Videovigilancia en empresas con enfoque RGPD: seguridad, proporcionalidad y cumplimiento

El objetivo del cumplimiento no es impedir la videovigilancia, sino hacerla defendible: que la instalación sea necesaria y proporcional, que las personas estén informadas, que los plazos se respeten y que el acceso a las imágenes esté controlado. Ese conjunto es el que convierte un sistema de cámaras en un activo de seguridad y no en un foco de riesgo legal.

1) La finalidad marca el perímetro: seguridad, no “captación general”

La LOPDGDD habilita a personas físicas o jurídicas (públicas o privadas) a tratar imágenes mediante cámaras con la finalidad de preservar la seguridad de personas, bienes e instalaciones. Esta idea, que parece obvia, es la que delimita todo lo demás: ubicación de cámaras, encuadres, accesos, conservación y usos posteriores.

En términos RGPD, ese “para qué” debe traducirse en una lógica de minimización: captar solo lo necesario para la finalidad perseguida y evitar usos laterales no compatibles. La propia guía de la AEPD insiste en que las medidas deben diseñarse en función del riesgo y del contexto (no existe una receta única válida para todos los negocios).

2) “Desde dónde y hasta dónde”: el encuadre es cumplimiento

Uno de los puntos más sensibles en inspecciones y reclamaciones no es la existencia de cámaras, sino lo que entra en plano.

Regla general: grabar zonas propias; evitar espacios ajenos. La LOPDGDD permite captar imágenes de vía pública solo en la medida imprescindible para la finalidad de seguridad. Admite una extensión superior en supuestos concretos (bienes/instalaciones estratégicos o infraestructuras vinculadas al transporte), pero establece un límite infranqueable: no puede suponer la captación del interior de un domicilio privado.

En la práctica, esto se gestiona con decisiones técnicas simples pero relevantes:

• Ajuste de óptica y orientación para “cerrar” el plano al acceso o perímetro.

• Activación de máscaras de privacidad cuando la lente alcanza parcialmente acera, calzada o accesos de terceros.

• Evitar cámaras sobredimensionadas (zoom y movimiento sin control) si no hay justificación, o restringir dichas funciones a usuarios autorizados. La guía AEPD llama la atención sobre el acceso remoto a funcionalidades (zoom, movimiento, sonido) en cámaras conectadas.
  
  

3) Conservación de imágenes: 30 días como estándar

La LOPDGDD fija un criterio claro: las imágenes deben suprimirse en el plazo máximo de un mes desde su captación. Excepcionalmente, si deben conservarse para acreditar actos contra personas, bienes o instalaciones, deben ponerse a disposición de la autoridad competente en un máximo de 72 horas desde que se tenga conocimiento de la existencia de la grabación.

La guía de la AEPD refuerza esta lógica y contextualiza el paso desde la antigua “cancelación” hacia la “supresión” del RGPD, insistiendo en el borrado una vez transcurrido el mes, salvo supuestos excepcionales.

Requisito práctico clave: el cumplimiento real se logra cuando el sistema está configurado con borrado automático a 30 días y existe un protocolo interno para:

• “Bloqueo” o preservación del clip por incidente (quién lo autoriza).

• Extracción segura (cómo se exporta y con qué controles).

• Custodia y entrega a autoridades cuando proceda (con trazabilidad).
  
  

4) Imagen y sonido: el audio exige justificación reforzada

En empresa, la captación de imagen es el supuesto habitual. La grabación de sonido es más intrusiva y, en el ámbito laboral, la LOPDGDD impone límites expresos:

• Se prohíbe instalar sistemas de videovigilancia o grabación de sonidos en lugares destinados al descanso o esparcimiento (vestuarios, aseos, comedores y análogos).

• La grabación de sonido en el lugar de trabajo solo se admite cuando sean relevantes los riesgos para la seguridad derivados de la actividad y respetando proporcionalidad e intervención mínima; además, la supresión del sonido se alinea con el plazo del art. 22.3.
  
  

En términos de control del riesgo, la recomendación habitual es tratar el audio como excepcional: si no existe un escenario de riesgo que lo sustente y documente, lo prudente es deshabilitarlo.

5) Información al público: cartelería y “segunda capa” sin fricciones

La LOPDGDD establece un mecanismo claro para cumplir el deber de información: basta con colocar un dispositivo informativo visible que identifique, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar derechos (arts. 15 a 22 RGPD). Ese cartel puede incluir un QR o dirección web para ampliar información, pero, en cualquier caso, el responsable debe mantener disponible la información completa del art. 13 RGPD.

La AEPD concreta este enfoque con cartel con zona videovigilada, responsable y referencia a derechos, y el resto de información disponible conforme al art. 13.

Cómo se traduce en un negocio real: el cartel debe estar en accesos y puntos donde sea razonable esperar que la persona lo vea antes de entrar en zona grabada; la “segunda capa” debe estar accesible (web/QR/recepción/mostrador) y no ser un documento inaccesible en la práctica.

