La videovigilancia en el entorno laboral es uno de los ámbitos donde con mayor frecuencia surgen dudas de cumplimiento. La empresa tiene un interés legítimo en proteger sus instalaciones y activos, pero los trabajadores conservan derechos fundamentales —en particular el derecho a la intimidad y a la protección de datos— incluso dentro de la jornada laboral. El artículo 89 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), regula este equilibrio de forma específica para el ámbito laboral, complementando las obligaciones generales del Reglamento (UE) 2016/679 (RGPD).
A continuación respondemos, una a una, las preguntas que más nos plantean las empresas en Castilla y León y Canarias cuando quieren instalar o revisar su sistema de cámaras.
¿Puede la empresa instalar cámaras en el lugar de trabajo?
Sí, pero con condiciones. El artículo 89 LOPDGDD reconoce que los empleadores pueden tratar las imágenes obtenidas mediante cámaras de videovigilancia para el control de la relación laboral, siempre que cumplan con las garantías establecidas en el RGPD. La base jurídica habitual es el interés legítimo del empleador (artículo 6.1.f RGPD) o, en su caso, el cumplimiento de obligaciones legales (artículo 6.1.c RGPD), como las derivadas de la normativa de seguridad privada.
Para que esa base jurídica sea sólida, el tratamiento debe superar el test de proporcionalidad: la medida ha de ser idónea para el fin perseguido, necesaria (no debe existir una alternativa menos intrusiva igualmente eficaz) y proporcional en sentido estricto (el beneficio para la empresa no puede ser desproporcionado frente a la restricción de derechos que impone al trabajador). Instalar cámaras sin haber evaluado estas tres condiciones es un riesgo jurídico real.
¿Qué información hay que proporcionar a los trabajadores?
Aquí radica uno de los errores más frecuentes. El artículo 89 LOPDGDD establece una obligación de información por dos vías:
- Información básica mediante cartel informativo: en un lugar suficientemente visible debe colocarse un distintivo que informe de la existencia de cámaras y de que las imágenes se tratan con fines de control laboral. La AEPD ha publicado un modelo de cartel que indica, como mínimo, la identidad del responsable del tratamiento y la posibilidad de ejercer los derechos reconocidos en el RGPD.
- Información completa accesible: con independencia del cartel, el trabajador tiene derecho a acceder a la información detallada del artículo 13 RGPD (finalidad, base jurídica, plazo de conservación, destinatarios, derechos de los interesados y datos de contacto del responsable o del Delegado de Protección de Datos si existe).
La colocación del cartel no exige consentimiento explícito del trabajador para el tratamiento: basta con la información. Pero si el cartel no existe o es insuficiente, el tratamiento puede ser ilícito aunque las cámaras estén técnicamente bien configuradas.
¿Dónde se pueden colocar las cámaras y dónde está prohibido?
La norma no prohíbe la videovigilancia en zonas de trabajo, pero exige que la ubicación sea proporcional al fin declarado. En la práctica, la AEPD ha señalado de forma reiterada que está prohibido instalar cámaras en:
- Baños, vestuarios, zonas de descanso y otras áreas destinadas al aseo personal o al descanso de los trabajadores.
- Espacios donde los trabajadores ejercen su derecho a la libertad sindical o de reunión.
- Cualquier zona donde la vigilancia constante no guarde relación con el fin legítimo alegado.
Tampoco es proporcional orientar cámaras de manera que capturen de forma sistemática la pantalla de los ordenadores de trabajo o las conversaciones personales, aunque la cámara esté técnicamente en una zona permitida.
¿Cuánto tiempo pueden conservarse las imágenes?
El artículo 22.3 LOPDGDD —aplicable también por referencia al ámbito laboral— fija el plazo máximo de conservación de las imágenes en un mes desde su captación, salvo que deban conservarse para acreditar la comisión de actos ilícitos por parte de trabajadores u otras personas. En ese caso, las imágenes se conservarán el tiempo necesario para poner los hechos en conocimiento de las Fuerzas y Cuerpos de Seguridad o del órgano judicial competente.
Este plazo de un mes es perentorio: mantener imágenes más tiempo sin justificación constituye un tratamiento excesivo e ilícito. Conviene revisar que los sistemas de grabación eliminen automáticamente los ficheros al cumplirse ese plazo.
¿La empresa debe realizar una Evaluación de Impacto (EIPD)?
En función del alcance del sistema, puede ser obligatoria. El artículo 35 RGPD exige una Evaluación de Impacto relativa a la Protección de Datos (EIPD) cuando el tratamiento puede suponer un alto riesgo para los derechos y libertades de las personas físicas. La lista de actividades que presuponen alto riesgo publicada por el Comité Europeo de Protección de Datos incluye la videovigilancia a gran escala de zonas de acceso público. En el contexto laboral, un sistema de cámaras que cubra toda la planta de producción, que incluya reconocimiento facial o que registre de forma permanente espacios de trabajo es susceptible de requerir EIPD.
