La imagen de una persona en la medida que identifique o pueda identificar a la misma constituye un dato de carácter personal, que puede ser objeto de tratamiento para diversas finalidades. Si bien es cierto que la utilización más común de las cámaras de seguridad es con la finalidad de garantizar la seguridad de personas, bienes e instalaciones, también pueden usarse con otros fines, como la investigación, la asistencia sanitaria o el control de la prestación laboral por los trabajadores.

Centrándonos, en este caso, en el tratamiento de imágenes con fines de seguridad a través de los distintos sistemas de captación existentes, analizaremos la legitimación para utilizar dichos sistemas de captación, los principios de limitación de la finalidad, la minimización del uso de los datos y las actuaciones que deben llevarse a cabo para que estos tratamientos se ajusten al contenido de la vigente normativa en materia de protección de datos de carácter personal.

El Reglamento General de Protección de Datos (RGPD) establece en el artículo seis, varios supuestos que legitiman el tratamiento de datos de carácter personal, entre los que, en este caso, el interés público será el que legitime el tratamiento de las imágenes captadas con el fin de garantizar la seguridad de las personas, bienes o instalaciones.

Teniendo en cuenta que, los datos personales serán recogidos con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con dichos fines, los datos que sean objeto de tratamiento a través de la videovigilancia serán tratados para la finalidad que ha motivado la instalación de la misma y que está vinculada a garantizar la seguridad de las personas, bienes e instalaciones.

Otro de los principios que recoge el RGPD es el principio de minimización de datos, de forma que los datos objeto de tratamiento deberán ser adecuados, pertinentes y limitados en relación con los fines para los que son tratados. Del mismo modo, este principio se proyecta a través del número y tipo de cámaras que se pretendan utilizar.

Por último, el RGPD establece un catálogo de medidas de seguridad y protección que deberán aplicarse para garantizar que los tratamientos llevados a cabo son conformes a la norma europea, como son: la designación de un Delegado de Protección de Datos, llevar a cabo los Registros de actividades de tratamiento que correspondan, un Análisis de riesgo, cuando proceda realizar las evaluación de impacto y, en definitiva, implantar una política de privacidad desde el diseño y por defecto.