Actualmente ya no nos sorprende que las tecnologías permitan localizar y seguir con exactitud los pasos que damos, nuestra ubicación o las actividades a las que nos hemos dedicado en nuestro día a día. Gestos tan cotidianos como entrar en la oficina, pasar por un control de entrada en el transporte público o la mera utilización de los numerosos aparatos portátiles que llevamos encima permiten dicha localización. De hecho, la proliferación de medios conectados, sumada a la creciente sofisticación y reducción de costes para obtener dicha información, han planteado la necesidad de definir los límites de uso de unas tecnologías tan invasivas como peligrosas para nuestra intimidad.
En este sentido, si bien no parece existir discusión respecto de la necesidad de establecer unos límites a esta tecnología de localización, la cuestión se vuelve particularmente difícil cuando nos referimos a usos tendentes a prevenir infracciones legales o a permitir dar aviso respecto a peligros inminentes. En otras palabras, el avance en las tecnologías de seguimiento de las personas ha llegado a plantear cómo deberían utilizarse dichas tecnologías respecto a personas que deban estar alejadas de otras personas o de determinados establecimientos, asegurando idealmente un equilibrio entre la prevención de dichas infracciones o riesgos y la necesaria salvaguarda de los derechos de las personas objeto de dicho seguimiento.
Esta cuestión se planteó en el Auto núm. 72/2021 de 15 de febrero de la sección penal de la Audiencia Provincial de Barcelona. En dicha decisión se estableció la imposibilidad de utilizar sistemas de captación de datos biométricos con el objetivo de detectar personas que, por resolución judicial, tenían prohibido el acceso a los establecimientos de una famosa cadena de supermercados. En particular, la Audiencia concluyó que no se cumplían las excepciones previstas en el art. 9.2 del Reglamento General de Protección de Datos (“RGPD”) para el tratamiento de categorías de datos especiales y que, en este caso, los intereses privados de la mercantil no debían prevalecer sobre el interés general de los interesados. Seguidamente se incluye un resumen de dicha resolución.
Antecedentes:
En el marco de un proceso penal por la comisión de un delito de robo con violencia en un establecimiento de la cadena de la denunciante, un Juzgado de lo Penal de Barcelona impuso a los dos autores la prohibición de acceso al establecimiento durante un período de dos años, entre otras penas.
Con el objetivo de asegurar el cumplimiento de esta pena, la mercantil solicitó al Juzgado autorización para utilizar medios electrónicos de reconocimiento facial para detectar la entrada de los penados al establecimiento e impedir así su entrada. Concretamente, el sistema en cuestión capta los rostros de todos los clientes que acceden al establecimiento y, en un período de 0,3 segundos, identifica a aquellas personas cuya entrada al establecimiento está prohibida.
En su escrito, la denunciante argumenta la imposibilidad de garantizar el cumplimiento de la condena a través de medios tradicionales (esto es, identificación por parte de los empleados de la mercantil) y justifica su solicitud en virtud del interés público y su interés legítimo para asegurar el cumplimiento de las resoluciones judiciales en las que es perjudicada.
Inicialmente, el Juzgado de lo Penal nº 24 de Barcelona denegó esta autorización.
Recurso de apelación:
La mercantil interpuso recurso de apelación contra la resolución de denegación de la medida solicitada aduciendo los siguientes argumentos:
Resolución de la Audiencia Provincial de Barcelona:
La Audiencia Provincial de Barcelona rechazó estos argumentos y confirmó la resolución del Juzgado de lo Penal de Barcelona, manteniendo así la denegación de la medida solicitada por los siguientes motivos:
a) La medida implica el tratamiento de datos biométricos:
En el presente supuesto, el tribunal confirma que el uso de tecnologías de reconocimiento facial en sistemas de videovigilancia utilizados en el ámbito de la seguridad privada implica el tratamiento de un dato biométrico dirigido a identificar de manera unívoca a una persona física.
En este sentido, el tribunal cita el informe 36/2020 de la Agencia Española de Protección de Datos (“AEPD”), donde se establece que, con carácter general, y reconociendo que se trata de una cuestión compleja sujeta a interpretación, “los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”. A modo de resumen:
En el presente supuesto, el tribunal confirma que estamos ante una identificación en los términos previamente expuestos, y no ante una mera autenticación. De esta manera, este tratamiento se encuentra, en principio, prohibido en virtud del art. 9.1 RGPD y solamente será lícito cuando concurra alguna de las circunstancias previstas en el art. 9.2 RGPD.
b) El tratamiento de datos no cuenta con base legitimadora:
En las circunstancias analizadas, el tribunal entiende que el tratamiento de datos no se encuentra legitimado:
En virtud de todo lo expuesto, el tribunal finalmente desestimó el recurso de apelación interpuesto y denegó el tratamiento de datos biométricos en los términos solicitados. La medida no resulta proporcional, necesaria ni idónea y su aplicación vulneraría los derechos y libertades no solo de los condenados particulares, sino del resto de clientes del supermercado.