Pregunta

¿Qué es la exportación de grabaciones y su relación con el RGPD?

Tabla de contenidos

Exportación de grabaciones y RGPD: definición

La exportación de grabaciones y su relación con el RGPD es el conjunto de requisitos legales y organizativos que se aplican cuando grabaciones de vídeo o fotografías que contienen datos personales se transfieren fuera del Espacio Económico Europeo (EEE). En la práctica, se trata de la transferencia de archivos, copias de trabajo, copias de seguridad, materiales para análisis, materiales de entrenamiento para modelos de IA o acceso remoto al sistema, si el destinatario o la infraestructura de tratamiento se encuentran fuera del EEE.

En el contexto de la imagen y el vídeo, los datos personales incluyen sobre todo la imagen facial y, según el contexto de identificación, las matrículas de vehículos. La base jurídica son el artículo 4, apartado 1, y los artículos 44 a 49 del Reglamento (UE) 2016/679, es decir, el RGPD, así como la jurisprudencia del Tribunal de Justicia de la Unión Europea, incluida la sentencia en el asunto C-311/18 de 16 de julio de 2020, conocida como Schrems II. La transferencia solo está permitida si el responsable del tratamiento garantiza un nivel adecuado de protección de datos en el tercer país o aplica un mecanismo previsto en el capítulo V del RGPD.

En los materiales de vídeo es clave distinguir entre anonimización y seudonimización. Si una cara o una matrícula han sido difuminadas de forma reversible y el responsable conserva la versión original o la clave de reversión, seguimos estando ante datos personales. Si la identificación de la persona se vuelve irreversiblemente imposible utilizando medios razonablemente probables, el material puede dejar de estar sujeto al RGPD. Esta posición se deriva del considerando 26 del RGPD y del Dictamen 05/2014 del Grupo de Trabajo del Artículo 29 sobre técnicas de anonimización.

Cuándo la exportación de grabaciones fuera del EEE constituye una transferencia de datos personales

No toda exportación de un archivo en sentido técnico es jurídicamente neutra. Para el RGPD no importa el nombre de la operación, sino si el destinatario situado fuera del EEE obtiene acceso a datos personales o la posibilidad de tratarlos. Esto también afecta a entornos en la nube, servicios de soporte, herramientas de etiquetado de datos y subcontratistas que entrenan modelos de detección.

Normalmente se considera transferencia fuera del EEE en las siguientes situaciones:

  • envío de una grabación a una entidad establecida fuera del EEE,
  • almacenamiento de una grabación en una infraestructura ubicada fuera del EEE,
  • acceso remoto del responsable, del encargado u otro destinatario fuera del EEE al material ubicado dentro del EEE,
  • puesta a disposición de un conjunto de fotos o fotogramas de vídeo para entrenar o probar un modelo de IA fuera del EEE,
  • replicación de copias de seguridad en un centro de datos fuera del EEE.

El Comité Europeo de Protección de Datos, en sus Directrices 05/2021, adopta una interpretación amplia del concepto de transferencia. En la práctica, esto significa que incluso la mera concesión de acceso a grabaciones desde un tercer país puede activar las obligaciones de los artículos 44 a 49 del RGPD.

Mecanismos para legalizar la transferencia de grabaciones fuera del EEE

Si el material de vídeo o fotográfico contiene personas identificables, el responsable del tratamiento debe determinar primero si la transferencia es realmente necesaria. Solo después debe elegirse el mecanismo jurídico adecuado. El RGPD establece una jerarquía de soluciones.

Mecanismo

Base jurídica

Cuándo aplicarlo

Observaciones prácticas

 

Decisión de adecuación

art. 45 RGPD

Cuando la Comisión Europea ha adoptado una decisión para un país o, en determinados casos, para un territorio o sector

Es la opción más sencilla, pero hay que verificar el alcance y la vigencia de la decisión

Cláusulas contractuales tipo

art. 46.2.c RGPD

Cuando no existe una decisión de adecuación

Exigen evaluar la normativa del tercer país y, en su caso, aplicar medidas complementarias tras Schrems II

Normas corporativas vinculantes

art. 47 RGPD

Transferencias dentro de un grupo empresarial o de un grupo de empresas que desarrollan una actividad económica conjunta

Solución pensada para grandes organizaciones, con una implantación costosa

Excepciones a la norma

art. 49 RGPD

Situaciones ocasionales y limitadas

No deben utilizarse como base para transferencias permanentes y masivas de grabaciones

Tras la sentencia Schrems II, la simple firma de cláusulas contractuales tipo puede no ser suficiente. A menudo es necesaria una evaluación del impacto de la transferencia sobre la protección de datos, es decir, un análisis de si la legislación del país importador no menoscaba la protección derivada de dichas cláusulas. Este enfoque queda confirmado en las Recomendaciones 01/2020 del CEPD, actualizadas el 18 de junio de 2021.

Cuándo la anonimización de grabaciones es necesaria o prácticamente imprescindible

En el caso de fotografías y vídeos, la anonimización es la solución más segura cuando el responsable del tratamiento quiere limitar el riesgo asociado a la transferencia o excluir completamente el material del régimen del capítulo V del RGPD. No obstante, esto exige que el proceso sea técnicamente eficaz e irreversible.

