Proteccion de datos

Videovigilancia y protección de datos

Instalar cámaras sin cumplir el RGPD y la LOPDGDD 3/2018 expone a tu negocio a sanciones de la Agencia Española de Protección de Datos (AEPD). Te acompañamos en la adecuación completa: cartel informativo, registro de actividades, base de legitimación, plazos de conservación y procedimiento de atención a los derechos de las personas grabadas.

Norma aplicableRGPD (UE) 2016/679 · LOPDGDD 3/2018 (arts. 22 y 89)
PerfilHostelería, comercio, comunidades de propietarios, pymes y empresas
ModalidadPresencial y remoto · CyL y Canarias

La videovigilancia capta imágenes de personas identificadas o identificables: es tratamiento de datos personales desde el momento en que la cámara graba. El artículo 22 de la LOPDGDD 3/2018 regula específicamente el tratamiento con fines de seguridad y vigilancia, e impone obligaciones concretas: colocar el cartel informativo en zona visible antes de acceder al espacio grabado, limitar la conservación de las grabaciones a un máximo de un mes con carácter general (salvo que sean prueba de un hecho ilícito), y garantizar que solo acceden a las imágenes quienes tengan legitimación para ello.

En el ámbito laboral, el artículo 89 de la LOPDGDD añade una capa adicional: el empresario puede instalar sistemas de videovigilancia para controlar el cumplimiento de las obligaciones laborales, pero debe informar previamente a los trabajadores y, cuando exista, a la representación sindical. Las cámaras no pueden ubicarse en zonas de descanso, vestuarios ni aseos. El incumplimiento de estos requisitos invalida las grabaciones como prueba en procedimientos disciplinarios y constituye una infracción autónoma ante la AEPD.

Summum Consultoría acompaña a hosteleros, comerciantes, comunidades de propietarios y empresas de cualquier tamaño en la adecuación de sus sistemas de videovigilancia. No sustituimos a la AEPD ni garantizamos el resultado de un expediente sancionador, pero sí construimos contigo la documentación, los procesos y las medidas organizativas que demuestran que actúas con diligencia y responsabilidad proactiva ante cualquier requerimiento.

El proceso de Videovigilancia y protección de datos.

El proceso · cuatro tiempos
01

Diagnóstico del sistema existente

Revisamos las cámaras instaladas, su ubicación, el tipo de imágenes que capturan, quién accede a las grabaciones, durante cuánto tiempo se conservan y si existe documentación previa. Identificamos los incumplimientos respecto al artículo 22 LOPDGDD, al artículo 89 LOPDGDD si hay empleados grabados, y a las directrices de la AEPD.

02

Base de legitimación y registro de actividades

Determinamos la base de legitimación aplicable —interés legítimo del responsable conforme al artículo 6.1.f RGPD en la mayoría de los casos— y creamos o actualizamos la ficha de tratamiento de videovigilancia en el Registro de Actividades de Tratamiento (RAT) exigido por el artículo 30 RGPD.

03

Implantación de medidas documentales

Elaboramos el cartel informativo normalizado conforme al modelo de la AEPD, con indicación de la identidad del responsable, la finalidad del tratamiento y cómo ejercer los derechos. En entornos laborales, redactamos la comunicación a los trabajadores y, cuando procede, a la representación sindical, conforme al artículo 89 LOPDGDD.

04

Protocolo de derechos y brechas

Establecemos el procedimiento interno para atender las solicitudes de acceso, rectificación y supresión de imágenes que presenten las personas grabadas. Definimos el protocolo de notificación de brechas de seguridad a la AEPD en el plazo máximo de 72 horas (artículo 33 RGPD) y la comunicación a los afectados cuando el riesgo sea alto (artículo 34 RGPD).

Qué incluye

Qué incluye Videovigilancia y protección de datos.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Cartel informativo normalizado

    Elaboración del cartel obligatorio conforme al artículo 22 LOPDGDD y al modelo orientativo de la AEPD: identidad del responsable, finalidad, plazo de conservación, derechos y vía de ejercicio. Verificamos su ubicación en zona visible antes de acceder al espacio grabado.

  • Registro de actividades de tratamiento (videovigilancia)

    Ficha específica para el tratamiento de videovigilancia en el RAT del artículo 30 RGPD: descripción de las cámaras, datos captados, base de legitimación, plazos de conservación, destinatarios y medidas de seguridad aplicadas.

  • Cámaras en el ámbito laboral (art. 89 LOPDGDD)

    Revisión de la ubicación de las cámaras para verificar que no captan zonas de descanso, vestuarios ni aseos. Redacción de la comunicación previa a los trabajadores y, cuando procede, a la representación sindical. Adaptación del contrato de trabajo o del reglamento interno si es necesario.

  • Plazos de conservación de grabaciones

    Implantación del criterio de borrado automático conforme al artículo 22.3 LOPDGDD: máximo un mes con carácter general. Documentación del procedimiento de excepción cuando las imágenes deben conservarse como prueba de un hecho ilícito, con notificación a las Fuerzas y Cuerpos de Seguridad o a la autoridad judicial.

  • Control de acceso a las grabaciones

    Definición de quién puede acceder a las imágenes grabadas, bajo qué condiciones y con qué registro de trazabilidad. Revisión de contratos con empresas de seguridad privada o proveedores del sistema de grabación como encargados del tratamiento (artículo 28 RGPD).

