¿Aplica el RGPD a las grabaciones de CCTV y videovigilancia?

Sí. Las grabaciones de CCTV que capturan personas identificables constituyen datos personales conforme al artículo 4(1) del RGPD. Esto significa que todos los principios fundamentales del Reglamento —base jurídica, limitación de la finalidad, minimización de datos, plazos de conservación y derechos de los interesados— se aplican al modo en que se opera, almacena y comparte ese material. Las grabaciones anónimas de las que no puede identificarse a ninguna persona quedan generalmente fuera del ámbito del RGPD.

¿Cuál es la base jurídica para el CCTV bajo el RGPD?

La mayoría de las organizaciones recurren al interés legítimo (artículo 6(1)(f)), que exige realizar un Test de Ponderación de Intereses Legítimos en el que se evalúe la necesidad de seguridad frente al impacto sobre la privacidad de los captados. Las autoridades públicas pueden invocar el ejercicio de poderes públicos (artículo 6(1)(e)). El consentimiento raramente es una base viable para la vigilancia de espacios generales, ya que debe ser libre, algo difícil de garantizar en lugares de tránsito obligado.

¿Cuánto tiempo pueden conservarse las grabaciones de CCTV bajo el RGPD?

El principio de limitación del plazo de conservación (artículo 5(1)(e)) exige que las grabaciones se mantengan únicamente durante el tiempo necesario para la finalidad declarada. La mayoría de las autoridades de control consideran 30 días un plazo razonable para grabaciones generales de seguridad; los incidentes concretos pueden justificar una retención mayor. Algunos reguladores sectoriales (p. ej., transporte, banca) establecen plazos específicos. Es obligatorio documentar el período de retención y aplicar la supresión automática.

¿Cuándo es obligatoria una EIPD para sistemas de CCTV?

Una Evaluación de Impacto sobre la Protección de Datos es preceptiva según el artículo 35 del RGPD cuando el tratamiento 'pueda entrañar un alto riesgo' para los derechos y libertades de las personas. La supervisión sistemática a gran escala de zonas de acceso público figura expresamente como supuesto que requiere EIPD. Aun cuando el despliegue sea de menor escala, realizarla se considera buena práctica y demuestra responsabilidad proactiva conforme al artículo 5(2).

¿Qué derechos tienen los interesados sobre las grabaciones de CCTV en las que aparecen?

Los interesados pueden ejercer el derecho de acceso (artículo 15) para obtener una copia de las grabaciones en que aparezcan. También disponen del derecho de supresión (artículo 17) y del derecho a la limitación del tratamiento (artículo 18) en determinadas circunstancias. Atender estas solicitudes es complejo cuando un clip contiene a varias personas: antes de la entrega, es obligatorio difuminar o suprimir a los terceros para proteger su privacidad.

¿Puedo compartir o publicar grabaciones de CCTV sin vulnerar el RGPD?

Compartir grabaciones de CCTV con imágenes identificables —con aseguradoras, abogados, medios o en plataformas sociales— es una operación de tratamiento independiente que requiere su propia base jurídica. Antes de la divulgación a cualquier tercero que no sea una autoridad competente que actúe en el marco de una obligación legal, lo más recomendable es anonimizar el material difuminando rostros, matrículas y otros datos identificativos. Esto elimina la mayor parte del riesgo RGPD para el receptor.

RGPD y CCTV: Requisitos de Cumplimiento en Videovigilancia Explicados

Operar una cámara en un espacio público o semipúblico es una de las formas más habituales en que las organizaciones recogen datos personales, y también una de las más mal gestionadas bajo el RGPD. Las imágenes de personas identificables son datos personales desde el momento en que se graban, y todos los principios del Reglamento les son de aplicación.

Esta guía mapea las obligaciones específicas del RGPD aplicables a la videovigilancia: el marco jurídico, los requisitos de señalización y transparencia, los límites de retención de datos, cuándo es obligatoria una EIPD, cómo gestionar las solicitudes de acceso y cuándo la anonimización es la herramienta adecuada para reducir el riesgo de cumplimiento de forma continuada.

