CCPA vs. RGPD: Guía de Cumplimiento para Privacidad en Vídeo e Imagen
Compara las obligaciones de CCPA/CPRA y RGPD para vídeo e imagen — quién cubre, qué es dato biométrico y cómo la anonimización satisface ambas normas.
Las caras en una cámara de seguridad, en una videollamada de atención al cliente o en un conjunto de datos de entrenamiento son datos personales tanto bajo la ley estadounidense como la europea — pero las normas difieren en aspectos relevantes para cómo gestionas, compartes y almacenas esas grabaciones. Que se aplique el RGPD, la CCPA/CPRA o ambas depende de dónde se encuentran tus usuarios y cómo tratas sus datos.
Esta guía compara las obligaciones del RGPD y la CCPA/CPRA específicamente para vídeo e imagen, clarifica cómo cada régimen define la información biométrica y explica cómo la anonimización irreversible puede satisfacer ambos marcos a la vez.
Aviso legal: Esta guía tiene únicamente fines informativos y no constituye asesoramiento jurídico. La normativa de privacidad es compleja y específica de cada jurisdicción. Consulta a un profesional legal cualificado antes de tomar decisiones de cumplimiento.
Resumen ejecutivo
- El RGPD protege a los residentes identificables de la UE; la CCPA, a los consumidores de California — una empresa estadounidense que atiende a usuarios en la UE puede estar sujeta a ambas simultáneamente; el ámbito territorial sigue al interesado, no a la dirección de la empresa.
- Ambos regímenes tratan caras y datos biométricos como datos de alta sensibilidad, pero la CPRA los clasifica explícitamente como "información personal sensible" con derecho de restricción, mientras que el RGPD exige una base jurídica habilitante para tratarlos como "categoría especial" de datos.
- Los vídeos e imágenes verdaderamente anónimos quedan fuera de ambos regímenes — el Considerando 26 del RGPD los excluye; la CCPA excluye los datos "desidentificados" — por lo que la anonimización es el control de cumplimiento más potente disponible.
- Puedes anonimizar vídeos e imágenes ahora con Medianonymizer — la IA localiza caras, matrículas y texto identificador en pantalla; un proceso determinista los sobreescribe de forma irreversible; y un registro de auditoría documenta qué se ha eliminado.
A quién se aplica cada ley
RGPD (UE)
El Reglamento General de Protección de Datos (UE) 2016/679 se aplica cuando tratas datos personales de personas que se encuentran en la UE o el EEE. Conforme al artículo 3, el ámbito territorial se activa por:
- Establecimiento: tu organización tiene una oficina, sucursal o establecimiento estable en la UE, o
- Dirigir la actividad: ofreces bienes o servicios a personas en la UE, o controlas su comportamiento (artículo 3.2).
Una empresa con sede en EE. UU. que retransmite un seminario web grabado en California con participantes de la UE generalmente trata datos personales europeos y queda sujeta al RGPD respecto a esos individuos.
CCPA / CPRA (California)
La Ley de Privacidad del Consumidor de California (Cal. Civ. Code §1798.100 y ss.), modificada por la Ley de Derechos de Privacidad de California (CPRA, vigente desde enero de 2023), se aplica a empresas con ánimo de lucro que operan en California y cumplen al menos uno de estos umbrales:
- Ingresos brutos anuales superiores a 25 millones de dólares
- Compra, venta, recepción o intercambio de información personal de 100.000 o más consumidores o hogares de California al año
- Obtención del 50 % o más de los ingresos anuales de la venta o cesión de información personal de consumidores
Ambas leyes protegen la "información personal" de forma amplia, y ambas reconocen que las grabaciones de vídeo que identifican a una persona entran dentro de su ámbito de aplicación.
Cómo define cada ley los datos personales en vídeo e imagen
RGPD: Datos personales y categorías especiales
Según el artículo 4.1 del RGPD, son datos personales cualquier información relativa a una persona física identificada o identificable — incluidas las imágenes donde una cara, un modo de caminar u otro marcador biométrico permite la identificación. El tratamiento de datos biométricos con el fin de identificar de manera unívoca a una persona está expresamente prohibido por el artículo 9, salvo que concurra una excepción concreta (consentimiento explícito, intereses vitales, interés público legítimo, etc.).
Los datos de reconocimiento facial — plantillas extraídas de imágenes para identificar personas — son datos biométricos de categoría especial según el artículo 9.1. Incluso las grabaciones de vídeo en bruto donde son visibles caras son datos personales conforme al artículo 4 si los individuos son identificables en contexto.
