En septiembre participamos de la consulta pública organizada por la Dirección General de Protección de Datos Personales (DGPDP) sobre su Proyecto de “Directiva para el Tratamiento de Datos Personales mediante Sistemas de Videovigilancia”. Este esfuerzo busca señalar los límites que deben imponerse a estas tecnologías para que su uso no afecte la privacidad más allá de lo estrictamente necesario para garantizar la seguridad pública.

Sobre la propuesta de Directiva

A finales de agosto del 2019, se hizo pública la DGPDP publicó un borrador sobre una nueva normativa para el tratamiento de datos cuando se utilizaran cámaras de videovigilancia. En un ejercicio de transparencia destacable, la DGPDP abrió un período de recepción de comentarios para todos los interesados que culminó en setiembre.

Algunos de los aspectos principales del borrador de la Directiva eran que: (a) regulaba en qué situaciones estaba permitido tratar datos personales a través de la grabación de cámaras de videovigilancia, (b) establecía una serie de principios que debían ser respetados a la hora de realizar el tratamiento de los datos, y, (c) señalaba algunas obligaciones específicas respecto del tipo de cámaras como el plazo de almacenamiento, los protocolos de seguridad, etc.

Hiperderecho ha intervenido en el pasado con el propósito de resguardar los derechos de los usuarios frente a los usos indiscriminados de las herramientas tecnológicas. Así, por ejemplo, en el caso de la denuncia que hicimos contra la ONPE y que culminó en una sanción contra esta entidad por parte de la DGPDP. Más recientemente, también presentamos denuncias contra Telefónica por explotar comercialmente los datos derivados de la geolocalización de sus usuarios. Desde nuestra experiencia como observadores de la interacción entre la protección de datos y la tecnología, consideramos que habían puntos a mejorar en la Directiva y hemos enviado los siguientes comentarios.

Nuestros comentarios

Nuestras observaciones (PDF) se centraron principalmente en cuatro puntos: (a) el principio de proporcionalidad, (b) los plazos de conservación de datos, (c) la vigilancia a través de drones, y, (d) la tecnología de reconocimiento facial.

1. Principio de proporcionalidad

En la Directiva se establecen diferentes principios orientadores, entre ellos el de Proporcionalidad que señala:

El tratamiento de los datos personales debe ser adecuado, pertinente y no excesivo en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras (…).

No obstante, a lo largo del texto de la Directiva, este principio no es desarrollado de forma extensiva, perdiendo la oportunidad de entrar en detalle sobre cuestiones que consideramos importantes. Uno de los elementos que debería considerarse es la inclusión de una tabla de referencia que permita conocer qué tipo de cámaras de videovigilancia resultan “proporcionales” al menos para los fines claramente establecidos en la Directiva: seguridad, entornos escolares y control laboral.

2. Plazo de conservación de los datos

La Directiva establece por regla general, respecto al plazo:

Las imágenes y voces grabadas se almacenan por un plazo no mayor de sesenta (60) días, salvo disposición distinta en normas sectoriales. Durante ese plazo, el titular del banco de datos o encargado del tratamiento de los datos debe asegurar la reserva y confidencialidad de la información, no permitiendo la difusión, copia o visualización de imágenes por terceros no autorizados (…).

Creemos que proponer un plazo de 60 días para la conservación de los datos es una medida que no contribuye sustancialmente para los fines legítimos por los cuales se permite la videovigilancia, es decir: la seguridad y el control laboral en el ámbito de dirección del empleador. Primero, porque ya existen en todas las normas relacionadas a la seguridad la disposición de que los responsables de las cámaras den parte inmediato a las autoridades sobre la posible comisión de faltas o delitos. Segundo, porque ocurre lo mismo en el caso de los trabajadores, cuyas posibles faltas a la normativa laboral o interna de la empresa deberían ser supervisadas de forma proactiva por el empleador, para lo cual el plazo de 30 días resulta más que suficiente. Tercero porque, ante el aviso de que ha ocurrido un incidente que requiere la revisión de imágenes y/o audio almacenados en bancos de datos, los titulares de estos bancos ya se encuentran facultados para extender el tratamiento bajo el amparo de las leyes.

Existe también un argumento económico en contra de un plazo tan largo. Obligar a conservar por 60 días todo lo que una cámara de videovigilancia puede grabar. repercute negativamente en la economía de quienes poseen u operan las cámaras, pues deben contratar mejores cámaras, servicios de almacenamiento más grandes y, en ciertos casos, asumir nuevos costos para cumplir con los derechos ARCO aplicables en un plazo tan extendido.

3. Vigilancia a través de drones

De la misma forma que en el punto 1 de nuestros comentarios, nos gustaría que se estableciera, aunque sea a modo de referencia, una tabla de características mínimas que cumplen con el principio de proporcionalidad en el caso de los drones. No obstante, consideramos que sería ideal que el establecimiento de normativa relacionada a los drones en el ámbito de protección de los datos personales sea tratado en otro documento, en el cual se aborde específicamente las connotaciones que tiene el uso de estos dispositivos en general y no solo en el ámbito de la videovigilancia. Esta normativa debe necesariamente abarcar no solo drones sino también la vigilancia que se lleva a cabo a través de helicópteros y globos aerostáticos.

4. Reconocimiento facial

Un tema no tratado además de los drones son las cámaras de videovigilancia con reconocimiento facial. Esta tecnología representa un nivel de registro de datos superior al de las cámaras de vigilancia comunes porque, además de registrar la imagen de cualquier persona, tiene la posibilidad de individualizarla en función a sus datos biométricos contra un registro interno (visitantes anteriores, personas de interés) o externo (de alguna base de datos comercial o pública). Particularmente, el posible uso indiscriminado de estas tecnologías por parte de las municipalidades y Policía Nacional debe de ser previamente considerado en función de sus eficacia, protocolos de protección de datos, necesidad y proporcionalidad.

Vigilando las cámaras de vigilancia con reconocimiento facial

Estamos particularmente preocupados por la proliferación de las cámaras con tecnología de reconocimiento facial en nuestro país. Creemos que es necesario que la ciudadanía esté mejor informada sobre cómo funcionan, dónde se encuentran y qué garantías otorgan los gobiernos locales y la policía para custodiar la privacidad de los datos.

Por eso, este mes nos hemos aliado con nuestros amigos de la organización internacional Access Now para presentar pedidos de información pública para a los distritos de La Victoria, San Martin de Porres y Miraflores. En nuestro pedido solicitamos conocer sobre: el sistema empleado, los datos procesados, las especificaciones técnicas, el balance en la eficacia de la tecnología, y los protocolos de identificación y captura de personas sospechosas. Pueden leer más sobre estos pedidos y nuestra preocupación en el blog de Access Now. Los mantendremos al tanto de nuestros hallazgos.