El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 0328/2012 aborda la implantación de un sistema de medición de audiencia mediante dispositivos que captan imágenes sin grabarlas, procesándolas para identificar y clasificar rostros según género y edad. La consulta plantea si este sistema se ajusta a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su normativa de desarrollo.
El informe distingue dos fases en el tratamiento de datos: la captación y procesamiento de imágenes, y el almacenamiento y análisis de datos no gráficos. En la primera fase, la captación de imágenes se considera un tratamiento de datos personales, ya que las imágenes son información gráfica concerniente a personas físicas identificadas o identificables. Por tanto, se aplica la LOPD, que exige el cumplimiento de principios como la finalidad, proporcionalidad y conservación de datos.
El informe subraya que la finalidad del tratamiento debe ser clara y específica, y que los datos no pueden usarse para fines incompatibles con los inicialmente establecidos. Además, la captación de imágenes debe ser proporcional y necesaria para el objetivo propuesto, sin existir otras medidas menos intrusivas que logren el mismo fin. La proporcionalidad se evalúa considerando el lugar de instalación de los dispositivos: en espacios públicos cerrados, como centros comerciales, puede ser aceptable si se informa adecuadamente a los usuarios; en espacios abiertos, como calles, el perjuicio para la privacidad supera el beneficio obtenido.
En cuanto a la legitimación, el informe menciona que el tratamiento de datos puede basarse en el consentimiento del afectado o en el interés legítimo del responsable del tratamiento, siempre que no prevalezcan los derechos y libertades fundamentales del interesado. La AEPD debe realizar una ponderación caso por caso para determinar si el interés legítimo justifica el tratamiento de datos.
Para la segunda fase, donde se almacenan datos no gráficos como género, edad y periodos de tiempo, el informe considera que no se trata de datos personales si no permiten identificar a una persona. Sin embargo, si se asigna un identificador de seguimiento que permita relacionar datos de diferentes captaciones, sí se estarían tratando datos personales.
El informe concluye que, para cumplir con la LOPD, el sistema debe garantizar la seguridad de los datos, informar adecuadamente a los afectados y asegurar que los datos se eliminen tan pronto como sean procesados. Además, se deben adoptar medidas técnicas y organizativas para evitar el acceso no autorizado a los datos y garantizar su protección.