En los últimos días la Agencia Española de Protección de Datos (AEPD) ha analizado en un informe el uso del reconocimiento facial en los sistemas de videovigilancia que se instalan por parte de las empresas de seguridad privada.
Dicho informe responde a una consulta realizada por el sector de la seguridad privada en el que se plantean dos cuestiones: 1ª) La posible exclusión de las actividades de seguridad privada del ámbito de aplicación del Reglamento General de Protección de Datos (RGPD), al tratarse de actividades subordinadas a la seguridad pública; y 2ª) La licitud de la incorporación de sistemas de reconocimiento facial en los servicios de videovigilancia.
¿Se consideran excluidas las actividades de seguridad privada del ámbito de aplicación del RGPD?
La primera cuestión sobre la exclusión o no de las actividades de seguridad privada del RGPD, al poderse encuadrar en el art. 2.2 letra d) del RGPD (según plantea la entidad consultante), lo deja resuelto la AEPD afirmando que los tratamientos de datos personales que lleven a cabo las empresas de seguridad, al igual que despachos de detectives y personal de la seguridad privada, como colaboradores de las Fuerzas y Cuerpos de Seguridad, quedan sujetos a lo dispuesto en el RGPD, y para ello, entre otros argumentos, se basa en el art. 22 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que al regular los tratamientos con fines de videovigilancia, señala en su apartado 6 que “el tratamiento de lo datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirán por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por el RGPD y la presente ley orgánica.” Por el contrario, los tratamientos que realicen las empresas y personal de seguridad quedan sujetos a lo dispuesto en el citado precepto y, por lo tanto, enmarcados en la LOPDGDD y el RGPD.
¿Es lícita la incorporación de sistemas de reconocimiento facial en los servicios de videovigilancia?
Sobre la segunda cuestión que planteaba la consulta, referida a la licitud de la incorporación de funcionalidades de reconocimiento facial en los sistemas de videovigilancia empleados en seguridad privada, la AEPD recuerda que estamos ante el tratamiento de datos biométricos, considerados por el art. 9 del RGPD como incluidos en las categorías especiales de datos, por lo que habrá de concurrir para su tratamiento alguna de las circunstancias contempladas en el apartado 2 del art. 9 para que se levante la prohibición de tratamiento de dichos datos, establecida con carácter general en su apartado 1.
A la vista de este requerimiento, solo se podría considerar inicialmente de aplicación al caso la circunstancia prevista en la letra g) del apartado 2 de dicho art. 9, que considera que este tipo de datos podría ser susceptible de tratamiento cuando “…sea necesario por razones de interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.” Por lo tanto, afirma la AEPD que el tratamiento de datos biométricos al amparo del artículo 9.2.g) requiere: 1) En primer lugar, que estemos claramente ante un tratamiento “necesario por razones de interés público esencial” lo que no parece probable que se de con carácter general en el ámbito de la seguridad privada; y 2) En segundo lugar, que esté previsto en una norma de derecho europeo o nacional, debiendo tener dicha norma rango de ley. Dicha ley deberá, además especificar el interés público esencial que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse. Y dicha ley deberá establecer, además, las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos. Por último, dicha ley deberá respetar en todo caso el principio de proporcionalidad.
Ante esta exigencia de contar con una norma jurídica con rango de ley que legitime y regule el tratamiento de datos biométricos en los sistemas de videovigilancia, lo cierto es que los tratamientos de videovigilancia regulados en la LOPDGDD y en la Ley de Seguridad Privada (LSP), se refieren exclusivamente a los tratamientos dirigidos a captar y grabar imágenes y sonidos, pero no incluyen los tratamientos de reconocimiento facial. Por lo tanto, en la actualidad no existe tal norma jurídica que ampararía ese tratamiento de categorías especiales de datos y en caso de que en un futuro existiera, debería justificar el cumplimiento, en el tratamiento autorizado, del principio de proporcionalidad, y superar el juicio de necesidad, en el sentido de que no exista otra medida más moderada con la que se consiguiera el mismo propósito con igual eficacia.
Con todo ello, la AEPD rechaza que la legitimación reconocida para los sistemas de videovigilancia que sólo captan y graban imágenes y sonidos pueda abarcar otras tecnologías mucho más intrusivas para la privacidad como el reconocimiento facial u otras medidas biométricas, ya que carece de base jurídica y sería desproporcionada, dada la intrusión y los riesgos que supone para los derechos fundamentales de los ciudadanos.
Si está interesado en obtener más información sobre este tema póngase en contacto con nosotros aquí o llamándonos a los teléfonos 957 239 347 y 619 414 937.
Autor: Federico Rodríguez Ardila. Abogado. Delegado de Protección de Datos con nº de certificación ES2011226 del CEPER según el Esquema de la AEPD.