Videovigilancia: plazo de conservación según la ley

·

Uno de los errores más frecuentes que detectamos en las auditorías de protección de datos es la conservación indefinida —o durante años— de las grabaciones obtenidas por sistemas de videovigilancia. La empresa suele creer que, cuanto más tiempo guarda las imágenes, mejor se protege ante posibles reclamaciones. La realidad jurídica es la contraria: conservar grabaciones más tiempo del legalmente permitido constituye una infracción de la normativa de protección de datos, con independencia de cuál haya sido la intención.

El artículo 22 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) regula específicamente los sistemas de videovigilancia y establece, con precisión, cuánto tiempo pueden conservarse las imágenes, en qué circunstancias deben bloquearse en lugar de borrarse, y cuáles son las excepciones admitidas. Este artículo analiza ese régimen con rigor normativo.

Si quieres conocer en detalle cómo debe configurarse y gestionarse un sistema de videovigilancia conforme al RGPD, el equipo de Summum Consultoría puede acompañarte en todo el proceso de adecuación.

La regla general: un mes de conservación máxima

El artículo 22.3 de la LOPDGDD dispone textualmente que «los datos serán suprimidos en el plazo máximo de un mes desde su captación». Este plazo de un mes es el límite absoluto en circunstancias ordinarias, es decir, cuando las imágenes no están vinculadas a ningún incidente, reclamación o requerimiento legal.

La redacción no deja margen de interpretación: el responsable del tratamiento —la empresa, comunidad de propietarios, autónomo o entidad pública que opera el sistema— está obligado a eliminar las grabaciones antes de que transcurra ese período. No basta con tener configurado el sistema de sobrescritura automática; debe verificarse periódicamente que la sobrescritura funciona de forma efectiva y que no hay copias de seguridad que extienden el plazo real de conservación más allá del mes.

El Reglamento (UE) 2016/679 (RGPD), en su artículo 5.1.e), consagra el principio de limitación del plazo de conservación: los datos personales no deben mantenerse más tiempo del necesario para los fines para los que fueron recogidos. La videovigilancia tiene un fin concreto —la seguridad de personas y bienes o el control de accesos— y ese fin queda satisfecho sin necesidad de conservar las imágenes indefinidamente. Un mes es el tiempo que el legislador español ha considerado proporcional y suficiente.

¿Qué ocurre cuando se detecta un incidente? El bloqueo de grabaciones

El propio artículo 22.3 de la LOPDGDD reconoce una excepción de gran relevancia práctica: las imágenes deben conservarse —y no borrarse— cuando hayan captado la comisión de actos que atenten contra la integridad de personas, bienes u otras finalidades para las que se instaló el sistema.

En la práctica, esto se traduce en la figura del bloqueo: cuando se detecta un incidente —un robo, una agresión, una entrada no autorizada, un accidente laboral— las grabaciones relacionadas con ese incidente no deben seguir el ciclo ordinario de sobrescritura o borrado. Deben bloquearse, es decir, preservarse de forma controlada hasta que concluyan las diligencias judiciales, administrativas o de cualquier otro tipo que requieran esas imágenes como prueba.

Este bloqueo no prolonga indefinidamente la conservación: las imágenes quedan a disposición exclusiva de los jueces y tribunales, de las Fuerzas y Cuerpos de Seguridad del Estado con competencia en la investigación del incidente y, en su caso, de la empresa a efectos de ejercitar o defender sus derechos ante los órganos competentes. El responsable no puede seguir visionándolas libremente ni utilizarlas para fines distintos del que justificó el bloqueo.

La Agencia Española de Protección de Datos (AEPD) ha aclarado en diversas resoluciones y en su Guía sobre videovigilancia que el bloqueo debe ser proporcional: solo deben preservarse las grabaciones directamente relacionadas con el incidente, no la totalidad de los registros del sistema durante ese período.

Excepciones al plazo de un mes

Además del bloqueo por incidencia, existen otros supuestos en los que el plazo de un mes puede superarse:

Fuera de estas excepciones tasadas, no es válido prolongar el plazo apelando a razones de conveniencia («por si acaso surge algún problema»), a políticas internas de seguridad, ni a la magnitud de la inversión en el sistema de grabación. El principio de minimización y limitación de conservación del RGPD no admite esas justificaciones.

