SECRETARÍA GENERAL DEL CONSEJO POLÍTICA DE UTILIZACIÓN DE LOS SISTEMAS DE VIDEOVIGILANCIA

Transcripción

1 SECRETARÍA GENERAL DEL CONSEJO POLÍTICA DE UTILIZACIÓN DE LOS SISTEMAS DE VIDEOVIGILANCIA

2 Índice 1. Objetivo y alcance de la política Cumplimiento de las normas de la protección de datos pertinentes Zonas bajo videovigilancia Datos personales recogidos y su finalidad Acceso a los datos personales recogidos Protección y salvaguarda de los datos personales Período de conservación de los datos Información al público Derechos de los interesados Derecho de recurso...14 Anexo

3 Política de utilización de los sistemas de videovigilancia de la Secretaría General del Consejo 1. Objetivo y alcance de la política Para garantizar la protección y seguridad de su personal, visitantes, edificios, bienes materiales e información, así como por razones logísticas, la Secretaría General del Consejo (en adelante, la SGC) opera un sistema de videovigilancia en algunas zonas de sus instalaciones. La presente Política de utilización de los sistemas de videovigilancia describe el sistema de vídeo de la SGC y las garantías que la Secretaría General ha establecido para proteger los datos personales, la intimidad y otros derechos fundamentales e intereses legítimos de las personas filmadas por las cámaras. La Política de utilización de los sistemas de videovigilancia de la SGC no se aplica a la grabación o retransmisión de actos inscritos en el marco de la política de prensa y comunicación del Consejo o del Consejo Europeo. Debe también señalarse que la cámara instalada en la actualidad en el servicio médico de la SGC (que no graba imágenes de vídeo) ha sido objeto de un procedimiento de notificación separado. 2. Cumplimiento de las normas de la protección de datos pertinentes 2.1. La SGC opera sus sistemas de videovigilancia de conformidad con las disposiciones del Reglamento (CE) n. 45/2001 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos 1 y de la Decisión del Consejo 2004/644/CE, de 13 de septiembre de 2004, por la que se adoptan las normas de desarrollo del Reglamento (CE) n. 45/ Al obrar así, se atiene a las recomendaciones formuladas en las directrices sobre vigilancia por videocámara publicadas por el Supervisor Europeo de Protección de Datos (en adelante, "las directrices") el 17 de marzo de DO L 8 de , p DO L 296 de , p

4 2.2. La utilización del sistema de videovigilancia es necesaria para la buena gestión y el correcto funcionamiento del Consejo, en particular en lo que respecta al control de la seguridad y la protección, tal como se describe en el punto 4.2 más abajo. Es indispensable para consolidar las políticas de seguridad de más amplio alcance establecidas en la Decisión del Consejo 2013/488/UE, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE 1 y contribuye a dar cumplimiento al mandato de la Oficina de Seguridad, tal como figura en la Decisión n. 181/10 de la Secretaría General del Consejo sobre las tareas de la Oficina de Seguridad Notificación de la situación de cumplimiento. El actual sistema de videovigilancia de la SGC se instaló tras llevar a cabo una evaluación de riesgos y un análisis de las diferentes soluciones disponibles y el responsable de la protección de datos de la SGC recibió una notificación al respecto el 15 de junio de 2007, de conformidad con el artículo 25 del Reglamento n. 45/2001. El 20 de junio de 2007 el sistema fue presentado al Supervisor Europeo de Protección de Datos (SEPD) para su control previo ex post. Este control previo fue primero suspendido y posteriormente concluido por el SEPD, en espera de la publicación de sus directrices. Tras su publicación, la SGC estableció su Política de utilización de los sistemas de videovigilancia y abrió un expediente relativo al cumplimiento. Tras su adopción, el responsable de la protección de datos notificará esta Política al SEPD, junto con un informe sobre la situación de cumplimiento Contactos con la autoridad de protección de datos del Estado miembro interesado. La SGC ha informado a la autoridad de protección de datos competente en Bélgica, la Commission de la Protection de la Vie Privée ("CPVP"), de que utiliza sistemas de videovigilancia Proceso de toma de decisiones. La SGC ha elaborado esta Política tras concluir, en consulta con los servicios pertinentes, que el sistema de videovigilancia actual sigue siendo necesario y guarda proporción con los objetivos de protección y seguridad. La SGC ha celebrado consultas con el Comité de Personal de la SGC y con el responsable de la protección de datos y ha tenido en cuenta sus observaciones. La Política ha recibido la aprobación del Secretario General. 1 DO L 274, , p Puede consultarse en la página intranet de la Oficina de Seguridad en DOMUS, bajo el epígrafe "DGs and Services - DG A - SSCIS - Security Office". 4

