La videovigilancia es uno de los tratamientos de datos personales más extendidos y, al mismo tiempo, uno de los que genera más dudas prácticas. Cualquier empresa, comunidad de propietarios o establecimiento que instale cámaras de seguridad está recogiendo imágenes de personas físicas y, por tanto, está sometido al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Una de las obligaciones más visibles —y de las más incumplidas— es la de colocar el cartel informativo de zona videovigilada. Este artículo explica qué debe contener ese cartel, cómo estructurar la información por capas y dónde ubicarlo físicamente, siguiendo el modelo y las directrices de la Agencia Española de Protección de Datos (AEPD).
¿Por qué es obligatorio el cartel de zona videovigilada?
El artículo 13 del RGPD establece la obligación de informar al interesado cuando se recogen datos personales directamente de él. Las imágenes captadas por una cámara de seguridad son datos personales en cuanto permiten identificar a una persona física, por lo que el responsable del tratamiento debe informar de forma previa, clara y accesible sobre ese tratamiento. En el contexto de la videovigilancia, cumplir con el artículo 13 del RGPD se hace a través del cartel informativo, que actúa como mecanismo de información en el momento en que la persona entra en la zona captada por las cámaras.
El artículo 22 de la LOPDGDD regula específicamente el tratamiento de datos mediante sistemas de videovigilancia y exige que las zonas captadas estén debidamente señalizadas. Esta exigencia es anterior al RGPD —ya existía en el régimen de la instrucción 1/2006 de la AEPD—, pero el marco actual la dota de mayor contenido: no basta con poner un pictograma de cámara; el cartel debe incluir información específica o remitir a ella.
Si tu organización necesita una revisión de su sistema de cámaras y la documentación asociada, en Summum Consultoría acompañamos en la adecuación de sistemas de videovigilancia al RGPD para empresas de Castilla y León y Canarias.
El modelo de cartel de la AEPD: información por capas
La AEPD publicó en su momento el denominado modelo de cartel de zona videovigilada, que incorpora el sistema de información por capas desarrollado a partir del RGPD. Este sistema divide la información en dos niveles:
- Primera capa (cartel físico): información básica y esencial, visible a simple vista en el acceso a la zona videovigilada.
- Segunda capa (información completa): información detallada disponible en un lugar accesible (por ejemplo, en recepción, en el establecimiento o a través de un QR que enlaza a la política de privacidad).
Este enfoque responde al principio de transparencia recogido en el artículo 5.1.a) del RGPD, según el cual los datos personales deben tratarse de manera transparente en relación con el interesado, y al considerando 60 del mismo Reglamento, que admite que cuando la cantidad de información a facilitar sea elevada, se adopten fórmulas por capas.
Contenido mínimo del cartel (primera capa)
La primera capa del cartel de zona videovigilada debe incluir, como mínimo, los siguientes elementos:
- El pictograma de cámara de videovigilancia, reconocible e identificable.
- La indicación expresa de que «Esta zona está videovigilada» o una expresión equivalente.
- La identidad del responsable del tratamiento: nombre o razón social de la empresa u organización que gestiona las cámaras.
- La finalidad del tratamiento: en términos generales, que las imágenes se captan con fines de seguridad, control de acceso u otros fines legítimos debidamente determinados.
- La posibilidad de ejercer los derechos del RGPD (acceso, supresión y demás), con indicación de cómo hacerlo o dónde obtener más información.
- Una referencia a la política de privacidad completa o al lugar donde consultar la información detallada (segunda capa), que puede materializarse mediante un código QR, una URL o la indicación del lugar físico donde está disponible.
Contenido de la segunda capa (información completa)
La información detallada que debe estar disponible en la segunda capa incluye todos los elementos del artículo 13 del RGPD que no caben razonablemente en el cartel físico:
- Identidad y datos de contacto completos del responsable del tratamiento.
- Datos de contacto del delegado de protección de datos (DPO), si se ha designado.
- Finalidades específicas del tratamiento y la base jurídica en la que se ampara (habitualmente, el interés legítimo del responsable en virtud del artículo 6.1.f) del RGPD, o el cumplimiento de una obligación legal).