6) Trabajadores: control empresarial con límites y transparencia previa

En el contexto laboral, la LOPDGDD permite al empleador tratar imágenes para funciones de control dentro del marco legal, pero exige dos condiciones de cumplimiento especialmente relevantes:

1. Información previa a trabajadores y, en su caso, a sus representantes, de forma expresa, clara y concisa.

2. En caso de comisión flagrante de un ilícito, se considera cumplido el deber de información si existía al menos el cartel previsto en el art. 22.4.
   
   

A nivel de control interno, es recomendable separar dos planos:

• CCTV para seguridad (accesos, zonas de riesgo, perímetro).

• Uso con finalidad laboral (si se utiliza, debe estar claramente definido, informado y justificado).
  
  

En todos los casos, la prohibición de cámaras y sonido en zonas de descanso o asimilables actúa como límite material absoluto.

7) Terceros (instaladora, seguridad, mantenimiento): encargo del tratamiento y control de accesos

Cuando un proveedor puede acceder a imágenes (gestión, monitorización, mantenimiento con acceso efectivo), el RGPD exige tratar esa relación como un encargo del tratamiento (art. 28), con contrato y obligaciones claras.

La guía AEPD aborda la contratación de terceros como encargado y, en paralelo, insiste en restringir el acceso a imágenes a personas designadas y en reforzar controles cuando existe acceso por Internet (usuario/contraseña y medidas de autenticación).

8) Seguridad técnica: el sistema de cámaras es un activo IT (y un punto de exposición)

Un sistema de videovigilancia no debe gestionarse como un “electrodoméstico”. Existe un riesgo operativo de cámaras conectadas y de la posibilidad de visualizar imágenes y acceder a funciones si no se implantan controles de acceso adecuados.

Desde el enfoque del art. 32 RGPD, lo razonable es aplicar medidas acordes al riesgo: control de accesos, credenciales robustas, registros de acceso, segmentación de red y protección de almacenamiento.

En la práctica, un estándar empresarial mínimo suele incluir:

• Usuarios nominales (no genéricos compartidos).

• Contraseñas robustas y cambios periódicos.

• Acceso remoto solo si es necesario, con autenticación reforzada.

• Registro de accesos y exportaciones de vídeo.

• Política de custodia para evidencias.
  
  

9) Derechos de las personas: matices propios de la videovigilancia

Los derechos RGPD se aplican, pero en videovigilancia tienen particularidades. El derecho de rectificación no resulta viable por la naturaleza objetiva de la imagen, y que el derecho de portabilidad no suele aplicar por su base legitimadora.

Esto no elimina obligaciones: exige que la empresa tenga un procedimiento realista para atender solicitudes (identificación del solicitante, acotación por fecha/hora/cámara, protección de terceros en la entrega o visualización).

10) Implantar cámaras con el negocio ya en marcha: enfoque de proyecto

Cuando la videovigilancia se incorpora en una empresa en funcionamiento, el error típico es abordarlo solo como “instalación”. El enfoque de cumplimiento funciona mejor como un proyecto con fases:

1. Definición de finalidad y alcance (qué riesgo se cubre y qué zonas son necesarias).

2. Diseño del encuadre y exclusiones (minimización, vía pública solo imprescindible).

3. Control RGPD: registro interno de actividad, análisis de riesgo y, si el contexto lo exige, valoración de evaluación de impacto (art. 35 RGPD). La AEPD dispone de guía de gestión de riesgos y evaluación de impacto.

4. Información: cartelería visible y segunda capa disponible.

5. Configuración: retención máxima 30 días, borrado automático y procedimiento de incidencias.

6. Ámbito laboral: comunicación previa a la plantilla y, si procede, a la representación legal.
   
   

Un matiz importante: con el RGPD desaparece la antigua obligación de “inscribir ficheros”; el foco actual está en documentación interna y responsabilidad proactiva. La AEPD lo recuerda expresamente.

11) Incidentes y brechas: planificación y respuesta

La videovigilancia también puede verse afectada por brechas (acceso no autorizado, exfiltración, manipulación). La guía AEPD recuerda la obligación de notificar a la AEPD en un máximo de 72 horas cuando exista riesgo para derechos y libertades, e incluso recomienda plan de contingencias y registro de incidentes.

Operativamente, esto refuerza la necesidad de:

• control de accesos,

• trazabilidad,

• y procedimientos claros de respuesta (quién decide, qué se documenta, cómo se contiene).
  
  

Conclusión

Un sistema de videovigilancia conforme no se define solo por “tener carteles” o “borrar a 30 días”. Se define por un conjunto coherente: finalidad legítima, encuadre mínimo, conservación limitada, información transparente, control de accesos y procedimientos operativos (derechos, incidentes, evidencias). Ese modelo es el que reduce contingencias y eleva el estándar de cumplimiento frente a reclamaciones o inspecciones.

Un cordial saludo,

José María Quintanar Isasi
Consultor en Privacidad Certificado y CEO y socio fundador de APLAGES