Smart city y privacidad de vídeo: definición
La smart city y la privacidad de vídeo abarcan el diseño, la implantación y la supervisión de sistemas de videovigilancia urbana de forma que el tratamiento de imágenes captadas por cámaras cumpla con la normativa de protección de datos y con el principio de minimizar la injerencia en los derechos de las personas físicas. En la práctica, se trata de que la ciudad pueda utilizar grabaciones e imágenes para fines como la seguridad pública, la gestión del tráfico, el análisis de incidentes o su documentación, pero sin registrar ni divulgar en exceso rasgos identificables de personas y vehículos.
En el contexto de la anonimización de fotos y vídeos, este concepto se refiere sobre todo a la aplicación de medidas técnicas y organizativas que limiten la identificación de personas en material visual. Esto afecta principalmente al difuminado de rostros y matrículas antes de compartir, analizar, publicar o transferir el material fuera de un círculo reducido de destinatarios autorizados. La base jurídica principal es el RGPD, es decir, el Reglamento (UE) 2016/679, aplicable desde el 25 de mayo de 2018, y en los proyectos que utilizan sistemas de IA, también el Reglamento de la UE sobre inteligencia artificial, es decir, la AI Act, Reglamento (UE) 2024/1689, publicado el 12 de julio de 2024 y de aplicación gradual a partir de 2025.
Para las administraciones locales es fundamental tener en cuenta que las imágenes de videovigilancia pueden contener datos personales si permiten identificar a una persona de forma directa o indirecta. Así lo confirma la jurisprudencia del TJUE, incluida la sentencia del asunto C-212/13 Ryneš, así como la práctica consolidada de las autoridades de protección de datos en la UE. Por ello, la videovigilancia en una smart city no es únicamente una cuestión de infraestructura. También es un proceso de tratamiento de datos que requiere una base jurídica, una evaluación de riesgos, políticas de conservación y mecanismos de anonimización de material visual.
Marco legal de la videovigilancia urbana y de la anonimización de vídeo
En los proyectos de smart city no basta con indicar una finalidad pública. El responsable del tratamiento debe demostrar que todo el ciclo de vida de la grabación cumple los principios de licitud, limitación de la finalidad, minimización de datos, integridad y confidencialidad. En la videovigilancia urbana, esto implica la necesidad de separar la fase de captación de la fase de uso secundario del material.
Las normas y directrices más importantes incluyen:
- RGPD - Reglamento (UE) 2016/679, en particular los artículos 5, 6, 25, 32 y 35.
- Directrices 3/2019 del CEPD sobre el tratamiento de datos personales mediante dispositivos de vídeo, adoptadas en su versión final el 29 de enero de 2020.
- AI Act - Reglamento (UE) 2024/1689. En los sistemas de smart city son especialmente relevantes las reglas para sistemas de alto riesgo y las limitaciones relativas a la identificación biométrica remota.
- La normativa nacional que regula la videovigilancia en entidades públicas y el acceso a la información pública.
- En Polonia: los criterios y posiciones de la UODO y, en el caso de publicación de materiales, también el Código Civil y la ley sobre derechos de autor y derechos afines en lo relativo al derecho a la imagen.
En la práctica jurídica también son importantes las discrepancias en torno a las matrículas. En Europa, el difuminado de matrículas suele considerarse un estándar de cumplimiento y prudencia legal. En Polonia, la situación no es uniforme. Las directrices de la UODO, del CEPD y parte de la argumentación basada en la jurisprudencia del TJUE respaldan un enfoque cautelar, mientras que la línea jurisprudencial de los tribunales administrativos ha indicado que una matrícula, por sí sola, no siempre constituye un dato personal. Para un organismo público, esto implica la necesidad de analizar el contexto y el riesgo, y no apoyarse únicamente en una sola interpretación.
Cómo aplica la smart city la anonimización de fotos y grabaciones de vídeo
En los sistemas urbanos, la anonimización no suele significar la eliminación de toda la grabación, sino la reducción de la identificabilidad de determinados elementos de la imagen. Normalmente se trata de los rostros de viandantes y de las matrículas de los vehículos. Esto es especialmente importante cuando las grabaciones se facilitan a unidades organizativas, se publican materiales promocionales sobre inversiones, se comparte material con medios de comunicación o se utilizan conjuntos de datos para pruebas y formación.
Técnicamente, el proceso suele incluir:
- la detección de objetos en los fotogramas,
- el seguimiento de los objetos detectados entre fotogramas,
- la aplicación de una máscara de anonimización, por ejemplo, blur o pixelado,
- la verificación de calidad para no dejar fotogramas sin difuminar.