Aviso legal: Este contenido tiene carácter exclusivamente informativo y no constituye asesoramiento jurídico. La normativa y las directrices de las autoridades de control varían según la jurisdicción y evolucionan con el tiempo. Consulte siempre a un profesional jurídico o de protección de datos cualificado para obtener asesoramiento específico a su situación.

En resumen

Las grabaciones de CCTV son datos personales: capturar a personas identificables activa el marco completo del RGPD —los artículos 5, 6, 13/14 y 35 son todos de aplicación.
Necesita una base jurídica antes de encender la cámara: el interés legítimo (artículo 6(1)(f)) es la vía más utilizada, pero requiere un test de ponderación documentado.
La retención debe estar definida y aplicarse automáticamente: la mayoría de las autoridades de control consideran 30 días un plazo razonable; las grabaciones de incidentes pueden conservarse más tiempo con la debida documentación.
Anonimizar antes de compartir es la forma más fiable de eliminar el riesgo RGPD posterior — anonimice grabaciones de CCTV automáticamente o empiece ahora con un archivo.

Por qué el CCTV queda plenamente sujeto al RGPD

El artículo 4(1) del RGPD define los datos personales como cualquier información relativa a una persona física identificada o identificable. Las imágenes captadas por una cámara que pueden revelar el rostro, la marcha, la matrícula de un vehículo u otro elemento identificativo de una persona son datos personales. El considerando 51 menciona expresamente que los datos genéticos, biométricos y de salud requieren mayor protección; los datos biométricos utilizados para identificar de forma unívoca a una persona —incluida la geometría facial extraída de vídeo— constituyen una categoría especial conforme al artículo 9, que requiere justificación adicional.

La implicación práctica: todo sistema de CCTV operado en la UE (o dirigido a residentes en la UE) debe cumplir los seis principios del artículo 5:

Principio	Referencia artículo 5	Qué significa para el CCTV
Licitud, lealtad y transparencia	5(1)(a)	Se requiere base jurídica; los interesados deben ser informados de que están siendo grabados
Limitación de la finalidad	5(1)(b)	Las imágenes recogidas para seguridad no pueden reutilizarse para vigilancia de RRHH sin nueva base
Minimización de datos	5(1)(c)	Los ángulos de cámara deben capturar solo lo necesario; se deben evitar zonas ajenas al fin
Exactitud	5(1)(d)	Las marcas temporales y metadatos deben ser correctos; el material corrompido debe eliminarse
Limitación del plazo de conservación	5(1)(e)	El período de retención debe estar definido, documentado y aplicado de forma automática
Integridad y confidencialidad	5(1)(f)	Las grabaciones deben estar protegidas contra acceso no autorizado, robo y manipulación

El artículo 5(2) —el principio de responsabilidad proactiva— exige poder demostrar el cumplimiento de todo lo anterior, no simplemente afirmarlo.

Establecer una base jurídica

Debe identificar una base jurídica conforme al artículo 6 antes de que comience la grabación. Las tres más relevantes para la videovigilancia son:

Interés legítimo (artículo 6(1)(f)): la base más utilizada en el sector privado para el CCTV. Exige un Test de Ponderación de Intereses Legítimos (TIL) que documente: (i) el interés legítimo perseguido (p. ej., prevención de delitos, protección de activos), (ii) si la grabación es necesaria y proporcionada, y (iii) un juicio de ponderación entre ese interés y las expectativas razonables de privacidad de las personas filmadas. Si los interesados no esperarían ser grabados en ese lugar, la balanza puede inclinarse en su contra.
Obligación legal (artículo 6(1)(c)): se aplica cuando la normativa sectorial impone la vigilancia —por ejemplo, ciertas instalaciones de servicios financieros o centros de transporte. En este caso, la propia obligación proporciona la base, pero el resto de los principios del RGPD siguen siendo de aplicación.
Ejercicio de poderes públicos (artículo 6(1)(e)): disponible para autoridades públicas que ejerzan funciones estatutarias, como la supervisión del tráfico o los cuerpos de seguridad.

