Despatxos de detectius privats
TRACTAMENT DE DADES PERSONALS A L'EXERCICI DE L'ACTIVITAT DE DETECTIU PRIVAT
1. RESPONSABILITAT DEL TRACTAMENT
En l'exercici de la seva activitat els despatxos de detectius privats actuen, per regla general, com a responsable i no com a encarregat del tractament.
Encara que qui el contracti sigui una persona jurídica o autònom/a (advocat, empresa, associació, etc.) i no una persona física i existeixi un contracte de prestació de serveis amb aquesta entitat, igual que els advocats, els procuradors o els auditors, els despatxos de detectius exerceixen una professió regulada que els imposa obligacions pròpies (Llei 4). Aquesta independència és incompatible amb la figura de l'encarregat, que ha d'actuar segons instruccions documentades del responsable.
Normalment el detectiu privat:
- Actua sota la seva pròpia habilitació legal professional (llicència de detectiu, normativa de seguretat privada).
- Decideix com fer la investigació (mètodes, vigilància, fonts d'informació, eines, etc.).
- Determina quins dades personals cal recollir per complir la investigació.
- Té autonomia tècnica i professional.
Tot i que en la pràctica de la investigació privada aquest escenari és gairebé inexistent, si el detectiu es limités a tractar dades proporcionades per l'entitat que el contracta (ex. "analitza aquests logs que ja tinc"), sense fer investigacions que impliquin més tractaments ni presa de decisions sobre noves dades, es consideraria que està duent a terme un encàrrec seguint les condicions del tractament, i per tant assumiria obligacions de l'art. 28 RGPD, entre d'altres la de subscriure un contracte d'encàrrec amb el responsable (art. 28.3 RGPD).
2. PRINCIPIS RELATIUS AL TRACTAMENT
Com per a qualsevol tractament de dades personals, les dutes a terme pel detectiu privat en l'exercici de la seva activitat professional han de complir els principis relatius al tractament regulats a l'art. 5 RGPD:
a) Principi de licitud, lleialtat i transparència (art. 5.1.a): les dades personals han de ser tractades de manera lícita, lleial i transparent en relació amb l'interessat.
- Informació sobre el tractament
- Cal facilitar als clients la informació que exigeix l'art. 13 RGPD.
- No hi ha cap obligació de facilitar la informació exigida per l'art. 14 RGPD a la persona investigada quan això pugui impossibilitar o obstaculitzar greument l'assoliment dels objectius de tal tractament, en aquest cas la investigació privada (art. 14.5.b RGPD).
- Cal facilitar als clients la informació que exigeix l'art. 13 RGPD.
- Legitimació
- Les bases jurídiques que legitimen el tractament de dades personals generalment seran:
- Per als clients, que el tractament és necessari per:
- Les bases jurídiques que legitimen el tractament de dades personals generalment seran:
-
-
- La relació contractual que suposa la prestació dels serveis (art. 6.1.b RGPD).
- El compliment de les obligacions legals imposades al detectiu o al despatx (art. 6.1.c RGPD).
-
-
- Per als investigats, que el tractament és necessari per:
- La satisfacció d'interessos legítims perseguits pel client.
- Per als investigats, que el tractament és necessari per:
- Aixecament de la prohibició del tractament de dades de categoria especial (art. 9 RGPD)
- Art. 9.2.f) RGPD: la més habitual en aquests casos pot ser que el tractament és necessari per a la formulació, exercici o defensa de reclamacions.
- Art. 9.2.e) RGPD: menys freqüent podria ser quan les dades han estat fetes manifestament públiques pel mateix interessat.
b) Principi de limitació de la finalitat (art. 5.1.b): Les dades personals s'han de recollir per a finalitats específiques, explícites i legítimes; aquestes finalitats s'han de determinar en el moment de la recollida i les dades no s'han de tractar posteriorment de manera incompatible amb aquestes finalitats. El tractament posterior amb finalitats d'arxivament en interès públic, finalitats de recerca científica o històrica o finalitats estadístiques no es considerarà incompatible amb les finalitats inicials..
Exemple de finalitats:
- Les investigacions que resultin necessàries per a l'obtenció i l'aportació d'informació i proves sobre conductes o fets privats relacionats amb l'objecte i la finalitat del servei contractat.
- La gestió administrativa dels serveis.
