Registro de auditoría de redacción: definición
El registro de auditoría de redacción es la trazabilidad del proceso de redacción, es decir, el registro ordenado y verificable de las acciones realizadas durante la anonimización o seudonimización de material visual -fotografías y vídeos-, especialmente al difuminar rostros y matrículas. En la práctica, se trata de un conjunto de metadatos y logs técnicos que permite responder a preguntas como: quién realizó la operación, cuándo la realizó, sobre qué archivo, con qué método, con qué resultado y si el material fue modificado posteriormente tras la redacción.
En el contexto del cumplimiento del RGPD, el rastro de auditoría no es un fin en sí mismo. Es una herramienta de responsabilidad proactiva, a la que se refiere el art. 5.2 del RGPD. El responsable del tratamiento debe poder demostrar que el tratamiento se llevó a cabo de conformidad con los principios de protección de datos, incluidos los principios de integridad, confidencialidad y minimización de datos. En entornos de anonimización de fotos y vídeos, esto implica la necesidad de documentar el proceso de difuminado sin crear conjuntos excesivos de datos personales en los logs.
Un registro de auditoría de redacción bien diseñado no debe duplicar la imagen del rostro, el número de matrícula ni otros datos identificativos. Sí debe, en cambio, documentar el desarrollo del proceso de una forma útil desde el punto de vista probatorio y operativo. Este tipo de registro resulta relevante en una auditoría interna, una inspección de la autoridad de control, la gestión de un incidente, un litigio o la verificación de la calidad de funcionamiento de la herramienta.
¿Cómo debe entenderse la trazabilidad de auditoría en la anonimización de fotos y vídeos?
En el caso de los materiales visuales, la trazabilidad de auditoría abarca tanto la fase de detección automática como la fase de redacción propiamente dicha y, en su caso, la corrección manual. Esto es importante, porque la eficacia de la anonimización depende de toda la cadena de tratamiento y no solo del filtro de desenfoque en sí.
Si el sistema utiliza un modelo de IA para detectar rostros o matrículas, el registro de auditoría debe indicar qué modelo se utilizó, en qué versión, con qué configuración de umbrales de detección y si el operador validó el resultado manualmente. En el caso de los rostros, normalmente se emplean modelos de detección basados en deep learning, ya que los métodos clásicos muestran menor robustez frente a cambios de ángulo, iluminación, oclusión parcial y baja calidad de imagen. El modelo de IA por sí solo no constituye aún una anonimización. Es un componente que localiza las áreas que requieren redacción, y solo en una fase posterior se aplica una máscara, desenfoque o pixelado.
Por tanto, el registro de auditoría de redacción debe describir el proceso, y no únicamente el resultado final.
¿Qué debe incluir un log de difuminado?
Para que el log sea útil desde la perspectiva del RGPD y del valor probatorio, debe ser completo, coherente y resistente a modificaciones no autorizadas. Al mismo tiempo, no debe contener datos personales excesivos. En la práctica, conviene separar el log técnico de los datos de origen y conservar únicamente identificadores, hashes criptográficos y parámetros del proceso.
El conjunto mínimo de información puede presentarse así:
Elemento del log | Finalidad | Observaciones de compliance
|
|---|---|---|
Identificador del caso / tarea | Vincular la operación con el proceso de negocio | Sin revelar datos de la persona presente en el material |
Identificador del archivo de origen | Identificación unívoca del material | Preferiblemente un hash, por ejemplo SHA-256 del archivo |
Fecha y hora de la operación | Reconstrucción de la secuencia de acciones | Idealmente en UTC y con sincronización horaria |
Identificador del operador o del proceso | Responsabilidad sobre las acciones realizadas | No datos personales completos, sino un identificador de cuenta |
Tipo de objeto detectado | Distinguir entre rostros y matrículas | Sin almacenar la imagen del objeto en sí |
Método de redacción | Indicar si se utilizó blur, pixelado o máscara | Importante para evaluar la eficacia |
Versión del modelo / motor | Repetibilidad y auditoría técnica | Clave tras una actualización del sistema |
Parámetros del proceso | Evaluación de calidad y reproducibilidad | Umbral de detección, intensidad del desenfoque, rango de fotogramas |
Información sobre corrección manual | Indicar la intervención del operador | Importante en materiales complejos |
Hash del archivo resultante | Verificación de la integridad del resultado | Ayuda a demostrar la ausencia de cambios posteriores |
Requisitos del RGPD y valor probatorio
Desde la perspectiva del RGPD, los aspectos más importantes son los principios del art. 5.1 y 5.2, así como la seguridad del tratamiento del art. 32. El mero hecho de mantener logs no exime de la obligación de minimizarlos. Si el log incluyera miniaturas de rostros, números completos de matrícula o capturas de fotogramas, podría convertirse en un nuevo conjunto de datos personales que requeriría una base jurídica adecuada y medidas de seguridad específicas.
