Checklist del DPO: qué revisar antes de implantar un sistema de videovigilancia en una organización

La anonimización visual de datos es un conjunto de medidas organizativas y técnicas destinadas a limitar la identificación de personas y vehículos en materiales visuales ya desde la fase de diseño del sistema de videovigilancia. En la práctica, se trata sobre todo de face blurring y license plate blurring, es decir, del difuminado de rostros y matrículas en fotos y grabaciones de vídeo antes de compartirlas, publicarlas o transferirlas a terceros. En un modelo pre-deployment, esto no es un detalle técnico, sino una decisión de diseño que influye en el alcance de los datos, el acceso, la retención, la arquitectura del sistema y la evaluación de riesgos.

Para el DPO, el responsable de IT, el compliance officer o la persona que aprueba un nuevo sistema de videovigilancia, la pregunta más importante no es “si el material puede difuminarse más tarde”, sino “si todo el proceso se ha diseñado de manera que la anonimización del material visual sea realmente viable, proporcional y documentada”. Esto es especialmente importante cuando la organización prevé publicar fotos o vídeos, compartirlos con medios, socios, entidades públicas o utilizarlos en marketing y relaciones públicas.

¿Qué significa en la práctica la anonimización visual antes de poner en marcha las cámaras?

En la fase de implantación conviene adoptar definiciones claras. En este artículo, visual data anonymization significa preparar un proceso en el que los materiales visuales puedan anonimizarse antes de su difusión. Face blurring significa difuminar rostros. License plate blurring significa difuminar matrículas. On-premise software significa software que se ejecuta en la infraestructura de la organización, lo que puede ser relevante para las políticas internas de seguridad y para limitar la transferencia de material fuera del entorno del responsable del tratamiento.

Desde la perspectiva del cumplimiento, un enfoque empresarial habitual consiste en asumir que, si la organización prevé un uso posterior de grabaciones o imágenes más allá de la finalidad original de proteger las instalaciones, el mecanismo de anonimización no debe añadirse al final del proyecto. Debe contemplarse antes de activar las cámaras, junto con las reglas de retención, el acceso y el flujo de exportación de archivos.

En estos escenarios, algunas organizaciones eligen Gallio PRO como herramienta para apoyar la anonimización de materiales visuales. Sin embargo, desde el punto de vista del governance, es importante describir con precisión sus posibilidades y limitaciones. El software detecta y difumina automáticamente únicamente rostros y matrículas. No detecta de forma automática logotipos corporativos, tatuajes, identificadores con nombre, documentos ni el contenido mostrado en pantallas de monitores. Estos elementos pueden difuminarse manualmente en el editor. Además, el software no sirve para la anonimización en tiempo real ni para la anonimización de streaming de vídeo, y tampoco difumina siluetas completas.

Checklist del DPO antes de implantar un sistema de videovigilancia

La siguiente lista incluye acciones que pueden revisarse y marcarse antes de poner en marcha las cámaras. Cada punto se refiere exclusivamente a fotos y grabaciones de vídeo, así como a escenarios de uso posterior.

