Är det lagligt att använda ansiktsigenkänningskameror på offentliga platser?

Ansiktsigenkänningskameror har infiltrerat flygplatser, företag, arenor och till och med stormarknader.Och vi ställer oss alltmer samma fråga: om mitt ansikte filmas på gatan eller i en butik, är det lagligt eller inte? Det är inte bara en teknisk fråga; vi pratar om grundläggande rättigheter, integritet och i vilken utsträckning vi är villiga att bli övervakade för att känna oss säkrare.

Samtidigt, Europeiska unionen har godkänt ett mycket krävande regelverk (GDPR, LOPDGDD och nu den europeiska lagen om Artificiell intelligensDetta sätter en mycket hög ribba när det gäller hantering av biometriska data som ansiktsigenkänning. Så även om man ser många "smarta" kameror på marknaden och i reklam, är deras faktiska användning omgärdad av juridiska nyanser, mycket specifika undantag och betydande risker om de inte görs korrekt.

Vad exakt är ansiktsigenkänning och varför anses det vara så känsligt?

Ansiktsigenkänning är en typ av biometrisk teknik vilket gör att en person kan identifieras eller verifieras baserat på deras ansiktsdrag. Det är inte begränsat till att bara "titta på en video": kameran eller systemet tar bilden av ansiktet, programvaran översätter den till en matematisk mall (ett slags ansiktsfingeravtryck) och därifrån jämför den den med andra mallar som lagras i en databas. I vissa designer kan en del av bearbetningen göras på själva enheten genom kantbehandling, det vill säga bearbetning på själva enhetenDetta minskar behovet av att skicka data till molnet.

Denna teknik är inte nyRedan på 60-talet använde banbrytande projekt koordinater på fotografier för att lokalisera ögon, näsor, munnar eller hårfästen och jämföra dem manuellt. el tiempo, The djupinlärningsalgoritmer De har förvandlat den här processen till något automatiskt, snabbt och massivt, kapabelt att känna igen ansikten nästan i realtid i videoströmmar från övervakningskameror.

Idag är ansiktsigenkänning integrerat i en mängd vardagliga tjänster.Som Google ML Kit: låsa upp din telefon, logga in appar, betala, gå in i en byggnad, gå igenom säkerhetskontrollen på en flygplats eller till och med tagga vänner på sociala medier. FacebookTill exempel taggade den automatiskt hundratals miljoner foton per dag, vilket genererade enorma kontroverser om användarnas integritet och bristen på transparens kring hur dessa taggar skapades och användes. databaser av ansikten.

Den juridiska nyckeln är att ansiktet är biometrisk data avsedd att unikt identifiera en fysisk person. Den allmänna dataskyddsförordningen (GDPR) placerar den inom "särskilda kategorier av uppgifter", tillsammans med uppgifter om hälsa, sexuell läggning eller politiska åsikter. Detta innebär att behandling av den som en allmän regel är förbjuden, såvida det inte finns en mycket stark rättslig grund (uttryckligt samtycke, väsentligt allmänt intresse, allmän säkerhet skyddad av lag, etc.).

Förutom den juridiska komponenten finns det tekniska och etiska problem.Algoritmer kan vara mer benägna att göra fel med vissa rasgrupper, kvinnor eller unga och gamla människor, vilket skapar en partiskhet som redan har rapporterats i ett flertal studier. Dessa fel är inte ofarliga: de kan leda till felaktiga identifieringar, falska misstankar och orättvisa rättsliga konsekvenser för personer som inte har gjort något fel alls.

Risker och kontroverser: från massövervakning till algoritmiska fördomar

Den utbredda användningen av ansiktsigenkänning i offentliga utrymmen väcker integritetsproblemVi pratar om system som kan skanna ansiktet på alla som passerar framför en kamera, jämföra det med enorma databaser och spåra deras rörelser utan deras vetskap eller samtycke. Denna modell av massövervakning, vanlig i länder som Kina, krockar direkt med grundläggande europeiska rättigheter som integritet, yttrandefrihet och mötesfrihet.

