Cómo redactar un procedimiento de gestión de grabaciones de CCTV en una organización: plantilla de documento para el DPO

El procedimiento de gestión de grabaciones de CCTV es un documento operativo interno que describe quién tiene acceso a las grabaciones, en qué situaciones se permite revisarlas, cómo se entrega una copia, cuáles son los plazos para cada actuación y de qué manera se realiza la anonimización de la imagen antes de publicar o facilitar el material a terceros. En la práctica, este documento no sustituye el registro de actividades de tratamiento, el análisis de riesgos ni la documentación para el auditor. Su finalidad es apoyar el trabajo diario del equipo que gestiona de forma efectiva fotos y vídeos.

Para el DPO, lo más importante es separar tres niveles. El primero se refiere al acceso al material original. El segundo abarca el difuminado de rostros y matrículas antes de cualquier uso posterior de la grabación. El tercero regula la entrega o publicación únicamente de la versión que haya sido revisada y aprobada. Esta estructura reduce el riesgo de revelar accidentalmente la imagen de personas ajenas al caso y facilita demostrar una práctica organizativa coherente.

¿Por qué necesita una organización un procedimiento operativo específico para las grabaciones de CCTV?

En muchas organizaciones existe una política de videovigilancia, pero falta una instrucción de ejecución. El resultado es previsible. El operador sabe cómo reproducir una grabación, pero no tiene claro si puede enviar un fragmento por correo electrónico, quién debe autorizar la exportación, si antes de la entrega hay que difuminar los rostros y las matrículas de otras personas y cuánto tiempo tiene el equipo para responder a una solicitud. Un procedimiento SOP ordena estas cuestiones sin desarrollar otro material general de compliance.

En los escenarios relacionados con la anonimización de imágenes, las organizaciones suelen utilizar herramientas como Gallio PRO, especialmente cuando se necesita software on-premise y control sobre los archivos en un entorno local. Desde la perspectiva operativa, es importante que el software difumina automáticamente únicamente rostros y matrículas. No difumina siluetas completas, no realiza anonimización en tiempo real y no está diseñado para anonimizar un flujo de vídeo en directo. Tampoco detecta automáticamente logotipos de empresa, tatuajes, placas identificativas con nombres, documentos ni imágenes visibles en monitores. Estos elementos pueden difuminarse manualmente en el editor integrado. Además, el sistema no guarda logs que contengan datos de detección, datos personales ni datos de categorías especiales.

¿Cómo diferenciar un procedimiento SOP de la documentación para el auditor y de una checklist de implantación?

La documentación para el auditor suele responder a la pregunta de si la organización cuenta con bases, roles y medidas de seguridad. La checklist de implantación responde a qué hay que poner en marcha y verificar antes del inicio. El procedimiento de gestión de grabaciones de CCTV responde a qué hace exactamente el empleado desde el momento en que entra una solicitud o se toma una decisión de publicar, hasta la eliminación del archivo de trabajo.

Por eso, la plantilla que figura a continuación debe incluir elementos concretos: el puesto responsable, la actuación, el plazo, el registro exigido en el control interno y la condición para pasar al siguiente paso. Solo ese nivel de detalle funciona en la práctica.

Alcance mínimo de un procedimiento de gestión de grabaciones de CCTV

El procedimiento útil más breve incluye siete bloques. En primer lugar, el objetivo y el alcance del documento. En segundo lugar, los roles y permisos. En tercer lugar, las normas para recibir solicitudes de acceso, copia o publicación. En cuarto lugar, las reglas de exportación y trabajo sobre una copia de trabajo. En quinto lugar, la anonimización de la imagen, incluido el difuminado de rostros y matrículas. En sexto lugar, la aprobación del material para su entrega o publicación. En séptimo lugar, la retención y eliminación de versiones de trabajo.

Conviene definir desde el principio que, por anonimización de la imagen, la organización entiende un tratamiento de la fotografía o la grabación tal que terceros y elementos identificativos visibles en la imagen no puedan ser reconocidos en el uso ordinario del material. En el caso del vídeo, esto suele significar trabajar sobre una copia exportada y no sobre el material de producción.

Plantilla de procedimiento de gestión de grabaciones de CCTV: lista para copiar

1. Objetivo y alcance

El presente procedimiento establece las normas para la revisión, exportación, anonimización y cesión de grabaciones de CCTV y de fotogramas individuales extraídos de dichas grabaciones. El procedimiento se aplica exclusivamente a materiales visuales, en particular fotografías y vídeos. No regula obligaciones documentales independientes relacionadas con auditoría, análisis de riesgos o implantación del sistema de videovigilancia.

