SEGURIDAD INFORMATICA Y VIDEOVIGILANCIA
La nueva Ley española de seguridad privada (Ley 5/2014, de 4 de abril, de Seguridad Privada), que se publicó en el BOE del pasado 5 de abril de 2014, declara que la seguridad no es solo un valor jurídico, normativo o político, que es igualmente un valor social, uno de los pilares primordiales de la sociedad -según su propio Preámbulo-, y que se encuentra en la base de la libertad y la igualdad y contribuye al desarrollo pleno de los individuos.
Aspectos asociados a la
seguridad informática de la información,- tenga ésta carácter personal o
no-, así como de las medidas y servicios que se establezcan en torno a
aquélla
1.- En la medida que resulte pertinente en cada caso, el art. 3.1 de la Ley prevé que ésta se aplicará, entre otros, a
los establecimientos obligados a disponer de medidas de seguridad, -sin
distinguir, si son de seguridad informática o no-, a los usuarios de
los servicios de seguridad privada y a las empresas prestadoras de
servicios de seguridad informática.
2.- Por
relación a lo que pudiera entenderse como empresa prestadora de
servicios de seguridad informática, y según se infiere del art. 6.6 de
dicha Ley, parece que tal definición aludiría a las que, siendo o no de
seguridad privada, se dediquen a las actividades de seguridad informática, entendida como el conjunto
de medidas encaminadas a proteger los sistemas de información a fin de
garantizar la confidencialidad, disponibilidad e integridad de la misma o
del servicio que aquéllos prestan, por su incidencia directa en la
seguridad de las entidades públicas y privadas.
Conforme a este mismo precepto, podrán imponerse reglamentariamente a éstas requisitos específicos para garantizar la calidad de los servicios que las mismas presten.
Conforme a este mismo precepto, podrán imponerse reglamentariamente a éstas requisitos específicos para garantizar la calidad de los servicios que las mismas presten.
3.- En
el Registro Nacional de Seguridad Privada y autonómicos, se anotarán
los datos de las empresas que realicen actividades de seguridad
informática, conforme a lo
descrito en el apartado anterior, y de acuerdo con lo que
reglamentariamente se determine (art. 11.4 de la Ley 5/2014).
4.- Respecto al tipo de medidas de seguridad que pueden adoptarse al amparo de esta Ley para la protección de personas y bienes, se destacan las de seguridad
informática, cuyo objeto es la protección y salvaguarda de la
integridad, confidencialidad y disponibilidad de los sistemas de
información y comunicación, y de la información en ellos contenida (art. 52.1 c) de la Ley 5/2014).
5.- La tipificación de la falta
de comunicación por parte de empresas de seguridad informática de las
incidencias relativas al sistema de cuya protección sean responsables
cuando sea preceptivo como infracción muy grave (art. 57.1 r) de la Ley 5/2014), pudiendo imponerse sanciones económicas de hasta 600.000 euros.
6.- La tipificación del incumplimiento de los requisitos impuestos a las empresas de seguridad informática
como infracción grave (art. 57.2 s) de la Ley 5/2014). En estos casos,
podrían imponerse sanciones económicas de hasta 30.000 euros.
Respecto,
a los puntos reseñados, son diversos los interrogantes que se abren, y
que debieran ser clarificados, al menos, por vía reglamentaria para
evitar una posible incertidumbre o inseguridad jurídica al respecto, a
saber:
a. Aunque
la respuesta, a priori, pueda parecer afirmativa, sin embargo, no queda
totalmente claro si, por ejemplo, una empresa o entidad pública que
obligatoriamente deba aplicar/disponer en sus respectivos
establecimientos de medidas de seguridad informática, -caracterizadas
también como medidas de seguridad por el propio art. 52 de la Ley
5/2014-, quedarán o no sujetas a lo dispuesto en esta Ley y, en todo
caso, en qué medida le resultaría aplicable. En otras palabras, y a modo
de ejemplo, ¿podría quedar sujeto a la Ley 5/2014 el titular de una
infraestructura crítica ya tenga éste carácter público o privado? y, en
caso afirmativo, ¿cómo le afectaría?.
b. Tal y como acertadamente ya apuntó Xavier Ribas en su reciente publicación,
la nueva Ley parece contener dos definiciones de lo que se entiende por
“seguridad informática” a los efectos de la misma. Según manifiesta
este autor:
“(…) En el artículo 6.6 se define la seguridad informática como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan.
(…)Por otro lado, el artículo 52.c establece que las medidas de seguridad informática tienen por objeto la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.
Dado que entre las dos definiciones se aprecian ciertas discrepancias, ya que la primera extiende la protección a los servicios, y la segunda no, mientras la segunda extiende la protección a los sistemas de comunicación y la primera no, entendemos que la definición legal de la seguridad informática debe ser la suma de las dos, y que, por lo tanto, quedará configurada de la siguiente manera:
1. Conjunto de medidas
2. Encaminadas a proteger y salvaguardar los sistemas de información y comunicación
3. A fin de garantizar la confidencialidad, integridad y disponibilidad
4. De la información en ellos contenida
5. O del servicio que dichos sistemas prestan (…)”.
Obviamente, huelga decir que esta definición debería concretarse mejor, con carácter fundamental, por vía reglamentaria.
c. Se
destaca que el régimen sancionador, conforme al artículo 57 de la Ley,
alude únicamente a las empresas que desarrollen actividades de seguridad
privada, por lo que podría deducirse que únicamente resultarían
aplicables las posibles sanciones asociadas a la comisión de las
infracciones descritas en la Ley a aquéllas.
