¿Es legal usar cámaras con reconocimiento facial en espacios públicos?

Las cámaras con reconocimiento facial se han colado en aeropuertos, empresas, estadios y hasta supermercados, y cada vez nos hacemos más la misma pregunta: si me graban la cara en la calle o en un comercio, ¿eso es legal o no lo es? No es solo una cuestión tecnológica; hablamos de derechos fundamentales, privacidad y de hasta dónde estamos dispuestos a que nos vigilen para sentirnos más seguros.

Al mismo tiempo, la Unión Europea ha aprobado un marco regulatorio muy exigente (RGPD, LOPDGDD y ahora la Ley Europea de Inteligencia Artificial) que pone el listón muy alto a la hora de tratar datos biométricos como el rostro. Así que, aunque veas muchas cámaras “inteligentes” en el mercado y en la publicidad, su uso real está rodeado de matices legales, excepciones muy concretas y bastantes riesgos si no se hace bien.

¿Qué es realmente el reconocimiento facial y por qué se considera tan delicado?

El reconocimiento facial es un tipo de tecnología biométrica que permite identificar o verificar a una persona a partir de sus rasgos faciales. No se limita a “ver un vídeo”: la cámara o el sistema captura la imagen del rostro, el software la traduce a una plantilla matemática (una especie de huella facial) y, a partir de ahí, la compara con otras plantillas almacenadas en una base de datos. En algunos diseños, parte del procesamiento puede realizarse en el propio dispositivo mediante procesamiento en el borde, es decir, procesamiento en el propio dispositivo, lo que reduce la necesidad de enviar datos al cloud.

Esta tecnología no es nueva: ya en los años 60, proyectos pioneros usaban coordenadas sobre fotografías para localizar ojos, nariz, boca o línea del cabello y compararlos manualmente. Con el tiempo, los algoritmos de aprendizaje profundo han convertido este proceso en algo automático, rápido y masivo, capaz de reconocer caras casi en tiempo real en flujos de vídeo procedentes de cámaras de vigilancia.

Hoy el reconocimiento facial está integrado en multitud de servicios cotidianos, como Google ML Kit: desbloquear el móvil, iniciar sesión en apps, pagar, entrar a un edificio, pasar un control de embarque en el aeropuerto o hasta etiquetar amigos en redes sociales. Facebook, por ejemplo, llegó a etiquetar automáticamente cientos de millones de fotos al día, lo que generó una enorme polémica sobre la privacidad de sus usuarios y la opacidad sobre cómo se creaban y utilizaban esas bases de datos de rostros.

La clave legal está en que el rostro es un dato biométrico destinado a identificar de forma unívoca a una persona física. El Reglamento General de Protección de Datos (RGPD) lo coloca dentro de las “categorías especiales de datos”, junto con los datos sobre salud, orientación sexual u opiniones políticas. Esto significa que, por regla general, su tratamiento está prohibido, salvo que exista una base jurídica muy sólida (consentimiento explícito, interés público esencial, seguridad pública amparada por ley, etc.).

Además del componente jurídico, existen problemas técnicos y éticos: los algoritmos pueden fallar más con determinados grupos raciales, con mujeres o con personas jóvenes y mayores, generando un sesgo que ya ha sido denunciado en numerosos estudios. Estos errores no son inocuos: pueden derivar en identificaciones incorrectas, falsas sospechas y consecuencias legales injustas para personas que no han hecho absolutamente nada.

Riesgos y polémicas: de la vigilancia masiva a los sesgos algorítmicos

El uso extensivo de reconocimiento facial en espacios públicos dispara las alarmas de privacidad. Hablamos de sistemas capaces de escanear la cara de cualquier persona que pase por delante de una cámara, compararla con enormes bases de datos y seguir sus movimientos sin que esa persona lo sepa ni haya dado su consentimiento. Este modelo de vigilancia masiva, habitual en países como China, choca frontalmente con derechos fundamentales europeos como la privacidad, la libertad de expresión o la libertad de reunión.

Organizaciones de derechos humanos y autoridades de protección de datos llevan años avisando de que una red de cámaras con reconocimiento facial en calles, estaciones o centros comerciales permitiría tener a la ciudadanía localizada 24/7. Además, nadie ha explicado con total transparencia de dónde salen todas las imágenes que nutren las bases de datos comerciales o policiales, cuánto tiempo se conservan, quién accede a ellas o si pueden reutilizarse para otros fines (publicidad, control laboral, vigilancia política, etc.).

Los sesgos tecnológicos son otro gran riesgo. Numerosas auditorías han mostrado que algunos sistemas reconocen mucho mejor rostros de personas blancas en condiciones óptimas de luz, y fallan más con personas negras o asiáticas. Entender por qué ocurre esto requiere contemplar aspectos técnicos como los campos receptivos y la calidad de los datos de entrenamiento. Estos fallos pueden traducirse en sospechas infundadas, controles desproporcionados o incluso imputaciones erróneas, con un impacto especialmente grave para colectivos ya vulnerables o discriminados.

