de tratamiento de datos personales así, por ejemplo, introduce conceptos relacionados a la seguridad en el manejo de la información, tales como los incidentes o brechas de seguridad, procedimientos documentados para la gestión de acceso seguro a los sistemas de videovigilancia y gestión de privilegios. Todo ello ciertamente es un reflejo de la necesidad por compatibilizar una regulación que parecía quedarse en el pasado frente a la evolución del llamado surveillance.

¿Tarea pendiente?

Así como las opiniones consultivas comentadas y la Directiva en el Perú tienen como propósito clarificar distintas circunstancias que afectan el derecho fundamental a la protección de datos personales, es una realidad que la vigilancia masiva y la videovigilancia no sólo afectan determinados sectores, siguen avanzando a pasos agigantados, y que las medidas de seguridad requeridas también deberán acompañar al propio desarrollo de los sistemas.

Corresponde entonces entender estas nuevas tecnologías en su verdadera dimensión, es decir además de los beneficios que tienen como son sus efectos disuasorios en la comisión de acciones criminales, los riesgos que este tipo de tratamientos de datos personales implican para nuestra convivencia en sociedad y respeto a nuestra privacidad. Y nos queda, como tarea pendiente, trabajar para que no se conviertan en un mecanismo de control social.


Autores:

Mathias Spielvogel

Estudiante de derecho comparativo de 4to año en el IE (España). Apasionado por los temas de propiedad intelectual, derecho de tecnologías, y privacidad de datos.

Viviana García

Graduada en Derecho en la Pontificia Universidad Católica del Perú (1999). Cuenta con una Maestría en Derecho Corporativo por New York University (2002), un Diplomado de Estudios Asiáticos, con mención en Estudios Chinos, en la Pontificia Universidad Católica del Perú y una certificación como Experta en Protección de Datos Personales por parte del Institut of Audit and IT Governance. En el año 2016, la Revista Latin Lawyer, la incluyó en su lista de “50 inspiring women practising Law in Latin America” y, en el año 2019, fue nominada por la publicación “Euromoney” dentro del grupo de abogadas “Best in Technology” y obtuvo una certificación por Harvard al completar el curso “Managing Risk in the Information Age”. Luego de ser socia del área corporativa en dos firmas de abogados por más de 10 años, desde el año 2020, a través de VG.pe, brinda asesorías especializadas en privacidad y cumplimiento de la normativa de protección de datos personales.

Citas.
[1] Directiva No. 01-2020-JUS/DGTAIPD emitida por la Autoridad de Protección de Datos Personales en el Perú, sobre tratamiento de datos personales mediante sistemas de videovigilancia.
[2] Según un estudio de Amnistía Internacional existen más de 15,000 cámaras instaladas y utilizadas por la policía en la ciudad de Nueva York para videovigilancia rutinaria y que cuentan con tecnología que permite el reconocimiento facial. https://www.amnesty.org/es/latest/news/2021/06/scale-new-york-police-facial-recognition-revealed/
[3] La Autoridad de Protección de Datos Personales en el Perú publicó en el mes de diciembre de 2019 una matriz que sistematiza y absuelve los comentarios, observaciones y sugerencias recibidas por los interesados en general durante el período de publicación del proyecto normativo de la Directiva.
[4] Resolución Directoral No. 54-2019-JUS/DGTAIPD de fecha 16 de agosto de 2019.
[5] Sección VII Disposiciones Específicas de la Directiva.