- Facturació, comptabilització i declaració tributària dels serveis, així com compliment de les obligacions legals imposades per la Llei 5/2014, del 4 d'abril, de Seguretat Privada.
- Etc.
c) Principi de minimització de dades (art. 5.1.c): les dades personals han de ser adequades, pertinents i limitades al que sigui necessari en relació amb els fins per als quals són tractats, és a dir generalment la prestació del servei i obligacions legals del detectiu. Les dades personals no s'han de tractar si allò que es pretén pogués aconseguir raonablement per altres mitjans.
d) Principi d´exactitud (art. 5.1.d): les dades personals han de ser exactes i, si cal, actualitzades; s'adoptaran totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten.
e) Principi de limitació del termini de conservació (art. 5.1.e): les dades personals han de ser conservades de manera que es permeti la identificació dels interessats durant no més temps del necessari per als fins del tractament per als quals van ser recollits; es poden conservar durant períodes més llargs sempre que es tractin exclusivament amb fins d'arxiu en interès públic, fins d'investigació científica o històrica o fins estadístiques, sens perjudici de l'aplicació de les mesures tècniques i organitzatives apropiades que imposa el RGPD a fi de protegir els drets i les llibertats de l'interessat. Cal garantir que el termini de conservació es limiti a un mínim estricte. Per garantir no es conserven més temps del necessari, el responsable del tractament ha d'establir terminis per suprimir-los o revisar-los periòdicament.
Els informes de recerca s'han de conservar arxivats, almenys, durant tres anys, sense perjudici del que disposa l'article 5.1e) del RGPD. Les imatges i els sons gravats durant les investigacions es destruiran tres anys després de la finalització, llevat que estiguin relacionades amb un procediment judicial, una investigació policial o un procediment sancionador. En tot cas, el tractament d'aquestes imatges i sons haurà d'observar el que estableix el RGPD i la LOPDGDD (art. 49.4 Llei 5/2014).
f) Principi d'integritat i confidencialitat (art. 5.1.f): les dades personals han de ser tractades de tal manera que se'n garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l'aplicació de mesures tècniques o organitzatives apropiades. Fins i tot impedint l'accés o ús no autoritzats de les dades esmentades i de l'equip utilitzat en el tractament.
Les investigacions privades tindran caràcter reservat i les dades obtingudes a través de les mateixes només es podran posar a disposició del client o, si escau, dels òrgans judicials i policials, en aquest últim supòsit únicament per a una investigació policial o per a un procediment sancionador, conforme al que disposa l'art. 25 Llei 5/2014 (art. 49.5 Llei 5/2014).
g) Principi de responsabilitat proactiva (art. 5.2): no sols s'ha de complir amb els principis anteriorment relacionats, sinó que a més a més s'ha de ser capaç de demostrar-ho.
3. DESIGNACIÓ D'UN DELEGAT DE PROTECCIÓ DE DADES
L'article 34.1.ñ) de la LOPDGDD estableix l'obligació sense necessitat de recórrer als criteris de l'art. 37.1 RGPD, de designar un DPD a les empreses de seguretat privada.
La Llei 5/2014, de 4 d'abril, de Seguretat Privada, distingeix a la seva:
- Art. 2:
7. Empresa de seguretat privada: les persones físiques o jurídiques, privades, autoritzades o sotmeses al règim de declaració responsable, per prestar serveis de seguretat privada.
11. Despatxos de detectius privats: les oficines constituïdes per un o més detectius privats que presten serveis de recerca privada.
- Títol II:
- Capítol I: Empreses de seguretat privada
- Capítol II: Despatxos de detectius privats
A més, l'art. 17 estableix les activitats que poden realitzar les empreses de seguretat privada, excloent-ne l'activitat de recerca privada prevista a l'art. 5.1.h) que queda reservada als despatxos de detectius privats.
Per tant, podem concloure que els despatxos de detectius privats no són empreses de seguretat privada i com a tal no tindrien obligació de designar un DPD sobre la base de l'art. 34.1.ñ) LOPDGDD.
En l'hipotètic i poc probable cas d'un despatx de detectius molt gran que monitoritzi moltíssimes persones de forma constant, sí que podria estar obligat a designar DPD, però per una altra via diferent, que seria sobre la base de l'art. 37.1.b) RGPD, és a dir, que la seva activitat impliqui operacions de tractament que, per la seva naturalesa, abast i/o fins, requereixin una observació habitual i sistemàtica d'interessats a gran escala.