Zona videovigilada: requisitos del cartel según la AEPD

·

La videovigilancia es uno de los tratamientos de datos personales más extendidos y, al mismo tiempo, uno de los que genera más dudas prácticas. Cualquier empresa, comunidad de propietarios o establecimiento que instale cámaras de seguridad está recogiendo imágenes de personas físicas y, por tanto, está sometido al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Una de las obligaciones más visibles —y de las más incumplidas— es la de colocar el cartel informativo de zona videovigilada. Este artículo explica qué debe contener ese cartel, cómo estructurar la información por capas y dónde ubicarlo físicamente, siguiendo el modelo y las directrices de la Agencia Española de Protección de Datos (AEPD).

¿Por qué es obligatorio el cartel de zona videovigilada?

El artículo 13 del RGPD establece la obligación de informar al interesado cuando se recogen datos personales directamente de él. Las imágenes captadas por una cámara de seguridad son datos personales en cuanto permiten identificar a una persona física, por lo que el responsable del tratamiento debe informar de forma previa, clara y accesible sobre ese tratamiento. En el contexto de la videovigilancia, cumplir con el artículo 13 del RGPD se hace a través del cartel informativo, que actúa como mecanismo de información en el momento en que la persona entra en la zona captada por las cámaras.

El artículo 22 de la LOPDGDD regula específicamente el tratamiento de datos mediante sistemas de videovigilancia y exige que las zonas captadas estén debidamente señalizadas. Esta exigencia es anterior al RGPD —ya existía en el régimen de la instrucción 1/2006 de la AEPD—, pero el marco actual la dota de mayor contenido: no basta con poner un pictograma de cámara; el cartel debe incluir información específica o remitir a ella.

Si tu organización necesita una revisión de su sistema de cámaras y la documentación asociada, en Summum Consultoría acompañamos en la adecuación de sistemas de videovigilancia al RGPD para empresas de Castilla y León y Canarias.

El modelo de cartel de la AEPD: información por capas

La AEPD publicó en su momento el denominado modelo de cartel de zona videovigilada, que incorpora el sistema de información por capas desarrollado a partir del RGPD. Este sistema divide la información en dos niveles:

Este enfoque responde al principio de transparencia recogido en el artículo 5.1.a) del RGPD, según el cual los datos personales deben tratarse de manera transparente en relación con el interesado, y al considerando 60 del mismo Reglamento, que admite que cuando la cantidad de información a facilitar sea elevada, se adopten fórmulas por capas.

Contenido mínimo del cartel (primera capa)

La primera capa del cartel de zona videovigilada debe incluir, como mínimo, los siguientes elementos:

  1. El pictograma de cámara de videovigilancia, reconocible e identificable.
  2. La indicación expresa de que «Esta zona está videovigilada» o una expresión equivalente.
  3. La identidad del responsable del tratamiento: nombre o razón social de la empresa u organización que gestiona las cámaras.
  4. La finalidad del tratamiento: en términos generales, que las imágenes se captan con fines de seguridad, control de acceso u otros fines legítimos debidamente determinados.
  5. La posibilidad de ejercer los derechos del RGPD (acceso, supresión y demás), con indicación de cómo hacerlo o dónde obtener más información.
  6. Una referencia a la política de privacidad completa o al lugar donde consultar la información detallada (segunda capa), que puede materializarse mediante un código QR, una URL o la indicación del lugar físico donde está disponible.

Contenido de la segunda capa (información completa)

La información detallada que debe estar disponible en la segunda capa incluye todos los elementos del artículo 13 del RGPD que no caben razonablemente en el cartel físico:

Tabla comparativa: primera y segunda capa del cartel

Elemento informativo Primera capa (cartel) Segunda capa (política completa)
Pictograma de cámara Obligatorio No aplica
Indicación «zona videovigilada» Obligatorio No aplica
Identidad del responsable Nombre / razón social Nombre, NIF y dirección completos
Contacto del DPO Opcional (recomendable si existe) Obligatorio si hay DPO designado
Finalidad Descripción breve (seguridad, control de acceso…) Descripción detallada de cada finalidad
Base jurídica No es necesaria en el cartel Obligatoria (art. 13.1.c RGPD)
Plazo de conservación No es necesario en el cartel Obligatorio (máx. 1 mes en general)
Cesión a terceros No es necesaria en el cartel Obligatoria si se produce
Derechos y cómo ejercerlos Mención genérica + remisión Descripción completa de cada derecho
Derecho a reclamar ante la AEPD No es necesario en el cartel Obligatorio (art. 13.2.d RGPD)

¿Dónde debe ubicarse el cartel?

La ubicación del cartel es tan importante como su contenido. La persona debe poder ver la señalización antes de entrar en el área captada por las cámaras, de modo que pueda decidir con conocimiento de causa si accede a esa zona. Algunos criterios prácticos que la AEPD ha reiterado en sus resoluciones y guías:

Un error habitual es colocar el cartel en un lugar discreto o de escasa visibilidad para no «estropear» la estética del local. Esto no es admisible desde el punto de vista normativo: la señalización debe ser fácilmente perceptible por el público que accede a la zona.

Datos del responsable que debe incluir el cartel

La identificación del responsable es uno de los elementos que con mayor frecuencia se omite o se incluye de forma incompleta. El artículo 13.1.a) del RGPD exige que se faciliten la identidad y los datos de contacto del responsable. En el cartel (primera capa) es suficiente con el nombre o razón social; en la información completa (segunda capa) deben figurar también el NIF/CIF, la dirección postal y al menos un medio de contacto electrónico o telefónico.

Cuando el responsable ha designado un delegado de protección de datos (DPO), el artículo 13.1.b) del RGPD obliga a incluir también sus datos de contacto en la información que se facilita al interesado. Esto no significa que el nombre del DPO deba aparecer en el cartel físico, pero sí en la política de privacidad de segunda capa.

