El uso de sistemas de reconocimiento facial por parte de las empresas de seguridad privada
5 junio, 2020
La Industria 4.0 e implementación de las nuevas tecnologías ya es una realidad. Tal y como hemos podido analizar previamente en otros artículos de este blog, el uso de dichas tecnologías puede suponer un grave riesgo respecto a la privacidad y protección de datos personales de los usuarios, debiéndose garantizar en la configuración de estas la correcta salvaguarda y respeto al cuerpo normativo vigente en materia de protección de datos y seguridad de la información.
Ejemplo de ello, es la tecnología de reconocimiento facial que distintas empresas de seguridad privada del sector se han planteado incorporar en el mercado. Cabe decir, que tales sistemas de reconocimiento facial suponen una aplicación dirigida por ordenador que identifica automáticamente a una persona en una imagen digital. Esto es posible mediante un análisis de las características faciales del sujeto, extraídas de la imagen o de un fotograma clave de una fuente de video, y comparándolas con una base de datos.
En efecto, aunque esta tecnología nos aporta grandes beneficios (ya no solo en la seguridad privada con videovigilancia avanzada, sino también en otras áreas, como la de seguridad de la información en el inicio de sesión, en seguridad en aplicaciones, cajeros automáticos, etc.) la realidad es que se cuestiona la privacidad del sujeto, y ejemplo de ello es el informe publicado ayer (28 de mayo) por la Agencia Española de Protección de Datos (AEPD).
El referido informe, analiza varias cuestiones que se le han planteado a la AEPD sobre la seguridad privada, entre las que se encuentra la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas seguridad privada. Resulta interesante analizar dicho informe, y detectar si es posible o no su uso, y, en caso de serlo, que debería de tener en cuenta la empresa de seguridad privada para cumplir con el cuerpo normativo vigente de aplicación.
Por un lado, la AEPD deja claro que el empleo de tecnologías de reconocimiento facial en los sistemas de videovigilancia implica el tratamiento de datos biométricos, siendo un tipo de datos especialmente protegidos de acuerdo con el Reglamento General de Protección de Datos (RGPD), que los cataloga como categorías especiales al tratarse de datos “dirigidos a identificar de manera unívoca a una persona física”.
Ello implica, que, de acuerdo con el RGPD, el tratamiento de este tipo de datos especiales queda, “en un primer momento”, prohibido. Decimos “en un primer momento”, ya que el mismo RGPD, si bien ha querido proteger este tipo de datos con una especial configuración, contempla también distintos supuestos (a los que llamaremos “excepciones”) en los que dicha prohibición general se levantaría para dejar paso al uso y tratamiento de tales datos.
En particular, para poder tratar esos datos en tal escenario, tal y como analiza el informe de la AEPD, debe valorarse si puede aplicar algunas de las excepciones del RGPD. Y, en consecuencia, la AEPD nos dice que, si bien la instalación de los sistemas de videovigilancia con fines de seguridad que captan y graban imágenes y sonidos podría ampararse en el interés público, si en estas se tratan categorías especiales de datos, como en el caso de la utilización de tecnologías de reconocimiento facial, la normativa requiere que exista un “interés público esencial” para que pueda ser legítimo. Ello implica, que, en efecto, al tratamiento de tales datos por medio de tecnología facial, se le reconoce la importancia y necesidad de mayor protección de los datos tratados.
Pero ¿qué implica o qué significa que debe aplicar el “interés público esencial” como base de legitimación? La AEPD es clara a este respecto, indicando que según nuestro ordenamiento jurídico, ello se traduce en que es necesario que exista una norma con rango de ley que justifique en qué medida y en qué supuestos el empleo de la dicha tecnología respondería al mismo.
Es decir, que debe establecerse una norma con rango de ley, que ampare el uso y tratamiento de dichas tecnologías y datos biométricos (especialmente protegidos). No obstante, ¿Existe en nuestro ordenamiento jurídico una norma o ley como la referida? La respuesta es no. Una norma de tales características no existe en nuestro actual marco normativo, y, advierte la AEPD, que en el caso de tramitarse, tendría que justificar específicamente en qué medida y en qué supuestos la utilización de dichos sistemas respondería a un interés público esencial, así como incorporar garantías específicas como exige el Tribunal Constitucional.
Asimismo, podemos afirmar que, en todo caso, dicho escenario deberá cumplir con el principio de proporcionalidad y superar el juicio de necesidad, en el sentido de que no exista otra medida menos gravosa o invasiva, con la que se pueda conseguir la misma finalidad o propósito con la igual eficacia. En otras palabras, ello significa que, mientras existan otras medidas que permitan que la seguridad privada funcione, y, que permita la correcta protección de personas, bienes e instalaciones, con un sistema que no sea tan invasivo o intrusivo a la privacidad y protección de datos personales de los usuarios, si se pretende aprobar una ley de tales características, se deberá acudir a una especial justificación de la necesidad de optar por el reconocimiento facial respecto de otras medidas, lo que establece garantías reforzadas que exige nuestro ordenamiento.
En consecuencia, la AEPD ha sido clara, indicando que la legitimación que ahora abraza las empresas de seguridad privada respecto a los sistemas de videovigilancia que captan y graban imágenes y sonidos, no podría abarcar otras tecnologías mucho más intrusivas para la privacidad como es el reconocimiento facial, siendo necesario para ello, que exista un marco normativo que invoque las garantías suficientes para legitimar la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada.
No obstante, el marco normativo, tal y como menciona la AEPD, contempla otros supuestos excepcionales en los que podría quedar justificado el empleo de sistemas de reconocimiento facial siempre que la legislación lo prevea, como es el caso de infraestructuras críticas. Pero, lo que sabemos, es que la autorización, con carácter general, del empleo de sistemas de reconocimiento facial en los sistemas de videovigilancia empleados por la seguridad privada, no podría llevarse a cabo a día de hoy, al no contar con la correspondiente base de legitimación, y, no superar el juicio de proporcionalidad, dado que existe una clara intrusión y amenaza a la privacidad y protección de datos personales de los usuarios, considerados derechos fundamentales.
En DATAX, como consultoría de Protección de Datos y Seguridad de la Información, somos especialistas en la adecuación e implementación de las obligaciones legales y mejores prácticas en proyectos tecnológicos. Con una larga trayectoria profesional que nos acredita, nuestros clientes pueden incorporar sus soluciones digitales en el mercado con la garantía de diseñar un producto técnico que vaya en línea con la normativa vigente en protección de datos, privacidad y seguridad de la información.