Uno de los errores más frecuentes que detectamos en las auditorías de protección de datos es la conservación indefinida —o durante años— de las grabaciones obtenidas por sistemas de videovigilancia. La empresa suele creer que, cuanto más tiempo guarda las imágenes, mejor se protege ante posibles reclamaciones. La realidad jurídica es la contraria: conservar grabaciones más tiempo del legalmente permitido constituye una infracción de la normativa de protección de datos, con independencia de cuál haya sido la intención.
El artículo 22 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) regula específicamente los sistemas de videovigilancia y establece, con precisión, cuánto tiempo pueden conservarse las imágenes, en qué circunstancias deben bloquearse en lugar de borrarse, y cuáles son las excepciones admitidas. Este artículo analiza ese régimen con rigor normativo.
Si quieres conocer en detalle cómo debe configurarse y gestionarse un sistema de videovigilancia conforme al RGPD, el equipo de Summum Consultoría puede acompañarte en todo el proceso de adecuación.
La regla general: un mes de conservación máxima
El artículo 22.3 de la LOPDGDD dispone textualmente que «los datos serán suprimidos en el plazo máximo de un mes desde su captación». Este plazo de un mes es el límite absoluto en circunstancias ordinarias, es decir, cuando las imágenes no están vinculadas a ningún incidente, reclamación o requerimiento legal.
La redacción no deja margen de interpretación: el responsable del tratamiento —la empresa, comunidad de propietarios, autónomo o entidad pública que opera el sistema— está obligado a eliminar las grabaciones antes de que transcurra ese período. No basta con tener configurado el sistema de sobrescritura automática; debe verificarse periódicamente que la sobrescritura funciona de forma efectiva y que no hay copias de seguridad que extienden el plazo real de conservación más allá del mes.
El Reglamento (UE) 2016/679 (RGPD), en su artículo 5.1.e), consagra el principio de limitación del plazo de conservación: los datos personales no deben mantenerse más tiempo del necesario para los fines para los que fueron recogidos. La videovigilancia tiene un fin concreto —la seguridad de personas y bienes o el control de accesos— y ese fin queda satisfecho sin necesidad de conservar las imágenes indefinidamente. Un mes es el tiempo que el legislador español ha considerado proporcional y suficiente.
¿Qué ocurre cuando se detecta un incidente? El bloqueo de grabaciones
El propio artículo 22.3 de la LOPDGDD reconoce una excepción de gran relevancia práctica: las imágenes deben conservarse —y no borrarse— cuando hayan captado la comisión de actos que atenten contra la integridad de personas, bienes u otras finalidades para las que se instaló el sistema.
En la práctica, esto se traduce en la figura del bloqueo: cuando se detecta un incidente —un robo, una agresión, una entrada no autorizada, un accidente laboral— las grabaciones relacionadas con ese incidente no deben seguir el ciclo ordinario de sobrescritura o borrado. Deben bloquearse, es decir, preservarse de forma controlada hasta que concluyan las diligencias judiciales, administrativas o de cualquier otro tipo que requieran esas imágenes como prueba.
Este bloqueo no prolonga indefinidamente la conservación: las imágenes quedan a disposición exclusiva de los jueces y tribunales, de las Fuerzas y Cuerpos de Seguridad del Estado con competencia en la investigación del incidente y, en su caso, de la empresa a efectos de ejercitar o defender sus derechos ante los órganos competentes. El responsable no puede seguir visionándolas libremente ni utilizarlas para fines distintos del que justificó el bloqueo.
La Agencia Española de Protección de Datos (AEPD) ha aclarado en diversas resoluciones y en su Guía sobre videovigilancia que el bloqueo debe ser proporcional: solo deben preservarse las grabaciones directamente relacionadas con el incidente, no la totalidad de los registros del sistema durante ese período.
Excepciones al plazo de un mes
Además del bloqueo por incidencia, existen otros supuestos en los que el plazo de un mes puede superarse:
- Requerimientos judiciales o policiales previos al vencimiento del plazo. Si antes de que expire el mes la empresa recibe una orden judicial o un requerimiento de las Fuerzas y Cuerpos de Seguridad solicitando la preservación de determinadas imágenes, deberá conservarlas aunque haya transcurrido o esté próximo a transcurrir el mes.
- Ejercicio de acciones legales. Cuando el responsable tiene conocimiento de que las imágenes son necesarias para ejercitar o defenderse en un procedimiento judicial, arbitral o administrativo, puede conservarlas el tiempo estrictamente necesario para esos fines, con el correspondiente bloqueo y documentación.
- Obligaciones legales específicas. Determinadas normativas sectoriales —por ejemplo, las que regulan los establecimientos de juego, las entidades financieras o las instalaciones críticas— pueden imponer plazos de conservación superiores al mes. En esos casos, la normativa especial prevalece sobre el régimen general del artículo 22 LOPDGDD, siempre que quede debidamente documentada la habilitación legal.