1. Describir la finalidad de la videovigilancia de forma verificable. Debe dejarse por escrito si el sistema servirá únicamente para la seguridad de las instalaciones o también para preparar materiales para publicación, comunicación de crisis, pruebas o cesión a socios. Si se prevé una reutilización de las imágenes, esto debe tenerse en cuenta ya en el proyecto.
2. Comprobar si el encuadre previsto es proporcional. Antes de instalar las cámaras, conviene revisar las ubicaciones y confirmar que el campo de visión no cubre en exceso zonas públicas, ventanas de edificios vecinos, puestos de trabajo sin justificación o áreas cuya vigilancia no sea necesaria para la finalidad del sistema.
3. Preparar una matriz de escenas en las que el material requerirá anonimización. Deben indicarse situaciones concretas: publicación de una foto en la web, envío de una grabación a medios, cesión de un fragmento a un contratista, uso en redes sociales. Esta matriz debe distinguir entre rostros y matrículas, por un lado, y otros elementos que puedan requerir edición manual de la imagen, por otro.
4. Verificar la base jurídica del tratamiento y describir por separado el uso posterior de la imagen. Este no es el lugar para un análisis completo de todas las bases legales, pero una buena práctica consiste en diferenciar la propia videovigilancia de la publicación o cesión posterior del material. En escenarios de comunicación y marketing, el riesgo de cumplimiento puede ser distinto al de la mera protección de las instalaciones.
5. Realizar una EIPD si la escala o el contexto de la videovigilancia lo requieren. La evaluación de impacto debe abarcar no solo la captación de imágenes, sino también la exportación prevista, la selección de fragmentos, la anonimización antes de compartirlos y las funciones de las personas decisoras. Si la organización prevé publicar grabaciones, esta fase puede requerir una descripción específica de riesgos.
6. Preparar la cláusula informativa y la señalización de las zonas vigiladas. El contenido debe corresponder al modelo real de funcionamiento del sistema. Si la organización prevé un uso posterior de grabaciones o imágenes, el aviso no puede sugerir que las imágenes sirven exclusivamente para la protección operativa del recinto.
7. Definir la retención del material bruto y, por separado, de las versiones preparadas para su difusión. Debe indicarse el plazo máximo de conservación de la grabación íntegra, el tiempo de almacenamiento de los fragmentos exportados y las condiciones para eliminar versiones de trabajo. El error más frecuente consiste en dejar múltiples copias del material después de realizar la anonimización.
8. Limitar los roles y accesos antes del arranque del sistema. Conviene establecer quién puede ver el material bruto, quién puede exportar archivos, quién puede realizar face blurring y license plate blurring, y quién aprueba la publicación. Sin esta matriz de responsabilidades, la anonimización sigue siendo un proceso discrecional.
9. Comprobar si la herramienta de anonimización responde a los escenarios reales. Si la organización necesita preparar material antes de publicarlo, tiene sentido una solución que facilite el trabajo con archivos de imagen y vídeo, y no un sistema que prometa funciones que el proyecto no necesita. En el caso de Gallio PRO, hay que tener en cuenta que la detección automática abarca únicamente rostros y matrículas, y que el resto de los elementos de la imagen requieren edición manual.
10. Probar el proceso de anonimización con una muestra de tomas reales. Incluso antes de activar las cámaras, conviene hacer una prueba con materiales de encuadre, iluminación y movimiento similares. Esto permite evaluar cuánto trabajo exige el difuminado automático de rostros y matrículas y qué casos habrá que tratar manualmente. Si la organización quiere comprobar este flujo de trabajo con sus propios archivos, puede hacerlo descargando la versión de demostración.
11. Definir un procedimiento de edición manual para los elementos no detectados automáticamente. En el procedimiento debe indicarse quién tiene la obligación de verificar si en el material aparecen logotipos corporativos, tatuajes, identificadores personales, documentos o imágenes en monitores. Esto es especialmente importante porque estos objetos no están cubiertos por la detección automática de Gallio PRO.
12. Establecer una regla para la anonimización de rostros antes de compartir el material. En la práctica empresarial, las organizaciones suelen adoptar la regla de difuminar los rostros por defecto antes de publicar o ceder material, salvo que exista una excepción claramente definida. La obligación de anonimizar rostros no deriva automáticamente en todos los casos de forma directa del RGPD, del Código Civil ni de la normativa sobre derechos de autor, pero la publicación de la imagen de una persona, por regla general, exige una evaluación jurídica independiente. La legislación sobre derechos de autor prevé excepciones, entre otras, cuando se trata de una persona conocida fotografiada en relación con el ejercicio de funciones públicas o cuando la imagen constituye solo un detalle de un conjunto, como una reunión, un paisaje o un evento público. El mero hecho de recibir una remuneración no constituye una excepción legal general sin una determinación adecuada del alcance del consentimiento para la difusión de la imagen. Cuando se manejan grandes volúmenes de material, conviene diseñar desde el principio el uso de una herramienta de anonimización de vídeo, que detecta automáticamente rostros y matrículas y permite corregir manualmente el resto.
13. Establecer una regla para la anonimización de matrículas antes de la publicación. Este punto requiere prudencia. No existe una norma general de la UE que obligue siempre a difuminar matrículas antes de publicar contenido. En Polonia, la situación tampoco es completamente uniforme: la valoración depende del contexto, de la posibilidad de identificar a una persona y de la forma de utilizar el material, y la cuestión se aborda de manera diversa en la práctica y en la jurisprudencia. En consecuencia, un enfoque razonable en fase pre-deployment es adoptar una regla conservadora de difuminar las matrículas antes de compartir material fuera de la organización.
14. Verificar si la arquitectura de implantación limita las transferencias innecesarias de material. Si las políticas de seguridad lo exigen, conviene valorar el uso de on-premise software. En implantaciones corporativas o sectoriales puede ser importante que el material no salga del entorno de la organización sin necesidad.
15. Revisar la política de registros y trazas del sistema. Desde la perspectiva de la minimización de datos, es importante que la herramienta no genere registros adicionales que contengan datos de detección o datos personales. En el caso de Gallio PRO, se ha indicado que el software no recopila registros que contengan detección de rostros y matrículas ni registros con datos personales o categorías especiales de datos.