La anonimización cobra especial importancia cuando:

  • las grabaciones van a enviarse a un proveedor fuera del EEE para su análisis, edición o archivo,
  • el material va a utilizarse para entrenar modelos de IA que detectan rostros o matrículas,
  • el responsable no puede demostrar medidas complementarias eficaces para la transferencia,
  • la finalidad del tratamiento no requiere conservar una imagen identificable.

En la práctica, esto significa difuminar rostros y, según el contexto y la finalidad de la publicación o cesión, también las matrículas. En muchos países europeos, las matrículas se consideran al menos información que puede conducir a una identificación indirecta, aunque la valoración depende de las circunstancias. En Polonia la situación tampoco es completamente unívoca: en la práctica de las autoridades y en parte de la jurisprudencia se subraya la posibilidad de identificación indirecta, mientras que en decisiones judiciales también han aparecido posturas según las cuales una matrícula, por sí sola, no siempre constituye un dato personal.

Aspecto técnico de la anonimización de fotos y vídeos antes de la exportación

En materiales audiovisuales, una anonimización eficaz exige detectar objetos en cada fotograma y mantener la continuidad del seguimiento. En la práctica se utilizan modelos de deep learning para detectar rostros y matrículas, y posteriormente algoritmos de tracking para que el área difuminada no desaparezca cuando cambia el ángulo, la iluminación o el objeto queda parcialmente oculto.

La cadena técnica habitual incluye:

  • detección de objetos: face detection, license plate detection,
  • seguimiento entre fotogramas: mantenimiento del identificador del objeto a lo largo del tiempo,
  • redacción de la imagen: blur, pixelado o máscara irreversible,
  • control de calidad: revisión de false negatives, es decir, rostros o matrículas no detectados,
  • exportación del archivo final sin conservar ninguna capa que permita revertir la redacción.

Para el cumplimiento normativo, las métricas de calidad del modelo son clave. En aplicaciones de compliance, a menudo son más importantes el recall y la tasa de false negatives que la velocidad media. El recall puede expresarse así: recall = TP / (TP + FN), donde TP significa objetos detectados correctamente y FN objetos omitidos. En anonimización, el riesgo regulatorio aumenta a medida que crece FN, porque cada rostro no detectado puede implicar una divulgación de datos personales. Una precisión alta por sí sola no basta si el sistema omite parte de los objetos.

Gallio PRO difumina automáticamente únicamente rostros y matrículas. No detecta automáticamente logotipos, tatuajes, identificaciones nominativas, documentos ni contenido en pantallas de monitores. Estos elementos pueden redactarse manualmente en el editor. El software no realiza anonimización en tiempo real ni anonimización de streaming de vídeo.

Obligaciones clave del responsable del tratamiento al exportar grabaciones

La simple elección del proveedor o del canal de transmisión no agota el análisis de cumplimiento. El responsable del tratamiento debe poder demostrar responsabilidad proactiva y documentar sus decisiones. Esto es especialmente relevante cuando el material incluye videovigilancia, incidentes de tráfico, grabaciones en centros de trabajo o fotografías de personas ajenas.

El conjunto mínimo de actuaciones suele incluir:

  • definir la finalidad de la exportación y la base de licitud del tratamiento conforme al art. 6 del RGPD,
  • verificar si el material contiene datos personales y si es posible anonimizarlo antes de la transferencia,
  • seleccionar el mecanismo de transferencia de los arts. 45 a 49 del RGPD,
  • evaluar el riesgo y, cuando sea necesario, realizar una EIPD conforme al art. 35 del RGPD,
  • formalizar un contrato de encargo del tratamiento con el encargado conforme al art. 28 del RGPD,
  • implantar medidas de seguridad conforme al art. 32 del RGPD, incluido el cifrado y el control de acceso,
  • establecer políticas de conservación y eliminación de copias de trabajo y copias de seguridad.

Referencias normativas y práctica interpretativa

Al evaluar la exportación de grabaciones, conviene basarse en documentos fuente. Ofrecen una base más estable que los materiales secundarios o la práctica del mercado.

  • Reglamento (UE) 2016/679, en particular los arts. 4, 28, 32, 35, 44-49 y el considerando 26 - Parlamento Europeo y Consejo, 27 de abril de 2016.
  • Sentencia del TJUE C-311/18, Data Protection Commissioner contra Facebook Ireland y Maximillian Schrems - 16 de julio de 2020.
  • CEPD, Directrices 05/2021 sobre la interacción entre el art. 3 y las disposiciones sobre transferencias internacionales de datos - versión adoptada el 14 de febrero de 2023.
  • CEPD, Recomendaciones 01/2020 sobre medidas complementarias a las herramientas de transferencia - versión 2.0 de 18 de junio de 2021.
  • Grupo de Trabajo del Artículo 29, Dictamen 05/2014 sobre técnicas de anonimización - 10 de abril de 2014.

Ver también

Volver al glosario