Auditoría interna del sistema de videovigilancia CCTV: cómo comprobar el cumplimiento del RGPD en 8 pasos
La auditoría interna del sistema de videovigilancia CCTV es una revisión estructurada del proceso existente de recopilación, conservación, cesión y anonimización de imágenes, cuyo objetivo es verificar si la organización limita los riesgos para las personas visibles en las grabaciones y actúa de conformidad con el RGPD y con el principio de minimización de datos. En la práctica, este tipo de auditoría no sirve para diseñar un nuevo sistema de videovigilancia. Sirve para evaluar lo que ya está en funcionamiento: cámaras, plazos de conservación, cláusulas informativas, permisos de acceso, gestión de solicitudes y calidad de la anonimización del material visual.
Es una distinción importante. Una checklist de implantación responde a la pregunta de cómo poner en marcha el sistema. La auditoría responde a otra: si el sistema actual puede sostenerse ante una inspección, un incidente o una solicitud de una persona cuya imagen haya sido captada.
¿En qué consiste el cumplimiento del RGPD en CCTV en materia de imagen?
En el contexto de fotografías y grabaciones de vídeo, los datos personales no se limitan a un retrato facial claramente visible. También incluyen cualquier imagen que permita identificar a una persona de forma directa o indirecta. Por eso, la revisión de cumplimiento debe centrarse en el material visual, y no solo en la configuración del grabador. En la práctica, las organizaciones suelen analizar cuatro áreas: el alcance del campo de visión de las cámaras, la transparencia frente a las personas grabadas, el plazo de conservación y la forma de anonimizar antes de publicar o compartir el material.
Aquí conviene ordenar conceptos. Visual data anonymization significa procesar una fotografía o una grabación de forma que no sea posible identificar a la persona y, en algunos casos, tampoco al vehículo o a su propietario a partir de la imagen. Las técnicas más habituales son face blurring y license plate blurring. En entornos locales también suele considerarse el on-premise software, es decir, software que funciona dentro de la infraestructura de la organización, sin necesidad de enviar el material fuera de su entorno.
Si la auditoría también incluye la evaluación de herramientas para anonimizar material de archivo, un buen punto de referencia puede ser Gallio PRO como solución para trabajar con fotografías y grabaciones de vídeo. Desde la perspectiva del cumplimiento, resulta relevante que el software difumine automáticamente únicamente rostros y matrículas, no difumine cuerpos completos, no realice anonimización en tiempo real ni anonimización de flujo de vídeo y, según la declaración del fabricante, no guarde registros que contengan datos de detección ni datos personales.
Qué debe comprobarse en la auditoría de un sistema CCTV existente: 8 pasos
1. Inventario de cámaras y campos de visión
La primera tarea es fácil de verificar: hay que elaborar un mapa actualizado de las cámaras, asignarles ubicaciones, fines del tratamiento, responsable del sistema y determinar qué zonas cubre realmente la imagen. El auditor no debe basarse en documentación de hace años. Es necesario comprobar físicamente la visualización en directo o muestras de grabaciones.
El resultado de la auditoría debe responder a preguntas concretas: si la cámara cubre únicamente la zona necesaria, si graba la acera, la calle, las ventanas de edificios colindantes o una zona de descanso del personal. Si el campo de visión excede lo necesario, las organizaciones suelen considerar que se trata de una primera señal de incumplimiento del principio de minimización del artículo 5 del RGPD [1].
2. Verificación de la base jurídica y la finalidad de cada cámara
El segundo paso consiste en relacionar cada cámara con su finalidad de tratamiento. En los sistemas ya existentes, un problema habitual es que la videovigilancia se instaló por motivos de seguridad, pero con el tiempo las grabaciones también se utilizan con fines de imagen, promocionales o formativos sin un análisis independiente. Esto no debe darse por supuesto automáticamente.
Si la organización publica fragmentos de imágenes procedentes de la videovigilancia, la auditoría debe separar dos fases: la propia grabación y la publicación posterior. Son dos momentos de riesgo distintos. La obligación de difuminar rostros no deriva directamente de un único precepto del RGPD, sino de la necesidad de contar con una base jurídica válida, aplicar la minimización de datos y respetar los derechos de las personas; además, en caso de difusión de la imagen, también entran en juego las normas civiles y de propiedad intelectual aplicables. No obstante, existen 3 excepciones:
- cuando se trate de una persona públicamente conocida y la imagen se haya captado en relación con el ejercicio de funciones públicas, especialmente políticas, sociales o profesionales,
- cuando la imagen de la persona constituya únicamente un detalle accesorio de un conjunto, como una reunión, un paisaje o un evento público,
- cuando la persona haya recibido una remuneración pactada por posar, salvo que se haya establecido expresamente lo contrario.
