Videovigilancia y sistemas de control de acceso con cámaras IP: cómo integrarlos y mantener el cumplimiento del RGPD

La anonymization de datos visuales en entornos de videovigilancia y control de acceso consiste en preparar fotografías y grabaciones de vídeo de modo que, antes de compartirlas, se reduzca la posibilidad de identificar a las personas y los vehículos visibles en el material. En la práctica, esto suele incluir sobre todo el face blurring y el license plate blurring. En las integraciones de acceso, esto tiene una importancia especial, porque una cámara IP muy a menudo funciona junto con un lector de tarjetas, un torno, un registrador de entradas o un sistema de gestión de edificios. En ese momento, un único fotograma de la entrada deja de ser solo una imagen y pasa a formar parte de un proceso más amplio de tratamiento de datos personales.

Precisamente este use case suele estar insuficientemente descrito. La videovigilancia, por sí sola, es bien conocida. El access control también. El problema empieza cuando la organización combina la imagen con la información sobre un evento de entrada, el número del paso, la hora de uso de la tarjeta o la autorización para una zona determinada. En este modelo, hay que separar tres cuestiones: quién es el responsable del tratamiento, cuándo aparece el riesgo de tratamiento biométrico y cómo anonimizar el material antes de entregarlo al personal de seguridad, a un auditor o a un tercero externo.

¿Quién es el responsable del tratamiento al integrar CCTV con access control?

En el modelo típico, el responsable del tratamiento es la entidad que decide la finalidad y los medios de funcionamiento de toda la solución, es decir, normalmente el propietario del inmueble, el empleador, el operador de infraestructuras o una entidad pública. Si la misma entidad decide tanto sobre las cámaras IP como sobre el control de acceso, por lo general sigue siendo un único responsable para ambos flujos de datos. La base es la definición general de responsable del tratamiento del art. 4.7 del RGPD [1].

La situación es diferente cuando varias entidades determinan conjuntamente los fines y medios de la integración. Un ejemplo es el propietario de un centro de oficinas y el arrendatario, que juntos establecen las reglas para correlacionar la imagen con las entradas a determinadas zonas. En ese caso, puede surgir un modelo de corresponsabilidad conforme al art. 26 del RGPD [1]. Si, en cambio, una empresa de seguridad o el proveedor del sistema mantiene la solución exclusivamente por instrucciones del cliente, es más frecuente que actúe como encargado del tratamiento y no como responsable.

Desde el punto de vista del compliance, es clave no identificar automáticamente al responsable del tratamiento con el proveedor de cámaras, del VMS o con el integrador. El mero suministro de la tecnología no determina por sí solo esa función. Lo decisivo es la influencia real sobre la finalidad y la forma del tratamiento. Por eso, en la documentación conviene describir por separado: quién gestiona la conservación de las grabaciones, quién decide la correlación entre imagen y registros de acceso, quién aprueba la exportación del material y quién define las reglas de su anonimización.

¿Por qué la combinación de la imagen con el registro de accesos aumenta el riesgo?

Una grabación de un simple pasillo puede considerarse material CCTV estándar. Sin embargo, la imagen de una cámara orientada a un punto de acceso, sincronizada con un lector de tarjetas, ofrece una capacidad mucho mayor de identificación y perfilado de comportamientos. La organización puede entonces determinar quién intentó entrar, cuándo, a qué zona y si se produjo una denegación de acceso. Ya no se trata de una simple visualización del movimiento en la entrada, sino de un elemento del proceso de control de acceso.

Desde la perspectiva del RGPD, esto suele implicar la necesidad de definir con mayor precisión la finalidad, el periodo de conservación y el alcance del acceso al material. El EDPB, en sus directrices sobre el tratamiento de datos mediante dispositivos de vídeo, subraya la importancia del principio de minimización, la limitación de la finalidad y el acceso restringido a las imágenes [2]. Esto es especialmente relevante para cámaras que cubren entradas, recepciones, esclusas y tornos.

En este punto resulta útil Gallio PRO como software on-premise para anonimizar fotografías y grabaciones antes de exportarlas fuera del sistema de origen. Esto es especialmente importante allí donde el material de las entradas deba remitirse al personal de seguridad, al departamento de auditoría o a un tercero externo. Desde la perspectiva de la seguridad, una ventaja adicional es que el software no guarda logs que contengan datos de detección ni datos personales.

¿Cuándo una grabación de entrada pasa a ser tratamiento biométrico?