2. Roles y responsabilidades

El administrador del sistema CCTV es responsable de la exportación técnica del material y de conceder acceso únicamente a personas autorizadas. El responsable de negocio del proceso, por ejemplo el responsable de seguridad o el compliance manager, evalúa la finalidad del uso del material. La persona encargada de la anonimización prepara la copia de trabajo y aplica el difuminado de rostros y matrículas. El delegado de protección de datos o la persona de control designada emite su criterio en casos de mayor riesgo o ante solicitudes no estándar. La persona que aprueba la publicación o la entrega de una copia confirma que el material no contiene rostros ni matrículas de terceros sin anonimizar.

3. Acceso a las grabaciones

Solo tendrán acceso a las grabaciones completas las personas designadas nominalmente en el anexo del procedimiento. El acceso lo concede el administrador del sistema previa aprobación del responsable del proceso. La visualización de grabaciones solo podrá realizarse en relación con una finalidad profesional documentada. Cada apertura de expediente requiere un asiento en el registro operativo que incluya la fecha, el número de expediente, el intervalo temporal de la grabación, la persona solicitante y la persona ejecutora.

4. Plazos operativos

La solicitud interna de preservación de una grabación deberá registrarse de inmediato y, como máximo, dentro de 1 día laborable desde su recepción. La evaluación inicial de la finalidad de uso deberá realizarse en 2 días laborables. La exportación de la copia de trabajo deberá efectuarse en 3 días laborables, siempre que el material esté disponible y no existan impedimentos técnicos. La anonimización se realizará sin demora indebida tras la exportación. Antes de la publicación o entrega de una copia se aplicará la revisión por cuatro ojos.

5. Exportación y preparación de la copia de trabajo

El trabajo se realiza exclusivamente sobre una copia de trabajo. El material original permanece intacto. La copia se guarda en un repositorio separado con acceso restringido. El nombre del archivo incluye el número de expediente y la fecha de exportación, sin incorporar datos de las personas visibles en la grabación. Si la organización necesita un flujo de trabajo predecible para archivos de vídeo e imagen, conviene probarlo previamente, por ejemplo descargando la versión de demostración y comprobando cómo funciona el tratamiento de la copia de trabajo en un entorno local.

6. Reglas de anonimización de la imagen

La persona encargada de la anonimización identifica todos los rostros y matrículas de terceros visibles en el encuadre. A continuación, aplica el difuminado de rostros y matrículas en todo el material destinado a ser entregado o publicado. Si el material contiene logotipos, tatuajes, identificadores nominales, documentos o imágenes en la pantalla de un monitor, su ocultación requiere edición manual, ya que la detección automática no cubre estos elementos.

El procedimiento debe indicar con claridad que la detección automática solo se refiere a rostros y matrículas. Esto es especialmente importante en la formación de operadores. Suponer que la herramienta reconocerá cualquier elemento que permita identificar a una persona es un error operativo.

7. Cesión de grabaciones y fotogramas

Cualquier entrega de una grabación fuera del equipo que gestiona el expediente requiere la aprobación de la persona autorizadora. Si el material va a facilitarse a la persona afectada por el incidente, a una entidad externa o va a publicarse, antes de su entrega deberán difuminarse los rostros y las matrículas de otras personas y de otros vehículos visibles en el material. La versión original no se entrega, salvo que exista obligación legal o requerimiento vinculante de la autoridad competente. Toda entrega de copia se documenta en el registro operativo con indicación del destinatario, la fecha y el alcance del material.

8. Control de calidad antes de la publicación

El control de calidad comprende dos etapas. En la primera, el operador verifica si el difuminado funciona durante toda la duración de la toma y si no existen fragmentos breves sin enmascaramiento. En la segunda, la persona autorizadora confirma que el material no contiene otros elementos que requieran anonimización manual. La falta de un control positivo bloquea la publicación.

9. Retención y eliminación de versiones de trabajo

La versión de trabajo se conserva únicamente durante el tiempo necesario para finalizar el expediente. Tras la publicación, la entrega de la copia o el cierre de la solicitud, el archivo de trabajo se elimina conforme al calendario de retención establecido por la organización. Si es necesario implantar un entorno local o reglas específicas para distintas unidades organizativas, conviene ponerse en contacto con el equipo para adaptar el proceso a la escala de la organización y a los requisitos técnicos.

Tabla operativa: quién hace qué y en qué plazo

¿Cómo describir las excepciones relacionadas con la imagen sin crear una falsa sensación de seguridad?

