11 de mayo de 2014

La nueva Ley de Seguridad Privada, ¿genera inseguridad jurídica?

La nueva Ley española de seguridad privada (Ley 5/2014, de 4 de abril, de Seguridad Privada), que se publicó en el BOE del pasado 5 de abril de 2014, declara que la seguridad no es solo un valor jurídico, normativo o político, que es igualmente un valor social, uno de los pilares primordiales de la sociedad -según su propio Preámbulo-, y que se encuentra en la base de la libertad y la igualdad y contribuye al desarrollo pleno de los individuos. 

De la misma y, por lo que concierne a los aspectos asociados a la seguridad informática de la información,- tenga ésta carácter personal o no-, así como a las medidas y servicios que se establezcan en torno a aquélla,  se destacan los siguientes aspectos:
En la medida que resulte pertinente en cada caso, el art. 3.1 de la Ley prevé que ésta se aplicará, entre otros, a los establecimientos obligados a disponer de medidas de seguridad, -sin distinguir, si son de seguridad informática o no-, a los usuarios de los servicios de seguridad privada y  a las empresas prestadoras de servicios de seguridad informática.
Por relación a lo que pudiera entenderse como empresa prestadora de servicios de seguridad informática, y según se infiere del art. 6.6 de dicha Ley,  parece que tal definición aludiría a las que, siendo o no de seguridad privada, se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas. Conforme a este mismo precepto, podrán imponerse reglamentariamente a éstas requisitos específicos para garantizar la calidad de los servicios que las mismas presten.
En el Registro Nacional de Seguridad Privada y autonómicos, se anotarán los datos de las empresas que realicen actividades de seguridad informática, conforme a lo descrito en el apartado anterior, y de acuerdo con lo que reglamentariamente se determine (art. 11.4 de la Ley 5/2014).
Respecto al tipo de medidas de seguridad que pueden adoptarse al amparo de esta Ley para la protección de personas y bienes, se destacan las de seguridad informática, cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida (art. 52.1 c) de la Ley 5/2014).
La tipificación de la falta de comunicación por parte de empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo como infracción muy grave (art. 57.1 r) de la Ley 5/2014), pudiendo imponerse sanciones económicas de hasta 600.000 euros.
La tipificación del incumplimiento de los requisitos impuestos a las empresas de seguridad informática como infracción grave (art. 57.2 s) de la Ley 5/2014). En estos casos, podrían imponerse sanciones económicas de hasta 30.000 euros.
Respecto, a los puntos reseñados, son diversos los interrogantes que se abren, y que debieran ser clarificados, al menos, por vía reglamentaria para evitar una posible incertidumbre o inseguridad jurídica al respecto, a saber:

a. Aunque la respuesta, a priori, pueda parecer afirmativa, sin embargo, no queda totalmente claro si, por ejemplo, una empresa o entidad pública que obligatoriamente deba aplicar/disponer en sus respectivos establecimientos de medidas de seguridad informática, -caracterizadas también como medidas de seguridad por el  propio art. 52 de la Ley 5/2014-, quedarán o no sujetas a lo dispuesto en esta Ley y, en todo caso, en qué medida le resultaría aplicable. En otras palabras, y a modo de ejemplo, ¿podría quedar sujeto a la Ley 5/2014 el titular de una infraestructura crítica ya tenga éste carácter público o privado? y, en caso afirmativo, ¿cómo le afectaría?.

b. Tal y como acertadamente ya apuntó Xavier Ribas en su reciente publicación, la nueva Ley parece contener dos definiciones de lo que se entiende por “seguridad informática” a los efectos de la misma.  Según manifiesta este autor: 

“(…) En el artículo 6.6 se define la seguridad informática como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan. (…)Por otro lado, el artículo 52.c establece que las medidas de seguridad informática tienen por objeto la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida. Dado que entre las dos definiciones se aprecian ciertas discrepancias, ya que la primera extiende la protección a los servicios, y la segunda no, mientras la segunda extiende la protección a los sistemas de comunicación y la primera no, entendemos que la definición legal de la seguridad informática debe ser la suma de las dos, y que, por lo tanto, quedará configurada de la siguiente manera: 
1. Conjunto de medidas 
2. Encaminadas a proteger y salvaguardar los sistemas de información y comunicación 3. A fin de garantizar la confidencialidad, integridad y disponibilidad 
4. De la información en ellos contenida 
5. O del servicio que dichos sistemas prestan (…)”.