5 2.6 Transparencia. La Política de utilización de los sistemas de videovigilancia puede consultarse en la página intranet del Consejo en la dirección: y en la página intranet de la SGC en DOMUS, bajo el epígrafe "DGs and Services - DG A - SSCIS - Security Office" Revisiones periódicas. Cada dos años, la SGC llevará a cabo una revisión periódica de la evaluación y el cumplimiento de la protección de datos; la primera se efectuará antes del 31 de diciembre de Durante las revisiones periódicas la SGC reevaluará, entre otras cosas, si el sistema sigue cumpliendo el objetivo para el que fue creado, si existen alternativas adecuadas, y si esta Política sigue ajustándose al Reglamento n.º 45/ Protección de la intimidad. Para reforzar la protección de la intimidad, la SGC ha previsto: la difuminación de imágenes (para hacer la imagen total o parcialmente irreconocible, según corresponda), la limitación de la duración del almacenamiento de las filmaciones de vídeo, de conformidad con los requisitos de seguridad (véase el punto 7 más abajo), y una gestión estricta de los derechos de los operadores en lo que respecta al acceso al sistema de circuito cerrado de televisión ("sistema CCTV"). 3. Zonas bajo videovigilancia Las cámaras están instaladas en diferentes emplazamientos en los edificios Justus Lipsius, LEX, guardería y Overijse, entre ellos: la entrada principal, las puertas giratorias principales accionadas con tarjetas, las salidas de emergencia y de incendios, la entrada a los aparcamientos, las salas de reunión, las salas de acceso restringido, los pasillos, y diversos emplazamientos alrededor de los edificios para proteger sus perímetros exteriores. La localización de las cámaras ha sido revisada cuidadosamente para garantizar que se circunscribe al mínimo la vigilancia de zonas que no son pertinentes para los fines previstos. La vigilancia del exterior de los edificios en el territorio de Bélgica está limitada al máximo y las autoridades nacionales competentes han sido informadas al respecto. 5

6 La SGC no vigila zonas en las que las expectativas de intimidad son mayores, por ejemplo las oficinas o los centros deportivos. Excepcionalmente, y por necesidades de seguridad debidamente justificadas, podrán instalarse cámaras en dichas zonas, aunque siempre después de llevar a cabo una evaluación del impacto y haber informado al responsable de la protección de datos. En tales casos, se colocará un letrero específico y claramente visible en los locales de que se trate. Excepcionalmente, y por necesidades de seguridad debidamente justificadas y demostrables, podrán utilizarse cámaras encubiertas cuando sean indispensables a efectos de la prevención, investigación, detección y represión de infracciones penales. Su utilización estará sujeta a la aprobación previa del Director de la Oficina de Seguridad y a la notificación sistemática al responsable de la protección de datos en el marco de una investigación de seguridad oficial ordenada por el Secretario General. La utilización de cámaras encubiertas será siempre proporcional a la gravedad de la presunta infracción y se hará de conformidad con el artículo 20 del Reglamento (CE) n.º 45/2001. Cada caso en que se utilicen cámaras encubiertas se documentará en detalle, especificándose los siguientes elementos: - un fin claramente identificado que no pueda alcanzarse por ningún otro método alternativo de investigación que suponga una menor intrusión en la intimidad; - una evaluación del impacto para la zona vigilada por las videocámaras encubiertas y los individuos que puedan resultar afectados; - un periodo de tiempo estrictamente limitado; - emplazamientos estrictamente limitados; - destinatarios estrictamente limitados y claramente identificados; - borrado inmediato de las imágenes en cuanto ya no sean necesarias a los fines de la investigación. 6

