Las claves del reconocimiento facial en la videovigilancia

Carlos Berlanga de la Pascua. Director de seguridad y abogado 

Los sistemas de reconocimiento facial, ampliamente conocidos en otros países, están irrumpiendo en el mercado español y, con ellos, se empiezan a suscitar dudas en cuanto a su uso y limitaciones en relación con las garantías relativas a la protección de datos.

reconocimiento facial videovigilancia
Carlos Berlanga de la Pascua.

Recientemente, el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) se ha visto obligado a resolver algunas cuestiones en relación con los sistemas de reconocimiento facial integrados en sistemas de videovigilancia, llegando a algunas conclusiones inequívocas con el actual marco normativo.

¿Está sujeta la videovigilancia a la normativa de Protección de Datos?

Sí. Aunque la principal cuestión es determinar si la seguridad privada, como auxiliar de la seguridad pública, pudiera estar sujeta a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y, en consecuencia, exenta de la aplicación del Reglamento Europeo de Protección de datos (RGPD).

La respuesta es clara y evidente, la seguridad privada está sujeta a la normativa de protección de datos sin exención alguna, ya que la Directiva 2016/680 está destinada, exclusivamente, a las autoridades competentes.

Sin perjuicio de que las grabaciones realizadas por los sistemas de videovigilancia, cuando las mismas se encuentren relacionadas con hechos delictivos o que afecten a la seguridad ciudadana, se aportarán, de propia iniciativa o a su requerimiento, a las Fuerzas y Cuerpos de Seguridad competentes, respetando los criterios de conservación y custodia de las mismas para su válida aportación como evidencia o prueba en investigaciones policiales o judiciales, según se dispone en el artículo 42.4 de la Ley 5/2014, de 4 de abril, de Seguridad Privada (LSP).

Además, se establece en la misma norma que la monitorización, grabación, tratamiento y registro de imágenes y sonidos por parte de los sistemas de videovigilancia estará sometida a lo previsto en la normativa en materia de protección de datos de carácter personal, y especialmente a los principios de proporcionalidad, idoneidad e intervención mínima.

Este criterio lo viene a corroborar la propia Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que al regular en el artículo 22 los tratamientos con fines de videovigilancia, señala en su apartado 6 que:

El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgánica”.

Por tanto, los tratamientos que realicen las empresas y personal de seguridad quedan sujetos a lo dispuesto en la LOPDGDD y en la legislación sectorial, sin que puedan acogerse a las excepciones contempladas para las autoridades públicas a las que se refiere la Directiva (UE) 2016/680.

¿Los sistemas de reconocimiento facial son también sistemas de videovigilancia?

No. El reconocimiento facial es un dato de carácter biométrico que identifica, de manera inequívoca, a una persona, por tanto, es un dato de categoría especial y no un dato de carácter personal ordinario.

Los sistemas de videovigilancia son, por definición, una estructura de captación de imágenes, e incluso sonido, en un espacio concreto, cuyas imágenes puedan ser visualizadas, grabadas y/o reproducidas, sin que pueda por sí mismo revelar la identidad de las personas.

Debe recordarse que la LOPDGDD (ex art. 9) se limita a remitirse al RGPD para calificar aquellos datos que se consideran “de categoría especial”.

Por su parte, el RGPD (ex art. 9.1) considera los datos biométricos, expresamente, como dato de categoría especial, definiéndolo como los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”, en resumen como todos los “dirigidos a identificar de manera unívoca a una persona física”.

reconocimiento facial cctv

Por otro lado, los tratamientos de videovigilancia regulados en la LOPDGDD y en la LSP, no incluyen los tratamientos de reconocimiento facial, que es un tratamiento radicalmente distinto al incorporar un dato biométrico, como recuerda el propio RGPD en su Considerando 51 al señalar que “El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física“.

En consecuencia, los sistemas de reconocimiento facial integrados en sistemas de videovigilancia implican el tratamiento de datos biométricos y, por ende, del tratamiento de categorías especiales de datos, cuya habilitación se encuentra sometida al principio de reserva de ley.