Desde el punto de vista de la ciberseguridad, las bases de datos de plantillas faciales también son un objetivo muy goloso. Si se produce una brecha de seguridad, no estamos hablando de una contraseña que puedas cambiar: tu cara es tu cara para siempre. Esto convierte cualquier filtración en un problema potencialmente permanente, con posible reutilización de esos datos en fraudes de identidad o sistemas de suplantación.

Por todo ello, las autoridades insisten en que el reconocimiento facial debe considerarse la opción más intrusiva y solo utilizarse cuando no haya alternativas menos invasivas que permitan alcanzar el mismo objetivo. No basta con decir “es que así es más cómodo” o “es más moderno que una tarjeta de acceso”; hay que justificarlo jurídica y éticamente.

Qué dice el RGPD, la LOPDGDD y la normativa española sobre reconocimiento facial

En la Unión Europea, el RGPD es la norma marco que regula el tratamiento de datos personales, incluidos los biométricos. El artículo 9 establece que el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona está prohibido, salvo que concurra alguna de las excepciones previstas, entre ellas:

• Consentimiento explícito del interesado, libre, informado, específico y verificable.
• Razones de interés público esencial, siempre que lo prevea una ley y se establezcan garantías adecuadas.
• Motivos de interés público en el ámbito de la salud pública o la seguridad, igualmente respaldados por una norma con rango de ley.

En España, el RGPD se desarrolla a través de la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), que refuerza las exigencias en materia de proporcionalidad, minimización y seguridad de los datos biométricos. La Agencia Española de Protección de Datos (AEPD) ha publicado incluso documentos específicos sobre identificación y autenticación biométrica, subrayando que no se puede recurrir al reconocimiento facial solo porque “resulta más cómodo”.

La AEPD insiste en que, antes de implantar un sistema de reconocimiento facial, la organización debe realizar una evaluación de impacto en protección de datos (EIPD o DPIA). En esa evaluación se debe analizar qué datos se recogen, con qué finalidad, qué riesgos generan para los derechos y libertades de las personas y qué medidas técnicas y organizativas se van a aplicar para mitigarlos.

Las sanciones por un uso inadecuado pueden ser muy elevadas. El RGPD contempla multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global de la empresa (el reglamento de IA prevé incluso hasta el 6 % en determinados supuestos). En España ya se han incoado procedimientos y advertencias por sistemas biométricos mal planteados, especialmente en el ámbito laboral y en comercios.

En entornos laborales, el uso de reconocimiento facial para controlar accesos o fichajes es especialmente sensible. El consentimiento del trabajador difícilmente puede considerarse “libre” debido a la relación de subordinación, por lo que la base jurídica suele intentar apoyarse en el interés público esencial o en una norma específica. Los tribunales y la AEPD han dejado claro que las empresas deben justificar por qué no utilizan medios menos intrusivos, como tarjetas, códigos o huellas dactilares, y que no basta con alegar eficiencia o reducción de fraudes.

La nueva Ley Europea de Inteligencia Artificial (EU AI Act) y el reconocimiento facial

La Ley de Inteligencia Artificial de la Unión Europea (EU AI Act) ha dado un paso más en la regulación de la IA, incluyendo de forma muy relevante los sistemas de videovigilancia con reconocimiento facial. Entró en vigor en agosto de 2024 y prevé una aplicación progresiva de sus obligaciones hasta 2026, pero algunas prohibiciones ya son efectivas desde febrero de 2025.

Esta norma clasifica los sistemas de IA en cuatro niveles de riesgo: inaceptable (prohibidos), alto, limitado y mínimo. En la categoría de riesgo inaceptable se incluyen practicas como ciertos sistemas de vigilancia biométrica masiva o herramientas de manipulación subliminal, que directamente no se pueden usar en la UE.

En cuanto al reconocimiento facial, el AI Act distingue entre identificación biométrica remota en tiempo real y a posteriori. Ambos usos se consideran, en general, sistemas de alto riesgo y quedan sometidos a requisitos estrictos: evaluación de riesgos, supervisión humana, registros detallados, alta calidad de los datos y medidas sólidas de ciberseguridad.

Hay un tratamiento especialmente sensible: la identificación biométrica remota en tiempo real en espacios accesibles al público con fines policiales. El reglamento cataloga esta práctica como de riesgo inaceptable y la prohíbe, pero establece algunas excepciones muy tasadas, ligadas casi siempre a la persecución de delitos graves o a amenazas terroristas.

