La Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) define dato de carácter personal como: «cualquier información concerniente a una persona física identificada o identificable», ampliándose este concepto en el Real Decreto 1332/1994, de 20 de junio, dónde por dato personal se entiende «toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable».
Por tanto, para hablar de dato personal se requiere la concurrencia de un doble elemento: por una parte, la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física.
Por ejemplo, en el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos o palabras que, generalmente, decide su titular.
En este sentido, cuando para seleccionar la dirección electrónica se combina el nombre de la persona o algún otro dato de carácter identificativo, esta circunstancia permite la vinculación directa o indirecta de la dirección de correo electrónico con una persona física, convirtiendo la dirección electrónica en un dato de carácter personal. Por el contrario, si esta vinculación no es posible, por ejemplo, porque se elige una combinación que no contenga significado alguno, la dirección electrónica no puede considerarse como un dato de carácter personal.
Otra cuestión que ha causado gran polémica en los últimos tiempos es la relacionada con la consideración o no de los datos biométricos como de carácter personal. Dichos datos, como por ejemplo, las huellas digitales, el iris del ojo o la voz, una vez procesados, permiten identificar a una persona.
Sin embargo, a priori, la información contenida en los datos biométricos no reúne ningún aspecto concreto de la personalidad y, por tanto, no puede ser considerada como un dato de carácter personal. Únicamente, cuando dicha información se vincula a la identidad de una persona, es posible identificarla con toda certeza y, en consecuencia, ser considerada como dato de carácter personal.
Por otra parte, las cámaras de video vigilancia a través de las que se obtienen imágenes y sonidos, se instalan cada vez con mayor frecuencia en centros de trabajo con el fin de garantizar la seguridad y controlar la actividad y productividad de los empleados.
Para determinar si dichas imágenes y sonidos obtenidos en los lugares de trabajo, a través de sistemas de registro tales como la instalación de cámaras, se encuentran sometidas a la LOPD, es preciso analizar dos extremos:
Por una parte, se plantea el problema de si dichas imágenes y sonidos pueden ser consideradas como datos de carácter personal, de conformidad con lo establecido en la LOPD. A tal efecto, y con carácter general, los artículos 1 y 2 de la citada Ley, extienden su protección a los derechos fundamentales de las personas físicas en lo que se refiere al tratamiento de sus datos de carácter personal.
Por otra parte, y aún cuando estemos ante datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero definido éste en el artículo 3.b) de la LOPD como » todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso» .
Por tanto, teniendo en cuenta las anteriores premisas, podemos concluir que las imágenes captadas, sólo podrán ser consideradas datos de carácter personal cuando las mismas permitan identificar a las personas físicas que aparecen en dichas imágenes, no siendo de aplicación la LOPD en caso contrario.
Por ello, en el supuesto de captación de imágenes en los lugares de trabajo dónde los empleados desempeñan su puesto, sí es habitual que se produzca la identificación de dichos trabajadores o, incluso, de terceras personas ajenas a la empresa que también acceden a los lugares de trabajo donde están instaladas las cámaras para prestar un servicio a la empresa.
En consecuencia, para poder llevar a cabo el tratamiento del dato de la imagen del empleado a través de cámaras de video vigilancia, es preciso que la empresa responsable envíe a cada empleado y/o cualquier tercero ajeno a la empresa cuya imagen sean objeto de tratamiento, una comunicación informativa solicitando su consentimiento inequívoco para ello.
Asimismo, muy relacionado con lo anterior, es la recogida del dato relativo a la fotografía del empleado, bien mediante documentos que se obtienen del trabajador durante su vida laboral, o a través de la publicación de la imagen del trabajador en la Intranet de la empresa. En ambos casos estamos, con toda claridad, ante un dato de carácter personal cuya recogida, tratamiento y cesión a terceros debe llevarse a cabo cumpliendo con los principios de la protección de datos.
Además, el hecho de que la información que figura en la Intranet de la empresa esté visible y a disposición del resto de empleados que tienen acceso a la misma, hace que la publicación de la fotografía en este medio, se convierta en una cesión o comunicación de datos en los términos de la LOPD , y que la empresa esté obligada a obtener, de forma previa a la publicación de la fotografía, el consentimiento de cada uno de sus empleados.
Por último, en el caso de las fotografías en papel, igual que cualquier otro dato de carácter personal incluido en un fichero manual, quedará dentro del ámbito de aplicación de la LOPD , cuando dicha información se encuentre contenida en un archivo estructurado, según criterios específicos relativos a las personas, a fin de que se puedan acceder fácilmente a los datos de carácter personal que se traten.