CTPDA: Orientacions de protecció de dades en videovigilància amb IA


Manuel Castilleja Toscano     11/06/2026


1. Introducció

Els sistemes de videovigilància amb intel·ligència artificial no només graven imatges, sinó que també detecten, classifiquen i segueixen persones i objectes, a més d'analitzar comportaments, expressions facials i sons. Encara que aquestes funcions poden ajudar a la gestió pública, sovint no compleixen amb els requisits del RGPD sobre licitud, necessitat i proporcionalitat.

El Consell de Transparència i Protecció de Dades d'Andalusia (CTPDA) n'ha elaborat unes “Orientacions per a la protecció de dades en sistemes de videovigilància amb analítica de vídeo basada en intel·ligència artificial” adreçades als responsables del tractament del sector públic a Andalusia i, en particular, a les entitats locals que es plantegin contractar o desplegar aquest tipus de sistemes.

El seu objectiu és proporcionar un marc pràctic per avaluar aquests sistemes des de la perspectiva de la protecció de dades personals, identificant les obligacions normatives i les bones pràctiques aplicables perquè el seu ús sigui proporcionat i respectuós amb els drets fonamentals.

Pel que fa al compliment de la normativa de protecció de dades, a les Orientacions, a més d'indicar que si el sistema es fa servir exclusivament per a prevenció i investigació penal per les Forces de Seguretat, no aplica el RGPD ni la LOPDGDD, sinó la normativa específica LO 7/2021, podem destacar els punts que es desenvolupen a continuació.

2. Licitud, lleialtat i transparència (Art. 5.1.a RGPD)


2.1. Legitimació (art. 6 RGPD i 8 LOPDGDD)


En espais públics, el consentiment (art. 6.1a RGPD) dels afectats no és viable ni aplicaria l'interès legítim (art. 6.1.f RGPD). El tractament s'ha d'emparar en el compliment d'una obligació legal (art. 6.1.c RGPD) o en una missió d'interès públic (art. 6.1.e RGPD). Segons l'article 8.2 de la LOPDGDD, aquest interès públic exigeix ??que la competència derivi duna norma amb rang de llei.

2.2. Deure d'Informació (Art. 13 RGPD / Art. 11 LOPDGDD)

Cal advertir expressament els ciutadans mitjançant els cartells en dues capes que s'està usant anàlisi automatitzada, de la seva lògica en cas que hi hagi decisions automatitzades importants, i del possible enregistrament d'àudio; així com que tenen dret d'accés, oposició i supressió. La supressió o oposició no es limita a esborrar un clip de vídeo, sinó que el sistema ha de ser capaç d'eliminar també tota metadada, registre algorísmic o alerta que apunti aquesta persona en concret.

2.3.Tractament de dades de categoria especial (Art. 9 RGPD)

Les analítiques que identifiquen les persones pels seus trets (com el reconeixement facial) o que infereixen emocions, poden suposar un tractament de dades biomètriques dirigit a identificar unívocament un subjecte. Això requereix complir l'art. 9 RGPD, la qual cosa exigeix ??comptar amb una de les excepcions contemplades per l'art. 9.2 per poder aixecar la prohibició del tractament, per exemple, que hi hagi una norma amb rang de llei que empari el tractament per raons d'interès públic essencial (art. 9.2.g RGPD).

3. Determinació de la finalitat i la seva limitació (Art. 5.1.b RGPD)


L'ús de sistemes de videovigilància amb Intel·ligència Artificial (IA) ha de partir de la fixació d'una finalitat legítima, determinada i explícita (ex. gestió del trànsit, turisme, seguretat, etc.), complint el principi de limitació de la finalitat de l'art. 5.1.b RGPD. Les administracions no han d'adquirir funcionalitats tecnològiques (com el reconeixement facial o d'emocions) que excedeixin les necessitats estrictes per complir la finalitat declarada.

4. Minimització de Dades i Privadesa des del Disseny (Arts. 5.1.c i 25 RGPD)


El RGPD exigeix ??dissenyar els sistemes aplicant la intervenció mínima sobre les dades. Si l'objectiu es compleix amb mètriques agregades o comptatges estadístics, no s'ha d'individualitzar les persones. Com a exemple, a les Zones de Baixes Emissions, el que és òptim i d'acord amb la minimització és que el sistema llegeixi la matrícula, la contrasti i esborri a l'instant la dada si el vehicle està autoritzat, retenint només les infractores. Les especificacions tècniques han de prioritzar processar a la pròpia càmera, aplicar desenfocaments, pixelat irreversible o "avatarització".

5. Terminis de Conservació (Art. 5.1.e RGPD i 22 LOPDGDD)


Si el tractament es regeix per l'art. 22 LOPDGDD (videovigilància per seguretat), aplica el termini màxim d'1 mes. Tot i això, la IA genera també metadades (trajectòries, alertes, etiquetes descriptives) que han d'estar sotmeses al temps estrictament necessari i anonimitzar-se com més aviat millor, separant els seus terminis dels de les imatges font.

6. Seguretat (Art. 5.1.f i 32 RGPD i DA1ª LOPDGDD)


Les administracions han d'aplicar les mesures de l'Esquema Nacional de Seguretat (ENS), tal com disposa la Disposició Addicional 1a de la LOPDGDD, garantint la ciberseguretat davant de possibles vulnerabilitats (encriptació, controls d'accés, etc.).

7. Decisions Automatitzades (Art. 22 RGPD)


Quan el sistema d'IA detecta conductes anòmales ("merodeig", actes violents, etc.) i desencadena actuacions policials, denegació d'accés o altres decisions amb efectes significatius sobre la persona, entra en joc l'article 22.1 de l'RGPD. Aquestes decisions automatitzades estan prohibides llevat que hi hagi lleis que les autoritzin expressament o el sistema compti sempre amb una validació humana real, que no sigui rutinària i aporti judici crític.

8. Avaluació d'impacte (EIPD) (Art. 35 RGPD)


És obligatòria sempre abans del tractament (art. 35 del RGPD), ja que s'observen zones públiques a gran escala i s'utilitzen noves tecnologies (IA). S'ha d'usar com a eina prèvia als plecs de contractació.

Archivos adjuntos

pdfOrientaciones Proteccion Datos Videovigilancia con IA.pdf