Procedimiento Nº PS/00065/2005

RESOLUCIÓN: R/00712/2005

En el procedimiento sancionador PS/00065/2005 instruido por la Agencia Española de Protección de Datos a la entidad COMUNIDAD DE PROPIETARIOS PUEBLO MEDITERRÁNEO, vista la denuncia presentada por Dª M.G.A, y en base a los siguientes.

ANTECEDENTES

PRIMERO: Con fecha 26 de agosto de 2004, tuvo entrada en esta Agencia escrito de denuncia presentado por Dª. M.G.A(en lo sucesivo la denunciante), en el que manifiesta que en la Urbanización “Pueblo Mediterráneo”, donde la denunciante posee un chalet, se encuentran ubicadas una serie de cámaras de vigilancia “en las que se nos graba la imagen a todos los que por allí pasamos, seamos vecinos, familiares, amigos o proveedores”. Ante la inexistencia de carteles que informen de dichas grabaciones, estima que se puede estar vulnerando la normativa de protección de datos.

SEGUNDO: Por parte de Inspectores de esta Agencia, se realizó inspección en la Urbanización “Pueblo Mediterráneo”, constatándose la existencia de cinco cámaras de video vigilancia situadas en zonas comunes (frente a las puertas de acceso a la urbanización y en los jardines), sin que dichas cámaras se encontraran enfocadas hacia la vía pública.
En el interior del recinto de conserjería de la urbanización se encuentra un sistema que permite la reproducción y grabación, en tiempo real, de las imágenes que son captadas por las precitadas cámaras. El sistema está compuesto por un monitor y un equipo de la marca AV Tech Corporation de referencia AVC777, con funciones de control del visionado y grabación de las imágenes captadas por las cámaras instaladas.
Se pudo comprobar la inexistencia de cartel o indicación de la presencia de los equipos de video vigilancia en el interior del recinto, ni en las puertas de acceso a la urbanización.
Asimismo se comprobó, durante el desarrollo de la inspección, la existencia de un conjunto de grabaciones almacenadas en el soporte de almacenamiento del sistema instalado al efecto, fechadas los días 9 y 10 de junio de 2004, así como el 2 de enero de 2005. Examinadas algunas de ellas al azar, se verificó que las mismas permitían el visionado de la entrada y salida de personas del recinto de la urbanización. El acceso a las imágenes recogidas por las cámaras, así como las secuencias almacenadas en el sistema, está encomendado a empleados de la entidad con la que la Comunidad de Propietarios imputada tiene contratados los servicios de conserjería-seguridad, sin que en el contrato establecido al efecto se estipulen normas a observar en el acceso a las imágenes captadas, así como en los procesos de grabación y conservación de las mismas.

TERCERO: No consta que se haya producido, por parte de la Comunidad de Propietarios de la citada urbanización la inscripción en el Registro General de Protección de Datos de ficheros relativos al sistema de video vigilancia instalado en el recinto de la misma.

CUARTO: Con fecha 20 de mayo de 2005, el Director de la Agencia Española de Protección de Datos, acordó iniciar procedimiento sancionador a la “Comunidad de Propietarios Pueblo Mediterráneo” porque los hechos descritos podrían suponer infracción de los artículos 5 y 26.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD) tipificadas como leves en los artículos 44.2 d) y 44.2 c), respectivamente, pudiendo ser sancionadas cada una con multas de 601,01€ a 60.101,21€, de acuerdo con el artículo 45.1 de dicha Ley Orgánica.

QUINTO: En las alegaciones presentadas en relación al Acuerdo de Inicio, por parte de la entidad imputada, la misma niega ser la responsable de la comisión de los hechos, alegando que se ha producido la prescripción de los mismos, y proponiendo como prueba documental el escrito de fecha 10 de enero de 2005 remitido a esta Agencia y que consta en las actuaciones previas E/696/2004. Por su parte, la denunciante presentó escrito de personación como interesada, al amparo de lo dispuesto en el artículo 31.1.c) de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC).