Tabla de control: qué revisar antes del arranque y qué antes de publicar el material

¿Cuándo se necesita una consulta de implantación?

No todos los proyectos pueden resolverse con una checklist sencilla. Las implantaciones distribuidas, múltiples ubicaciones, integración con un VMS existente, requisitos de on-premise software, exigencias específicas del sector público y procedimientos de publicación de materiales en varios departamentos suelen requerir una consulta. En estos casos, conviene ponerse en contacto con el equipo y confirmar cómo diseñar el proceso de anonimización de fotos y grabaciones incluso antes de poner en marcha el sistema.

El error más frecuente en la fase de diseño

El error más habitual consiste en asumir que la videovigilancia es solo infraestructura de cámaras y que la anonimización se resolverá después. Sin embargo, es precisamente antes del arranque cuando hay que decidir si la organización contará con una herramienta de face blurring y license plate blurring, quién será responsable de la edición manual, cómo será la aprobación del material y cuándo se eliminarán las versiones de trabajo. Sin estas decisiones, incluso una videovigilancia formalmente correcta puede generar caos operativo ante la primera solicitud de publicación o de cesión de una grabación.

FAQ - checklist del DPO

¿Toda organización que implanta videovigilancia debe comprar de inmediato una herramienta de anonimización?

No siempre. Si el material nunca va a publicarse ni a transferirse fuera de una finalidad estrictamente controlada, la necesidad puede ser menor. Sin embargo, si ya en la fase de proyecto se sabe que las fotos o grabaciones se compartirán, conviene diseñar el proceso de anonimización antes de activar las cámaras.

¿Difuminar la silueta completa es el estándar en este tipo de sistemas?

No. En el contexto descrito aquí, los elementos clave son los rostros y las matrículas. Gallio PRO no difumina siluetas completas, solo rostros y matrículas; otros elementos de la imagen pueden ocultarse manualmente en el editor.

¿Gallio PRO realiza la anonimización del flujo de vídeo en directo?

No. El software no realiza anonimización en tiempo real ni anonimización de streaming de vídeo. Esta es una limitación importante que debe tenerse en cuenta en el diseño de la arquitectura del sistema.

¿Siempre hay que difuminar las matrículas?

Depende de la jurisdicción y del contexto de uso del material. No existe una regla general única que determine siempre esta obligación. En Polonia, la situación no es uniforme, por lo que muchas organizaciones adoptan una práctica conservadora de difuminar las matrículas antes de publicar o compartir material fuera de la organización.

¿Siempre hay que difuminar un rostro antes de publicarlo?

No en todos los casos. En la práctica de cumplimiento suele adoptarse la regla de ocultar rostros por defecto, pero en cada caso debe evaluarse la base jurídica del tratamiento de datos y las normas aplicables a la difusión de la imagen. En la legislación sobre derechos de autor son especialmente relevantes las excepciones relativas a personas conocidas y a la imagen que constituye solo un detalle de un conjunto, como una reunión, un paisaje o un evento público.

¿La detección automática incluye también logotipos, tatuajes e identificadores?

No. La detección automática abarca exclusivamente rostros y matrículas. Los logotipos corporativos, tatuajes, tarjetas o placas identificativas, documentos y pantallas de monitores requieren revisión y, en su caso, edición manual.

¿Los registros del sistema pueden crear por sí mismos un riesgo adicional para la protección de datos?

Sí, por eso conviene comprobarlo antes de la implantación. En los materiales relativos a Gallio PRO se indica que el software no guarda registros que contengan datos de detección de rostros y matrículas ni datos personales o categorías especiales de datos.