No toda grabación de un rostro constituye dato biométrico en el sentido del RGPD. Según el art. 4.14 del RGPD, los datos biométricos son datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona, que permiten o confirman la identificación única de dicha persona, por ejemplo la imagen facial o los datos dactiloscópicos [1].

Esta distinción es muy importante. Si la cámara solo registra la entrada y la imagen se utiliza para verificar posteriormente un incidente, normalmente todavía no existe tratamiento de una categoría especial de datos. Sin embargo, si el sistema utiliza funciones de reconocimiento facial para confirmar automáticamente la identidad y abrir el paso, el riesgo de entrar en el ámbito de los datos biométricos aumenta de forma muy clara. En ese caso, no solo se aplican los principios generales del art. 5 del RGPD, sino también el régimen del art. 9 del RGPD relativo a las categorías especiales de datos [1].

En la práctica empresarial, es prudente adoptar una prueba sencilla. Si el rostro solo es visible en la grabación, esto no siempre significa biometría. Si el rostro se somete a un tratamiento técnico específico con el fin de confirmar de manera inequívoca la identidad en el acceso, las organizaciones suelen tratarlo como tratamiento biométrico. No obstante, la valoración final sigue dependiendo de la arquitectura de la solución y de la finalidad concreta del tratamiento.

¿Cómo anonimizar el material de accesos antes de compartirlo con seguridad o con un auditor?

El error más frecuente consiste en entregar una exportación en bruto de la cámara de acceso junto con todo el contexto de personas ajenas al incidente. Sin embargo, para auditar un incidente normalmente no es necesario mostrar todos los rostros de la recepción o del aparcamiento. En muchos casos, basta con conservar la imagen del evento y limitar la identificación de las personas no relacionadas con el incidente.

Un modelo práctico es el siguiente.

• Paso 1: se exporta únicamente el fragmento de la grabación necesario para aclarar el incidente.
• Paso 2: se aplica face blurring a las personas cuya identificación no es necesaria.
• Paso 3: se aplica license plate blurring si el encuadre incluye el aparcamiento, la barrera o la vía de acceso.
• Paso 4: solo entonces se entrega el material así preparado al destinatario externo o interno con permisos limitados.

En este workflow hay que dejar claro el alcance de la automatización. Gallio PRO difumina automáticamente únicamente rostros y matrículas. No detecta automáticamente logotipos de empresas, tatuajes, placas con nombres, documentos ni imágenes en pantallas de monitor. Estos elementos pueden difuminarse manualmente en el editor integrado, que es fácil de usar. El software no difumina siluetas completas, no realiza anonimización en tiempo real y no anonimiza el flujo de vídeo.

Para los equipos técnicos y los facility managers, esta distinción tiene importancia operativa. La detección automática cubre exclusivamente rostros y matrículas, no los datos de tarjetas de acceso ni los identificadores de lectores. Por tanto, si el material incluye la pantalla de recepción con una lista de entradas o una tarjeta de empleado visible, será necesaria una edición manual adicional.

Tras describir este flujo, merece la pena probar gratis la herramienta con un fragmento real exportado desde un VMS o un NVR y comprobar qué nivel de redacción se necesita antes de compartir el material.

Rostros y matrículas: qué suele requerir difuminado

La obligación de anonimizar rostros no deriva automáticamente de todos los casos de tratamiento de imagen, pero al compartir grabaciones con terceros suelen justificarlo los principios del RGPD y, en el contexto de la publicación, también las disposiciones del Código Civil y de la Ley de Propiedad Intelectual. La normativa sobre derechos de autor prevé excepciones al requisito de consentimiento para difundir la imagen, en particular cuando:

• se trata de una persona públicamente conocida y la imagen se captó en relación con el ejercicio de funciones públicas,
• la imagen constituye únicamente un detalle de un conjunto como una reunión, un paisaje o un acto público,
• la persona recibió la remuneración pactada por posar, salvo que se hubiera reservado expresamente otra cosa [4].

En el entorno de accesos a edificios, estas excepciones se aplican más bien rara vez, por lo que la práctica empresarial consiste en adoptar un enfoque prudente respecto a la publicación y cesión de materiales con rostros reconocibles.

En el caso de las matrículas, la situación es más compleja. No existe una norma general de la UE según la cual, en los países de Europa Occidental, difuminar matrículas sea por principio obligatorio. La valoración depende del contexto, de la finalidad del tratamiento y de si la matrícula, en esa situación concreta, permite identificar a una persona física. En Polonia, la cuestión tampoco es completamente inequívoca, pero en la práctica de protección de datos las matrículas suelen considerarse, como mínimo, datos que pueden conducir a la identificación de una persona. Por ello, en materiales procedentes de aparcamientos, puertas y barreras, el license plate blurring preventivo sigue siendo una medida organizativa segura.