- Plazo de conservación de las imágenes (la LOPDGDD establece, en su artículo 22.3, un plazo máximo de conservación de un mes en instalaciones de seguridad ordinarias, salvo cuando deban conservarse para acreditar la comisión de actos que atenten contra la integridad de personas, bienes u otros fines que justifiquen su conservación).
- Si se ceden imágenes a terceros (Fuerzas y Cuerpos de Seguridad, por ejemplo) y en qué circunstancias.
- Los derechos del interesado: acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, junto con el derecho a reclamar ante la AEPD.
Tabla comparativa: primera y segunda capa del cartel
| Elemento informativo | Primera capa (cartel) | Segunda capa (política completa) |
|---|---|---|
| Pictograma de cámara | Obligatorio | No aplica |
| Indicación «zona videovigilada» | Obligatorio | No aplica |
| Identidad del responsable | Nombre / razón social | Nombre, NIF y dirección completos |
| Contacto del DPO | Opcional (recomendable si existe) | Obligatorio si hay DPO designado |
| Finalidad | Descripción breve (seguridad, control de acceso…) | Descripción detallada de cada finalidad |
| Base jurídica | No es necesaria en el cartel | Obligatoria (art. 13.1.c RGPD) |
| Plazo de conservación | No es necesario en el cartel | Obligatorio (máx. 1 mes en general) |
| Cesión a terceros | No es necesaria en el cartel | Obligatoria si se produce |
| Derechos y cómo ejercerlos | Mención genérica + remisión | Descripción completa de cada derecho |
| Derecho a reclamar ante la AEPD | No es necesario en el cartel | Obligatorio (art. 13.2.d RGPD) |
¿Dónde debe ubicarse el cartel?
La ubicación del cartel es tan importante como su contenido. La persona debe poder ver la señalización antes de entrar en el área captada por las cámaras, de modo que pueda decidir con conocimiento de causa si accede a esa zona. Algunos criterios prácticos que la AEPD ha reiterado en sus resoluciones y guías:
- En la entrada de cada zona videovigilada, a una altura y con un tamaño suficientes para ser legibles sin necesidad de acercarse.
- El número de carteles debe ser proporcional al tamaño del espacio y a la disposición de las cámaras: en un local con varias entradas, debe haber un cartel en cada una de ellas.
- En espacios exteriores o de tránsito rápido (aparcamientos, zonas de carga), el cartel debe tener dimensiones mayores y estar a la altura de la vista.
- Si las cámaras cubren zonas diferenciadas dentro de un mismo establecimiento (zona de caja, zona de almacén, etc.), cada área debe estar señalizada de forma independiente.
- El cartel no puede colocarse dentro de la zona ya captada por la cámara: debe estar en el perímetro de acceso, no en el interior.
Un error habitual es colocar el cartel en un lugar discreto o de escasa visibilidad para no «estropear» la estética del local. Esto no es admisible desde el punto de vista normativo: la señalización debe ser fácilmente perceptible por el público que accede a la zona.
Datos del responsable que debe incluir el cartel
La identificación del responsable es uno de los elementos que con mayor frecuencia se omite o se incluye de forma incompleta. El artículo 13.1.a) del RGPD exige que se faciliten la identidad y los datos de contacto del responsable. En el cartel (primera capa) es suficiente con el nombre o razón social; en la información completa (segunda capa) deben figurar también el NIF/CIF, la dirección postal y al menos un medio de contacto electrónico o telefónico.
Cuando el responsable ha designado un delegado de protección de datos (DPO), el artículo 13.1.b) del RGPD obliga a incluir también sus datos de contacto en la información que se facilita al interesado. Esto no significa que el nombre del DPO deba aparecer en el cartel físico, pero sí en la política de privacidad de segunda capa.
