El uso de sistemas de reconocimiento facial siempre ha generado gran inquietud y, en muchos casos, un poco de miedo. Lo cierto es que su uso se está propagando. No solo por avances tecnológicos, sino que el propio Covid-19 ha reimpulsado su uso en muchos ámbitos. Hace unas semanas comentábamos su uso en exámenes online.

Dejando el drama a un lado, cuando pensamos en el reconocimiento facial normalmente lo asociamos con seguridad. Pero la seguridad, siendo fundamental en el día a día, no lo justifica todo. El reconocimiento facial afecta directamente al derecho a la protección de datos y, en muchos casos, a la intimidad de las personas.

Centrándonos en el primero de los derechos fundamentales, la semana pasada la AEPD publicó un nuevo Informe en el que da respuesta a diversas cuestiones planteadas en relación con el uso de sistemas de reconocimiento facial por las empresas de seguridad privada (el “Informe“). El Informe se apoya, en gran medida, en su homónimo en el ámbito de exámenes online.

En el Informe se resuelven dos cuestiones: (i) si aplica el RGPD a la seguridad privada como actividad subordinada a la seguridad pública; y (ii) la licitud de la incorporación de sistemas de reconocimiento facial en los servicios de videovigilancia.

¿Se excluyen del RGPD las actividades de seguridad privada como actividades subordinadas a la seguridad pública?

Las actividades de seguridad privada, bajo la Ley de Seguridad Privada, no quedan excluidas del ámbito de aplicación del RGPD en los términos previstos en su artículo 2.2 (d).

Si bien se reconoce su carácter complementario y su subordinación a las Fuerzas y Cuerpos de Seguridad, la AEPD aclara que, en línea con el artículo 22 LOPDGDD, “los tratamientos de datos personales que lleven a cabo las empresas de seguridad, despachos de detectives privados y personal de seguridad privada, incluida la comunicación de datos a las Fuerzas y Cuerpos de Seguridad en cumplimiento de la obligación legal establecida en el artículo 14.2 de la Ley de Seguridad Privada, no están incluidos en el ámbito de aplicación de la Directiva 2016/680, quedando sujetos a lo dispuesto en el RGPD”.

¿Es lícito incorporar funcionalidades de reconocimiento facial en los sistemas de videovigilancia empleados en seguridad privada?

Sin perjuicio de que tanto la AEPD –en el informe sobre su uso en exámenes online al que ya nos hemos referido– como el CEPD –en su Guía 3/2019– se han pronunciado recientemente sobre el reconocimiento facial, el tratamiento de datos biométricos y la videovigilancia; el Informe analiza con detalle este marco específico. Del mismo, destacamos lo siguiente:

  • El empleo de tecnologías de reconocimiento facial en los sistemas de videovigilancia implica el tratamiento de datos biométricos; y supone el tratamiento de categorías especiales de datos relativos a las características físicas, fisiológicas o conductuales de una persona física dirigidos a identificar de manera unívoca a una persona física, en un proceso de búsqueda de correspondencias uno-a-varios*. Es decir, en principio es un tratamiento prohibido bajo el artículo 9 RGPD.
  • De este modo, el tratamiento objeto de análisis requiere de alguna de las excepciones del artículo 9.2 RGPD.

En particular, dicho tratamiento no podrá ampararse en la excepción prevista en el apartado g) del citado artículo (i.e. razones de interés público esencial) ya que no existe en nuestro ordenamiento amparo legal que reúna todos los requisitos necesarios, a saber: (i) que especifique el interés público esencial que justifica la restricción del derecho a la protección de datos y en qué circunstancias puede limitarse; (ii) que establezca las reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias; (iii) establezca las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos; y que (iv) respete en todo caso el principio de proporcionalidad (constatado mediante la superación del triple juicio de idoneidad-necesidad-proporcionalidad en sentido estricto).

  • Al ir más allá de la captación y grabación de imágenes y sonidos –que no cubre el reconocimiento facial ni implica el tratamiento de categorías especiales de datos per sey abarcar tecnologías más intrusivas, el tratamiento objeto de análisis no se encuentra subsumido en los tratamientos de videovigilancia regulados en el artículo 22 LOPDGDD (y que se legitiman vía artículo 6.1.e) RGPD –i.e. misión realizada en interés público) y en el artículo 42 de la Ley de Seguridad Privada.
  • De tramitarse una norma al respecto, ésta deberá ser informada preceptivamente por la AEPD. En relación con este punto, y salvo determinados supuestos excepcionales en los que quede justificado, la AEPD vaticina que, con carácter general**, el empleo de técnicas de reconocimiento facial en los sistemas de videovigilancia empleados por la seguridad privada resultará desproporcionado en atención a la intrusión y riesgos que supone para los derechos fundamentales de los ciudadanos.

La incorporación de aplicaciones o técnicas de reconocimiento facial a sistemas de videovigilancia presenta numerosos riesgos para los derechos y libertades de las personas físicas. En este punto, la AEPD rememora el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29, y resalta los siguientes riesgos:Dichos riesgos no pueden obviarse y harán que, en cualquier caso, estos tratamientos requieran necesariamente la realización de una EIPD con carácter previo a su implementación (si es que verdaderamente pueden emplearse).

 


*A diferencia de los tratamientos de verificación o autenticación biométrica donde la búsqueda de correspondencias es uno-a-uno. Esta distinción es de capital importancia a la hora de valorar si el tratamiento versa o no sobre categorías especiales de datos.

**Como especifica la AEPD, podría tener sentido en supuestos como en el caso de infraestructuras críticas de la Ley 8/2011.