¡Comparte en redes sociales!

Videovigilancia y control de reconocimiento facial

Los sistemas de videovigilancia han evolucionado rápidamente en los últimos años dando paso a nuevas situaciones jurídicas a las cuales el derecho tiene que dar solución. Los dispositivos empleados para realizar videovigilancia y otras actividades de control vinculadas con la seguridad privada son actualizados constantemente de acuerdo con las necesidades de los usuarios y dirigidos a suplir una cadena de eficiencia y productividad. Llama la atención, cuan lesivo podría resultar el empleo de estas nuevas tecnologías en el ámbito laboral, civil, público, etc. sin un debido control y cuál sería la justificación aplicada por el empresario o responsable de tratamiento para su empleo.

La incorporación de funcionalidades de reconocimiento facial en los sistemas de videovigilancia empleados en seguridad privada nos ha permitido reflexionar al respecto, como se sabe esta actividad implica el tratamiento de datos biométricos, tal y como los define el artículo 4.14 del RGPD “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos” y supone el tratamiento de categorías especiales de datos reguladas en el artículo 9 del RGPD, al tratarse de “datos biométricos dirigidos a identificar de manera unívoca a una persona física”.

Al respecto ha resultado controvertido bajo qué circunstancias se puede valorar este supuesto como un tratamiento de datos de categoría especial. De acuerdo con el artículo 4 del RGPD puede interpretarse que, el concepto de dato biométrico incluiría la identificación como la verificación/autenticación de los datos. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).

En este sentido, el Comité Europeo de Protección de Datos, en sus “Guidelines 3/2019 on processing of personal data through video devices» considera el empleo de videovigilancia con reconocimiento facial como categoría especial de datos del artículo 9 del RGPD. Por consiguiente, para que sea lícito el tratamiento de los datos biométricos por los sistemas de reconocimiento facial integrado en un sistema de videovigilancia, debe concurrir alguna de las excepciones que levanten la prohibición de su tratamiento[1], conforme al apartado 2 del artículo 9 del RGPD.

Finalmente, la aplicación de este criterio ha afectado la legitimidad de la aplicación de la videovigilancia en el sector privado, por cuanto no se valora -en la mayoría de casos- que el interés legítimo sea suficiente para añadir este tipo de características. Resulta importante valorar que cada supuesto requerirá una valoración individual que permita determinar la necesidad y proporcionalidad del empleo de estos recursos, sin que resulten lesivos con los derechos de la ciudadanía.


[1] Art. 9 RGPD apartado 2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

¿Quieres conocer más sobre videovigilancia y sobre protección de datos? Consulta nuestro Máster en Dirección de Compliance y protección de datos

Avatar De Ivonne Sánchez

Abogada especialista en protección de datos y seguridad de la información

Deja un comentario