SEXTO: Iniciado el período probatorio, por parte del Instructor, se dieron por reproducidas las actuaciones previas E/696/2004, teniendo entrada durante dicho período nuevas manifestaciones de la denunciante, en las que expresaba que, durante el período en la que fue vocal de la Junta de Propietarios de dicha Comunidad, se contrató con una empresa el cumplimiento de la normativa de protección de datos en relación a las cámaras de video vigilancia instaladas, siendo posteriormente al cese en dicho cargo cuando se contrató con una nueva empresa la instalación de nuevas cámaras sin que, pese a sus preguntas, la Comunidad imputada, haya respondido acerca de los hechos denunciados.

SÉPTIMO: Posteriormente se inició el trámite de audiencia, de acuerdo con el artículo 18.4 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, que continúa en vigor de conformidad con lo que dispone la disposición transitoria tercera de la LOPD, poniendo de manifiesto el expediente al presunto responsable así como a la interesada, concediéndoles un plazo de quince días hábiles para formular alegaciones y aportar cuantos documentos estimen de interés, sin que hayan tenido entrada en esta Agencia nuevas alegaciones ni documentación de la denunciante ni de la entidad imputada.

OCTAVO: Con fecha 29 de agosto de 2005, por parte del Instructor del Procedimiento se formuló Propuesta de Resolución en el sentido de que, por el Director de la Agencia Española de Protección de datos, se sancione a la “Comunidad de Propietarios Pueblo Mediterráneo” con dos multas de 601,01€ por las infracciones de los artículos 5 y 26.1 de la LOPD, tipificados como leves en los artículos 44.2.d) y 44.2.c), respectivamente, de dicha norma.
Notificada la Propuesta de Resolución, no se produjeron alegaciones a la misma ni por parte de la entidad imputada ni por parte de la denunciante.

HECHOS PROBADOS

PRIMERO: Con fecha 26 de agosto de 2004, Doña M.G.A denunció la instalación en la Urbanización “Pueblo Mediterráneo” de unas cámaras de vigilancia “en las que se nos graba la imagen a todos los que por allí pasamos, seamos vecinos, familiares, amigos o proveedores”.

SEGUNDO: Se ha podido verificar la presencia de cinco cámaras de video vigilancia situadas en las zonas comunes frente a las puertas de acceso a la urbanización “Pueblo Mediterráneo” y en los jardines, sin que dichas cámaras se encontraran dirigidas hacia la vía pública.

TERCERO: Se constató en la inspección llevada a cabo de la existencia de un conjunto de grabaciones almacenadas en el soporte de almacenamiento del equipo previamente expuesto, fechadas los días 9 y 10 de junio de 2004, así como el 2 de enero de 2005. Examinadas algunas de ellas, al azar, se pudo comprobar que las mismas permitían el visionado de la entrada y salida de personas al recinto de la urbanización.

CUARTO: El acceso a las imágenes recogidas por las cámaras, así como las secuencias almacenadas en el sistema, está encomendado a empleados de la entidad con la que la Comunidad de Propietarios imputada tiene contratados los servicios de conserjería-seguridad, sin que en el contrato establecido al efecto se estipulen normas a observar en el acceso a las imágenes captadas, así como en los procesos de grabación y conservación de las mismas.

QUINTO: No constan, en la fecha de cierre de las investigaciones que se haya producido, por parte de la Comunidad de Propietarios de la citada urbanización, la inscripción en el Registro General de Protección de Datos de ficheros relativos al sistema de vigilancia instalado en el recinto de la misma. SEXTO: No se han dispuesto carteles o indicación de la presencia de los equipos de video vigilancia en

FUNDAMENTOS DE DERECHO I
Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.

II
El artículo 5.1 de la LOPD estipula lo siguiente:
“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
Asimismo, la Norma Tercera de la citada Instrucción 1/1996, de la Agencia Española de Protección de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios, indica que: “1. La recogida de datos efectuada para el cumplimiento de los fines a los que se refiere la presente Instrucción deberá realizarse de conformidad con lo establecido en el artículo 5 de la Ley Orgánica 15/1992,” (artículo 5 LOPD) “y, en concreto, deberá informarse de la existencia de un fichero automatizado, de la finalidad de la recogida de los datos, de los destinatarios de la información, del carácter obligatorio de su respuesta, de las consecuencias de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación o cancelación y de la identidad y dirección del responsable del fichero

2. Los datos recogidos serán los estrictamente necesarios par cumplir la finalidad de controlar el acceso”.

III
Por su parte el artículo 26.1 de la LOPD, dispone: “Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos”.