Obviamente, huelga decir que esta definición debería concretarse mejor, con carácter fundamental, por vía reglamentaria.

c. Se destaca que el régimen sancionador, conforme al artículo 57 de la Ley, alude únicamente a las empresas que desarrollen actividades de seguridad privada, por lo que podría deducirse que únicamente resultarían aplicables las posibles sanciones asociadas a la comisión de las infracciones descritas en la Ley a aquéllas. Por lo tanto, partiendo de la diferenciación dispuesta en el art. 6.6 de la Ley 5/2014, entre empresas prestadoras de servicios de seguridad informática que, a su vez, sean empresas de seguridad privada o no, ¿se debería entender que dicho régimen sancionador únicamente es aplicable a las empresas de seguridad privada que también presten servicios de seguridad informática?, o en cambio, ¿resultaría aplicable a cualquier empresa prestadora de servicios de seguridad informática conforme a lo previsto en la Ley?.

Desde luego, no queda absolutamente clarificado este extremo en la legislación examinada.

d. Debería igualmente concretarse por vía normativa, en lo relativo a las infracciones que se pudieran imponer a las empresas prestadoras de servicios de seguridad informática, al menos, lo que sigue:

- Si la falta de comunicación por parte de las mismas de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo, alude a sus propios sistemas internos de protección o, en cambio, aluden y/o incluyen los sistemas bajo la titularidad de terceros que pudieran gestionar o llevar en virtud del correspondiente contrato.

- Cuáles son los específicos requisitos impuestos a las empresas de seguridad informática.

De forma adicional a lo indicado, la Ley introduce un nuevo régimen relativo a los servicios de videovigilancia, entre aquéllos que asimismo pueden prestar las empresas de seguridad privada (art. 42 de la Ley 5/2014) y que, de forma resumida, contempla lo siguiente:

Los servicios de videovigilancia consisten en el ejercicio de la vigilancia a través de sistemas de cámaras o videocámaras, fijas o móviles, capaces de captar y grabar imágenes y sonidos, incluido cualquier medio técnico o sistema que permita los mismos tratamientos que éstas.
Cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados, serán prestados necesariamente por vigilantes de seguridad.
No tendrán la consideración de servicio de videovigilancia la utilización de cámaras o videocámaras cuyo objeto principal sea la comprobación del estado de instalaciones o bienes, el control de accesos a aparcamientos y garajes, o las actividades que se desarrollan desde los centros de control y otros puntos, zonas o áreas de las autopistas de peaje. Estas funciones podrán realizarse por personal distinto del de seguridad privada.
No se podrán utilizar cámaras o videocámaras con fines de seguridad privada para tomar imágenes y sonidos de vías y espacios públicos o de acceso público salvo en los supuestos y en los términos y condiciones previstos en su normativa específica, previa autorización administrativa por el órgano competente en cada caso. Su utilización en el interior de los domicilios requerirá el consentimiento del titular.
Las cámaras de videovigilancia que formen parte de medidas de seguridad obligatorias o de sistemas de recepción, verificación y, en su caso, respuesta y transmisión de alarmas, no requerirán autorización administrativa para su instalación, empleo o utilización.
Las grabaciones realizadas por los sistemas de videovigilancia no podrán destinarse a un uso distinto del de su finalidad. Cuando las mismas se encuentren relacionadas con hechos delictivos o que afecten a la seguridad ciudadana, se aportarán, de propia iniciativa o a su requerimiento, a las Fuerzas y Cuerpos de Seguridad competentes.
La monitorización, grabación, tratamiento y registro de imágenes y sonidos por parte de los sistemas de videovigilancia estará sometida a lo previsto en la normativa en materia de protección de datos de carácter personal, y especialmente a los principios de proporcionalidad, idoneidad e intervención mínima.
Al respecto, llama la atención que no se haya aprovechado igualmente para coordinar e integrar en este régimen, -haciendo coherentes ambos dos-, el también previsto en la vigente Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio (conocida como “Ley Ómnibus”). Como ya se conoce, ésta Ley liberalizó la comercialización, entrega, instalación y mantenimiento de los dispositivos de videovigilancia, de forma que, salvo en los casos en que la instalación de un sistema de videovigilancia estuviera conectado a una central de alarma,  ya no sería necesario acudir, para su puesta en funcionamiento, a una empresa de seguridad privada debidamente registrada como tal, ni cumplir las obligaciones de notificación del contrato al Ministerio del Interior.