Por lo tanto, partiendo de la diferenciación dispuesta en el art. 6.6 de la Ley 5/2014, entre empresas prestadoras de servicios de seguridad informática que, a su vez, sean empresas de seguridad privada o no, ¿se debería entender que dicho régimen sancionador únicamente es aplicable a las empresas de seguridad privada que también presten servicios de seguridad informática?, o en cambio, ¿resultaría aplicable a cualquier empresa prestadora de servicios de seguridad informática conforme a lo previsto en la Ley?.
Por lo tanto, partiendo de la diferenciación dispuesta en el art. 6.6 de la Ley 5/2014, entre empresas prestadoras de servicios de seguridad informática que, a su vez, sean empresas de seguridad privada o no, ¿se debería entender que dicho régimen sancionador únicamente es aplicable a las empresas de seguridad privada que también presten servicios de seguridad informática?, o en cambio, ¿resultaría aplicable a cualquier empresa prestadora de servicios de seguridad informática conforme a lo previsto en la Ley?.
Desde luego, no queda absolutamente clarificado este extremo en la legislación examinada.
d. Debería
igualmente concretarse por vía normativa, en lo relativo a las
infracciones que se pudieran imponer a las empresas prestadoras de
servicios de seguridad informática, al menos, lo que sigue:
- Si la falta de comunicación por parte de las mismas de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo, alude a sus propios sistemas internos de protección o, en cambio, aluden y/o incluyen los sistemas bajo la titularidad de terceros que pudieran gestionar o llevar en virtud del correspondiente contrato.
- ¿Cuáles son los específicos requisitos impuestos a las empresas de seguridad informática?
De
forma adicional a lo indicado, la Ley introduce un nuevo régimen
relativo a los servicios de videovigilancia
Entre aquéllos que asimismo
pueden prestar las empresas de seguridad privada (art. 42 de la Ley
5/2014) y que, de forma resumida, contempla lo siguiente:
1.- Los
servicios de videovigilancia consisten en el ejercicio de la vigilancia
a través de sistemas de cámaras o videocámaras, fijas o móviles,
capaces de captar y grabar imágenes y sonidos, incluido cualquier medio
técnico o sistema que permita los mismos tratamientos que éstas.
2.- Cuando
la finalidad de estos servicios sea prevenir infracciones y evitar
daños a las personas o bienes objeto de protección o impedir accesos no
autorizados, serán prestados necesariamente por vigilantes de seguridad.
3.- No
tendrán la consideración de servicio de videovigilancia la utilización
de cámaras o videocámaras cuyo objeto principal sea la comprobación del
estado de instalaciones o bienes, el control de accesos a aparcamientos y
garajes, o las actividades que se desarrollan desde los centros de
control y otros puntos, zonas o áreas de las autopistas de peaje. Estas
funciones podrán realizarse por personal distinto del de seguridad
privada.
4.- No
se podrán utilizar cámaras o videocámaras con fines de seguridad
privada para tomar imágenes y sonidos de vías y espacios públicos o de
acceso público salvo en los supuestos y en los términos y condiciones
previstos en su normativa específica, previa autorización administrativa
por el órgano competente en cada caso. Su utilización en el interior de
los domicilios requerirá el consentimiento del titular.
5.- Las
cámaras de videovigilancia que formen parte de medidas de seguridad
obligatorias o de sistemas de recepción, verificación y, en su caso,
respuesta y transmisión de alarmas, no requerirán autorización
administrativa para su instalación, empleo o utilización.
6.- Las
grabaciones realizadas por los sistemas de videovigilancia no podrán
destinarse a un uso distinto del de su finalidad.
Cuando las mismas se encuentren relacionadas con hechos delictivos o que afecten a la seguridad ciudadana, se aportarán, de propia iniciativa o a su requerimiento, a las Fuerzas y Cuerpos de Seguridad competentes.
Cuando las mismas se encuentren relacionadas con hechos delictivos o que afecten a la seguridad ciudadana, se aportarán, de propia iniciativa o a su requerimiento, a las Fuerzas y Cuerpos de Seguridad competentes.
7.- La
monitorización, grabación, tratamiento y registro de imágenes y sonidos
por parte de los sistemas de videovigilancia estará sometida a lo
previsto en la normativa en materia de protección de datos de carácter
personal, y especialmente a los principios de proporcionalidad,
idoneidad e intervención mínima.
Al
respecto, llama la atención que no se haya aprovechado igualmente para
coordinar e integrar en este régimen, -haciendo coherentes ambos dos-,
el también previsto en la vigente Ley 25/2009, de 22 de diciembre, de
modificación de diversas leyes para su adaptación a la Ley sobre el
libre acceso a las actividades de servicios y su ejercicio (conocida
como “Ley Ómnibus”)
Como ya se conoce, ésta Ley liberalizó la
comercialización, entrega, instalación y mantenimiento de los
dispositivos de videovigilancia, de forma que, salvo en los casos en que
la instalación de un sistema de videovigilancia estuviera conectado a
una central de alarma, ya no sería necesario acudir, para su puesta en
funcionamiento, a una empresa de seguridad privada debidamente
registrada como tal, ni cumplir las obligaciones de notificación del
contrato al Ministerio del Interior.
Fuente:Legitel.es
No hay comentarios:
Publicar un comentario