Människorättsorganisationer och dataskyddsmyndigheter har varnat för detta i åratal. Tanken att ett nätverk av ansiktsigenkänningskameror på gator, stationer eller köpcentra skulle göra det möjligt för medborgare att lokaliseras dygnet runt är en myt. Dessutom har ingen helt förklarat varifrån alla bilder som matar kommersiella eller polisiära databaser kommer, hur länge de sparas, vem som har tillgång till dem eller om de kan återanvändas för andra ändamål (reklam, arbetsplatsövervakning, politisk övervakning etc.).

Teknologiska fördomar är en annan stor riskMånga granskningar har visat att vissa system känner igen vita människors ansikten mycket bättre under optimala ljusförhållanden, och misslyckas oftare med svarta eller asiatiska personer. Att förstå varför detta inträffar kräver att man beaktar tekniska aspekter som mottagliga fält och kvaliteten på utbildningsdata. Dessa brister kan leda till ogrundade misstankar, oproportionerliga kontroller eller till och med felaktiga anklagelser, med särskilt allvarliga konsekvenser för redan sårbara eller diskriminerade grupper.

Från synvinkeln cyberDatabaser med ansiktsmallar är också ett mycket lockande mål.Om ett säkerhetsintrång inträffar pratar vi inte om ett lösenord du kan ändra: ditt ansikte är ditt ansikte för alltid. Detta gör varje läcka till ett potentiellt permanent problem, med risk för att informationen återanvänds i identitetsbedrägerier eller förfalskningsförsök.

Av alla dessa skäl insisterar myndigheterna på att ansiktsigenkänning bör betraktas som det mest inkräktande alternativet. och bör endast användas när det inte finns mindre ingripande alternativ som uppnår samma mål. Det räcker inte att säga "det är bekvämare på det här sättet" eller "det är modernare än ett passerkort"; det måste motiveras juridiskt och etiskt.

Vad GDPR, LOPDGDD och spanska bestämmelser säger om ansiktsigenkänning

Inom Europeiska unionen är GDPR den ramförordning som reglerar behandlingen av personuppgifter., inklusive biometri. Artikel 9 fastställer att behandling av biometriska uppgifter som syftar till att unikt identifiera en person är förbjuden, såvida inte ett av de angivna undantagen gäller, inklusive:

• Uttryckligt samtycke från den berörda partenfri, informerad, specifik och verifierbar.
• Skäl av väsentligt allmänintresseförutsatt att det föreskrivs i lag och att tillräckliga skyddsåtgärder har vidtagits.
• Skäl av allmänt intresse inom folkhälsan eller folksäkerheten, även stödd av en lag.

I Spanien implementeras GDPR genom LOPDGDD (Organisk lag om dataskydd och garanti för digitala rättigheter), vilket stärker kraven gällande proportionalitet, minimering och säkerhet för biometriska uppgifter. Den spanska dataskyddsmyndigheten (AEPD) har till och med publicerat specifika dokument om biometrisk identifiering och autentisering, där de betonar att ansiktsigenkänning inte kan användas bara för att det är "bekvämare".

Den spanska dataskyddsmyndigheten (AEPD) insisterar på att innan man implementerar ett system för ansiktsigenkänningOrganisationen måste genomföra en konsekvensbedömning gällande dataskydd (DPIA). Denna bedömning måste analysera vilka uppgifter som samlas in, för vilket ändamål, vilka risker de utgör för individers rättigheter och friheter, och vilka tekniska och organisatoriska åtgärder som kommer att genomföras för att minska dessa risker.

Straffen för felaktig användning kan vara mycket höga.GDPR föreskriver böter på upp till 20 miljoner euro eller 4 % av ett företags totala årliga globala omsättning (AI-förordningen tillåter upp till 6 % i vissa fall). I Spanien har förfaranden och varningar redan inletts gällande dåligt utformade biometriska system, särskilt på arbetsplatser och inom detaljhandeln.