Fuera de estas excepciones tasadas, no es válido prolongar el plazo apelando a razones de conveniencia («por si acaso surge algún problema»), a políticas internas de seguridad, ni a la magnitud de la inversión en el sistema de grabación. El principio de minimización y limitación de conservación del RGPD no admite esas justificaciones.
Tabla comparativa: plazos de conservación según el supuesto
| Supuesto | Plazo de conservación | Base legal | Condiciones |
|---|---|---|---|
| Grabación ordinaria sin incidente | Máximo 1 mes | Art. 22.3 LOPDGDD | Borrado o sobrescritura automática al cumplirse el plazo |
| Imágenes relacionadas con un incidente (robo, agresión, accidente) | Durante las diligencias correspondientes | Art. 22.3 LOPDGDD (inciso final) | Bloqueo inmediato; solo acceso para autoridades competentes y ejercicio de derechos |
| Requerimiento judicial o policial previo al vencimiento del mes | El que fije el órgano requirente | Art. 22.3 LOPDGDD + resolución judicial | Debe conservarse copia íntegra sin modificación; bloqueo documentado |
| Normativa sectorial especial (establecimientos de juego, instalaciones críticas, etc.) | El que fije la normativa sectorial aplicable | Normativa sectorial específica | Debe documentarse la habilitación legal que justifica el plazo ampliado |
| Imágenes sin datos de carácter personal (zonas sin presencia humana posible) | No aplica LOPDGDD; criterio técnico del responsable | RGPD art. 2 (ámbito material) | Evaluar caso a caso; la AEPD puede considerar que sí hay datos si existe posibilidad de identificación |
Obligación de borrado seguro
La supresión de las grabaciones al vencimiento del plazo no puede consistir en un mero marcado como «archivadas» o en el traslado a una carpeta de bajas. El artículo 5.1.e) del RGPD exige que los datos dejen de estar disponibles y que no puedan recuperarse razonablemente. En términos prácticos, el borrado seguro implica:
- Sobrescritura efectiva de los sectores del disco o soporte donde se almacenan las grabaciones, de modo que no sean recuperables con herramientas forenses convencionales.
- Si se usan soportes extraíbles (discos duros portátiles, cintas, memorias USB), destrucción física certificada o desmagnetización cuando el soporte llega al final de su vida útil.
- Cuando el sistema de videovigilancia opera en la nube, verificación contractual de que el proveedor garantiza el borrado efectivo de los datos al vencimiento del plazo y no retiene copias en sistemas de backup por períodos superiores al mes.
- Documentación del proceso: registro de las fechas de borrado, el sistema o soporte afectado y la persona responsable de ejecutar la eliminación.
Este último punto —la documentación del borrado— no es opcional. El principio de responsabilidad proactiva (accountability) del artículo 5.2 del RGPD obliga al responsable a demostrar que cumple con el principio de limitación del plazo de conservación. Si la AEPD inicia una investigación, la empresa deberá acreditar no solo que tiene configurado el borrado automático, sino que ese borrado realmente se produce.
El registro de actividades de tratamiento y la videovigilancia
Todo sistema de videovigilancia que capte imágenes de personas identificadas o identificables debe figurar en el registro de actividades de tratamiento que exige el artículo 30 del RGPD. En ese registro debe constar, entre otros datos, el plazo de supresión previsto. Indicar un plazo genérico como «el necesario» o «hasta que se resuelvan las incidencias» no es suficiente: debe especificarse el plazo concreto (un mes, con las excepciones documentadas) y el procedimiento de borrado.
Asimismo, si el sistema de videovigilancia implica un tratamiento a gran escala, supone una observación sistemática de una zona de acceso público o trata categorías especiales de datos (por ejemplo, datos biométricos para el reconocimiento facial), puede ser obligatorio realizar una Evaluación de Impacto en Protección de Datos (EIPD) antes de poner en funcionamiento el sistema, tal como establece el artículo 35 del RGPD.
Para revisar si tu empresa está gestionando correctamente los plazos de conservación de tus grabaciones, puedes consultar nuestro servicio de adecuación de sistemas de videovigilancia al RGPD, con presencia en Castilla y León y Canarias.
Información activa: el cartel de videovigilancia
La LOPDGDD, en su artículo 22.4, obliga a informar de forma clara y visible a quienes transiten por las zonas videovigiladas. El contenido mínimo que debe figurar en el cartel es la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercer los derechos reconocidos en los artículos 15 a 22 del RGPD, indicando además dónde puede obtenerse información más detallada.
Ese lugar donde obtener información adicional es la segunda capa informativa: una política de privacidad, un formulario o cualquier otro documento accesible que completa lo que el cartel no puede contener por razones de espacio. Es en esa segunda capa —y no en el propio cartel— donde deben recogerse el plazo de conservación de las imágenes y los datos de contacto del responsable del tratamiento o, en su caso, del delegado de protección de datos (DPO), tal como refleja el modelo publicado por la AEPD.
La omisión o la insuficiencia de la información activa es una de las infracciones más frecuentes en materia de videovigilancia y puede dar lugar a procedimientos sancionadores en el marco del artículo 83 del RGPD.
