Despachos de detectives privados

TRATAMIENTO DE DATOS PERSONALES EN EL EJERCICIO DE LA ACTIVIDAD DE DETECTIVE PRIVADO

1. RESPONSABILIDAD DEL TRATAMIENTO

En el ejercicio de su actividad los despachos de detectives privados actúan, por regla general, como responsable y no como encargado del tratamiento.

Aunque quien le contrate sea una persona jurídica o autónomo/a (abogado, empresa, asociación, etc.) y no una persona física y exista un contrato de prestación de servicios con dicha entidad, al igual que los abogados, los procuradores o los auditores, los despachos de detectives ejercen una profesión regulada que les impone obligaciones propias (Ley 5/2014 de Seguridad Privada). Esta independencia es incompatible con la figura del encargado, que debe actuar siguiendo instrucciones documentadas del responsable.

Normalmente el detective privado:

• Actúa bajo su propia habilitación legal profesional (licencia de detective, normativa de seguridad privada).
• Decide cómo realizar la investigación (métodos, vigilancia, fuentes de información, herramientas, etc.).
• Determina qué datos personales recoger para cumplir la investigación.
• Tiene autonomía técnica y profesional.

Aunque en la práctica de la investigación privada este escenario es casi inexistente, si el detective se limitara a tratar datos proporcionados por la entidad que le contrata (ej. "analiza estos logs que ya tengo"), sin realizar investigaciones que impliquen más tratamientos ni toma de decisiones sobre nuevos datos, se consideraría que está llevando a cabo un encargo siguiendo instrucciones del responsable y por tanto asumiría la condición de encargado del tratamiento, teniendo en ese caso que cumplir con todas las obligaciones del art. 28 RGPD, entre otras la de suscribir un contrato de encargo con el responsable (art. 28.3 RGPD).

2. PRINCIPIOS RELATIVOS AL TRATAMIENTO

Como para cualquier tratamiento de datos personales, los llevados a cabo por el detective privado en el ejercicio de su actividad profesional deben cumplir con los principios relativos al tratamiento regulados en el art. 5 RGPD:

a) Principio de licitud, lealtad y transparencia (art. 5.1.a): los datos personales deben ser tratados de manera lícita, leal y transparente en relación con el interesado.

• Información sobre el tratamiento
  • Se debe facilitar a los clientes la información exigida por el art. 13 RGPD.
  • No hay obligación de facilitar la información exigida por el art. 14 RGPD a la persona investigada cuando ello pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento, en este caso la investigación privada (art. 14.5.b RGPD).
• Legitimación
  • Las bases jurídicas que legitiman el tratamiento de datos personales generalmente serán:
    • Para los clientes, que el tratamiento es necesario para:

• • • La relación contractual que supone la prestación de los servicios (art. 6.1.b RGPD).
    • El cumplimiento de las obligaciones legales impuestas el detective o al despacho (art. 6.1.c RGPD).

• • Para los investigados, que el tratamiento es necesario para:
    • La satisfacción de intereses legítimos perseguidos por el cliente.

• Levantamiento de la prohibición del tratamiento de datos de categoría especial (art. 9 RGPD)
  • Art. 9.2.f) RGPD: la más habitual en estos casos puede ser que el tratamiento es necesario para la formulación, ejercicio o defensa de reclamaciones.
  • Art. 9.2.e) RGPD: menos frecuente podría ser cuando los datos han sido hechos manifiestamente públicos por el propio interesado.

b) Principio de limitación de la finalidad (art. 5.1.b): los datos personales deben ser recogidos con fines determinados, explícitos y legítimos; deben determinarse en el momento de su recogida y no serán tratados ulteriormente de manera incompatible con dichos fines, el tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales.

Ejemplo de finalidades:

• Las investigaciones que resulten necesarias para la obtención y aportación de información y pruebas sobre conductas o hechos privados relacionados con el objeto y finalidad del servicio contratado.
• La gestión administrativa de los servicios.
• Facturación, contabilización y declaración tributaria de los servicios, así como cumplimiento de las obligaciones legales impuestas por la Ley 5/2014, de 4 de abril, de Seguridad Privada.
• Etc.

c) Principio de minimización de datos (art. 5.1.c): los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, es decir generalmente la prestación del servicio y obligaciones legales del detective. Los datos personales no se deben tratar si lo que se pretende pudiera lograrse razonablemente por otros medios.

d) Principio de exactitud (art. 5.1.d): los datos personales deben ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

e) Principio de limitación del plazo de conservación (art. 5.1.e): los datos personales deben ser conservados de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento para los que fueron recabados; podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el RGPD a fin de proteger los derechos y libertades del interesado. Se debe garantizar que se limite a un mínimo estricto su plazo de conservación. Para garantizar no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.

Los informes de investigación deberán conservarse archivados, al menos, durante tres años, sin perjuicio de lo dispuesto en el artículo 5.1e) del RGPD. Las imágenes y los sonidos grabados durante las investigaciones se destruirán tres años después de su finalización, salvo que estén relacionadas con un procedimiento judicial, una investigación policial o un procedimiento sancionador. En todo caso, el tratamiento de dichas imágenes y sonidos deberá observar lo establecido en el RGPD y la LOPDGDD (art. 49.4 Ley 5/2014).

f) Principio de integridad y confidencialidad (art. 5.1.f): los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Incluso impidiendo el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

Las investigaciones privadas tendrán carácter reservado y los datos obtenidos a través de las mismas solo se podrán poner a disposición del cliente o, en su caso, de los órganos judiciales y policiales, en este último supuesto únicamente para una investigación policial o para un procedimiento sancionador, conforme a lo dispuesto en el art. 25 Ley 5/2014 (art. 49.5 Ley 5/2014).

g) Principio de responsabilidad proactiva (art. 5.2): no solo se debe cumplir con los principios anteriormente relacionados, sino que además se debe de ser capaz de demostrarlo.

3. DESIGNACIÓN DE UN DELEGADO DE PROTECCIÓN DE DATOS

El artículo 34.1.ñ) de la LOPDGDD establece la obligación, sin necesidad de recurrir a los criterios del art. 37.1 RGPD, de designar un DPD a las empresas de seguridad privada.

La Ley 5/2014, de 4 de abril, de Seguridad Privada, distingue en su:

• Art. 2:

7. Empresa de seguridad privada: las personas físicas o jurídicas, privadas, autorizadas o sometidas al régimen de declaración responsable, para prestar servicios de seguridad privada.

11. Despachos de detectives privados: las oficinas constituidas por uno o más detectives privados que prestan servicios de investigación privada.

• Título II:
  • Capítulo I: Empresas de seguridad privada
  • Capítulo II: Despachos de detectives privados

Además, el art. 17 establece las actividades que pueden realizar las empresas de seguridad privada, excluyendo la actividad de investigación privada prevista en el art. 5.1.h) que queda reservada a los despachos de detectives privados.

Por tanto, podemos concluir que los despachos de detectives privados no son empresas de seguridad privada y como tal no tendrían obligación de designar un DPD en base al art. 34.1.ñ) LOPDGDD.

En el hipotético y poco probable caso de un despacho de detectives muy grande que monitorice a muchísimas personas de forma constante, sí podría estar obligado a designar DPD, pero por otra vía distinta, que sería en base al art. 37.1.b) RGPD, es decir, que su actividad implique operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.