I arbetsmiljöer är användningen av ansiktsigenkänning för att kontrollera åtkomst eller instämpling särskilt känslig.Den anställdes samtycke kan knappast anses vara "fritt" på grund av underordningsförhållandet, så den rättsliga grunden försöker vanligtvis åberopa det väsentliga allmänintresset eller en specifik reglering. Domstolarna och den spanska dataskyddsmyndigheten (AEPD) har klargjort att företag måste motivera varför de inte använder mindre ingripande medel, såsom kort, koder eller fingeravtryck, och att det inte räcker att enbart åberopa effektivitet eller bedrägerireducering.

Den nya europeiska lagen om artificiell intelligens (EU AI-lagen) och ansiktsigenkänning

Europeiska unionens lag om artificiell intelligens (EU AI-lagen) har tagit ytterligare ett steg framåt i regleringen av AI, inklusive, mycket viktigt, videoövervakningssystem med ansiktsigenkänning. Den trädde i kraft i augusti 2024 och föreskriver ett stegvis genomförande av dess skyldigheter fram till 2026, men vissa förbud har varit i kraft sedan februari 2025.

Denna standard klassificerar AI-system i fyra risknivåer.: oacceptabel (förbjuden), hög, begränsad och minimal. Den oacceptabla riskkategorin inkluderar metoder som vissa massbiometriska övervakningssystem eller subliminala manipulationsverktyg, vilka helt enkelt inte är tillåtna i EU.

När det gäller ansiktsigenkänning skiljer AI-lagen mellan biometrisk identifiering på distans i realtid och retrospektiv biometrisk identifiering.Båda användningsområdena anses generellt vara högrisksystem och är föremål för strikta krav: riskbedömning, mänsklig övervakning, detaljerade register, hög datakvalitet och robusta cybersäkerhetsåtgärder.

Det finns en särskilt känslig fråga: biometrisk fjärridentifiering i realtid i offentligt tillgängliga utrymmen för polisändamål.Reglerna kategoriserar denna praxis som en oacceptabel risk och förbjuder den, men fastställer några mycket specifika undantag, nästan alltid kopplade till åtal för allvarliga brott eller terroristhot.

Undantag är tillåtna, men under mycket strikta villkor.De måste stödjas av en förordning, kräva förhandstillstånd från rättsligt institut, vara begränsade till en specifik tidsperiod och ett geografiskt område, och anmälas till den behöriga dataskyddsmyndigheten. Dessutom måste en specifik konsekvensbedömning genomföras och det måste visas att det inte finns några mindre ingripande alternativ.

Får polisen använda ansiktsigenkänning på offentliga platser?

Enligt den nuvarande rättsliga ramen kan polisen använda biometriska ansiktsigenkänningssystem för att förebygga, upptäcka, utreda och lagföra brott, samt för att verkställa sanktioner, förutsatt att det finns rättsligt skydd och att de garantier som krävs enligt GDPR och AI-lagen respekteras.

Realtidsanvändning i offentliga utrymmen är den mest problematiska punkten.AI-lagen betraktar det från början som en förbjuden verksamhet, men innehåller flera undantag: sökande efter specifika offer för kidnappning, människohandel eller sexuell exploatering; sökande efter försvunna personer; förhindrande av ett specifikt, överhängande och allvarligt hot mot liv eller fysisk säkerhet (till exempel en terroristattack); eller lokalisering/identifiering av misstänkta för vissa allvarliga brott (terrorism, mord, våldtäkt, vapen- eller narkotikahandel etc.).

Dessa undantag har ett mycket brett tillämpningsområde vad gäller de berörda brottens allvar.De kan dock inte tillämpas generellt eller förebyggande. De kräver rättsligt tillstånd, ett mycket specifikt tidsmässigt och rumsligt tillämpningsområde och en förhandsbedömning av effekterna på grundläggande rättigheter, med anmälan till dataskyddsmyndigheten (i Spanien AEPD).

Utöver realtidsanvändning av polisen, biometrisk fjärridentifiering i efterhand (Till exempel att jämföra inspelade bilder av ett redan begånget brott med en databas över misstänkta) anses fortfarande vara högrisk, men det är inte förbjudet. Det är tillåtet med rättsligt tillstånd och förutsatt att det är kopplat till en specifik brottsutredning, vilket undviker alla frestelser till massövervakning eller framtida övervakning.