Desde el punto de vista probatorio, son relevantes la integridad, la autenticidad y la posibilidad de demostrar la continuidad de las operaciones. En la práctica, resultan útiles:
En primer lugar, los hashes criptográficos del archivo de entrada y del archivo de salida. En segundo lugar, un registro inmutable de eventos o mecanismos de detección de modificaciones. En tercer lugar, el control de acceso y el registro de permisos. En cuarto lugar, una marca temporal coherente. Este modelo ayuda a demostrar que una determinada versión del material fue sometida a redacción en un momento concreto y por un proceso concreto.
Parámetros y métricas clave del registro de auditoría de redacción
El log por sí solo no evalúa la calidad de la anonimización, pero sí debe registrar métricas que permitan esa evaluación. En los sistemas de tratamiento de imágenes y vídeo, tienen especial relevancia los parámetros de detección y de completitud de la redacción.
En la práctica, conviene registrar:
- la precisión (precision) y la exhaustividad (recall) del modelo de detección, siempre que se midan sobre conjuntos de validación del fabricante o de la organización implantadora,
- el número de objetos detectados por archivo o por fotograma,
- el porcentaje de objetos corregidos manualmente,
- el tiempo de procesamiento del archivo, por ejemplo en segundos por minuto de vídeo,
- el número de fotogramas sin máscara aplicada en secuencias en las que el objeto estaba presente.
En material probatorio o administrativo, resulta especialmente importante la tasa de omisiones, es decir, los false negatives. Si un rostro o una matrícula no se detectan ni se difuminan, la redacción puede ser ineficaz aunque funcione correctamente en la mayoría de los fotogramas.
Limitaciones y práctica de implementación
No todos los elementos del proceso deben incorporarse al log. En un entorno alineado con el principio de privacy by design, es preferible registrar menos datos, pero con mayor valor probatorio. Esto se aplica especialmente a los sistemas on-premise, donde el administrador tiene pleno control sobre la retención, los permisos y la ubicación de almacenamiento de los logs.
En la práctica, Gallio PRO difumina automáticamente rostros y matrículas, pero no detecta automáticamente logotipos, tatuajes, placas identificativas, documentos ni imágenes mostradas en monitores. Estos elementos pueden redactarse manualmente en el editor. Por ello, el registro de auditoría de redacción debe diferenciar entre operaciones automáticas y manuales. Al mismo tiempo, el log no debe contener datos personales procedentes de la detección de rostros y matrículas.
Referencias normativas y fuentes
La definición y el alcance de la responsabilidad proactiva deben vincularse, ante todo, al Reglamento (UE) 2016/679, es decir, el RGPD, adoptado el 27 de abril de 2016 y aplicable desde el 25 de mayo de 2018, en particular a su art. 5.2, art. 24, art. 25 y art. 32. En el ámbito de la seguridad de la información, también resultan útiles las normas ISO/IEC 27001:2022 e ISO/IEC 27002:2022, que describen el control de acceso, el registro de eventos y la integridad de la información. Para el valor probatorio, son relevantes las normas procesales nacionales y las reglas de preservación del material digital, aunque su aplicación concreta depende del tipo de procedimiento.
En lo relativo a las matrículas, existen divergencias interpretativas en Polonia. Las posiciones de las autoridades de protección de datos y la práctica de compliance suelen inclinarse por la cautela y por difuminar las matrículas, mientras que en la jurisprudencia de los tribunales contencioso-administrativos ha aparecido la postura de que una matrícula, por sí sola, no siempre constituye un dato personal. En aplicaciones de compliance, resulta por tanto más seguro documentar el hecho de la redacción de matrículas sin conservar su contenido en el log.