Régimen sancionador aplicable
Las infracciones relacionadas con la conservación indebida de grabaciones de videovigilancia quedan encuadradas en el sistema de sanciones del artículo 83 del Reglamento (UE) 2016/679 y de la LOPDGDD (LO 3/2018).
El artículo 83.5 del RGPD califica como infracción grave la violación de los principios básicos del tratamiento, entre los que se incluye la limitación del plazo de conservación (art. 5.1.e RGPD). Las sanciones para este tipo de infracciones pueden alcanzar los 20.000.000 EUR o el 4 % del volumen de negocio anual mundial total del ejercicio financiero anterior, optándose por la cantidad que sea mayor. Para las infracciones de menor gravedad, el umbral es de hasta 10.000.000 EUR o el 2 % del volumen de negocio.
La AEPD valora en la graduación de las sanciones factores como la duración del incumplimiento, el número de afectados, si el responsable adoptó medidas proactivas para minimizar los daños o si, por el contrario, la conservación excesiva fue negligente o deliberada. Tener implantado un procedimiento documentado de borrado —aunque haya fallado puntualmente— reduce significativamente la exposición sancionadora.
Cabe recordar que la LOPDGDD vigente es la LO 3/2018, que derogó la anterior LO 15/1999 (LOPD). Cualquier referencia a la «antigua LOPD» en documentos o contratos debe actualizarse para reflejar el régimen actualmente aplicable.
Buenas prácticas recomendadas por la AEPD
La Guía sobre el uso de videocámaras para seguridad y otras finalidades publicada por la AEPD recoge una serie de recomendaciones operativas que van más allá del cumplimiento mínimo:
- Configurar el borrado automático en el propio sistema de grabación para que no dependa de una acción manual periódica que puede olvidarse.
- Reducir el plazo por debajo del mes cuando la finalidad del sistema lo permita. Si el objetivo es detectar accesos no autorizados fuera del horario de apertura del local, 7 o 14 días pueden ser suficientes y más proporcionales.
- Limitar el acceso a las grabaciones a un número mínimo de personas, con registro de quién accede, cuándo y con qué finalidad.
- Establecer un protocolo escrito de actuación ante incidencias que detalle el procedimiento de bloqueo de imágenes, la cadena de custodia y la persona responsable de la interlocución con las autoridades.
- Revisar periódicamente la configuración del sistema, especialmente cuando se cambia de proveedor tecnológico, se actualiza el software de gestión de vídeo o se amplía el número de cámaras.
Preguntas frecuentes
¿El plazo de un mes se cuenta desde que se graba cada fotograma o desde el inicio de la jornada de grabación?
El artículo 22.3 de la LOPDGDD establece que el plazo se computa desde la captación de cada imagen. En la práctica, dado que los sistemas de videovigilancia graban de forma continua, se entiende que el mes se cuenta desde el momento en que cada grabación fue realizada. Un sistema configurado para sobrescribir de forma automática a los 30 días cumple con este criterio. Lo relevante es que ninguna imagen permanezca almacenada más de un mes desde que fue captada, salvo en los supuestos de bloqueo o excepción legalmente previstos.
¿Qué ocurre si el sistema de sobrescritura falla y las imágenes se conservan más de un mes sin que el responsable lo sepa?
El responsable del tratamiento no queda exonerado por el fallo técnico. El principio de accountability del RGPD exige que el responsable adopte medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de los plazos. Eso incluye verificar periódicamente que la sobrescritura automática funciona correctamente. Si se detecta un fallo, debe corregirse de inmediato, documentarse y, si ha afectado a un número significativo de imágenes o a datos de categorías especiales, valorar si el exceso de conservación constituye una brecha de seguridad que deba notificarse a la AEPD conforme al artículo 33 del RGPD.
¿Puede una comunidad de propietarios conservar las grabaciones más de un mes si los vecinos así lo acuerdan en junta?
No. El acuerdo de los vecinos en junta no puede ampliar el plazo máximo fijado por la ley. El artículo 22.3 de la LOPDGDD establece un límite imperativo que no admite dispensa por voluntad de las partes. Las comunidades de propietarios pueden fijar un plazo inferior al mes —lo cual es perfectamente válido y a veces más proporcional— pero no uno superior. Para más información sobre el régimen específico de las comunidades, puede consultarse el artículo sobre videovigilancia en comunidades de propietarios.
¿Cuándo es obligatorio bloquear las grabaciones y quién puede acceder a ellas durante el bloqueo?
El bloqueo es obligatorio en cuanto el responsable tiene conocimiento de que las imágenes han captado la comisión de un acto ilícito o que pueden ser relevantes para una diligencia judicial, policial o administrativa en curso. El acceso durante el período de bloqueo queda restringido a los órganos judiciales y las Fuerzas y Cuerpos de Seguridad competentes, así como al propio responsable o sus representantes legales cuando necesiten las imágenes para ejercitar o defender sus derechos. Cualquier otro acceso —incluso por parte del personal de la empresa que no esté directamente implicado en la gestión del incidente— debe evitarse y, si se produce, quedar documentado.