Den franska regeringens beslut att inte använda automatisk ansiktsigenkänning i realtid vid de olympiska spelen i Paris 2024 Detta återspeglar hur känslig denna fråga är för den allmänna opinionen. Även om lagen skulle ha tillåtit att sådan övervakning omfattas av undantagen för kampen mot terrorism, vägde oron över påverkan på friheterna och risken att normalisera en modell med kontinuerlig övervakning av alla deltagare tyngre i Frankrike.

Ansiktsigenkänning i företag och butiker: vad kan och kan inte göras?

För ett privat företag är det inte lätt att installera ansiktsigenkänningskameror.I allmänhet är det inte lagligt att använda denna teknik för att övervaka kunder, besökare eller anställda i offentliga utrymmen, såvida det inte finns en mycket tydlig rättslig grund, vilket nästan aldrig finns inom den privata sektorn.

Den spanska dataskyddsmyndigheten (AEPD) har upprepat att det inte räcker att ange säkerhets- eller effektivitetsskäl.För en butik, stormarknad eller till och med ett köpcentrum är traditionella videoövervakningskameror utan biometrisk identifiering vanligtvis mer än tillräckliga för att förhindra stöld eller andra incidenter. Övergången till ansiktsigenkänning innebär en betydande förändring av intrångsnivån och kräver att man motiverar varför det är absolut nödvändigt och proportionerligt.

Ett välkänt exempel i Spanien är det så kallade ”Mercadona-fallet”Kedjan testade ett system med ansiktsigenkänningskamera i vissa stormarknader för att automatiskt upptäcka personer med besöksförbud mot dem, vilket förbjöd dem att komma in i butikerna eller deras anställda. Det uttalade målet var att varna polisen när dessa individer gick in i lokalen.

Även om företaget hävdade att bilderna bearbetades på bara en tiondels sekund och sedan raderadesDomstolarna och den spanska dataskyddsmyndigheten (AEPD) ifrågasatte åtgärdens proportionalitet och legitimitet. Barcelonas provinsdomstol beslutade att Mercadona Jag kunde inte fortsätta använda det systemet: att förhindra stöld eller osäkerhet räckte inte för att legitimera en sådan inkräktande behandling av biometriska uppgifter, och det ansågs också att det skyddade intresset i grunden var privat, inte ett väsentligt allmänintresse.

Detta fall har fungerat som referens för andra företag.Detta visar att ansiktsigenkänning i företag för att identifiera personer med brottsregister, gäldenärer eller svartlistade individer för närvarande inte uppfyller de rättsliga kraven på proportionalitet och rättslig grund. Företag måste fortsätta att förlita sig på traditionella åtgärder som videoövervakning, fysisk säkerhet och samarbete med brottsbekämpande myndigheter.

Användning i privata utrymmen: hem, kontor och bostadsrättsföreningar

När vi pratar om privata utrymmen förändras situationen något.Men det finns fortfarande begränsningar. I ett privat hem kan man till exempel installera säkerhetskameror och i princip enheter med ansiktsigenkänningsfunktioner, förutsatt att de används strikt i hemmet och att de inte systematiskt tar bilder av allmänna gator eller andra människors egendom. Det är vanligt att ansluta dessa enheter till exempelvis administrationsapplikationer. iPolis Mobilför att se kamerorna från din mobiltelefon.

På kontor och affärscenter kan ansiktsigenkänning användas för åtkomstkontroll eller tidtagning. Förutsatt att det finns en tillräcklig rättslig grund är arbetstagare och besökare tydligt informerade, och helst erbjuds mindre inkräktande alternativ för dem som inte vill använda detta system. I Spanien är vissa biometriska användningsområden för tid och närvaro eller åtkomstkontroll tillåtna, men under strikta villkor och med en föregående konsekvensbedömning.