Se permiten excepciones, pero bajo condiciones muy estrictas: deben estar respaldadas por una norma, requerir autorización judicial previa, limitarse a un periodo temporal y a un área geográfica concretos, y notificarse a la autoridad de protección de datos competente. Además, debe realizarse una evaluación de impacto específica y demostrar que no hay alternativas menos intrusivas.

¿Puede la policía usar reconocimiento facial en espacios públicos?

En el marco jurídico actual, la policía sí puede utilizar sistemas biométricos de reconocimiento facial para la prevención, detección, investigación y enjuiciamiento de infracciones penales, así como para la ejecución de sanciones, siempre que exista cobertura legal y se respeten las garantías exigidas por el RGPD y el AI Act.

El uso en tiempo real en espacios públicos es el punto más conflictivo. El AI Act lo considera, de entrada, una práctica prohibida, pero recoge varias excepciones: búsqueda de víctimas concretas de secuestro, trata o explotación sexual; búsqueda de personas desaparecidas; prevención de una amenaza específica, inminente y grave para la vida o la seguridad física (por ejemplo, un atentado terrorista); o localización/identificación de sospechosos de determinados delitos graves (terrorismo, homicidio, violación, tráfico de armas o drogas, etc.).

Estas excepciones tienen un alcance muy amplio en cuanto a la gravedad de los delitos implicados, pero no pueden aplicarse de forma genérica o preventiva. Necesitan autorización judicial, un ámbito temporal y espacial muy concreto, y una evaluación previa de repercusiones sobre derechos fundamentales, con notificación a la autoridad de protección de datos (en España, la AEPD).

Fuera del uso policial en tiempo real, la identificación biométrica remota a posteriori (por ejemplo, comparar imágenes grabadas de un delito ya cometido con una base de datos de sospechosos) sigue siendo considerada de alto riesgo, pero no se prohíbe. Se permite con autorización judicial y siempre que esté vinculada a una investigación penal concreta, evitando cualquier tentación de vigilancia masiva o prospectiva.

La decisión del Gobierno francés de no usar reconocimiento facial automático en tiempo real en los Juegos Olímpicos de París 2024 refleja lo sensible que es este tema en la opinión pública. Aunque la ley hubiera permitido encajar esa vigilancia dentro de las excepciones de lucha antiterrorista, en Francia pesó más la preocupación por el impacto en libertades y el riesgo de normalizar un modelo de vigilancia continua sobre todos los asistentes.

Reconocimiento facial en empresas y comercios: ¿qué se puede y qué no se puede hacer?

Para una empresa privada, instalar cámaras con reconocimiento facial no es algo que se pueda hacer a la ligera. En general, no es lícito usar esta tecnología para controlar a clientes, visitantes o empleados en espacios abiertos al público, salvo que exista una base legal muy clara, que casi nunca se da en el sector privado.

La AEPD ha reiterado que no basta con alegar motivos de seguridad o eficiencia. Para un comercio, un supermercado o incluso un centro comercial, las cámaras de videovigilancia tradicionales sin identificación biométrica suelen ser más que suficientes para prevenir hurtos o incidentes. El salto al reconocimiento facial implica un cambio de escala en cuanto a intrusión, y requiere justificar por qué es estrictamente necesario y proporcional.

Un ejemplo muy conocido en España es el llamado “caso Mercadona”. La cadena probó un sistema de cámaras con reconocimiento facial en algunos supermercados para detectar automáticamente a personas con órdenes de alejamiento vigentes respecto a las tiendas o sus empleados. El objetivo declarado era alertar a la policía cuando estas personas accedieran al local.

Aunque la empresa sostenía que las imágenes se procesaban en apenas décimas de segundo y luego se borraban, los tribunales y la AEPD pusieron en duda la proporcionalidad y la legitimación. La Audiencia Provincial de Barcelona dictaminó que Mercadona no podía seguir utilizando ese sistema: evitar robos o situaciones de inseguridad no bastaba para legitimar un tratamiento tan intrusivo de datos biométricos, y además se consideró que el interés protegido era básicamente privado, no un interés público esencial.

Este caso ha sido una referencia para otras empresas: muestra que, de momento, el reconocimiento facial en comercios para identificar personas con antecedentes, morosos o vetados no supera el listón jurídico de proporcionalidad y base legal. Las compañías deben seguir recurriendo a medidas tradicionales de videovigilancia, seguridad física y colaboración con las fuerzas de seguridad.

Uso en espacios privados: hogares, oficinas y comunidades de propietarios

Cuando hablamos de espacios privados, la situación cambia un poco, pero sigue habiendo límites. En una vivienda particular, por ejemplo, puedes instalar cámaras de seguridad y, en principio, también dispositivos con funciones de reconocimiento facial, siempre que el uso sea estrictamente doméstico y no se capte de forma sistemática la vía pública ni propiedades ajenas. Es frecuente conectar estos equipos con aplicaciones de gestión, por ejemplo iPolis Mobile, para ver las cámaras desde el móvil.