7 4. Datos personales recogidos y su finalidad 4.1. El sistema de videovigilancia es un sistema convencional y básicamente estático. Graba imágenes digitalizadas y está equipado con sensores de detección de movimientos. Graba determinados movimientos detectados por las cámaras en la zona vigilada, junto con la hora, la fecha y la localización. Todas las cámaras funcionan veinticuatro horas al día, siete días a la semana. Cuando es preciso, la calidad de la imagen permite la identificación de individuos en la zona de cobertura de las cámaras. Prácticamente todas las cámaras son fijas y, por lo tanto, solo unas cuantas pueden ser utilizadas por los operadores para acercarse mediante zoom a una situación determinada por razones de seguridad. Los operadores que habrán recibido una formación específica deben respetar unos parámetros de privacidad y los derechos de acceso. La SGC no utiliza técnicas de videovigilancia inteligentes o de alta tecnología, pero interconecta los sistemas de protección por videocámara que funcionan en los edificios mencionados en la sección 3 de la Política Finalidad de la utilización del sistema de videovigilancia. La SGC utiliza su sistema de videovigilancia únicamente a efectos de protección y seguridad. El sistema contribuye a garantizar la seguridad tanto de los edificios de la SGC, su personal y visitantes como de los bienes contenidos en sus instalaciones y la información allí almacenada. En caso de necesidad, lo complementa con otros sistemas de seguridad físicos, por ejemplo sistemas de control de acceso y sistemas de detección de intrusiones. Se cuenta entre las medidas destinadas a respaldar las políticas de seguridad de más alcance establecidas en la Decisión del Consejo relativa a las normas de seguridad para la protección de la información clasificada de la UE y contribuye a prevenir, evitar, y en caso necesario, investigar el acceso físico no autorizado, incluido el acceso no autorizado a locales seguros y salas protegidas, infraestructuras de TI o información operacional. 7

8 4.3. Limitación de los fines. El sistema no será usado para ningún otro fin distinto, como por ejemplo vigilar el trabajo de los funcionarios u otros miembros del personal o controlar la presencia. El sistema se utilizará como medio de investigación o como prueba en investigaciones internas o procedimientos disciplinarios cuyo propósito exclusivo sea investigar un incidente de seguridad física o, en casos excepcionales, en el marco de investigaciones penales. Estas se emprenderán siempre por mandato específico del Secretario General o de la Autoridad facultada para proceder a los nombramientos, según los casos Utilización de vídeo ad hoc. Cuando exista una necesidad de seguridad debidamente justificada de videovigilancia ad hoc, las operaciones se planificarán con antelación, se elaborará una evaluación de impacto y se informará al responsable de la protección de datos Cámaras web. La SGC no utiliza cámaras web a efectos de videovigilancia Categorías especiales de datos El sistema de videovigilancia de la SGC no tiene por objeto capturar (por ejemplo, por acercamiento mediante zoom o enfoque específico) o procesar de cualquier otra manera (por ejemplo, indexación o perfilado) imágenes que revelen "categorías especiales de datos" en el sentido del punto 6.7 de las directrices. 5. Acceso a los datos personales recogidos 5.1. El acceso a las grabaciones y las imágenes de vídeo en directo estará limitado a un pequeño número de individuos claramente identificables, basándose en el principio de la necesidad de conocer El acceso a las filmaciones y a la arquitectura técnica del sistema de videovigilancia estará limitado a un pequeño número de individuos claramente identificables, basándose en el principio de la necesidad de conocer. La SGC especificará el propósito y el alcance de sus derechos de acceso. En particular, delimitará quién tiene derecho a ver las imágenes en tiempo real; ver las grabaciones; copiar, descargar, borrar o alterar cualquier grabación. 8

9 5.3. Todo el personal con derechos de acceso, incluidos los guardias de seguridad de empresas externas subcontratadas, recibirá una formación básica sobre protección de datos. La formación se impartirá a cada nuevo miembro del personal y se realizarán talleres periódicos sobre cuestiones relacionadas con el cumplimiento de las normas de protección de datos al menos una vez cada dos años para todo el personal que disponga de derechos de acceso Después de la formación cada miembro del personal firmará un compromiso de confidencialidad. Asimismo, todos los subcontratistas externos y su personal deberán firmar este compromiso Todas las transmisiones y comunicaciones de datos al exterior de la Oficina de Seguridad estarán documentadas y serán sometidas a una evaluación rigurosa de la necesidad de dicha transmisión y de la compatibilidad de la finalidad de la transmisión con el propósito de seguridad inicial del tratamiento. El registro de conservación y transmisión de datos podrá ser consultado por los servicios de auditoría interna de la SGC y por el responsable de la protección de datos del Consejo. No se dará acceso a los servicios de gestión o de recursos humanos, excepto en el marco de procedimientos disciplinarios entablados directamente a raíz de un incidente de seguridad física o por mandato de la Autoridad facultada para proceder a los nombramientos. Podrá permitirse el acceso a la policía nacional o local, las autoridades judiciales reconocidas, los órganos de la UE de lucha contra el fraude (como la OLAF) y los servicios de seguridad de otras instituciones europeas u organizaciones internacionales interesadas si es necesario investigar o reprimir infracciones penales. No se aceptarán solicitudes de extracción de datos 1. Cada fallo de seguridad relacionado con las cámaras quedará consignado en el registro de investigaciones y se informará de ello lo antes posible al responsable de la protección de datos. 1 Extracción de datos: proceso por el que se extrapolan pautas a partir de las bases de datos existentes. 9