IV
En primer lugar, cabe señalar que el artículo 3 de la LOPD define en su apartado c) el tratamiento de datos como: “Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”, y en su apartado a) define los datos de carácter personal como: “Cualquier información concerniente a personas físicas identificadas o identificables”.
Por su parte, el artículo 1.4 del citado Real Decreto 1332/1994, considera a los datos de carácter personal como: “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable”.
De acuerdo con los preceptos transcritos, la cámara reproduce la imagen de los afectados por este tipo de tratamientos y, a efectos de la LOPD, la imagen de una persona constituye un dato de carácter personal, toda vez que la información que capta concierne a personas y suministra información sobre la imagen personal de éstas, el lugar de su captación y la actividad desarrollada por el individuo al que la imagen se refiere.
Por tanto, la captación y grabación de imágenes con fines de vigilancia y control de acceso a edificios, como es el caso que nos ocupa, se encuentra plenamente sometida a lo dispuesto en la LOPD, máxime cuando los vecinos de dicha comunidad resultan perfectamente identificables, aún más si cabe, dentro del ámbito donde se realiza la captación de imágenes, cual es el entorno de su propio domicilio.

V
En el presente procedimiento, además de evidenciarse la existencia de datos de carácter personal, dichos datos se encuentran incorporados a un fichero, definido por el artículo 3. b) de la LOPD como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso” .
Por otra parte la utilización de videocámaras para la vigilancia de las puertas de acceso y jardines de la Comunidad imputada, deberá comunicarse a quienes pudieran aparecer en las imágenes captadas, circunstancia que ha quedado acreditada en el presente expediente que no se producía. Además el fichero en el que se almacenan dichos datos debería haber sido inscrito en el Registro General de Protección de Datos, conforme dispone el artículo 26 de la LOPD, circunstancia que tampoco se ha producido, por lo que ambas acciones son plenamente imputables a su autor, en este caso la citada Comunidad de Propietarios, que resulta ser la responsable del tratamiento.

VI
No puede estimarse la alegación realizada en relación a la prescripción de los hechos, pues, de conformidad con lo que establece el artículo 47 de la LOPD, las infracciones leves prescriben al año, interrumpiéndose la misma con la iniciación, con conocimiento del interesado del correspondiente procedimiento sancionador. Dicho esto, cabe apreciar que, en el momento del Acuerdo de Inicio del presente Procedimiento Sancionador, no había transcurrido ese plazo de 1 año desde que se constataron los hechos que han motivado este procedimiento

VII
El artículo 44.2.c) y 44.2.d) de la citada LOPD, tipifica como infracciones leves :
“c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave”.
“d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley”.
Por su parte el artículo 45.1 y 4 de la LOPD, dispone :
“1. Las infracciones leves serán sancionadas con multa de 601, 12 a 60.101, 21 euros.”
“4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora”.
De acuerdo con los criterios de graduación de las sanciones recogidas en el artículo 45.4 de la LOPD, y en especial dado que no se observa en las conductas imputadas intencionalidad ni reincidencia, procede imponer las multas en su cuantía mínima.Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad COMUNIDAD DE PROPIETARIOS PUEBLO MEDITERRÁNEO, por la infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, la multa de 601,01€ de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad COMUNIDAD DE PROPIETARIOS PUEBLO MEDITERRÁNEO, por la infracción del artículo 26.1 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, la multa de 601,01€ de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica

TERCERO: NOTIFICAR la presente resolución a COMUNIDAD DE PROPIETARIOS PUEBLO MEDITERRÁNEO, (C/……………….) y a Dª M.G.A, (C/…………….)

CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 20 del Reglamento General de Recaudación, aprobado por Real Decreto 1684/1990, de 20 de diciembre, mediante su ingreso en la cuenta nº 0000 0000 00 0000000000 a nombre de la Agencia Española de Protección de Datos o en caso contrario, se procederá a su exacción por vía de apremio. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 5 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 20 del mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Fuente: valcap.es