Conviene añadir al procedimiento una breve cláusula interpretativa. La obligación de anonimizar rostros no deriva de forma directa de un único precepto del RGPD, del Código Civil o de la normativa de propiedad intelectual, sino de la evaluación de la conformidad de la publicación o cesión con la normativa de protección de datos personales y con las reglas sobre difusión de la propia imagen. La legislación de propiedad intelectual prevé, en particular, excepciones en relación con la difusión de la imagen cuando:

• la persona ha recibido la remuneración pactada por posar, salvo que se haya reservado expresamente otra cosa,
• se trate de una persona de notoriedad pública y la imagen se haya captado en relación con el desempeño de funciones públicas, en particular políticas, sociales o profesionales,
• la imagen de la persona constituya únicamente un detalle de un conjunto, como una reunión, un paisaje o un evento público.

Estas no son exenciones automáticas de análisis. Las organizaciones suelen tratarlas como punto de partida para valorar una situación concreta, y no como una regla absoluta. Si existe duda, la práctica operativa más prudente sigue siendo la anonimización antes de la publicación.

Matrículas en el procedimiento: cómo abordar el tema sin simplificaciones excesivas

En distintos países europeos, el enfoque respecto de las matrículas puede variar y depende del contexto y de la práctica nacional. En Polonia, la situación tampoco es completamente unívoca. Como regla general, una matrícula individual puede constituir o no un dato personal: depende de si, mediante medios razonablemente probables, permite identificar a una persona física. Por tanto, no puede afirmarse de manera general que la obligación de difuminar matrículas derive directamente de las directrices del CEPD o de una jurisprudencia uniforme del TJUE.

Por ello, en el procedimiento es mejor no afirmar que las matrículas son o no son siempre y en toda circunstancia datos personales. Desde una perspectiva operativa, resulta más razonable adoptar un principio de cautela: si el material va a publicarse o a facilitarse fuera de un círculo restringido de personas autorizadas, se aplicará el difuminado de las matrículas de terceros, salvo que la organización haya documentado una valoración distinta para un caso concreto.

Errores más frecuentes en los procedimientos de gestión de grabaciones de CCTV

El primer error consiste en describir únicamente las bases legales sin indicar los pasos operativos. El segundo es no diferenciar entre el material original y la copia de trabajo. El tercero es asumir que una herramienta automática lo detectará todo. El cuarto es no fijar un plazo de respuesta ni un control de calidad obligatorio. El quinto es omitir la regla de que, al facilitar una grabación, debe evaluarse la necesidad de difuminar los rostros y las matrículas de otras personas antes de la entrega.

Preguntas frecuentes sobre el procedimiento de gestión de grabaciones de CCTV

¿El procedimiento de gestión de grabaciones de CCTV debe ser un documento independiente?

No siempre, pero en la práctica un SOP independiente es la opción más clara. Facilita la formación de operadores y reduce el tiempo de decisión en caso de publicación o entrega de una copia.

¿Se puede trabajar directamente sobre el material original?

La mejor práctica organizativa es trabajar sobre una copia de trabajo. Esto reduce el riesgo de comprometer la integridad del original y facilita el control de cambios.

¿Basta con difuminar solo los rostros?

No en todos los casos. Si en el material aparecen matrículas de otras personas u otros elementos que permitan la identificación, debe evaluarse la necesidad de ocultarlos. En la práctica de publicación, también suele aplicarse el difuminado de matrículas.

¿Gallio PRO detecta automáticamente todos los datos personales visibles en la imagen?

No. La detección automática abarca exclusivamente rostros y matrículas. Los logotipos, tatuajes, placas con nombres, documentos e imágenes en pantallas requieren edición manual.

¿Gallio PRO genera logs que contengan datos de detección?

No. El software no recopila logs que contengan detección de rostros ni de matrículas. Tampoco recopila logs que contengan datos personales ni datos de categorías especiales.

¿El procedimiento debe incluir plazos concretos?

Sí. Sin plazos, el documento se queda en una declaración de intenciones. El DPO suele procurar incluir plazos para el registro del expediente, la exportación de la copia, la anonimización, el control de calidad y la eliminación de la versión de trabajo.

¿Se puede publicar una grabación de un evento público sin difuminar todos los rostros?

Depende del contexto. Uno de los supuestos admisibles puede ser aquel en el que la imagen de la persona constituya únicamente un detalle del conjunto, por ejemplo en un evento público. Sin embargo, esta valoración exige cautela y no debe aplicarse automáticamente a cualquier material.