10 6. Protección y salvaguarda de los datos personales A fin de proteger la seguridad del sistema de videovigilancia, incluidos los datos personales, se han establecido las medidas técnicas y organizativas siguientes: Los servidores en que se almacenan las imágenes grabadas estarán emplazados en locales seguros y protegidos por medidas de seguridad físicas; el perímetro lógico de la infraestructura de TI estará protegido por cortafuegos de red; y se reforzará la seguridad de los sistemas informáticos principales donde se almacenen los datos. Las medidas administrativas incluyen la obligación de que todo el personal subcontratado con acceso al sistema (incluido el personal de mantenimiento del equipo y los sistemas) se someta a un control de seguridad individual. Todo el personal (externo e interno) firmará acuerdos de no divulgación y de confidencialidad. A los usuarios se les garantizarán derechos de acceso exclusivamente a aquellos recursos que sean estrictamente necesarios para desempeñar sus tareas. Solo el administrador del sistema nombrado específicamente por el supervisor a tal efecto estará facultado para conceder, modificar o anular los derechos de acceso de cualquier persona. Toda concesión, modificación o anulación de los derechos de acceso se realizará con arreglo a criterios estrictos. La SGC llevará una lista actualizada permanentemente de todas las personas que tengan acceso al sistema y en ella se describirán en detalle los derechos de acceso de cada una. El responsable de la protección de datos será consultado antes de adquirir o instalar cualquier nuevo sistema de videovigilancia. La Política de utilización de sistemas de videovigilancia de la SGC ha sido elaborada de conformidad con la sección 9 de las directrices del SEPD. 10

11 7. Período de conservación de los datos Las imágenes se conservarán durante 30 días. Posteriormente, se borrarán de conformidad con el criterio de "primeras imágenes grabadas, primeras borradas". Si se produce un incidente de seguridad, las filmaciones pertinentes podrán ser conservadas durante un período más largo que el normal y tanto tiempo cuanto sea necesario para proseguir la investigación del incidente de que se trate. La conservación se documentará rigurosamente y se revisará periódicamente la necesidad de conservar imágenes. El registro de conservación y de transmisión podrá ser consultado por los servicios de auditoría interna de la SGC y el responsable de la protección de datos del Consejo. 8. Información al público 8.1. Enfoque multinivel La SGC seguirá un enfoque multinivel que comprende los elementos siguientes: en cada una de las entradas de los edificios de la SGC, incluidas las entradas de los aparcamientos, se colocará un cartel informativo detallado en que se advertirá de la utilización de sistemas de videovigilancia; se colocarán carteles informativos con pictogramas en determinados emplazamientos de los edificios con objeto de alertar al público de que se están realizando actividades de vigilancia e informarle de cómo puede obtener más información, y la Política de utilización de sistemas de videovigilancia se publicará en la página Internet y las páginas intranet de la SGC para facilitar su consulta por las personas que deseen más información sobre las prácticas de utilización de la videovigilancia por parte de la SGC. En los mostradores de recepción de nuestros edificios habrá también folletos informativos, que asimismo podrán solicitarse a la Oficina de Seguridad. Se proporcionará más información cuando se solicite. Se colocarán carteles en las áreas adyacentes a las zonas vigiladas siguientes: cerca de la entrada principal y cerca de los ascensores y las entradas de los aparcamientos, por ejemplo. El cartel informativo de la SGC figura en el Anexo. 11