El consentimiento es generalmente inadecuado para la vigilancia de espacios generales. El consentimiento debe ser libre, específico y revocable. Las personas que deben atravesar una zona vigilada para acceder a servicios o a su puesto de trabajo difícilmente lo prestan de forma libre.

Datos de categoría especial y artículo 9

Si las cámaras se utilizan de un modo que implica el tratamiento de datos biométricos para identificar de forma unívoca a personas —por ejemplo, sistemas de reconocimiento facial que comparan rostros con una base de datos—, se están tratando datos de categoría especial conforme al artículo 9. Se necesita tanto una base del artículo 6 como una de las condiciones del artículo 9 (más habitualmente el artículo 9(2)(g), interés público esencial, con base jurídica en el Derecho nacional). El umbral es significativamente más alto y en este momento se halla bajo escrutinio regulatorio en varios Estados miembros.

Transparencia: señalización y avisos de privacidad

Los artículos 13 y 14 exigen que los interesados sean informados en el momento de la recogida. Para el CCTV, esto significa señalización clara y visible colocada en todos los accesos a las zonas vigiladas antes de que las personas entren en ellas. La señalización debe incluir, como mínimo:

La identidad del responsable del tratamiento y sus datos de contacto
Los datos de contacto del Delegado de Protección de Datos (si se ha designado conforme al artículo 37)
La finalidad de la vigilancia y la base jurídica utilizada
El plazo de conservación (o los criterios utilizados para determinarlo)
El derecho de acceso a las propias imágenes (artículo 15) y cómo ejercerlo
Una referencia al aviso de privacidad completo (mediante URL o código QR) para un cumplimiento por capas

Las Directrices 3/2019 del Comité Europeo de Protección de Datos sobre videovigilancia (adoptadas en 2020) ofrecen orientación detallada sobre el formato y el contenido de la señalización conforme. Algunas autoridades de control nacionales han adoptado directrices complementarias propias.

Retención de datos y limitación del plazo de conservación

Debe definir un período de retención específico antes de la puesta en marcha, documentarlo en el Registro de Actividades de Tratamiento (artículo 30) y aplicarlo mediante supresión automática. Los procesos manuales no se consideran fiables por la mayoría de las autoridades de control.

Escenario	Plazo de retención generalmente aceptado
Seguridad general / disuasión del delito	Hasta 30 días (referencia habitual de las AEPD)
Incidente activo bajo investigación	Duración de la investigación más margen razonable
Requisito regulatorio (sectorial)	Según lo prescrito; documentar la referencia legal
Solicitud de acceso pendiente	Hasta que se resuelva la solicitud

Las grabaciones conservadas más allá del período documentado sin justificación constituyen una vulneración directa del artículo 5(1)(e) y son un hallazgo recurrente en las auditorías de las autoridades de control.

Cuándo es obligatoria una EIPD

El artículo 35 del RGPD exige una Evaluación de Impacto sobre la Protección de Datos antes de todo tratamiento que «pueda entrañar un alto riesgo» para los derechos y libertades de las personas físicas. La lista de tipos de tratamiento que generalmente requieren una EIPD elaborada por el Grupo de Trabajo del Artículo 29 (WP248, adoptada por el CEPD) incluye:

Supervisión sistemática a gran escala de zonas de acceso público
Uso de tecnología innovadora (p. ej., reconocimiento facial, analítica de comportamiento)
Tratamiento a gran escala

Aunque el despliegue no cumpla todos estos criterios, la EIPD es muy recomendable como demostración de responsabilidad proactiva. Una EIPD bien documentada debe:

Describir el tratamiento y sus finalidades
Evaluar la necesidad y proporcionalidad
Identificar los riesgos para los interesados y su gravedad
Documentar las medidas de mitigación (controles de acceso, cifrado, aplicación de retención, señalización)
Consultar al DPD (si ha sido designado)
Conservarse y actualizarse cuando el sistema cambie

Si, tras completar la EIPD, persisten riesgos residuales altos que no pueden mitigarse, el artículo 36 exige consultar a la autoridad de control antes de iniciar el tratamiento.