Tabla comparativa: plazos de conservación según el supuesto

Supuesto Plazo de conservación Base legal Condiciones
Grabación ordinaria sin incidente Máximo 1 mes Art. 22.3 LOPDGDD Borrado o sobrescritura automática al cumplirse el plazo
Imágenes relacionadas con un incidente (robo, agresión, accidente) Durante las diligencias correspondientes Art. 22.3 LOPDGDD (inciso final) Bloqueo inmediato; solo acceso para autoridades competentes y ejercicio de derechos
Requerimiento judicial o policial previo al vencimiento del mes El que fije el órgano requirente Art. 22.3 LOPDGDD + resolución judicial Debe conservarse copia íntegra sin modificación; bloqueo documentado
Normativa sectorial especial (establecimientos de juego, instalaciones críticas, etc.) El que fije la normativa sectorial aplicable Normativa sectorial específica Debe documentarse la habilitación legal que justifica el plazo ampliado
Imágenes sin datos de carácter personal (zonas sin presencia humana posible) No aplica LOPDGDD; criterio técnico del responsable RGPD art. 2 (ámbito material) Evaluar caso a caso; la AEPD puede considerar que sí hay datos si existe posibilidad de identificación

Obligación de borrado seguro

La supresión de las grabaciones al vencimiento del plazo no puede consistir en un mero marcado como «archivadas» o en el traslado a una carpeta de bajas. El artículo 5.1.e) del RGPD exige que los datos dejen de estar disponibles y que no puedan recuperarse razonablemente. En términos prácticos, el borrado seguro implica:

Este último punto —la documentación del borrado— no es opcional. El principio de responsabilidad proactiva (accountability) del artículo 5.2 del RGPD obliga al responsable a demostrar que cumple con el principio de limitación del plazo de conservación. Si la AEPD inicia una investigación, la empresa deberá acreditar no solo que tiene configurado el borrado automático, sino que ese borrado realmente se produce.

El registro de actividades de tratamiento y la videovigilancia

Todo sistema de videovigilancia que capte imágenes de personas identificadas o identificables debe figurar en el registro de actividades de tratamiento que exige el artículo 30 del RGPD. En ese registro debe constar, entre otros datos, el plazo de supresión previsto. Indicar un plazo genérico como «el necesario» o «hasta que se resuelvan las incidencias» no es suficiente: debe especificarse el plazo concreto (un mes, con las excepciones documentadas) y el procedimiento de borrado.

Asimismo, si el sistema de videovigilancia implica un tratamiento a gran escala, supone una observación sistemática de una zona de acceso público o trata categorías especiales de datos (por ejemplo, datos biométricos para el reconocimiento facial), puede ser obligatorio realizar una Evaluación de Impacto en Protección de Datos (EIPD) antes de poner en funcionamiento el sistema, tal como establece el artículo 35 del RGPD.

Para revisar si tu empresa está gestionando correctamente los plazos de conservación de tus grabaciones, puedes consultar nuestro servicio de adecuación de sistemas de videovigilancia al RGPD, con presencia en Castilla y León y Canarias.

Información activa: el cartel de videovigilancia

La LOPDGDD, en su artículo 22.4, obliga a informar de forma clara y visible a quienes transiten por las zonas videovigiladas. El contenido mínimo que debe figurar en el cartel es la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercer los derechos reconocidos en los artículos 15 a 22 del RGPD, indicando además dónde puede obtenerse información más detallada.

Ese lugar donde obtener información adicional es la segunda capa informativa: una política de privacidad, un formulario o cualquier otro documento accesible que completa lo que el cartel no puede contener por razones de espacio. Es en esa segunda capa —y no en el propio cartel— donde deben recogerse el plazo de conservación de las imágenes y los datos de contacto del responsable del tratamiento o, en su caso, del delegado de protección de datos (DPO), tal como refleja el modelo publicado por la AEPD.

La omisión o la insuficiencia de la información activa es una de las infracciones más frecuentes en materia de videovigilancia y puede dar lugar a procedimientos sancionadores en el marco del artículo 83 del RGPD.

