El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con la seguridad privada y el tratamiento de datos personales. La primera cuestión se centra en la posible exclusión de las actividades de seguridad privada del ámbito de aplicación del Reglamento General de Protección de Datos (RGPD) debido a su carácter subordinado a la seguridad pública. La segunda cuestión trata sobre la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia al amparo del artículo 42 de la Ley de Seguridad Privada.
En cuanto a la primera cuestión, el informe destaca que las actividades de seguridad privada son complementarias y subordinadas a la seguridad pública, según lo establecido en la Ley 5/2014 de Seguridad Privada. Sin embargo, los tratamientos de datos realizados por empresas y personal de seguridad privada no están excluidos del ámbito de aplicación del RGPD. Estos tratamientos deben cumplir con las disposiciones del RGPD y no están sujetos a la Directiva (UE) 2016/680, que regula el tratamiento de datos personales por autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales.
Respecto a la segunda cuestión, el informe subraya que el uso de tecnologías de reconocimiento facial en sistemas de videovigilancia implica el tratamiento de datos biométricos, considerados categorías especiales de datos según el artículo 9 del RGPD. Este tratamiento está prohibido, salvo que concurra alguna de las excepciones previstas en el apartado 2 del artículo 9 del RGPD. La AEPD considera que la normativa actual es insuficiente para permitir el uso de reconocimiento facial en sistemas de videovigilancia, ya que no cumple con los requisitos de proporcionalidad, necesidad y garantías adecuadas. Se requiere una norma con rango de ley que justifique específicamente el uso de estas tecnologías y establezca las garantías necesarias para proteger los derechos de los afectados.
En resumen, el informe de la AEPD concluye que las actividades de seguridad privada están sujetas al RGPD y que el uso de sistemas de reconocimiento facial en videovigilancia no está actualmente justificado por la normativa vigente. Se necesita una regulación específica que cumpla con los requisitos de proporcionalidad y garantías para permitir el uso de estas tecnologías.