Jorge Salgueiro Rodríguez, es presidente de AECRA (Asociación Europea de Profesionales para el Conocimiento y la Regulación de las Actividades de la Seguridad Ciudadana).
Tercera y última entrega sobre cómo afecta la protección de datos a las empresas de seguridad en el apartado de plazos de conservación de datos, en particular para las CRAs. Una vez dedicado el primero de estos tres artículos al régimen normativo vigente, y el segundo a los plazos de conservación de los datos en la normativa de seguridad privada, llega el momento de abordar el régimen voluntario de conservación de datos de la Norma UNE EN 50518 aplicable a las Centrales Receptoras de Alarmas (CRAs) de Empresas de Seguridad, así como de compartir unas conclusiones.
Tras la lectura de la Norma UNE EN 50518 Apartado Introducción, en relación con las certificaciones emitidas para las Centrales Receptoras de Alarmas establece que ninguna norma europea puede sustituir a ninguna exigencia legislativa que se haya juzgado como necesaria por un Gobierno Nacional para controlar el sector de la Seguridad sobre una base nacional.
En aquellos casos que una Empresa de Seguridad autorizada como CRA quisiera obtener la certificación en la norma UNE EN 50518 dicha Norma Europea sí que recomienda unos plazos de conservación al objeto de mantener la CRA dicha certificación y que sin duda deberían ser contemplados en las condiciones generales y particulares del contrato de servicios de seguridad a firmarse con los clientes.
El apartado 8 de la Norma UNE EN 50518 respecto al tratamiento de los datos realizado por la CRA respecto a los datos de clientes, comunicaciones telefónicas, y todas las gestiones de alarmas efectuadas por el operador de la CRA, reitera la sumisión expresa de la CRA a la Normativa Europea de Protección de Datos vigente en España.
En lo que se refiere a los datos citados del apartado 8,3 de la norma UNE 50518, la misma contempla de forma específica en relación con todas las gestiones de la CRA y eventos de alarma realizadas por los operadores frente al cliente y FCS un plazo específico mínimo de tres meses.
En lo relativo a los datos llamados maestros, que debemos vincular al plan de acción de la CRA para poder cumplir los procedimientos de verificación con cliente o incluso servicio de acuda se deben conservar de conformidad con el apartado 8.4 de la NORMA UNE 50518 durante un plazo mínimo de tres años.
Conclusiones sobre protección de datos a las empresas de seguridad
Las operaciones de tratamiento de datos desarrolladas actualmente por las Empresas de seguridad privada autorizadas en España se hallan limitado normativamente tanto en el acceso como en el tratamiento y conservación de los datos personales producidos durante el desarrollo de su actividad a lo determinado y fijado por la normativa de seguridad privada de España.
Los servicios de gestión de señales de alarma prestados por las Centrales Receptoras de Alarmas (CRA) son servicios de seguridad privada limitados. Dicha prohibición supone que queda prohibido que personal no integrado en dichas Empresas de Seguridad y declarados ante la autoridad policial tengan acceso a dichos datos de carácter personal.
Por consiguiente, ante la posible contratación de medios o servicios de cloud computing por una Empresa de Seguridad para almacenamiento de datos generados durante el desarrollo o prestación de sus servicios de seguridad privada al ser contratados en España, considero que deberá valorar o tener en cuenta los siguientes requisitos o condiciones:
- Las restricciones o limitaciones a nivel de medios o medidas a utilizarse por las empresas de seguridad provienen del concepto de homologación otorgado al Ministerio de Interior y que debe obtenerse antes de su empleo.
- Dado que la Seguridad Pública y Privada son competencia exclusiva de los Estados de la Unión Europea por no existir una Directiva Europea que contemple un ámbito supranacional de Seguridad Privada, el Reglamento General Europeo de Protección de Datos (RGPD) reconoce dicha excepción a la Seguridad Publica en España y le confiere la posibilidad de regular el régimen de tratamiento de datos en dicho ámbito normativo específico subordinado que es la Seguridad Privada.
- El ámbito territorial aplicable a las medidas y medios empleados por las Empresas de Seguridad en la ejecución de sus servicios de seguridad privada tal y como los servicios de comunicaciones o de cloud computing, interpreto viene limitado en cuanto a su alcance, por la normativa de seguridad privada vigente, al territorio español. Así pues, debemos suponer que la información relevante para la seguridad ciudadana en España que haya podido recopilarse por una Empresa de seguridad durante la prestación de servicios de seguridad privada, deberá contratarse por la Empresa de Seguridad con servidores de almacenamiento radicados físicamente de forma exclusiva en España.
- Los datos sometidos a la normativa de seguridad privada y con limitación territorial respecto de su almacenamiento, vienen enumerados tanto en dicha Normativa como en el concepto de información relevante para la seguridad ciudadana española.
- No existe un precepto en la normativa de seguridad privada en España que de forma expresa prohíba la contratación de un servicio de cloud computing en cualquier otro Estado miembro de la UE de conformidad con el RGPD, si bien es más que probable que dichas limitaciones o restricciones vengan a determinarse cuando se apruebe una disposición reglamentaria de desarrollo en España , y ello por las razones antes expuestas o bien porque el Ministerio de Interior por razones de seguridad nacional pueda invocarlo.