Si necesitas evaluar si tu sistema requiere EIPD, desde Summum Consultoria acompañamos a empresas en la adecuación de sus sistemas de videovigilancia a las exigencias del RGPD y la LOPDGDD.
¿Qué pasa si se detecta un incidente de seguridad relacionado con las imágenes?
Si las imágenes captadas por las cámaras sufren una brecha de seguridad —por ejemplo, acceso no autorizado, pérdida o robo de los soportes de grabación o difusión indebida—, el responsable del tratamiento debe actuar conforme a los artículos 33 y 34 RGPD:
- Artículo 33 RGPD: notificación a la Agencia Española de Protección de Datos (AEPD) en el plazo de 72 horas desde que se tenga constancia de la brecha, salvo que sea improbable que suponga un riesgo para los derechos y libertades de las personas físicas.
- Artículo 34 RGPD: comunicación a los interesados afectados —en este caso, los trabajadores cuyas imágenes se hayan visto comprometidas— cuando la brecha suponga un alto riesgo para sus derechos y libertades.
En la práctica, una filtración de imágenes de videovigilancia laboral suele implicar alto riesgo (puede revelar hábitos de vida, relaciones personales u otros datos sensibles), por lo que la doble obligación de notificación a la AEPD y comunicación a los afectados es la regla, no la excepción.
¿Es necesario designar un Delegado de Protección de Datos (DPO)?
La designación del DPO es obligatoria en los supuestos del artículo 37 RGPD: organismos públicos, responsables u encargados cuya actividad principal exija operaciones de tratamiento que requieran observación habitual y sistemática a gran escala de interesados, o tratamiento a gran escala de categorías especiales de datos. Para una empresa privada con un sistema de videovigilancia interno de dimensiones ordinarias, la obligación no se activa automáticamente por la mera existencia de las cámaras.
No obstante, las funciones del DPO (artículos 38 y 39 RGPD) —informar, supervisar el cumplimiento y actuar como punto de contacto con la autoridad supervisora— resultan especialmente valiosas precisamente en actividades de alto riesgo como la videovigilancia laboral. Para empresas que no están obligadas a designar un DPO interno, la figura del Delegado de Protección de Datos externo ofrece las mismas garantías con una estructura de costes más flexible.
¿Qué consecuencias puede tener el incumplimiento?
La AEPD es la autoridad supervisora competente en España y tiene potestad sancionadora. El marco sancionador del artículo 83 RGPD distingue dos niveles:
- Infracciones del nivel superior: hasta 20.000.000 EUR o, si es mayor, el 4 % del volumen de negocio anual global del ejercicio anterior.
- Infracciones del nivel inferior: hasta 10.000.000 EUR o el 2 % del volumen de negocio anual global.
Las vulneraciones del deber de información (cartel ausente o insuficiente), el exceso en el plazo de conservación o la instalación en zonas prohibidas pueden ser objeto de procedimiento sancionador. Además, los trabajadores pueden ejercer sus derechos ante la AEPD y, en su caso, reclamar daños y perjuicios ante los tribunales.
Desde Summum Consultoria no garantizamos el cumplimiento en nombre de ninguna empresa —esa responsabilidad recae siempre sobre el responsable del tratamiento—, pero sí acompañamos el proceso de adecuación para que la empresa cuente con las medidas técnicas y organizativas exigibles. Si quieres revisar tu sistema actual, nuestro equipo de protección de datos realiza una primera valoración sin compromiso.
Preguntas frecuentes
¿Puede la empresa usar las imágenes para sancionar a un trabajador?
Sí, siempre que el sistema de videovigilancia esté correctamente implantado (cartel informativo, base jurídica válida, proporcionalidad) y las imágenes se hayan obtenido de forma lícita. El artículo 89 LOPDGDD habilita expresamente el uso de las imágenes con fines disciplinares. Sin embargo, si el tratamiento es ilícito en origen —por ejemplo, la cámara estaba en un vestuario o no existía cartel—, las imágenes no podrán emplearse como prueba y la empresa podría enfrentarse a una sanción adicional por la obtención ilícita de datos.
¿Hay que registrar el sistema de videovigilancia en algún registro oficial?
No existe en España un registro obligatorio de sistemas de videovigilancia ante la AEPD. Lo que sí es obligatorio es incluir el tratamiento en el Registro de Actividades de Tratamiento que debe llevar todo responsable en virtud del artículo 30 RGPD, con la descripción de las finalidades, la base jurídica, las categorías de interesados afectados y los plazos de supresión.
¿Qué ocurre con la videovigilancia en vehículos de empresa?
Las cámaras instaladas en vehículos de empresa (dashcams) que captan imágenes del conductor o de pasajeros se rigen por los mismos principios del RGPD y el artículo 89 LOPDGDD. La finalidad habitual —seguridad vial y control de la actividad laboral— puede justificar el tratamiento, pero exige información previa al conductor y proporcionalidad en el alcance de la captación. Las imágenes de vía pública captadas incidentalmente pueden estar sujetas adicionalmente a la normativa de seguridad privada.