Al contrario del informe de la AEPD para los sistemas de reconocimiento facial en el ámbito educativo, donde el sistema se destina sólo a confirmar o no la identidad del alumno, el uso del reconocimiento facial en los sistemas de videovigilancia en el ámbito de la seguridad privada implicaría el tratamiento de un dato biométrico dirigido a identificar de una manera unívoca a una persona física, en un proceso de búsqueda de correspondencias uno-a-varios, constituyendo el tratamiento una categoría especial de datos cuyo tratamiento, en principio, se encuentra prohibido por el artículo 9.1. del RGPD.

¿Se podrían instalar sistemas de reconocimiento facial en sistemas de videovigilancia?

Sí. Pero sólo cuando exista una excepción legal que lo habilite.

Tal como se recoge en el artículo 9.2 de la LOPDGDD, cuando el tratamiento es necesario:

  • Por razones de un interés público esencial
  • Para fines de medicina preventiva o laboral
  • Por razones de interés público en el ámbito de la salud pública

deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad”.

Por el momento, no existe el imprescindible amparo legal, en los términos exigidos por el artículo 9.2.g) del RGPD (interés público esencial), requisito también acogido por la doctrina del Tribunal Constitucional en nuestro país.

Como recuerda la AEPD, de manera reciente, el Tribunal Constitucional, en su Sentencia núm.: 76/2019, de 22 mayo, a colación del tratamiento de datos para usos electorales, dispone que “El tratamiento de las categorías especiales de datos personales es uno de los ámbitos en los que de manera expresa el Reglamento General de Protección de Datos ha reconocido a los Estados miembros “margen de maniobra” a la hora de “especificar sus normas“, tal como lo califica su considerando 10.

Este margen de configuración legislativa se extiende tanto a la determinación de las causas habilitantes para el tratamiento de datos personales especialmente protegidos -es decir, a la identificación de los fines de interés público esencial y la apreciación de la proporcionalidad del tratamiento al fin perseguido, respetando en lo esencial el derecho a la protección de datos- como al establecimiento de “medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado” [art. 9.2 g) RGPD]. El Reglamento contiene, por tanto, una obligación concreta de los Estados miembros de establecer tales garantías, en el caso de que habiliten para tratar los datos personales especialmente protegidos.”

Por lo cual, el tratamiento de datos biométricos al amparo del artículo 9.2.g) requiere que esté previsto en una norma con rango de ley. Como incide la AEPD, dicha ley deberá especificar el interés público esencial que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse, estableciendo las reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, sin que sea suficiente, a estos efectos, la invocación genérica de un interés público. Además, deberá establecer las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos.

¿Existe alguna excepción legislativa para que el personal de seguridad privada pueda operar sistemas de reconocimiento facial?

Por el momento, no.

Sin embargo, la AEPD considera que, en el exclusivo supuesto de las infraestructuras críticas, podría quedar justificado el empleo de sistemas de reconocimiento facial siempre que la legislación, en los términos anteriormente señalados, así lo prevea, entendiéndose por infraestructuras críticas, de conformidad a la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, aquéllas cuyo “funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.

En estos casos, siempre que se establezcan las debidas garantías, la proporcionalidad de los sistemas de reconocimiento facial pudiera quedar debidamente justificada por el legislador, precisamente por la finalidad de garantizar la seguridad de los ciudadanos y el correcto funcionamiento de los servicios esenciales

Conclusiones

  • No puede admitirse que la legitimación y habilitación reconocida en la ley para que sean, en exclusiva, los Vigilantes de Seguridad o, en su caso, los Guardas Rurales los que operen los sistemas de videovigilancia cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados (ex art. 42 LSP), permita extenderse al manejo de datos biométricos, cuyo tratamiento está prohibido y sujeto al mencionado principio de reserva de ley.
  • La AEPD se ocupa de hacer extensivo este informe no sólo a los sistemas de reconocimiento facial, sino a todos aquellos que se le asimilen como, por ejemplo, el reconocimiento de la forma de andar o el reconocimiento de voz.
  • En definitiva, el marco normativo español vigente resulta insuficiente, a día de hoy, para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por personal de seguridad privada, al no cumplir los requisitos señalados, siendo necesario que se aprobara una norma con rango de ley que lo justificara, en base a lo dispuesto en el RGPD y en la propia LOPDGDD.
  • La AEPD termina advirtiendo que considerará desproporcionados los sistemas de reconocimiento facial que no se ajusten a la legislación específica, dada la intrusión y los riesgos que supone para los derechos fundamentales de los ciudadanos.