Si el tratamiento lo realiza un encargado del tratamiento (por ejemplo, una empresa de seguridad privada que gestiona el sistema de cámaras en nombre de la empresa cliente), el responsable sigue siendo la empresa que encarga el servicio; el cartel debe identificar a esta última, no a la empresa de seguridad. La relación con el encargado debe quedar regulada en el correspondiente contrato de encargo del tratamiento previsto en el artículo 28 del RGPD.
Base jurídica del tratamiento mediante videovigilancia
La base jurídica que habilita el tratamiento de imágenes a través de cámaras de seguridad varía en función de la finalidad y el titular de la instalación:
- Interés legítimo (art. 6.1.f RGPD): es la base habitual para empresas privadas que instalan cámaras con fines de seguridad o control de acceso. Requiere superar el test de ponderación: el interés del responsable debe prevalecer sobre los derechos de los interesados, teniendo en cuenta las expectativas razonables de estos.
- Cumplimiento de una obligación legal (art. 6.1.c RGPD): cuando la normativa sectorial obliga a instalar sistemas de videovigilancia (establecimientos de juego, entidades financieras, infraestructuras críticas, etc.).
- Interés público (art. 6.1.e RGPD): para organismos públicos que instalan cámaras en el ejercicio de sus funciones de seguridad ciudadana u orden público, con el marco adicional de la Ley Orgánica 4/1997 y la normativa de seguridad privada.
La base jurídica no aparece en el cartel de primera capa, pero sí debe constar en la política de privacidad completa y en el registro de actividades de tratamiento que el responsable está obligado a mantener conforme al artículo 30 del RGPD.
Plazo de conservación de las imágenes
El artículo 22.3 de la LOPDGDD establece que las imágenes captadas por cámaras de videovigilancia serán suprimidas en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes u otros fines que justifiquen su conservación. En esos casos, las imágenes deben ponerse a disposición de las Fuerzas y Cuerpos de Seguridad o de los juzgados y tribunales competentes.
Este plazo de un mes es una novedad relevante respecto al régimen anterior. Antes de la LOPDGDD, la instrucción 1/2006 de la AEPD fijaba el plazo máximo en un mes para cámaras de seguridad privada, plazo que ahora tiene rango de ley orgánica. En la práctica, muchos sistemas de videovigilancia están configurados con ciclos de grabación de 7, 15 o 30 días: todos ellos son compatibles con la norma, pero el límite absoluto es de 30 días.
Si necesitas revisar la configuración técnica de tu sistema de cámaras para asegurarte de que los ciclos de borrado cumplen con la LOPDGDD, el equipo de adecuación de videovigilancia al RGPD de Summum Consultoría puede acompañarte en ese proceso sin que tengas que interrumpir tu actividad.
Derechos de los interesados ante la videovigilancia
Las personas captadas por cámaras de videovigilancia son interesados a todos los efectos del RGPD y pueden ejercer sus derechos frente al responsable del tratamiento. Los más relevantes en este contexto son:
- Derecho de acceso (art. 15 RGPD): el interesado puede solicitar una copia de las imágenes en las que aparece. La dificultad práctica reside en que habitualmente las grabaciones incluyen imágenes de terceras personas; el responsable debe facilitar el acceso respetando la privacidad de esas terceras personas (por ejemplo, mediante pixelado de los demás individuos).
- Derecho de supresión (art. 17 RGPD): el interesado puede solicitar la eliminación de sus imágenes. Aunque no siempre es técnicamente viable aislar las imágenes de una persona concreta, el responsable debe valorar cada solicitud y responder motivadamente.
- Derecho de oposición (art. 21 RGPD): si la base jurídica es el interés legítimo, el interesado puede oponerse al tratamiento por razones relacionadas con su situación particular. El responsable solo puede seguir tratando los datos si acredita motivos legítimos imperiosos que prevalezcan sobre los intereses del interesado.
- Derecho a reclamar ante la AEPD: cualquier interesado puede presentar una reclamación ante la Agencia Española de Protección de Datos si considera que el tratamiento de sus imágenes vulnera el RGPD o la LOPDGDD.
El responsable debe establecer un procedimiento claro para atender estas solicitudes y responder en el plazo de un mes desde la recepción (art. 12.3 RGPD), prorrogable dos meses adicionales en casos complejos.
