La imagen como dato de categoría especial: definición
La propia imagen fijada en una fotografía o en una grabación de vídeo no constituye automáticamente un dato de categoría especial en el sentido del art. 9.1 del RGPD. Como regla general, se trata de un dato personal si permite identificar a una persona directa o indirectamente conforme al art. 4.1 del RGPD, pero no toda fotografía del rostro tiene la consideración de dato biométrico. El umbral de calificación es más alto.
De acuerdo con el art. 4.14 del RGPD, los datos biométricos son datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, que permiten o confirman la identificación unívoca de dicha persona, como la imagen facial o los datos dactiloscópicos. Por tanto, concurren tres requisitos clave: tratamiento técnico específico, vinculación con características de la persona y el efecto de permitir una identificación o autenticación inequívoca.
En la práctica del compliance, esto significa que el simple almacenamiento de una grabación de cámaras, la publicación de una fotografía o la visualización manual del material no tienen por qué implicar todavía el tratamiento de datos de categoría especial. La imagen extraída de una grabación pasa a ser un dato biométrico del art. 9 del RGPD únicamente cuando el responsable del tratamiento aplica técnicas de extracción y comparación de rasgos faciales de forma que permitan la identificación o autenticación inequívoca de una persona. Esta interpretación se desprende del RGPD, del considerando 51 y de las directrices del Comité Europeo de Protección de Datos sobre el tratamiento de datos biométricos y las tecnologías de reconocimiento facial.
El umbral de calificación del art. 9 del RGPD en el contexto de fotografías y vídeo
En la práctica, la evaluación no se basa en el mero hecho de que en el material aparezca un rostro. Lo relevante es si el sistema o proceso transforma la imagen facial en un conjunto de rasgos utilizado para distinguir a una persona concreta de otras personas. Por eso, es necesario diferenciar entre el tratamiento de imágenes con fines de anonimización y el tratamiento de imágenes con fines de identificación.
La siguiente tabla muestra los principales umbrales de calificación.
Situación | ¿Son datos biométricos del art. 9 del RGPD? | Justificación
|
|---|---|---|
Grabación CCTV convencional sin análisis facial | En principio, no | Son datos personales, pero sin tratamiento técnico específico orientado a la identificación inequívoca |
Detección automática de rostros exclusivamente para difuminarlos | En principio, no | La detección facial sirve para localizar una zona de la imagen, no para confirmar la identidad de una persona concreta |
Extracción de un embedding facial y comparación con una base de patrones | Sí | Existe tratamiento técnico específico y el resultado es la identificación o autenticación inequívoca |
Verificación facial 1:1 al iniciar sesión o en control de acceso | Sí | El tratamiento tiene por objeto confirmar la identidad de una persona concreta |
Reconocimiento facial 1:N en un conjunto de grabaciones | Sí | El tratamiento se utiliza para localizar e identificar a una persona entre múltiples registros |
La distinción más importante se refiere a la relación entre la detección facial y la identificación facial. La detección responde a la pregunta de si hay un rostro en un fotograma y dónde se encuentra. La identificación responde a la pregunta de a quién pertenece ese rostro. No son las mismas operaciones, ni desde el punto de vista técnico ni jurídico.
Importancia para la anonimización de fotografías y grabaciones de vídeo
En los procesos de anonimización de materiales fotográficos y de vídeo suelen emplearse modelos de detección basados en deep learning. Son necesarios para localizar automáticamente rostros o matrículas en la imagen y, a continuación, aplicar enmascaramiento, difuminado o pixelado. Sin embargo, un modelo de IA de este tipo no tiene por qué dar lugar al tratamiento de datos biométricos del art. 9 del RGPD si no se utiliza para identificar a la persona.
En el contexto de Gallio PRO, esto significa que el difuminado automático de rostros y matrículas cumple, por regla general, una finalidad de protección y no de identificación. El software no está diseñado para reconocer la identidad de las personas, no realiza reconocimiento facial en el flujo de vídeo y no difumina siluetas completas. Detecta automáticamente únicamente rostros y matrículas. Otros elementos, como documentos, identificaciones, tatuajes, logotipos o contenido mostrado en pantallas, pueden enmascararse manualmente en el editor.