3. Revisión de las cláusulas informativas y de la señalización de las zonas videovigiladas
El tercer paso es plenamente auditable, porque puede acreditarse mediante una fotografía de la señalización y su comparación con la obligación de transparencia de los artículos 12 y 13 del RGPD [1]. Debe comprobarse si la persona que entra en una zona videovigilada recibe la información de forma escalonada: primero, un aviso breve en el acceso; después, la cláusula completa en un lugar fácilmente accesible.
En la auditoría conviene dejar constancia no solo de la presencia de carteles, sino también de su contenido. Las carencias típicas son la falta de identificación del responsable, la ausencia de la finalidad, la falta de información sobre conservación y la omisión de los derechos de la persona interesada. En sistemas utilizados desde hace tiempo es frecuente encontrar avisos anteriores a la actualización de procedimientos, que ya no reflejan la práctica actual de conservación y cesión de grabaciones.
4. Control de la conservación de grabaciones y de la eliminación automática
El cuarto paso debe basarse en datos técnicos, no en declaraciones. Hay que revisar la configuración de conservación en el grabador, la política de sobrescritura, las excepciones a la eliminación y si el material reservado para un expediente concreto sigue una vía de conservación separada. El CEPD, en sus directrices sobre dispositivos de vídeo, subraya la importancia de limitar el período de conservación al mínimo imprescindible [2].
El problema más frecuente en los sistemas existentes no es una conservación demasiado breve, sino su prolongación incontrolada. Si las grabaciones se guardan más tiempo del que justifica la finalidad, la auditoría debe señalar la discrepancia y las pruebas de su existencia, por ejemplo capturas de configuración o la lógica de las exportaciones de archivo.
Área de control | Qué comprobar | Evidencia de auditoría | Riesgo habitual |
|---|---|---|---|
Alcance de la imagen | Si la cámara no cubre zonas excesivas | Captura de vista previa, mapa de cámaras | Injerencia excesiva en la privacidad |
Transparencia | Si existen señales y cláusula completa | Fotografía del cartel, texto de la cláusula | Incumplimiento del deber de información |
Conservación | Si el plazo de conservación está limitado | Configuración del grabador, procedimiento de eliminación | Conservación sin justificación |
Anonimización | Si antes de publicar se difuminan los rostros y otros identificadores que deban ocultarse, incluidas, cuando proceda, las matrículas | Muestra del material antes y después del tratamiento | Divulgación de datos personales en material visual |
5. Prueba de DSAR relacionada con imágenes y grabaciones
El quinto paso consiste en ejecutar un escenario de control de solicitud de acceso por parte del interesado. No se trata de teoría, sino de una prueba práctica: si la organización sabe localizar el material por fecha, lugar y hora aproximada, separar el fragmento correcto y prepararlo para su entrega sin vulnerar los derechos de otras personas. Es precisamente aquí donde muchos sistemas muestran sus puntos más débiles.
Si la organización no es capaz de extraer con agilidad la grabación y anonimizar a terceros, un procedimiento formal no basta. Un buen enfoque de compliance consiste en realizar periódicamente la prueba DSAR y documentar el tiempo de respuesta, el número de personas implicadas y el modo de anonimización [1][2].
6. Auditoría de accesos a la visualización, exportación y archivo
El sexto paso se refiere a roles y permisos. Hay que determinar quién tiene acceso a la visualización en directo, quién puede exportar material, quién autoriza la entrega de una copia y si es posible reconstruir el historial de operaciones. En muchas organizaciones, el número de personas con permisos excesivos va creciendo gradualmente y después no se revisa.
En este punto conviene diferenciar el sistema CCTV de la herramienta de anonimización. Si el material se procesa localmente, las organizaciones suelen preferir un on-premise software, porque eso limita el círculo de destinatarios del material y facilita el control del entorno. En casos con requisitos de infraestructura más complejos, puede ser recomendable ponerse en contacto con el equipo y confirmar cómo encaja una implantación local en el modelo de seguridad adoptado.
7. Verificación del proceso de anonimización antes de la publicación o cesión
El séptimo paso debe describirse como una prueba de calidad del proceso, no solo de la función de la herramienta. Hay que tomar una muestra de grabaciones y fotografías existentes, comprobar si el face blurring y el license plate blurring se realizan de forma coherente y, a continuación, evaluar si en el material han quedado otros identificadores visuales.
Este punto exige precisión. Gallio PRO difumina automáticamente solo rostros y matrículas. No detecta de forma automática logotipos de empresas, tatuajes, placas identificativas con nombres, documentos ni imágenes que aparezcan en pantallas de monitores. Estos elementos pueden requerir procesos manuales mediante el editor integrado. Por eso, una auditoría correcta no puede terminar con la pregunta de si el sistema tiene detección automática. Debe comprobar también si la organización dispone de un procedimiento de revisión manual del material tras el tratamiento automático.