Régimen sancionador aplicable

Las infracciones relacionadas con la conservación indebida de grabaciones de videovigilancia quedan encuadradas en el sistema de sanciones del artículo 83 del Reglamento (UE) 2016/679 y de la LOPDGDD (LO 3/2018).

El artículo 83.5 del RGPD califica como infracción grave la violación de los principios básicos del tratamiento, entre los que se incluye la limitación del plazo de conservación (art. 5.1.e RGPD). Las sanciones para este tipo de infracciones pueden alcanzar los 20.000.000 EUR o el 4 % del volumen de negocio anual mundial total del ejercicio financiero anterior, optándose por la cantidad que sea mayor. Para las infracciones de menor gravedad, el umbral es de hasta 10.000.000 EUR o el 2 % del volumen de negocio.

La AEPD valora en la graduación de las sanciones factores como la duración del incumplimiento, el número de afectados, si el responsable adoptó medidas proactivas para minimizar los daños o si, por el contrario, la conservación excesiva fue negligente o deliberada. Tener implantado un procedimiento documentado de borrado —aunque haya fallado puntualmente— reduce significativamente la exposición sancionadora.

Cabe recordar que la LOPDGDD vigente es la LO 3/2018, que derogó la anterior LO 15/1999 (LOPD). Cualquier referencia a la «antigua LOPD» en documentos o contratos debe actualizarse para reflejar el régimen actualmente aplicable.

Buenas prácticas recomendadas por la AEPD

La Guía sobre el uso de videocámaras para seguridad y otras finalidades publicada por la AEPD recoge una serie de recomendaciones operativas que van más allá del cumplimiento mínimo:

Preguntas frecuentes

¿El plazo de un mes se cuenta desde que se graba cada fotograma o desde el inicio de la jornada de grabación?

El artículo 22.3 de la LOPDGDD establece que el plazo se computa desde la captación de cada imagen. En la práctica, dado que los sistemas de videovigilancia graban de forma continua, se entiende que el mes se cuenta desde el momento en que cada grabación fue realizada. Un sistema configurado para sobrescribir de forma automática a los 30 días cumple con este criterio. Lo relevante es que ninguna imagen permanezca almacenada más de un mes desde que fue captada, salvo en los supuestos de bloqueo o excepción legalmente previstos.

¿Qué ocurre si el sistema de sobrescritura falla y las imágenes se conservan más de un mes sin que el responsable lo sepa?

El responsable del tratamiento no queda exonerado por el fallo técnico. El principio de accountability del RGPD exige que el responsable adopte medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de los plazos. Eso incluye verificar periódicamente que la sobrescritura automática funciona correctamente. Si se detecta un fallo, debe corregirse de inmediato, documentarse y, si ha afectado a un número significativo de imágenes o a datos de categorías especiales, valorar si el exceso de conservación constituye una brecha de seguridad que deba notificarse a la AEPD conforme al artículo 33 del RGPD.

¿Puede una comunidad de propietarios conservar las grabaciones más de un mes si los vecinos así lo acuerdan en junta?

No. El acuerdo de los vecinos en junta no puede ampliar el plazo máximo fijado por la ley. El artículo 22.3 de la LOPDGDD establece un límite imperativo que no admite dispensa por voluntad de las partes. Las comunidades de propietarios pueden fijar un plazo inferior al mes —lo cual es perfectamente válido y a veces más proporcional— pero no uno superior. Para más información sobre el régimen específico de las comunidades, puede consultarse el artículo sobre videovigilancia en comunidades de propietarios.

¿Cuándo es obligatorio bloquear las grabaciones y quién puede acceder a ellas durante el bloqueo?

El bloqueo es obligatorio en cuanto el responsable tiene conocimiento de que las imágenes han captado la comisión de un acto ilícito o que pueden ser relevantes para una diligencia judicial, policial o administrativa en curso. El acceso durante el período de bloqueo queda restringido a los órganos judiciales y las Fuerzas y Cuerpos de Seguridad competentes, así como al propio responsable o sus representantes legales cuando necesiten las imágenes para ejercitar o defender sus derechos. Cualquier otro acceso —incluso por parte del personal de la empresa que no esté directamente implicado en la gestión del incidente— debe evitarse y, si se produce, quedar documentado.