Jorge Salgueiro Rodríguez, es presidente de AECRA (Asociación Europea de Profesionales para el Conocimiento y la Regulación de las Actividades de la Seguridad Ciudadana).
Una vez introducido en el anterior artículo cuál es el régimen normativo vigente, voy a mostrar cuáles son los plazos de conservación de los datos en la normativa de seguridad privada. En esta segunda entrega de las tres previstas en la que comparto mis reflexiones sobre cómo afecta la protección de datos a las empresas de seguridad en el apartado de plazos de conservación de datos, en particular para las Empresas Centrales Receptoras de Alarmas (CRAs), una vez introducido cuál es el régimen normativo vigente, voy a mostrar cuáles son los plazos de conservación de los datos en la normativa de seguridad privada.
El principio general aplicable al tratamiento de datos que pueda desarrollarse por las empresas y personal de seguridad privada vigente en España, viene determinado de conformidad con lo previsto por el nuevo RGDP y la Ley 3/2018 de 5 de diciembre (LOPDGDD) asi como por la Ley de Seguridad Privada, sus normas de desarrollo, y siempre al amparo de las condiciones generales y particulares pactadas en el contrato de arrendamiento de servicios de seguridad privada firmado entre Empresa y cliente.
Las operaciones de tratamiento de datos desarrolladas por las Empresas de Seguridad durante la prestación de sus servicios deberán estar destinadas en caso de tratarse de información relevante para la prevención, mantenimiento o restablecimiento de la seguridad ciudadana a su cesión a la Seguridad Publica, dado el carácter complementario y subordinado que las Empresas y personal de seguridad privada tienen frente a la Seguridad Publica.
Todo este tratamiento especial determinado por una normativa interna española resulta aplicable a los servicios de seguridad privada, el especial tratamiento aplicable viene amparado en el Considerando 45 del RGPD, en relación con el artículo 6 letras c) y e) del mismo texto reglamentario, cuando se afirma literalmente:
“Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros.
Una norma jurídica puede revelarse como suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
“La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros”.
Además, dicha norma (añado disposición reglamentaria de Seguridad Privada en España pendiente de aprobación a fecha actual, esperando casi preferiblemente una modificación de la Ley 5/2014 de 4 de abril para actualizarla a las nuevas necesidades y horizontes de riesgos) podría especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal”.
Este especial tratamiento atribuido a las Empresas y personal de seguridad privada por la Legislación de Seguridad Privada en las operaciones de tratamiento de datos, considero que viene con posterioridad ratificado en el artículo 2 apartado 3 de la Ley Orgánica Española 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales, en lo relativo al ámbito de aplicación de la LOPDGDD respecto de las actividades/servicios de seguridad privada, cuando establece:
“3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica”.
La única referencia a un plazo de conservación legal de datos que viene impuesto de forma expresa a las Empresas de Seguridad en la normativa de seguridad privada, viene concretado como antes hemos mencionado en el artículo 20 del RD 2364/1994 por el que se aprueba el Reglamento de Seguridad Privada, siempre en relación a los contratos y demás documentos firmados con los clientes sin especificar o enumerar de forma taxativa un listado de documentación, que seria de cinco años una vez finalizada la relación contractual con el cliente.
Ello no obstante lo anterior, si hacemos una interpretación por analogía del plazo de conservación impuesto en este caso de forma expresa a los detectives privados en el artículo 49,4 de la Ley de Seguridad Privada, en la actividad de investigación privada, y de forma particular, respecto de sus informes de investigación como expresión formal del cumplimiento de sus obligaciones frente al cliente, parece desprenderse que dicho plazo de tres años, bien pudiera exigirse a la Empresa de Seguridad, sobre todo en relación a toda la información, datos, alarmas, grabaciones, imágenes, audios que pudieran recogerse por la Empresa de Seguridad durante la ejecución del servicio de seguridad privada. Como nota aclaratoria quiero reseñar que dicha mención o plazo citado de tres años, curiosamente coincide con el plazo de 3 años previsto para los datos maestros de la CRA en la norma UNE 50518 como en el próximo artículo veremos.