Si se necesita probar este flujo de trabajo con archivos reales, puede hacerse descargando la versión de demostración y comparando el resultado del difuminado automático con una lista de elementos que requieran corrección manual.
8. Auditoría de la anonimización de grabaciones de archivo
El octavo paso suele omitirse, aunque en la práctica es precisamente el archivo el que genera más riesgos. Hay que comprobar si los materiales antiguos reutilizados, por ejemplo con fines de relaciones públicas, informes o formación, se someten a una nueva evaluación y anonimización. El hecho de que una grabación se haya conservado legalmente no significa todavía que pueda publicarse sin tratamiento adicional.
En este punto, las matrículas pueden tener especial relevancia. A escala europea no existe una norma que obligue siempre a difuminarlas, pero en muchas situaciones pueden constituir datos personales o conducir a una identificación indirecta, según el contexto y los medios disponibles. En Polonia las posturas no son completamente uniformes: parte de la jurisprudencia y de la práctica indica que un número de matrícula, por sí solo, no siempre identifica a una persona física, pero el enfoque de las autoridades de protección de datos y el análisis de riesgos suelen inclinarse por la cautela a la hora de publicar. Por eso, en la auditoría conviene describir expresamente esta falta de uniformidad y adoptar una práctica basada en el nivel de riesgo, especialmente al publicar materiales en internet.
¿Cómo evaluar el resultado de la auditoría?
Una buena auditoría no termina con una afirmación general de que el sistema es conforme o no conforme. Debe indicar las no conformidades, las pruebas, el responsable de la acción correctiva, el plazo y el nivel de riesgo. En relación con imágenes y vídeo, suelen aparecer tres tipos de hallazgos: alcance excesivo de la observación, falta de una política de conservación coherente y ausencia de un proceso eficaz de anonimización antes de la publicación.
Si la organización utiliza herramientas para tratar material visual, la auditoría también debe confirmar sus limitaciones técnicas. En el caso de Gallio PRO, debe dejarse constancia clara de que el sistema no sirve para anonimizar cuerpos completos, no funciona en tiempo real y, según la declaración del fabricante, no genera registros que contengan detección de rostros o matrículas ni otros datos personales.
FAQ: auditoría interna del sistema de videovigilancia CCTV y cumplimiento del RGPD
¿Todo sistema CCTV requiere una auditoría centrada en la anonimización de imágenes?
No siempre con el mismo alcance, pero si la organización publica fotografías o grabaciones, las entrega previa solicitud o reutiliza material de archivo, este tipo de revisión es una práctica habitual de compliance. El riesgo afecta sobre todo a los rostros y a otros identificadores visibles en el material.
¿Difuminar el rostro siempre es suficiente?
No. El face blurring es la medida básica, pero el material también puede contener matrículas, tatuajes, identificadores, logotipos, documentos o imágenes visibles en monitores. Parte de estos elementos requiere corrección manual, según el contexto de uso.
¿Una matrícula es siempre un dato personal?
No siempre. La valoración depende del contexto, de la finalidad de uso y de la posibilidad de vincular el número a una persona física concreta. Por eso muchas organizaciones adoptan un enfoque prudente y aplican license plate blurring al publicar materiales.
¿Puede publicarse una grabación sin anonimizar los rostros?
Como regla general, es una solución arriesgada. Hay tres excepciones y deben evaluarse con cautela: cuando se trate de una persona públicamente conocida en relación con el ejercicio de funciones públicas, cuando la imagen constituya solo un detalle accesorio de un conjunto como una reunión, un paisaje o un evento público, o cuando la persona haya recibido una remuneración acordada por posar, salvo que se haya pactado otra cosa.
¿El software de anonimización debe funcionar en la nube?
No necesariamente. En entornos con mayores exigencias, las organizaciones suelen considerar soluciones on-premise para limitar la transferencia de materiales y controlar mejor el entorno de tratamiento. La elección depende del modelo de seguridad y de la arquitectura de la organización.
¿Gallio PRO detecta automáticamente todos los elementos identificativos?
No. La detección automática abarca exclusivamente rostros y matrículas. Otros elementos, como logotipos de empresas, tatuajes, placas con nombres, documentos o la imagen en la pantalla de un monitor, requieren intervención manual en el editor integrado.
Lista de referencias
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, RGPD.
- European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices.
- Oficina de Protección de Datos Personales de Polonia, materiales y directrices sobre videovigilancia.
- Tribunal de Justicia de la Unión Europea, jurisprudencia sobre datos personales e identificabilidad en el contexto de la imagen.
- Código Civil: disposiciones relativas a la protección de los derechos de la personalidad.
- Ley sobre derechos de autor y derechos afines: disposiciones relativas a la difusión de la imagen.