CCPA/CPRA: Información personal e información personal sensible
El Código Civil de California §1798.140(v) define la información personal de forma amplia, incluyendo "imágenes" e identificadores que pueden vincularse a un consumidor. Bajo la CPRA §1798.140(ae), la información personal sensible es una subcategoría específica que incluye:
- Información biométrica tratada para identificar a un consumidor (plantillas de reconocimiento facial, huellas de voz, análisis de la marcha)
- Geolocalización precisa
- Origen racial o étnico
- Credenciales de cuenta
Para la información personal sensible, los consumidores tienen el derecho a limitar el uso y la divulgación según la CPRA §1798.121 — las empresas solo pueden usarla para prestar el servicio principal solicitado, salvo que el consumidor opte por usos más amplios. Esta es una restricción más fuerte que los derechos generales de la CCPA.
Comparativa para datos de vídeo e imagen
| Dimensión | RGPD | CCPA / CPRA |
|---|---|---|
| Ámbito geográfico | Tratamiento de datos de residentes en la UE/EEE | Empresa que opera en CA y toca consumidores de CA |
| Caras en vídeo | Datos personales (art. 4); ID biométrica = categoría especial (art. 9) | Información personal; plantillas faciales = información sensible |
| ¿Se requiere base jurídica? | Sí — una de las seis bases del art. 6; base del art. 9 para biométricos | No se exige consentimiento previo, pero los datos sensibles activan el derecho de restricción |
| Derechos del interesado | Acceso, rectificación, supresión, portabilidad, oposición (arts. 15–21) | Conocer, suprimir, corregir, optar a no venta/cesión (§1798.100–§1798.125) |
| Efecto de la anonimización | Datos excluidos del Reglamento (Considerando 26) | Datos excluidos como "desidentificados" (§1798.140(m)) |
| Sanciones | Hasta 20 M€ o el 4 % del volumen de negocio global (art. 83.5) | Hasta 7.500 $ por infracción intencionada (§1798.155) |
| Autoridad de control | Autoridad de control nacional (AEPD en España) + CEPD | California Privacy Protection Agency (CPPA) |
| Exclusión biométrica | Sin exclusión independiente; base jurídica controla el tratamiento | Consumidores pueden limitar el uso de información sensible (§1798.121) |
Diferencias prácticas clave
Base jurídica vs. arquitectura de exclusión voluntaria
El RGPD exige identificar una base jurídica antes de tratar datos personales — interés legítimo, necesidad contractual, obligación legal o consentimiento, entre otras (artículo 6). Para datos biométricos, el artículo 9 exige una base específica y, en la mayoría de contextos comerciales, eso significa consentimiento explícito, libre, específico e informado de cada persona.
La CCPA adopta un enfoque distinto: el tratamiento está generalmente permitido, pero los consumidores tienen derecho a excluirse de la venta o cesión de su información personal y a limitar el uso de la información personal sensible al propósito empresarial principal. La carga de cumplimiento recae en las divulgaciones, los mecanismos de exclusión voluntaria y la atención de solicitudes de los consumidores — no en la preautorización.
Para datos de vídeo, esta distinción es significativa. Bajo el RGPD, grabar caras de clientes para análisis probablemente requiere un nuevo consentimiento o una sólida evaluación de interés legítimo con la correspondiente Evaluación de Impacto en la Protección de Datos (EIPD, artículo 35). Bajo la CCPA, puedes grabar y usar el material, pero debes proporcionar un enlace "Limitar el Uso de Mi Información Personal Sensible" si constituye información sensible y atender las solicitudes de exclusión de los consumidores de California.
Derechos de los interesados sobre grabaciones de vídeo
Ambos regímenes otorgan a las personas el derecho a solicitar la supresión de sus datos. Bajo el artículo 17 del RGPD, el derecho de supresión se aplica cuando los datos ya no son necesarios para su finalidad original, se retira el consentimiento o el interesado se opone y no existe interés legítimo prevalente. Bajo la CCPA §1798.105, los consumidores pueden solicitar la supresión y la empresa debe notificar a los proveedores de servicios y contratistas para que supriman también.
Para archivos de vídeo, esto crea un reto operativo: cuando una persona solicita la supresión de una grabación en la que aparece, ¿puedes atenderla? Si la grabación también contiene a otras personas, no puedes simplemente eliminar el archivo. Anonimizar selectivamente la cara del solicitante — y volver a emitir el archivo — suele ser el camino práctico para cumplir con las solicitudes de supresión bajo ambos regímenes.