Desde la perspectiva del DPD, es importante documentar que el pipeline de tratamiento no incluye la creación de plantillas biométricas, la comparación de rasgos faciales con una base de datos ni funciones de identificación de personas. Esto reduce el riesgo de entrar en el régimen del art. 9 del RGPD.
Criterios técnicos para evaluar el proceso de tratamiento
La evaluación del cumplimiento no debería terminar en la descripción comercial de las funciones del sistema. Es necesario comprobar qué operaciones técnicas se realizan realmente sobre la imagen y qué artefactos de datos se almacenan. En la práctica de auditoría resultan útiles las siguientes preguntas.
- ¿El sistema crea vectores de rasgos faciales, por ejemplo, un embedding 128D, 512D o similar?
- ¿Esos vectores se almacenan, se mantienen en caché o se transfieren a otros servicios?
- ¿Se realiza una comparación 1:1 o una búsqueda 1:N?
- ¿El resultado del proceso es “rostro detectado en la zona X,Y,W,H” o más bien “esta es la persona A con una probabilidad P”?
- ¿Los logs, metadatos o la telemetría contienen información que permita reconstruir la identificación?
Si la respuesta a las tres primeras preguntas es afirmativa, normalmente existen indicios sólidos para considerar que se están tratando datos biométricos. Si el sistema se limita a detectar y enmascarar la zona del rostro, la calificación puede ser distinta.
Parámetros y métricas clave en los sistemas de difuminado facial
En los proyectos de anonimización es necesario medir la eficacia de la detección, ya que de ella depende el nivel de riesgo de divulgación de la imagen de una persona. Los parámetros técnicos no definen por sí mismos el estatus jurídico de los datos, pero sí influyen en la evaluación de la adecuación de las medidas de seguridad conforme al art. 5.1.c y al art. 32 del RGPD.
Parámetro | Importancia práctica | Interpretación habitual
|
|---|---|---|
Recall de detección | Porcentaje de rostros reales detectados por el modelo | Un recall bajo aumenta el riesgo de dejar rostros sin difuminar |
Precision de detección | Porcentaje de detecciones correctas sobre el total de detecciones | Una precision baja incrementa el número de máscaras innecesarias |
False Negative Rate | Porcentaje de rostros omitidos | Indicador crítico desde la perspectiva de la privacidad |
IoU - Intersection over Union | Coincidencia entre el área detectada y el área de referencia | Un recuadro demasiado pequeño puede no cubrir todo el rostro |
Tiempo de procesamiento por archivo o fotograma | Afecta a la planificación del proceso y a la capacidad del entorno | Especialmente relevante en entornos on-premise y con grandes volúmenes |
Para las funciones de anonimización, es más importante un nivel bajo de false negatives que la accuracy de clasificación. En la práctica, esto supone preferir configuraciones del modelo que detecten más rostros aunque generen algunos falsos positivos, siempre que el material pueda verificarse antes de su publicación o divulgación.
Referencias normativas y divergencias interpretativas
La evaluación debe basarse en fuentes primarias. La más importante es el RGPD, es decir, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, aplicable desde el 25 de mayo de 2018, en particular su art. 4.1 y 4.14, el art. 9 y el considerando 51. También son relevantes las directrices del CEPD y los criterios de las autoridades de control sobre el reconocimiento facial.
En la doctrina y en la práctica de las autoridades existe consenso en que no toda imagen facial es un dato de categoría especial. Las discrepancias aparecen en sistemas intermedios que analizan el rostro con gran detalle, pero formalmente no incorporan un módulo de identificación. En esos casos, deben examinarse la finalidad real del tratamiento, la arquitectura del sistema, los logs, el alcance de los metadatos y la posibilidad de reutilización secundaria de los rasgos faciales.
Cuando las grabaciones se facilitan a terceros, por ejemplo, en respuesta a solicitudes, para publicaciones o con fines probatorios, una práctica segura consiste en difuminar previamente los rostros de todas las personas que no entren en las excepciones previstas por la ley para la difusión de la imagen. Esto reduce el riesgo de vulneración de la privacidad y limita el uso secundario del material para la identificación biométrica.