Para la detección automática de rostros y matrículas se emplean modelos de aprendizaje automático, normalmente basados en deep learning. La red neuronal se entrena primero con conjuntos de datos que contienen ejemplos etiquetados de rostros o matrículas. Solo un modelo ya entrenado puede utilizarse después para el difuminado automático en fotos y grabaciones. Sin la fase de entrenamiento, el modelo no tiene capacidad para detectar objetos de forma fiable en condiciones urbanas variables, como lluvia, movimiento, noche o rostros parcialmente cubiertos.
En el contexto de Gallio PRO, es importante distinguir claramente el alcance funcional. El software difumina automáticamente rostros y matrículas. No difumina cuerpos completos. No realiza anonimización en tiempo real ni anonimización de flujo de vídeo. Tampoco detecta automáticamente logotipos, tatuajes, placas identificativas con nombres, documentos ni imágenes mostradas en monitores. Estos elementos pueden difuminarse manualmente en el editor.
Parámetros y métricas clave para la privacidad de vídeo
La evaluación de un sistema de anonimización en una smart city debe basarse en parámetros medibles. Las simples declaraciones de cumplimiento no son suficientes. Para el DPD y el equipo de TI, es importante tanto la eficacia de la detección como el riesgo de divulgación de datos tras la anonimización.
Parámetro | Significado | Importancia práctica
|
|---|---|---|
Recall | Porcentaje de rostros o matrículas reales detectados correctamente | Un recall bajo aumenta el riesgo de dejar datos personales visibles |
Precision | Porcentaje de detecciones correctas sobre el total de detecciones | Una precision baja incrementa el número de máscaras erróneas |
IoU | Intersection over Union de la caja de detección | Afecta a si la máscara cubre realmente toda la zona del rostro o de la matrícula |
Frame coverage | Porcentaje de fotogramas en los que la máscara se mantiene correctamente | Es clave cuando hay movimiento de cámara o el objeto se desplaza rápidamente |
Latencia de procesamiento | Tiempo de procesamiento del material | Influye en la eficiencia del trabajo de la administración y, en sistemas offline, determina el tiempo necesario para preparar el material antes de compartirlo |
Conservación de grabaciones | Periodo de almacenamiento del material original | Debe estar justificado por la finalidad y por la política del responsable del tratamiento |
Para la evaluación del riesgo puede utilizarse un modelo operativo sencillo:
Riesgo de divulgación = probabilidad de no detección x impacto de la identificación
Si el material va a compartirse de forma más amplia, el nivel de eficacia exigido a la anonimización debe ser superior al requerido para una circulación interna y estrictamente controlada.
Caso de uso para la administración local: publicación y cesión de grabaciones
Un caso de uso típico se refiere a la videovigilancia urbana de cruces, paradas y plazas. La ciudad quiere utilizar las grabaciones para analizar el tráfico, documentar inversiones o responder a una solicitud de acceso a la información pública. Sin embargo, el material contiene rostros de peatones y números de matrícula.
Un proceso seguro suele incluir las siguientes etapas:
- definir la finalidad del uso secundario del material,
- verificar la base jurídica y la necesidad de realizar una EIPD conforme al artículo 35 del RGPD,
- seleccionar el alcance de la grabación estrictamente necesario para la finalidad,
- difuminar automáticamente rostros y matrículas,
- revisar manualmente el material para detectar otros identificadores,
- facilitar una copia procesada en lugar del archivo original,
- aplicar una política de conservación y control de accesos.
Este enfoque respalda el principio de privacy by design del artículo 25 del RGPD. También permite limitar el número de operaciones realizadas sobre el material original por personas no autorizadas. En un entorno on-premise, una ventaja adicional es que no es necesario transferir las grabaciones a servicios externos en la nube, lo que simplifica el análisis de los flujos y transferencias de datos.
Retos y limitaciones en los proyectos de smart city
Incluso un sistema correctamente diseñado no elimina todos los riesgos. Los problemas más frecuentes son de carácter técnico y organizativo. Afectan a la calidad de imagen, al ángulo de la cámara, a la iluminación, a la compresión y también a errores en el uso secundario del material.
Entre las limitaciones más importantes se encuentran:
- la reducción de la eficacia de detección con baja resolución y compresión elevada,
- la ocultación parcial del rostro o de la matrícula,
- el riesgo de identificación indirecta a pesar del difuminado, por ejemplo, a través del contexto del lugar y del momento,
- la necesidad de distinguir entre material probatorio y material destinado a publicación,
- la falta de uniformidad en Polonia respecto a la consideración jurídica de las matrículas.
En el caso de la imagen de personas, debe recordarse que la obligación de anonimizar puede derivarse no solo del RGPD, sino también de la protección de los derechos de la personalidad y de las normas sobre difusión de la imagen. Las excepciones incluyen a una persona de notoriedad pública cuando la imagen fue captada en relación con el ejercicio de funciones públicas, la imagen como detalle de un conjunto como una manifestación, un paisaje o un evento público, así como la situación en que la persona ha recibido la remuneración pactada por posar. No obstante, cada uno de estos supuestos requiere una valoración del caso concreto.