Errores más frecuentes en los carteles de videovigilancia
A partir de las resoluciones y actuaciones previas de la AEPD, los incumplimientos más habituales relacionados con la señalización de videovigilancia son:
- Ausencia total del cartel informativo.
- Cartel con el único pictograma de cámara pero sin ningún dato identificativo del responsable ni indicación de cómo ejercer los derechos.
- Información de segunda capa inexistente o inaccesible (la política de privacidad no menciona la videovigilancia).
- Cartel colocado dentro del área ya captada por la cámara, en lugar de en el acceso a la zona.
- Identificación del responsable incorrecta (se menciona a la empresa de seguridad como responsable en lugar de la empresa titular de la instalación).
- Omisión del plazo de conservación de las imágenes en la información de segunda capa.
- Uso de carteles de la normativa anterior (instrucción 1/2006) que no incluyen la información exigida por el RGPD y la LOPDGDD.
El régimen sancionador del artículo 83 del RGPD puede alcanzar, para infracciones relacionadas con los principios del tratamiento (art. 5) y las condiciones para el consentimiento y la información (art. 13), hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial, el importe que sea mayor, en el caso de las infracciones más graves. Las infracciones de menor gravedad pueden sancionarse con hasta 10.000.000 EUR o el 2 % del volumen de negocio anual. La escala concreta depende de las circunstancias de cada caso y de los criterios del artículo 83.2 del RGPD (naturaleza, gravedad, duración, grado de cooperación, categorías de datos afectadas, etc.).
Preguntas frecuentes
¿El cartel de zona videovigilada debe estar en todas las entradas del local?
Sí. La AEPD exige que la señalización sea efectiva, lo que implica que cualquier persona que pueda ser captada por las cámaras deba haber tenido la oportunidad de ver el cartel antes de entrar en el área vigilada. Si el local tiene varias entradas o si las cámaras cubren zonas diferenciadas dentro del mismo espacio, cada acceso debe contar con su propio cartel. Un único cartel en la entrada principal no es suficiente si otras zonas del establecimiento cuentan con cámaras y son accesibles por puertas distintas.
¿Es suficiente con poner solo el pictograma de cámara sin más información?
No. El simple pictograma sin datos del responsable ni indicación de cómo ejercer los derechos es insuficiente bajo el RGPD y la LOPDGDD. El artículo 13 del RGPD exige facilitar información sobre la identidad del responsable, la finalidad y los derechos del interesado; en videovigilancia esto se articula mediante el modelo de información por capas, en el que el cartel físico debe incluir al menos la identidad del responsable y la remisión a la información completa.
¿Cuánto tiempo pueden guardarse las grabaciones de las cámaras de seguridad?
El artículo 22.3 de la LOPDGDD fija un plazo máximo de un mes desde la captación de las imágenes. Pasado ese plazo, las grabaciones deben suprimirse, salvo que deban conservarse para acreditar la comisión de hechos que atenten contra personas o bienes, en cuyo caso se pondrán a disposición de las autoridades competentes. Los sistemas habituales con ciclos de 7, 15 o 30 días son compatibles con esta exigencia, siempre que la sobreescritura o el borrado automático se produzca dentro del mes.
¿Qué ocurre si la empresa de seguridad contratada gestiona las imágenes?
Cuando una empresa contrata a una compañía de seguridad privada para que gestione el sistema de videovigilancia, esa empresa de seguridad actúa como encargada del tratamiento en los términos del artículo 28 del RGPD. El responsable del tratamiento sigue siendo la empresa contratante, que es quien determina los fines y los medios del tratamiento. El cartel debe identificar a la empresa contratante —no a la empresa de seguridad— como responsable, y la relación entre ambas debe quedar regulada en un contrato de encargo del tratamiento que incluya las garantías del artículo 28 del RGPD: finalidades, medidas de seguridad, subcontratación, devolución o destrucción de datos al finalizar el servicio, y obligación de notificar brechas de seguridad sin dilación indebida.