En oficinas y centros empresariales, el reconocimiento facial puede usarse para control de accesos o fichaje siempre que exista una base jurídica adecuada, se informe de forma clara a trabajadores y visitantes, y, preferiblemente, se ofrezcan alternativas menos intrusivas para quienes no deseen usar este sistema. En España, determinados usos biométricos para control de jornada o de acceso están admitidos, pero bajo condiciones estrictas y con evaluación de impacto previa.

La AEPD ha advertido también sobre el uso de cámaras “inteligentes” con funciones de IA (como las de algunos fabricantes de videovigilancia) en comunidades de vecinos, garajes o zonas comunes. Si el sistema incorpora análisis facial para identificar personas, no basta con colocar un cartel genérico de videovigilancia: estaríamos ante un tratamiento de datos biométricos que, en la práctica, será difícil justificar y que puede terminar en sanción.

La recomendación general para empresas y particulares es ser prudentes: desactivar las funciones de reconocimiento facial en los dispositivos comerciales si no se dispone de una base legal muy clara, limitarse a la videovigilancia tradicional y reforzar la seguridad con otras medidas (control de acceso, cerraduras inteligentes, alarmas, etc.) menos intrusivas con la privacidad.

En todo caso, incluso en escenarios en los que el reconocimiento facial pueda llegar a considerarse legítimo, es obligatorio informar claramente a las personas afectadas, establecer políticas de privacidad accesibles, aplicar medidas de seguridad robustas (como cifrado y control de accesos al sistema) y minimizar la cantidad de datos recogidos y el tiempo de conservación.

Eventos multitudinarios, seguridad pública y proporcionalidad

Los eventos masivos como conciertos, partidos de fútbol o grandes celebraciones deportivas son escenarios tentadores para probar tecnologías de videovigilancia con IA. No es casual que se planteara su uso durante los Juegos Olímpicos de París: son ocasiones donde la seguridad es una preocupación central y donde los gobiernos temen especialmente atentados terroristas.

Desde el punto de vista jurídico, la legitimidad de usar reconocimiento facial en estos contextos debe analizarse caso por caso. Se valoran factores como la existencia de amenazas concretas, la magnitud del evento, el nivel de riesgo para la vida o la integridad física de las personas y la existencia (o no) de alternativas menos intrusivas que ofrezcan un grado de protección suficiente.

El clima geopolítico internacional y las advertencias sobre posibles ataques terroristas juegan a favor de considerar proporcionado un reforzamiento puntual de la videovigilancia, pero aun así el uso de reconocimiento facial automático puede considerarse excesivo si implica identificar y registrar a todas las personas asistentes de manera indiscriminada.

El ejemplo francés ilustra bien esta tensión: pese a tener herramientas legales y técnicas para desplegar reconocimiento facial en estadios y fan zones, el gobierno optó por emplear análisis de comportamientos sospechosos sin identificación biométrica individualizada. Pesa más el miedo a normalizar una vigilancia constante de la población que el potencial beneficio adicional frente a otras medidas de seguridad más clásicas.

En Europa, el mensaje general es que la seguridad no puede usarse como excusa para instaurar una vigilancia permanente. Cualquier medida tecnológica debe ser necesaria, proporcional y limitada en el tiempo y el espacio, con un fuerte control parlamentario, judicial y administrativo, y con mecanismos de auditoría independientes.

Por eso, en la práctica, incluso cuando la ley abre la puerta a ciertos usos excepcionales de reconocimiento facial, muchos gobiernos y organizadores de eventos prefieren no cruzar esa línea, conscientes del rechazo social y de las posibles consecuencias jurídicas si se considera que se ha vulnerado la esencia de los derechos fundamentales.

La fotografía legal y tecnológica actual del reconocimiento facial es compleja y está en plena evolución. A día de hoy, en Europa y, en particular, en España, su uso en espacios públicos abiertos, y muy especialmente en tiempo real, está fuertemente restringido y en muchos casos prohibido. Solo la policía, bajo condiciones muy tasadas y con autorización judicial, puede llegar a emplearlo para delitos graves o amenazas terroristas, mientras que las empresas privadas tienen un margen muy limitado para usarlo más allá de contextos muy concretos de control de accesos y siempre con garantías reforzadas. Para cualquier organización o particular que se plantee implantar esta tecnología, la clave es asumir que no es “una cámara más”, sino una herramienta extremadamente intrusiva que exige una justificación jurídica robusta, una evaluación de impacto exhaustiva y un respeto absoluto por los derechos de las personas.