Si el tratamiento lo realiza un encargado del tratamiento (por ejemplo, una empresa de seguridad privada que gestiona el sistema de cámaras en nombre de la empresa cliente), el responsable sigue siendo la empresa que encarga el servicio; el cartel debe identificar a esta última, no a la empresa de seguridad. La relación con el encargado debe quedar regulada en el correspondiente contrato de encargo del tratamiento previsto en el artículo 28 del RGPD.

Base jurídica del tratamiento mediante videovigilancia

La base jurídica que habilita el tratamiento de imágenes a través de cámaras de seguridad varía en función de la finalidad y el titular de la instalación:

La base jurídica no aparece en el cartel de primera capa, pero sí debe constar en la política de privacidad completa y en el registro de actividades de tratamiento que el responsable está obligado a mantener conforme al artículo 30 del RGPD.

Plazo de conservación de las imágenes

El artículo 22.3 de la LOPDGDD establece que las imágenes captadas por cámaras de videovigilancia serán suprimidas en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes u otros fines que justifiquen su conservación. En esos casos, las imágenes deben ponerse a disposición de las Fuerzas y Cuerpos de Seguridad o de los juzgados y tribunales competentes.

Este plazo de un mes es una novedad relevante respecto al régimen anterior. Antes de la LOPDGDD, la instrucción 1/2006 de la AEPD fijaba el plazo máximo en un mes para cámaras de seguridad privada, plazo que ahora tiene rango de ley orgánica. En la práctica, muchos sistemas de videovigilancia están configurados con ciclos de grabación de 7, 15 o 30 días: todos ellos son compatibles con la norma, pero el límite absoluto es de 30 días.

Si necesitas revisar la configuración técnica de tu sistema de cámaras para asegurarte de que los ciclos de borrado cumplen con la LOPDGDD, el equipo de adecuación de videovigilancia al RGPD de Summum Consultoría puede acompañarte en ese proceso sin que tengas que interrumpir tu actividad.

Derechos de los interesados ante la videovigilancia

Las personas captadas por cámaras de videovigilancia son interesados a todos los efectos del RGPD y pueden ejercer sus derechos frente al responsable del tratamiento. Los más relevantes en este contexto son:

El responsable debe establecer un procedimiento claro para atender estas solicitudes y responder en el plazo de un mes desde la recepción (art. 12.3 RGPD), prorrogable dos meses adicionales en casos complejos.

Errores más frecuentes en los carteles de videovigilancia

A partir de las resoluciones y actuaciones previas de la AEPD, los incumplimientos más habituales relacionados con la señalización de videovigilancia son:

El régimen sancionador del artículo 83 del RGPD puede alcanzar, para infracciones relacionadas con los principios del tratamiento (art. 5) y las condiciones para el consentimiento y la información (art. 13), hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial, el importe que sea mayor, en el caso de las infracciones más graves. Las infracciones de menor gravedad pueden sancionarse con hasta 10.000.000 EUR o el 2 % del volumen de negocio anual. La escala concreta depende de las circunstancias de cada caso y de los criterios del artículo 83.2 del RGPD (naturaleza, gravedad, duración, grado de cooperación, categorías de datos afectadas, etc.).

Preguntas frecuentes

¿El cartel de zona videovigilada debe estar en todas las entradas del local?

Sí. La AEPD exige que la señalización sea efectiva, lo que implica que cualquier persona que pueda ser captada por las cámaras deba haber tenido la oportunidad de ver el cartel antes de entrar en el área vigilada. Si el local tiene varias entradas o si las cámaras cubren zonas diferenciadas dentro del mismo espacio, cada acceso debe contar con su propio cartel. Un único cartel en la entrada principal no es suficiente si otras zonas del establecimiento cuentan con cámaras y son accesibles por puertas distintas.

¿Es suficiente con poner solo el pictograma de cámara sin más información?

No. El simple pictograma sin datos del responsable ni indicación de cómo ejercer los derechos es insuficiente bajo el RGPD y la LOPDGDD. El artículo 13 del RGPD exige facilitar información sobre la identidad del responsable, la finalidad y los derechos del interesado; en videovigilancia esto se articula mediante el modelo de información por capas, en el que el cartel físico debe incluir al menos la identidad del responsable y la remisión a la información completa.

¿Cuánto tiempo pueden guardarse las grabaciones de las cámaras de seguridad?

El artículo 22.3 de la LOPDGDD fija un plazo máximo de un mes desde la captación de las imágenes. Pasado ese plazo, las grabaciones deben suprimirse, salvo que deban conservarse para acreditar la comisión de hechos que atenten contra personas o bienes, en cuyo caso se pondrán a disposición de las autoridades competentes. Los sistemas habituales con ciclos de 7, 15 o 30 días son compatibles con esta exigencia, siempre que la sobreescritura o el borrado automático se produzca dentro del mes.

¿Qué ocurre si la empresa de seguridad contratada gestiona las imágenes?

Cuando una empresa contrata a una compañía de seguridad privada para que gestione el sistema de videovigilancia, esa empresa de seguridad actúa como encargada del tratamiento en los términos del artículo 28 del RGPD. El responsable del tratamiento sigue siendo la empresa contratante, que es quien determina los fines y los medios del tratamiento. El cartel debe identificar a la empresa contratante —no a la empresa de seguridad— como responsable, y la relación entre ambas debe quedar regulada en un contrato de encargo del tratamiento que incluya las garantías del artículo 28 del RGPD: finalidades, medidas de seguridad, subcontratación, devolución o destrucción de datos al finalizar el servicio, y obligación de notificar brechas de seguridad sin dilación indebida.