La AEPD analiza los tratamientos derivados del reconocimiento facial en los servicios de videovigilancia

02-06-2020 — AR/2020/100

El empleo de tecnologías de reconocimiento facial en los sistemas de videovigilancia conlleva un tratamiento de categorías especiales de datos y, por lo tanto, su tratamiento exige de la adopción de mayores garantías.

La AEPD ha publicado un informe de respuesta a una consulta sobre la posibilidad de ampararse en el artículo 9.2.g) del Reglamento General de Protección de Datos (RGPD), que trata la concurrencia de un interés público esencial, para incorporar técnicas de reconocimiento facial en los sistemas de videovigilancia y tratar los datos personales extraídos mediante estos sistemas.

Esta respuesta expone varias cuestiones de interés, que se resaltan a continuación.

Limitaciones legales

La Agencia aclara que los tratamientos de videovigilancia regulados en los artículos 22 de la LOPDyGDD1 y 42 de la LSP2 se limitan a la captación y grabación de imágenes y sonidos, pero no dan cobertura a los tratamientos necesarios para el reconocimiento facial.

Las técnicas de reconocimiento facial —recuerda esta autoridad— requieren del tratamiento de «datos biométricos dirigidos a identificar de manera unívoca a una persona física», y, como tal, es un tratamiento de categorías especiales de datos regulado en el artículo 9 del RGPD (en su informe 36/2020 aclaraba las dudas interpretativas sobre la consideración de los datos biométricos).

Riesgos para los derechos y libertades

Este tipo de tratamientos, según la AEPD, conlleva un riesgo para los derechos y libertades fundamentales de las personas, según manifestó en 2003 el grupo de trabajo del artículo 29 en las «Directrices sobre biometría».

Además, cita la doctrina constitucional relativa a las restricciones al derecho fundamental, para subrayar que el interés público esencial que, según los artículos 9.2.g) del RGPD y 9.2 de la LOPDyGDD, podría fundamentar el tratamiento de estos datos tiene que estar necesariamente previsto en una norma de derecho europeo o de derecho nacional con rango de ley. No resulta suficiente, a estos efectos, la invocación genérica de un interés público.

Además, para amparar la concurrencia del interés público esencial, dicha ley debería especificar:

  1. el interés público esencial concreto que justifica la restricción del derecho a la protección de datos personales;
  2. las circunstancias que justifican la limitación;
  3. las garantías adecuadas para prevenir los riesgos y mitigar sus efectos;
  4. las garantías de cumplimiento del principio de proporcionalidad, que deben asegurar que la medida:
    • es susceptible de conseguir el objetivo propuesto (juicio de idoneidad),
    • es necesaria, no habiendo otra medida más moderada para conseguir el objetivo (juicio de necesidad) y
    • si es ponderada o equilibrada, porque de ella se derivan más ventajas para el interés general que perjuicios sobre los otros bienes o valores en conflicto (juicio de proporcionalidad en el sentido estricto).

Conclusión del informe

En conclusión, la AEPD aclara que los sistemas de videovigilancia regulados en la LOPDyGDD y la LSP solo permiten captar y grabar imagen y sonido, y no está permitido utilizar otras tecnologías más intrusivas para la privacidad, como son el reconocimiento facial, de la voz, o de la forma de andar.

Por tanto, para servirse de este tipo de tratamientos bajo el paraguas del interés público esencial, sería necesaria la aprobación de una ley que lo prevea y justifique específicamente en qué medida y en qué supuestos estos sistemas responden a un interés público esencial.


1 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
2 Ley 5/2014, de 4 de abril, de Seguridad Privada.