La AEPD se pronuncia sobre el carácter personal de los logs
Se trata de una resolución de la Agencia Española de Protección de Datos (en adelante, “AEPD”) publicada el pasado 21 de abril, por la que se impone una sanción a una empresa de alarmas y videovigilancia por considerar que no atendió a una solicitud de acceso a datos personales, al no dar información a la interesada sobre los “logs” registrados en su sistema de videovigilancia y vinculados al dispositivo de alarma instalado en su vivienda.
Un log es un registro de todos los acontecimientos (eventos o acciones) que afectan a un proceso particular (en este caso, al funcionamiento del dispositivo de alarma y sistema de videovigilancia contratado).
¿Es un log un dato de carácter personal? La AEPD ha llegado a la conclusión en este caso de que sí lo es.
La AEPD parte de la base de que el hecho de que la prestación de los servicios de la sancionada estuviera teniendo lugar en un domicilio implica la incidencia en la esfera íntima de privacidad personal y familiar de los interesados. A partir de ello, por lo que respecta al dispositivo de la alarma, este permite “activar el sistema, armar, desarmar la alarma, conecta con los elementos adicionales como los sensores y recibe las señales de los detectores periféricos instalados (…) Cuando salta la alarma, el sistema analizará la información minuciosamente para determinar de qué tipo de emergencia se trata o si se trata de una falsa alarma.”, esto último a partir de la interpretación de las mencionadas acciones.
Ahora bien, no solo existen estas acciones en relación a los servicios contratados, sino que existen otras conexiones internas que permiten a la sancionada “registrar la actividad de los usuarios autorizados (cliente y personas de contacto por el designadas), así como operadores de la reclamada, incluyendo las operaciones máquina a máquina generando rastros de acceso: -log in-, origen, tiempo de actividad, acciones, y conexiones”.
Mientras que lo relativo a la primera categoría de acciones no plantea excesivo problema, sí lo hace lo que hace referencia a los logs internos. En este sentido, en el caso analizado, la sancionada no habría entregado la información recogida por estos últimos ante un derecho de acceso, por no considerarlos datos personales. No lo consideró así la interesada, por lo que inició las correspondientes acciones contra la empresa prestadora del servicio.
Frente a la controversia, la AEPD ha considerado que:
- El concepto de datos personales establecido por el Reglamento General de Protección de Datos (en adelante, “RGPD”) ha de interpretarse desde un punto de vista amplio, abarcando toda información que pueda vincularse con una persona, o referirse a una persona identificable. Alude en este sentido a la Sentencia del TJUE de 24/11/2011, asunto C-70/10, entre otras, en la que consideró que las direcciones IP son datos protegidos de carácter personal, incluso cuando se trata de direcciones IP dinámicas.
- Respecto del caso analizado, la AEPD establece que, a partir de los logs, la identificación se produce por parte de la empresa de seguridad, con lo que queda claro que se cumplen las premisas para que se aplique el concepto de dato personal, pues es independiente el número de personas que puedan identificar al sujeto de la consideración de información personal.
- “Todos los logs, incluyendo aquellos generados y almacenados en los que no interviene el titular-usuarios, sea operado por empleados de [la sancionada] en procesos en que no interactúe el titular, sea en operaciones técnicas de carácter interno que revelan información sobre la eficacia y funcionamiento, al tratarse de la alarma instalada en su vivienda, ligada al contrato de prestación de servicios suscrito, establecen una conexión entre el objeto (la alarma) y el afectado, puesto que la alarma está identificada con un identificador único (una numeración específica para cada dispositivo de alarma) para ese servicio que liga indefectiblemente al interesado con el dispositivo y todo lo que se genera y registra en relación con el mismo.”
Así pues, es para la AEPD irrelevante el hecho de que el tratamiento del identificador no implique la intervención de una persona, mientras lo que se esté tratando sea un identificador que, por su propia naturaleza, permite vincular un hecho, acción o información a una persona.
Es necesario tener en consideración este tipo de casos en que las autoridades en materia de protección de datos resuelven sobre información que a priori podría pensarse que no es de carácter personal, y en cambio sí lo es.
Son este tipo de casos los que, día a día, amoldan la normativa a la realidad cambiante de cada momento, y la forma más importante de hacerlo teniendo en cuenta el largo proceso legislativo que impide que las regulaciones sigan el ritmo del progreso tecnológico.
Sara Hervías Costa, Privacy Counsel, Legal Army