Pregunta

¿Qué es la anonimización multicámara?

Tabla de contenidos

Anonimización multicámara: definición

La anonimización multicámara es la anonimización de material de vídeo o fotografías procedentes de múltiples cámaras dentro de un mismo proceso organizativo y técnico. En la práctica, significa detectar y difuminar rostros y matrículas en múltiples archivos o flujos grabados por distintos dispositivos de CCTV, manteniendo reglas coherentes de tratamiento, control de calidad y trazabilidad de las operaciones. En el contexto de la protección de datos, no se trata únicamente de la transmisión en directo, sino con frecuencia del tratamiento de grabaciones ya almacenadas. Esta distinción es importante, porque Gallio PRO no realiza anonimización en tiempo real ni anonimización de flujo de vídeo.

Desde el punto de vista técnico, se trata de una cuestión propia del procesamiento por lotes de imágenes y vídeo. El sistema analiza material de múltiples cámaras, localiza las áreas que contienen datos personales en forma de imagen facial o número de matrícula del vehículo y, a continuación, aplica una máscara o desenfoque. Para la detección automática se utilizan modelos de aprendizaje automático, normalmente basados en deep learning. El deep learning se usa tanto en la fase de creación del modelo de IA como posteriormente durante la detección de objetos en fotogramas de vídeo o imágenes. Por tanto, la anonimización en sí no consiste en una eliminación “inteligente” de datos, sino en aplicar un modelo que detecta las áreas que deben ocultarse y en transformar de manera permanente la imagen resultante.

Desde la perspectiva jurídica y organizativa, la anonimización multicámara es una forma de tratamiento de datos personales a la que se aplican las exigencias del RGPD, en particular los principios de limitación de la finalidad, minimización de datos, integridad y confidencialidad, así como responsabilidad proactiva, descritos en el artículo 5 del Reglamento (UE) 2016/679, además de los requisitos de seguridad del tratamiento del artículo 32. En el caso de la videovigilancia, también son relevantes las directrices del Comité Europeo de Protección de Datos, incluidas las Guidelines 3/2019 on processing of personal data through video devices, adoptadas en su versión final el 29 de enero de 2020.

El papel de la anonimización multicámara en grandes instalaciones de CCTV

En grandes instalaciones de CCTV, el problema no consiste únicamente en detectar un rostro o una matrícula en un fotograma aislado. La dificultad radica en la escala. Un solo incidente puede haber sido registrado por una docena o varias decenas de cámaras, con diferentes parámetros de imagen, perspectiva, compresión y condiciones de iluminación. En ese caso, la anonimización debe funcionar de forma coherente para todo el conjunto de grabaciones.

En la práctica, esto implica combinar requisitos técnicos y organizativos:

  • una política de anonimización uniforme para todas las cámaras incluidas en el proceso,
  • la identificación de las fuentes del material y de sus parámetros técnicos,
  • la definición de una cola de procesamiento y de prioridades para grandes volúmenes de datos,
  • el control de calidad tras el procesamiento, incluida la verificación manual de los casos límite,
  • la protección del acceso a los materiales de origen y a los materiales resultantes.

En entornos como transporte, logística, industria, retail o administración pública, el material procedente de múltiples cámaras suele facilitarse a terceros, por ejemplo, despachos jurídicos, aseguradoras, autoridades o personas que ejercen sus derechos conforme al artículo 15 del RGPD. En este modelo, la ausencia de anonimización o una anonimización insuficiente aumenta el riesgo de vulneración de la privacidad de las personas ajenas al hecho.

Tecnologías utilizadas en la anonimización multicámara

La eficacia de la anonimización multicámara depende de la calidad de la detección y de la estabilidad del procesamiento. Lo más habitual es utilizar modelos de detección de objetos entrenados con grandes conjuntos de imágenes. En el ámbito de los rostros y las matrículas, son típicas las arquitecturas CNN y los modelos más recientes de detección de una sola etapa y de dos etapas. Su tarea consiste en indicar el cuadro delimitador de detección en cada fotograma o en fotogramas de referencia seleccionados.

En un entorno de producción, suelen ser importantes los siguientes elementos del pipeline:

  • decodificación de vídeo y extracción de fotogramas,
  • detección de rostros y matrículas,
  • seguimiento del objeto entre fotogramas para reducir el parpadeo de las máscaras,
  • aplicación de máscara o desenfoque,
  • codificación del material resultante,
  • verificación manual de los casos dudosos.

Cuando intervienen múltiples cámaras, la heterogeneidad de los datos de entrada adquiere una importancia especial. Una cámara de 2 MP a 15 fps dará resultados distintos a una cámara 4K a 25 fps con códec H.265 y fuerte compresión. Por este motivo, los parámetros de los modelos y los umbrales de confianza no siempre pueden ser idénticos para toda la instalación.

Gallio PRO difumina automáticamente rostros y matrículas. No detecta automáticamente logotipos de empresas, tatuajes, placas identificativas con nombres, documentos ni imágenes mostradas en monitores. Estos elementos pueden difuminarse manualmente en el editor. Esto tiene relevancia práctica en auditorías y al definir el alcance del proceso de anonimización.

Parámetros y métricas clave de la anonimización multicámara

La evaluación del proceso no debería basarse en declaraciones generales. Se necesitan parámetros medibles. En los sistemas de anonimización de imágenes, las métricas más importantes son las de calidad de detección y rendimiento del procesamiento.

