A lo largo de estas últimas semanas estamos viendo cómo muchas empresas van volviendo poco a poco a su rutina, y adaptando sus espacios a esta “nueva normalidad”, que está provocando importantes cambios en nuestra manera de comunicarnos y relacionarnos en nuestro día a día. Es en esta nueva realidad donde estamos asistiendo a una importante aceleración en la implantación de nuevas tecnologías en la lucha contra la Covid-19: cámaras termográficas, uso de drones, tecnologías que permiten el conteo de personas para controlar el distanciamiento social y de aforo, sistemas de certificación de salud mediante códigos QR, controles de acceso para detección de equipos de protección y mascarillas entre otras constituyen el nuevo escenario en la transición a esta “nueva normalidad”.
Pues bien, entre todas estas soluciones tecnológicas están irrumpiendo con mucha fuerza las técnicas de reconocimiento facial que multitud de empresas de seguridad privada están ofertando en sus catálogos de productos y servicios. Estos sistemas cuentan con la ventaja de que se pueden integrar en los terminales de control horario y de accesos de las empresas e incluso en los propios sistemas de videovigilancia, y es precisamente en estos últimos donde se han suscitado muchas dudas en cuanto su uso y licitud en lo que a protección de datos se refiere.
Recientemente, el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) ha venido a publicar un informe en el que resuelve algunas cuestiones en relación con los sistemas de reconocimiento facial integrados en sistemas de videovigilancia, empleados en la seguridad privada al amparo del art. 42 de la Ley de Seguridad Privada (en adelante LSP), que a juicio de la consultante estaría permitido por el artículo 9.2.g) del Reglamento Europeo de Protección de Datos, (en adelante RGPD) siendo suficiente a estos efectos que el usuario del servicio de seguridad sea titular del espacio a protegerse por la empresa de seguridad y que se trate de un dispositivo homologado por el Ministerio del interior.
Pues bien, para poder entender las conclusiones a las que llega la AEPD y que difieren radicalmente de las alegadas por la consultante debemos hacernos una serie de preguntas:
¿El empleo de tecnologías de reconocimiento facial en los sistemas de videovigilancia implica el tratamiento de datos biométricos?
El artículo 4.14 del RGPD, lo define como “datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos” y supone el tratamiento de categorías especiales de datos reguladas en el artículo 9 del RGPD, al tratarse de “datos biométricos dirigidos a identificar de manera univoca a una persona física”.
Por consiguiente, el empleo de tecnologías de reconocimiento facial en los sistemas de videovigilancia SI que implicaría el tratamiento de datos biométricos.
Ahora bien ¿debemos considerar todos los datos biométricos como categorías especiales de datos?
Al objeto de aclarar dudas interpretativas con respecto al objeto de consideración de los datos biométricos como categorías especiales de datos procede traer a colación lo ya indicado por esta agencia en el Informe 36/2020 relativo al tratamiento de datos biométricos por los sistemas de reconocimiento facial en los procesos de evaluación online. Este informe acude a la distinción entre identificación biométrica y verificación/autentificación biométrica que estableció ya en su día el grupo de trabajo del artículo 29 en su Dictamen 3/2012 sobre evolución de las tecnologías biométricas y que ha sido objeto de estudio en anteriores capítulos de este blog.
En el presente caso, la AEPD considera que es indudable que la utilización de reconocimiento facial en los sistemas de videovigilancia empleados en el ámbito de la seguridad privada implicaría el tratamiento de un dato biométrico dirigido a identificar de una manera unívoca a una persona física, en un proceso de búsqueda de correspondencias uno-a-varios, constituyendo el tratamiento una categoría especial de datos cuyo tratamiento, en principio, se encuentra prohibido por el artículo 9.1. del RGPD.
Entonces, ¿Pueden las empresas incorporar sistemas de reconocimiento facial en los sistemas de videovigilancia?
El artículo 22 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales (en adelante LOPDGDD) regula el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones, regulación que debe completarse con lo dispuesto en su normativa específica, regulado en la Ley 5/2014, de 4 de abril, de Seguridad Privada (en adelante LSP). en su artículo 42.
Como puede observarse, los tratamientos de videovigilancia regulados en la LOPDGDD y en la LSP, se refieren exclusivamente a los tratamientos dirigidos a captar y grabar imágenes y sonidos, pero no incluyen los tratamientos de reconocimiento facial.