Requisitos de evaluación de impacto (EIPD/EIP)
El artículo 35 del RGPD exige una Evaluación de Impacto relativa a la Protección de Datos antes de tratamientos que "puedan suponer un alto riesgo" para los interesados. El Comité Europeo de Protección de Datos (CEPD) incluye el tratamiento a gran escala de datos biométricos y la vigilancia sistemática de espacios públicos como activadores automáticos de EIPD. Si operas circuitos cerrados de televisión, construyes sistemas de reconocimiento facial o procesas vídeo a gran escala para análisis, una EIPD es generalmente obligatoria.
La CCPA no tiene un equivalente directo, pero la CPRA §1798.185 autorizó a la CPPA a exigir evaluaciones de riesgo para actividades de tratamiento que "presenten un riesgo significativo" para la privacidad del consumidor. La CPPA publicó borradores de Regulaciones de Evaluación de Riesgo en 2024 que, una vez finalizados, impondrán obligaciones de evaluación para ciertos tratamientos de alto riesgo — incluida la vigilancia biométrica.
La anonimización como vía de cumplimiento compartida
La forma más eficiente de cumplir con ambos marcos es aplicar la anonimización en el momento en que las grabaciones salen de tu control inmediato — antes de archivarlas para análisis, antes de compartirlas con un proveedor, antes de usarlas en datos de entrenamiento, antes de publicarlas.
| Escenario | Sin anonimización | Con anonimización |
|---|---|---|
| Compartir grabaciones de CCTV con un proveedor de análisis externo | Acuerdo de encargo de tratamiento (RGPD art. 28); contrato de proveedor de servicios (CCPA §1798.140(ag)); obligaciones continuas | Datos desidentificados excluidos de ambos regímenes; carga contractual reducida |
| Archivar videollamadas de clientes más allá de la retención operativa | Requiere base jurídica y justificación de retención bajo ambas leyes | El archivo anonimizado queda fuera de la definición de datos personales |
| Usar vídeo para entrenar modelos de IA | Consentimiento biométrico bajo RGPD art. 9; divulgación de información sensible bajo CPRA | Datos de entrenamiento excluidos del ámbito si la reidentificación no es razonablemente posible |
| Responder a una solicitud de supresión en una grabación con múltiples personas | No se puede eliminar el archivo sin afectar a otros interesados | Anonimizar selectivamente al solicitante; conservar el resto |
El proceso de Medianonymizer está diseñado para exactamente estos escenarios: la detección por IA localiza caras, matrículas y texto en pantalla fotograma a fotograma; la sobreescritura basada en ffmpeg reemplaza las regiones identificadas de forma irreversible; y un registro de auditoría descargable registra las categorías de detección, los marcadores de tiempo y el hash del archivo de salida. Consulta el caso de uso de anonimización de vídeo para el RGPD para un flujo de trabajo detallado.
Qué significa realmente "irreversible"
Un filtro visual de desenfoque o pixelado aplicado en la capa de visualización no es suficiente para el cumplimiento del RGPD o la CCPA si los datos de píxeles subyacentes permanecen en el archivo codificado. La anonimización genuina requiere que los datos identificadores sean sobreescritos en el archivo de salida, no meramente ocultados en la interfaz. Esto implica:
- Vídeo: recodificación con la región facial rellena por un color sólido o ruido, no una capa superpuesta
- Imágenes: sobrescritura a nivel de píxel con eliminación de metadatos (EXIF, XMP, IPTC)
- Audio en vídeo: sobreescritura de la forma de onda (silencio o pitido) para el segmento correspondiente, no una capa de silencio
El principio de minimización de datos del RGPD (artículo 5.1.c) lo respalda directamente: recoger y conservar solo lo necesario. Para grabaciones en las que la cara no es necesaria para el fin ulterior, la eliminación irreversible satisface la minimización y excluye los datos del ámbito de aplicación.