Respuesta al ejercicio de derechos de los interesados

Las personas cuya imagen aparezca en las grabaciones disponen de derechos ejecutables en virtud del RGPD. Los más frecuentes en el contexto del CCTV son:

Derecho de acceso (artículo 15): el interesado puede solicitar una copia de las grabaciones en las que aparezca. Dispone de un mes para responder (ampliable a tres en casos complejos). El reto: un único clip puede contener a otras personas identificables cuyos datos no puede comunicar al solicitante. Antes de entregar las imágenes, debe suprimir o difuminar a todos los terceros; de lo contrario, la entrega vulnera los derechos del RGPD de todas las demás personas que aparezcan.

Derecho de supresión (artículo 17): puede aplicarse cuando las grabaciones ya no son necesarias, cuando se retira el consentimiento o cuando no existe un fundamento legítimo prevalente. Su aplicación es menos sencilla cuando la base del tratamiento es el interés legítimo u obligaciones legales.

Derecho a la limitación del tratamiento (artículo 18): el interesado puede solicitar la suspensión del tratamiento mientras se resuelve una controversia sobre la exactitud o el fundamento legítimo.

Gestionar estas solicitudes a escala —especialmente la supresión de terceros antes de la entrega— es operativamente exigente sin herramientas automatizadas.

Anonimización antes de compartir: la herramienta práctica de reducción del riesgo

La complicación más frecuente del RGPD en materia de CCTV no es el almacenamiento ni la señalización, sino la cesión de imágenes a terceros: aseguradoras, abogados, medios de comunicación o la publicación pública de clips. Cada nueva divulgación es una operación de tratamiento independiente que requiere su propia base jurídica.

La anonimización resuelve este problema. Si difumina todos los rostros, matrículas y demás elementos identificativos antes de compartir las imágenes, el material resultante deja de ser un dato personal (considerando 26 del RGPD) y las obligaciones del RGPD para el receptor desaparecen en gran medida. Este es el enfoque más defensible cuando:

Se comparte un clip de incidente con una aseguradora o un equipo jurídico
Se responde a una solicitud de acceso (suprimiendo a terceros)
Se publican imágenes para sensibilización sobre seguridad o formación
Se proporciona material a investigadores o periodistas

La automatización es fundamental aquí porque el difuminado manual es lento, inconsistente y difícil de auditar. Anonimice grabaciones de CCTV automáticamente con IA que localiza rostros y matrículas en todos los fotogramas y los elimina de forma irreversible, generando un registro de auditoría que documenta qué se eliminó y cuándo. El flujo de trabajo es auditable por diseño, lo que respalda su obligación de responsabilidad proactiva del artículo 5(2).

Para entender por qué la irreversibilidad importa —y cómo la anonimización difiere de la seudonimización— consulte anonimización frente a seudonimización.

Lista de verificación de cumplimiento para operadores de CCTV

Utilícela como punto de partida antes o durante una auditoría de CCTV:

Empiece a anonimizar las grabaciones de CCTV antes de compartirlas

La videovigilancia es una herramienta de seguridad legítima y ampliamente utilizada. La carga de cumplimiento del RGPD es real, pero manejable cuando se dispone de políticas claras, bases jurídicas documentadas, retención aplicada automáticamente y herramientas que se ocupan de la parte más compleja: anonimizar las imágenes antes de que salgan de su control.

Anonimizar un archivo ahora →