Por consiguiente, no puede admitirse, tal y como pretende la consulta, que la legitimación reconocida para los sistemas de videovigilancia, dirigida solo a la captación y grabación de la imagen y el sonido, abarque otras tecnologías mucho más intrusivas para la privacidad como pueda ser el reconocimiento facial u otras medidas biométricas, tales como el reconocimiento de la forma de andar o el reconocimiento de voz.
Así pues, para que sea lícito el tratamiento de los datos biométricos por los sistemas de reconocimiento facial integrado en un sistema de videovigilancia, debe concurrir alguna de las excepciones que levanten la prohibición de su tratamiento, conforme al apartado 2 del artículo 9 del RGPD.
La instalación de los sistemas de videovigilancia con fines de seguridad, que captan y graban imágenes y sonidos, podría ampararse en el interés público, tal y como se plantea en la consulta realizada a la Agencia. No obstante, si se tratan categorías especiales de datos, como en el caso de la utilización de tecnologías de reconocimiento facial, la normativa requiere que exista un “interés público esencial” para que pueda ser legítimo, profundizando así en la importancia y necesidad de mayor protección de los datos tratados.
A este respecto, el consultante considera que resultaría de aplicación al ámbito sectorial de la Seguridad Privada, en relación al tratamiento de categorías especiales de datos personales, la excepción del artículo 9.2 g) del RGPD por razones de interés público esencial, amparándose en la normativa de seguridad privada dentro del derecho interno de España.
Sin embargo, dicha afirmación no puede compartirse por esta Agencia al no existir el imprescindible amparo legal, en los términos exigidos por el artículo 9.2.g) del RGPD y por la doctrina constitucional.
¿Qué implica el “interés público esencial” como base de legitimación?
El tratamiento de datos biométricos al amparo del artículo 9.2.g) requiere que esté previsto en una norma de derecho europeo o nacional, debiendo tener en este último caso dicha norma, según la doctrina constitucional citada y lo previsto en el artículo 9.2 de la LOPDGDD, rango de ley. Dicha ley deberá, además especificar el interés público esencial que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse, estableciendo las reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, sin que sea suficiente, a estos efectos, la invocación genérica de un interés público.
Asimismo, la ley que se apruebe deberá establecer las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos. Para ello deberá respetar en todo caso el principio de proporcionalidad, tal y como recuerda a estos efectos la Sentencia del Tribunal Constitucional 14/2003, de 28 de enero y superar el juicio de necesidad, en el sentido de que no exista otra medida más moderada con la que se consiguiera el mismo propósito con igual eficacia.
La existencia de otras medidas que permiten la protección de las personas, bienes e instalaciones con una menor intrusión en el derecho de los afectados, exigiría una especial justificación de la necesidad de optar por el reconocimiento facial frente a otras medidas, estableciendo asimismo garantías reforzadas.
¿Existe alguna excepción para que las empresas de seguridad privada puedan utilizar sistemas de reconocimiento facial?
La AEPD considera que existen supuestos excepcionales en los que podría quedar justificado el empleo de sistemas de reconocimiento facial como podría ser el caso de las infraestructuras críticas, entendiendo por tales, conforme a la Ley 8/2011, de 28 de abril, aquéllas cuyo “funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. En este caso, la adecuada protección de las mismas tiene por finalidad garantizar la seguridad de los ciudadanos y el correcto funcionamiento de los servicios esenciales, por lo que la autorización por el legislador del empleo de técnicas de reconocimiento facial, estableciendo las garantías adecuadas, podría considerarse proporcional.
Sin embargo, la autorización, con carácter general, del empleo de sistemas de reconocimiento facial en los sistemas de videovigilancia empleados por la seguridad privada, tal y como se plantea en la consulta, sería considerada, por esta Agencia, como desproporcionada, dada la intrusión y los riesgos que supone para los derechos fundamentales de los ciudadanos.
En definitiva, a día de hoy, el marco normativo español vigente resulta insuficiente, para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por personal de seguridad privada, al no cumplir los requisitos anteriormente señalados, siendo necesario que se aprobara una norma con rango de ley que lo justificara, en base a lo dispuesto en el RGPD y en la propia LOPDGD.
