Fuente de la imagen: teguhjatipras en pixabay |
Parte de la tarde del jueves la pasé hojeando el informe publicado por la Agencia Española de Protección de Datos (AEPD), que ya referencié en el sitio Protección de Datos, texto “Reconocimiento facial en tiempos de la COVID-19”, en el que se analizan varias cuestiones que se le han planteado relacionadas con la seguridad privada, entre las que se encuentra la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas seguridad privada[1]. Para la AEPD, esta tecnología supone un tratamiento que, en principio, se encuentra prohibido por el Reglamento General de Protección de Datos (RGPD)[2], ya que el empleo de tecnologías de reconocimiento facial en los sistemas de videovigilancia implica el tratamiento de datos biométricos, a los que se aplica el RGPD, que los cataloga como categorías especiales[3].
La instalación de los sistemas de videovigilancia con fines de seguridad, que captan y graban imágenes y sonidos, podría ampararse en el interés público, pero si se tratan categorías especiales de datos, como en el caso de la utilización de tecnologías de reconocimiento facial, la normativa requiere que exista un “interés público esencial” para que pueda ser legítimo, profundizando así en la importancia y necesidad de mayor protección de los datos tratados. La aplicación del interés público esencial como base de legitimación requiere de una norma con rango de ley que justifique en qué medida y en qué supuestos el empleo de la biometría respondería al mismo. La norma con rango de Ley que ampararía ese tratamiento de categorías especiales de datos no existe en el actual ordenamiento jurídico[4].
La AEPD rechaza que la legitimación reconocida para los sistemas de videovigilancia que sólo captan y graban imágenes y sonidos pueda abarcar otras tecnologías mucho más intrusivas para la privacidad como el reconocimiento facial u otras medidas biométricas como el reconocimiento de la forma de andar o el reconocimiento de voz[5]. No obstante, la AEPD considera que existen supuestos excepcionales en los que podría quedar justificado su empleo siempre que la legislación lo prevea[6]. Sin embargo, la autorización, con carácter general carece de base jurídica y sería desproporcionada, dada la intrusión y los riesgos que supone para los derechos fundamentales de los ciudadanos. Fuente de la información: AEPD. Fuente de la imagen: teguhjatipras en pixabay.
____________________________________
[1] https://www.aepd.es/es/documento/2019-0031.pdf Sitio visitado el 29/05/2020.
[2] También conocido como Reglamente Europeo de Protección de Datos (REPD).
[3] Al tratarse de datos “dirigidos a identificar de manera unívoca a una persona física”.
[4] En el caso de tramitarse, tendría que justificar específicamente en qué medida y en qué supuestos la utilización de dichos sistemas respondería a un interés público esencial, así como incorporar garantías específicas como exige el Tribunal Constitucional. Asimismo, debería cumplir con el principio de proporcionalidad y superar el juicio de necesidad, en el sentido de que no exista otra medida más moderada con la que se consiguiera el mismo propósito con igual eficacia. La existencia de otras medidas que permiten la protección de las personas, bienes e instalaciones con una menor intrusión en el derecho de los afectados, exigiría una especial justificación de la necesidad de optar por el reconocimiento facial respecto de dichas otras medidas, estableciendo asimismo garantías reforzadas.
[5] La regulación actual es insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, al no cumplir los requisitos anteriormente señalados.
[6] Como en el caso de infraestructuras críticas.