Parámetro

Significado

Sentido práctico

 

Recall

Porcentaje de objetos detectados correctamente entre todos los objetos existentes

Cuanto mayor sea, menor será el riesgo de dejar un rostro o una matrícula sin difuminar

Precision

Porcentaje de detecciones correctas entre todas las detecciones

Cuanto mayor sea, menos máscaras erróneas aparecerán sobre el fondo u otros objetos

IoU

Intersection over Union para el cuadro delimitador de detección

Permite evaluar si la máscara cubre el área correcta

Latencia de procesamiento del archivo

Tiempo desde el inicio hasta la generación del archivo resultante

Afecta a los plazos de atención de solicitudes y a las tareas operativas

Throughput

Número de minutos u horas de material procesados por hora

Parámetro clave en grandes instalaciones de CCTV

Tasa de verificación manual

Porcentaje de material que requiere corrección manual

Muestra el coste operativo real del proceso

En tareas de detección de imágenes se utiliza habitualmente la métrica average precision calculada para distintos umbrales de IoU. Por ejemplo, el benchmark COCO usa la medida AP en un rango de IoU de 0,50 a 0,95, tal como fue descrito por Lin et al. en 2014. Este tipo de métricas resulta útil en las pruebas de modelos, pero para un delegado de protección de datos suele ser más importante una alta sensibilidad del proceso, ya que un solo rostro no detectado puede tener consecuencias jurídicas relevantes.

En la práctica, puede aplicarse un indicador operativo sencillo:

Eficacia de la anonimización = 1 - (número de objetos no detectados / número total de objetos que deben difuminarse)

Se trata de un indicador auxiliar para auditoría interna, siempre que el método de cálculo esté descrito y sea reproducible.

Requisitos organizativos para la anonimización de grabaciones de múltiples cámaras al mismo tiempo

En instalaciones multicámara, la tecnología por sí sola no basta. Se necesita un proceso que reduzca el riesgo de errores y permita demostrar la conformidad del funcionamiento. Esto es especialmente importante cuando el material sale de la organización o se facilita a un número mayor de destinatarios.

Normalmente, ello incluye los siguientes requisitos:

  • registro de las fuentes de las grabaciones, formatos de archivo y propietarios de los sistemas,
  • permisos de acceso basados en roles,
  • separación entre el material de origen y el material anonimizado,
  • procedimiento de control de calidad y aceptación del resultado,
  • normas para tratar excepciones, por ejemplo, material de muy baja calidad,
  • definición de la retención y de la eliminación segura de copias de trabajo.

Si el software funciona on-premise, es más fácil cumplir los requisitos relativos al control del entorno de tratamiento y a la transferencia de datos. Este modelo suele preferirse allí donde las grabaciones de CCTV no deben salir de la infraestructura del responsable del tratamiento. Desde la perspectiva de la seguridad, también son relevantes las prácticas descritas en la norma ISO/IEC 27001:2022 relativa al sistema de gestión de la seguridad de la información y en la ISO/IEC 27002:2022 relativa a los controles de seguridad.

Limitaciones y riesgos de la anonimización multicámara

La anonimización multicámara no ofrece una garantía absoluta. La calidad del resultado depende de la calidad de la grabación, la posición del objeto, las oclusiones, la compresión, el movimiento y la iluminación. En particular, los rostros parcialmente girados, pequeños dentro del encuadre o cubiertos por elementos de la escena pueden requerir corrección manual. Lo mismo ocurre con las matrículas fotografiadas en ángulo pronunciado o en movimiento.

También es necesario distinguir entre anonimización y seudonimización. Si el material sigue permitiendo identificar a una persona por otras características de la escena, el mero hecho de difuminar el rostro no siempre elimina el riesgo de identificación. Por ello, el alcance del material facilitado debe evaluarse de forma contextual. En relación con la videovigilancia, el CEPD indica que el responsable del tratamiento debe aplicar medidas adecuadas al fin perseguido y al riesgo para los derechos y libertades de las personas físicas.

Referencias legales y normativas para la anonimización multicámara

La evaluación del proceso se basa en normas jurídicas y directrices relativas al tratamiento de datos de vídeo. En el caso de los rostros, su condición de datos personales es, por regla general, indiscutible si la persona puede ser identificada. La imagen también puede gozar de protección en virtud del derecho civil y del derecho de autor. En el caso de las matrículas, la situación en Polonia no es totalmente uniforme y depende del contexto de identificabilidad y de la finalidad del tratamiento.

Los principales puntos de referencia son:

  • RGPD - Reglamento (UE) 2016/679, en particular los artículos 5, 25 y 32,
  • CEPD - Guidelines 3/2019 on processing of personal data through video devices, versión final de 29.01.2020,
  • ISO/IEC 27001:2022 e ISO/IEC 27002:2022 - seguridad de la información,
  • ISO/IEC 23894:2023 - guidance on risk management for AI, útil para evaluar los riesgos de los modelos de IA,
  • NIST AI RMF 1.0 - marco de gestión del riesgo de IA, útil para la validación y supervisión de modelos de detección.

En la práctica, el responsable del tratamiento debe documentar qué categorías de objetos se difuminan automáticamente, qué casos pasan a verificación manual y cuáles son las limitaciones técnicas del proceso. Esta documentación es importante desde el punto de vista de la responsabilidad proactiva.

Ver también

Volver al glosario