12 8.2. Comunicación específica individual. Sin perjuicio de las normas aplicables a las investigaciones, se deberá remitir una comunicación individual a las personas que hayan sido identificadas por cámara (por ejemplo, por el personal de seguridad en una investigación de seguridad) cuando concurran una o varias de las siguientes circunstancias: su identidad quede consignada en un expediente/un registro, la grabación de vídeo se utilice en contra del individuo, se guarde más allá del período de conservación normal o se transfiera fuera de la Oficina de Seguridad, o la identidad del individuo se revele a alguien ajeno a la Oficina de Seguridad. El envío de la comunicación podrá retrasarse si se considera necesario para prevenir, detectar, investigar y reprimir infracciones penales graves, con arreglo a lo dispuesto en el artículo 20 del Reglamento n. 45/2001. El responsable de la protección de datos del Consejo será consultado en todos los casos de estas características a fin de garantizar el respeto de los derechos individuales, pero no cuando se trate de una investigación. 9. Derechos de los interesados Las personas interesadas tienen el derecho de acceder a los datos personales que la SGC tiene sobre ellos y de corregirlos y completarlos. Cualquier solicitud referente al acceso, rectificación, bloqueo y supresión de los datos personales obtenidos mediante la utilización de cámaras de vídeo deberá remitirse al Director de la Oficina de Seguridad del Consejo de la Unión Europea, rue de la Loi 175, 1048 Bruselas, con copia al responsable de protección de datos. 12

13 El Director de la Oficina de Seguridad enviará al solicitante un acuse de recibo en el plazo de cinco días hábiles a contar desde la fecha de recepción de la solicitud. Cuando sea posible, el Director de la Oficina de Seguridad responderá al fondo de la solicitud en un plazo de 15 días civiles. Si ello no fuera posible, el solicitante será informado de los próximos pasos y de la razón del retraso en un plazo de 15 días. Incluso en los casos más complejos, la solicitud deberá responderse o deberá remitirse una respuesta definitiva en la que se argumenten los motivos por que se rechaza la solicitud en un plazo máximo de tres meses. El Director de la Oficina de Seguridad hará todo lo posible por responder antes, sobre todo si el solicitante demuestra la urgencia de la solicitud. Si se solicita específicamente, podrá organizarse un visionado de las imágenes. En dichos casos, los solicitantes deberán indicar su identidad mediante prueba indubitable (por ejemplo, aportando documentos de identidad cuando asista al visionado), y especificar también la fecha, hora, localización y circunstancias en que fueron filmados por las cámaras. Asimismo deberán presentar una fotografía reciente que permita al personal de seguridad identificarlos a partir de las imágenes revisadas. En caso de irregularidad o evidente abuso por parte del interesado en el ejercicio de sus derechos, la Oficina de Seguridad podrá consultar al responsable de protección de datos sobre la solicitud o remitir al interesado al responsable de protección de datos, que decidirá acerca de la admisibilidad de la solicitud y del curso apropiado que debe dársele. La solicitud para visionar secuencias grabadas podrá rechazarse cuando la exención prevista en el artículo 20, apartado 1, del Reglamento n. 45/2001 se aplique a un caso específico, por ejemplo para proteger la investigación de una infracción penal. También podrá ser necesaria una restricción para proteger los derechos y libertades de otras personas, por ejemplo, en los casos en que otras personas aparecen también en las imágenes y no es posible recabar su autorización para revelar sus datos personales ni utilizar herramientas de edición de imágenes para salvar su negativa a dar la autorización. 13

14 10. Derecho de recurso Cualquier interesado podrá presentar una reclamación ante el Supervisor Europeo de Protección de Datos si considera que se han violado sus derechos reconocidos en el Reglamento n. 45/2001 como consecuencia del tratamiento de sus datos personales por parte de la SGC. Antes de recurrir a esta vía, se recomienda que los interesados intenten obtener reparación poniéndose en contacto con: el Director de la Oficina de Seguridad (a través del Centro de Seguridad, disponible 24 horas/7 días en el tel ), Consejo de la Unión Europea, rue de la Loi 175, 1048 Bruselas, o video.protection@consilium.europa.eu, o con el responsable de protección de datos de la SGC, Consejo de la Unión Europea, rue de la Loi 175, 1048 Bruselas. Los miembros del personal también podrán exigir medidas correctoras a la Autoridad facultada para proceder a los nombramientos, de conformidad con el artículo 90 del Estatuto de los Funcionarios. 14

15 ANEXO 15