Den spanska dataskyddsmyndigheten AEPD har också varnat för användningen av "smarta" kameror med AI-funktioner. (såsom de från vissa tillverkare av videoövervakning) i bostadsområden, garage eller gemensamma utrymmen. Om systemet inkluderar ansiktsanalys för att identifiera personer räcker det inte att bara sätta upp en generisk videoövervakningsskylt: detta skulle utgöra behandling av biometriska uppgifter, vilket i praktiken kommer att vara svårt att rättfärdiga och kan leda till påföljder.

Den allmänna rekommendationen för företag och privatpersoner är att vara försiktiga.: inaktivera ansiktsigenkänningsfunktioner på kommersiella enheter om det inte finns någon tydlig rättslig grund, begränsa dig till traditionell videoövervakning och förstärk säkerheten med andra åtgärder (åtkomstkontroll, smarta lås, larm etc.) som är mindre inkräktande på integriteten.

I vilket fall som helst, även i scenarier där ansiktsigenkänning kan anses vara legitimDet är obligatoriskt att tydligt informera de berörda individerna, upprätta tillgängliga integritetspolicyer, tillämpa robusta säkerhetsåtgärder (såsom kryptering och systemåtkomstkontroll) och minimera mängden insamlad data och lagringstiden.

Masssamlingar, allmän säkerhet och proportionalitet

Massevenemang som konserter, fotbollsmatcher eller stora sportfester Det här är frestande scenarier för att testa AI-driven videoövervakningsteknik. Det är ingen slump att deras användning övervägdes under OS i Paris: det är tillfällen då säkerhet är en central fråga och där regeringar är särskilt rädda för terroristattacker.

Ur juridisk synvinkel måste legitimiteten i att använda ansiktsigenkänning i dessa sammanhang analyseras från fall till fall.Faktorer som förekomsten av specifika hot, händelsens omfattning, risknivån för människors liv eller fysiska integritet, och förekomsten (eller inte) av mindre ingripande alternativ som erbjuder en tillräcklig skyddsnivå bedöms.

Det internationella geopolitiska klimatet och varningar om möjliga terroristattacker De argumenterar för att en specifik förstärkning av videoövervakning bör anses vara proportionerlig, men även så kan användningen av automatisk ansiktsigenkänning anses vara överdriven om den innebär att alla deltagare urskillningslöst identifieras och registreras.

Det franska exemplet illustrerar denna spänning väl.Trots att regeringen hade de juridiska och tekniska verktygen för att använda ansiktsigenkänning på arenor och i supporterzoner, valde de att använda analys av misstänkt beteende utan individualiserad biometrisk identifiering. Rädslan för att normalisera konstant övervakning av befolkningen överväger den potentiella ytterligare fördelen jämfört med andra, mer traditionella säkerhetsåtgärder.

I Europa är det allmänna budskapet att säkerhet inte kan användas som en ursäkt för att etablera permanent övervakning.Varje teknisk åtgärd måste vara nödvändig, proportionell och begränsad i tid och rum, med stark parlamentarisk, rättslig och administrativ kontroll, och med oberoende revisionsmekanismer.

Därför, i praktiken, även när lagen öppnar dörren för vissa exceptionella användningsområden för ansiktsigenkänningMånga regeringar och evenemangsarrangörer föredrar att inte överskrida den gränsen, medvetna om det sociala avvisandet och de möjliga rättsliga konsekvenserna om det anses att de grundläggande rättigheternas kärna har kränkts.

Nuvarande juridiska och tekniska ansiktsigenkänningsfotografering är komplex och utvecklas ständigt.För närvarande är dess användning i offentliga utrymmen, särskilt i realtid, starkt begränsad och i många fall förbjuden i Europa, och särskilt i Spanien. Endast polisen, under mycket specifika villkor och med rättsligt tillstånd, kan använda den för allvarliga brott eller terroristhot, medan privata företag har mycket begränsat utrymme för dess användning utöver mycket specifika åtkomstkontrollsammanhang, och alltid med förstärkta skyddsåtgärder. För alla organisationer eller individer som överväger att implementera denna teknik är nyckeln att förstå att det inte är "bara en kamera till", utan ett extremt inkräktande verktyg som kräver robust juridisk motivering, en grundlig konsekvensbedömning och absolut respekt för mänskliga rättigheter.