El reconocimiento facial entra dentro de lo que consideramos datos biométricos. Este tipo de identificación, por tanto, forma parte de las categorías especiales de datos. Para que las empresas de seguridad privadas te identifiquen de ese modo debe existir un «interés público esencial». No obstante, no hay ninguna ley en nuestro ordenamiento, por ahora, que así lo catalogue, ni las garantías reforzadas que exige el RGPD en este tipo de casos.
¿Puede ser legítimo el uso de estos datos biométricos por empresas privadas?
De acuerdo con el informe de la Agencia Española de Protección de Datos (AEPD) se pone de manifiesto que el uso de este tipo de tecnologías, al estar dirigidas únicamente a personas físicas, implica el tratamiento de tus datos biométricos. Al pertenecer, como te hemos dicho, a una categoría especial de datos, en principio se encuentra prohibido por el Reglamento General de Protección de Datos o RGPD.
¿Es posible aplicar las excepciones del RGPD?
Para que sea lícito tratar estos datos, sería necesario que las empresas de seguridad privadas se acogieran a las excepciones que el RGPD establece. Sin embargo, el interés público, que es al que en principio se podrían acoger, necesita una normativa con rango de ley que lo respalde, que por ahora no existe en nuestro ordenamiento. Además, de acogerse a dicho «interés público esencial» al que hace referencia la ley, sería necesaria una mayor protección y un refuerzo de las garantías, ya que los datos tratados son de carácter especial.
En dicha normativa con rango de ley, igualmente, como base de legitimación, requeriría que añadiera de forma tasada los supuestos en los que se permite el uso de datos biométricos con esa finalidad concreta. En caso de que se tramitara y llegar a aprobarse, igualmente debería incluir las garantías específicas de protección de los datos especiales, lo cual implicaría el cumplimiento de las exigencias del Tribunal Constitucional (TC). De las más importantes de dichas exigencias te hablaremos a continuación.
Principio de proporcionalidad y juicio de necesidad
De acuerdo con el Tribunal Constitucional, en caso de tener una base de legitimación para utilizarse el reconocimiento facial en empresas privadas de seguridad, dicha legitimación debería cumplir con unas garantías suficientes, incluyendo el juicio de necesidad, así como el importante principio de proporcionalidad. Este último evita un uso desmedido de los datos, mientras que el juicio de necesidad supone el estudio de otros instrumentos más moderados.
Podrán implantarse otras medidas para que haya garantías suficientes de protección de datos especiales de las personas físicas, pero deberán ser igual de eficaces y tener el mismo objetivo. La posibilidad de que puedan exigir otras medidas para proteger tus datos se justifica en que estas sean menos intrusivas con tus derechos. De este modo, se cumpliría adecuadamente con las mencionadas garantías reforzadas.
Regulación insuficiente
De acuerdo con la AEPD, la regulación es insuficiente. Por tanto, no es lícito que las empresas de seguridad privada utilicen sistemas de videovigilancia con reconocimiento facial, o con otras medidas que implican el tratamiento de tus datos biométricos como el reconocimiento de las voces o el de la forma de andar. Todas estas medidas son igualmente intrusivas y siguen sin cumplir los requisitos que hasta ahora te hemos mencionado.
La AEPD, en definitiva, en su informe ha destacado la ilicitud de que se utilicen estas medidas con carácter general, con algunos supuestos excepcionales como serían las infraestructuras críticas reguladas en la ley 8/2011, de 28 de abril. La razón es que hacerlo supondría un riesgo mucho mayor para tus derechos fundamentales. Al carecerse de base jurídica y no haber una normativa con rango de ley que respalde el uso de estas medidas, las empresas de seguridad privada no pueden utilizar, legalmente, tus datos biométricos.