Lista de verificación de implementación
- Identificar todos los activos de vídeo e imagen que contienen personas identificables (CCTV, grabaciones de llamadas, cargas de usuarios, datos de entrenamiento)
- Determinar qué interesados son residentes en la UE/EEE (RGPD) y cuáles son consumidores de California (CCPA/CPRA)
- Para el RGPD: documentar la base jurídica de cada actividad de tratamiento; realizar una EIPD para tratamiento biométrico o de vídeo a gran escala
- Para la CCPA/CPRA: añadir controles "Limitar el Uso de Mi Información Personal Sensible" si se tratan datos biométricos; actualizar el aviso de privacidad
- Definir los plazos de conservación de los activos de vídeo y el momento de anonimización (expiración, exportación, cesión, uso en investigación)
- Implementar anonimización irreversible para todas las grabaciones que salgan del uso operativo primario — caras, matrículas y texto identificador en pantalla
- Conservar un registro de auditoría por cada operación de anonimización: hash de entrada, categorías de detección, hash de salida, marca de tiempo
- Establecer un proceso para atender solicitudes de supresión en grabaciones con múltiples personas mediante anonimización facial selectiva
- Formalizar acuerdos de encargo de tratamiento (RGPD) o contratos de proveedor de servicios (CCPA) con los proveedores que reciben datos de vídeo — o eliminar la obligación compartiendo únicamente salidas anonimizadas
Empieza a anonimizar bajo ambos regímenes
El camino más rápido para reducir la exposición al RGPD y la CCPA en datos de vídeo e imagen es eliminar la información identificadora antes de que se propague — a proveedores, archivos, sistemas de análisis y conjuntos de entrenamiento. Un único paso de anonimización, realizado de forma irreversible y con trazabilidad, satisface los estándares de desidentificación de ambos marcos y elimina las obligaciones que siguen a los datos personales.
Preguntas frecuentes
- ¿Se aplica el RGPD a grabaciones de vídeo si mi empresa tiene sede fuera de la UE?
- En general, sí, si las grabaciones contienen imágenes de residentes identificables en la UE y tu organización está establecida en la UE o dirige bienes o servicios a personas en la UE (RGPD artículo 3). El ámbito territorial lo determina la ubicación del interesado, no el domicilio social de la empresa.
- ¿Trata la CCPA/CPRA las caras y los datos biométricos de forma diferente al resto de información personal?
- Sí. El Código Civil de California §1798.140 recoge la 'información biométrica' —incluidas las plantillas de reconocimiento facial y las huellas de voz— como categoría específica de información personal. La CPRA (vigente desde 2023) la clasifica además como 'información personal sensible', lo que activa derechos adicionales de restricción de uso más allá de los derechos generales de la CCPA.
- ¿Es suficiente difuminar una cara en un vídeo para cumplir con el RGPD o la CCPA?
- Una capa de pixelado o desenfoque que deja intactos los datos de imagen originales en el archivo no es suficiente; puede ser reversible extrayendo el flujo de vídeo sin modificar. El cumplimiento requiere la destrucción irreversible de los píxeles identificadores — por ejemplo, sobrescritura por color sólido mediante ffmpeg — de modo que no sea posible recuperar ningún dato facial original del archivo de salida.
- ¿Cuál es la diferencia práctica entre 'datos anónimos' del RGPD y datos 'desidentificados' de la CCPA?
- El RGPD (Considerando 26) considera anónimos los datos solo cuando la reidentificación no es razonablemente posible para nadie, teniendo en cuenta todos los datos auxiliares disponibles. La CCPA exige que los datos no puedan 'razonablemente' vincularse a un consumidor y que la empresa aplique salvaguardas técnicas y se comprometa contractualmente a no reidentificar. El estándar del RGPD es generalmente más exigente porque contempla el riesgo de reidentificación por terceros a escala global, no solo la capacidad de la propia empresa.
- ¿Se aplica la CCPA a las grabaciones de videovigilancia de empleados?
- Desde el 1 de enero de 2023, la exención de datos de empleo de la CPRA ha expirado, lo que significa que los empleados y candidatos en California tienen plenos derechos CCPA/CPRA. Esto incluye derechos sobre las grabaciones de vídeo captadas en el lugar de trabajo que puedan identificarlos. Las empresas deben auditar sus prácticas de vigilancia interna frente a las normas de la CPRA sobre información personal sensible de carácter biométrico.
- ¿Puede un único flujo de anonimización satisfacer simultáneamente el RGPD y la CCPA?
- En la mayoría de los casos, sí. Si la anonimización cumple el estándar más exigente del RGPD —eliminación irreversible de modo que la reidentificación no sea razonablemente posible para nadie— generalmente también satisfará el requisito de la CCPA de que los datos 'no puedan vincularse razonablemente' al consumidor. Implementar una sola vez al nivel más estricto es el camino eficiente para organizaciones sujetas a ambos regímenes.