  • Protocolo de brechas de seguridad

    Procedimiento interno de detección, contención y notificación a la AEPD en 72 horas (artículo 33 RGPD). Cuando la brecha implique alto riesgo para los grabados, protocolo de comunicación individual conforme al artículo 34 RGPD.

Cluster Summum

Cómo se cruza con las hermanas.

La adecuación de la videovigilancia al RGPD es parte de un sistema más amplio de protección de datos. Cuando el sistema de grabación está conectado a redes o plataformas en la nube, la ciberseguridad y la gestión de accesos técnicos son igualmente críticos, y Summum Sistemas puede acompañarte en ese frente.

Preguntas frecuentes sobre Videovigilancia y protección de datos.

¿Es obligatorio poner un cartel informativo si tengo cámaras de seguridad?

Sí. El artículo 22 de la LOPDGDD 3/2018 exige colocar en lugar suficientemente visible, antes de acceder al espacio grabado, un cartel informativo que indique que existe videovigilancia, quién es el responsable del tratamiento y cómo pueden ejercerse los derechos de acceso, rectificación, supresión y oposición. La AEPD dispone de un modelo orientativo, pero el cartel debe adaptarse a los datos reales del responsable. La ausencia del cartel es una de las infracciones más frecuentes detectadas en inspecciones.

¿Cuánto tiempo puedo guardar las grabaciones de las cámaras?

El artículo 22.3 de la LOPDGDD establece como plazo máximo un mes, con carácter general, contado desde la captación de las imágenes. Transcurrido ese plazo, deben suprimirse o, en su caso, bloquearse. La única excepción es cuando las grabaciones deban conservarse para acreditar la comisión de un acto ilícito: en ese caso, deben ponerse a disposición de las Fuerzas y Cuerpos de Seguridad o de la autoridad judicial competente en el plazo que estas indiquen. Conservar grabaciones más allá de un mes sin causa justificada es una infracción del RGPD.

¿Puedo instalar cámaras para controlar a mis empleados en el trabajo?

Sí, dentro de los límites que fija el artículo 89 de la LOPDGDD. El empresario puede instalar sistemas de videovigilancia para controlar el cumplimiento de las obligaciones laborales, pero con dos condiciones previas: informar a los trabajadores de la existencia y características esenciales de los dispositivos, e informar también a la representación sindical si la hay. Las cámaras no pueden ubicarse en zonas de descanso, vestuarios, comedores ni aseos. Si no se cumplen estos requisitos, las grabaciones pierden validez como prueba en un procedimiento disciplinario y la instalación constituye una infracción autónoma.

¿Qué base de legitimación ampara el tratamiento de imágenes de videovigilancia?

La más habitual es el interés legítimo del responsable del tratamiento, conforme al artículo 6.1.f del RGPD, cuando la finalidad es la seguridad de personas, bienes e instalaciones y existe una necesidad real y proporcionada. Debe realizarse el test de proporcionalidad: la medida ha de ser adecuada, necesaria y equilibrada respecto a los derechos de los grabados. En el ámbito laboral, el artículo 89 LOPDGDD añade como base la relación contractual laboral. El consentimiento no es la base habitual en videovigilancia, precisamente porque condicionar el acceso a un establecimiento a prestar consentimiento raramente cumple el requisito de libertad.

¿Qué ocurre si alguien me solicita acceso a las imágenes en las que aparece?

Las personas grabadas son titulares de los derechos reconocidos en el RGPD: acceso, rectificación, supresión y oposición. Deben poder ejercerlos dirigiéndose al responsable del tratamiento por las vías indicadas en el cartel informativo. El responsable tiene un mes para responder (artículo 12 RGPD), con posibilidad de prórroga de dos meses adicionales en casos complejos. Si las imágenes ya han sido suprimidas porque superó el plazo del mes, el responsable debe comunicarlo así. En caso de negativa, debe motivarse jurídicamente.

¿Necesita adecuarse al RGPD una comunidad de propietarios que instala cámaras?

Sí. Una comunidad de propietarios que instala cámaras en zonas comunes —portal, garaje, piscina, ascensor— es responsable del tratamiento a todos los efectos del RGPD. Debe colocar el cartel informativo, incluir el tratamiento en su registro de actividades, definir los plazos de conservación y establecer los controles de acceso a las grabaciones. El acuerdo de la junta de propietarios que autoriza la instalación no equivale al cumplimiento del RGPD; la adecuación documental es un paso adicional y obligatorio.

¿Estoy obligado a notificar a la AEPD si me hackean el sistema de grabación?

Si la brecha de seguridad afecta a las grabaciones almacenadas y es probable que entrañe un riesgo para los derechos de las personas grabadas, sí: el artículo 33 del RGPD exige notificarla a la AEPD en un plazo máximo de 72 horas desde que el responsable tiene conocimiento. Si el riesgo es alto —por ejemplo, si las imágenes pueden usarse para seguimiento o chantaje de personas identificables—, el artículo 34 RGPD exige además comunicárselo directamente a los afectados. Tener un protocolo de gestión de brechas preparado de antemano es la única forma de cumplir el plazo de 72 horas en la práctica.