Tabla: decisiones habituales al compartir grabaciones de puntos de acceso

Software on-premise e integración con la infraestructura del edificio

En entornos enterprise, no solo importa el difuminado de la imagen en sí, sino también la forma de implantación. Un software on-premise reduce el riesgo de transferencias no controladas de grabaciones fuera de la organización y facilita mantener el material dentro de una zona gestionada por el responsable del tratamiento. Esto resulta especialmente importante cuando las grabaciones proceden de accesos de personal, laboratorios, salas de servidores, zonas de alta seguridad o infraestructuras críticas.

En implantaciones que requieren integración con un VMS existente, un repositorio de incidentes o un flujo de exportación no estándar, conviene ponerse en contacto y definir un modelo de funcionamiento on-premise o mediante API. Desde la perspectiva del RGPD, es especialmente favorable que la herramienta no recopile logs que contengan detección de rostros y matrículas ni guarde logs con datos personales y categorías especiales de datos.

¿Cómo describir un proceso conforme en la política y los procedimientos?

Un buen procedimiento no debería describir la anonimización de forma genérica. En una organización suele ser recomendable indicar: la finalidad de la integración entre CCTV y access control, los roles de responsable y encargado del tratamiento, la lista de destinatarios autorizados de las exportaciones, el tiempo estándar de conservación, los supuestos que justifican la exportación y la técnica de edición de imagen antes de compartir el material. También hay que diferenciar claramente el sistema de origen de la herramienta utilizada para preparar una copia del material con fines de auditoría, seguridad o investigación interna.

La práctica de cumplimiento suele incluir también un registro de los casos en los que el material se compartió tras difuminar rostros y matrículas. No se trata de guardar datos de detección, sino de demostrar que la organización aplica el principio de minimización y comparte únicamente la parte de imagen realmente necesaria para una finalidad concreta [1][2].

FAQ - videovigilancia y sistemas de control de acceso con cámaras IP

¿Toda cámara en un punto de acceso implica tratamiento biométrico?

No. El mero hecho de grabar rostros en una entrada no tiene por qué significar biometría. El riesgo aumenta cuando el sistema aplica un tratamiento técnico específico para confirmar de forma inequívoca la identidad, por ejemplo mediante reconocimiento facial al abrir el paso [1].

¿Quién es el responsable del tratamiento en un sistema integrado de CCTV y control de acceso?

Normalmente, la entidad que decide la finalidad y los medios de funcionamiento de toda la solución, con mayor frecuencia el propietario del inmueble, el empleador o el operador de infraestructuras. El proveedor de tecnología o la empresa de seguridad no se convierten automáticamente en responsables solo por operar el sistema [1].

¿Siempre hay que difuminar los rostros antes de entregar una grabación al personal de seguridad?

Depende de la finalidad y del alcance de la cesión, pero una práctica habitual de cumplimiento consiste en difuminar los rostros de personas ajenas al incidente si su identificación no es necesaria para aclararlo. Esto permite aplicar mejor el principio de minimización [1][2].

¿Gallio PRO anonimiza la imagen de cámaras en directo?

No. El software no realiza anonimización en tiempo real ni anonimización del flujo de vídeo. Sirve para preparar fotografías y grabaciones antes de su posterior cesión.

¿Qué detecta automáticamente la herramienta?

La detección automática cubre únicamente rostros y matrículas. No incluye datos de tarjetas de acceso ni identificadores de lectores. Los logotipos, tatuajes, placas con nombres, documentos e imágenes en pantallas requieren intervención manual en el editor.

¿Siempre hay que difuminar las matrículas?

No siempre. La valoración depende del contexto, de la finalidad del tratamiento y de la forma de compartir el material. En Polonia y en otros países de la UE, la práctica no es completamente uniforme, por lo que el license plate blurring preventivo puede ser la solución organizativa más segura, especialmente en casos de publicación o de difusión amplia del material.

¿La ausencia de logs de detección es importante para la seguridad de la integración?

Sí. Desde la perspectiva de la arquitectura de seguridad, es una característica favorable, porque reduce la creación de recursos adicionales que contengan información sobre rostros y matrículas detectados. Gallio PRO no guarda esos logs ni recopila logs que contengan datos personales y categorías especiales de datos.