Cadena de custodia de grabaciones de vídeo: definición
La cadena de custodia de las grabaciones de vídeo es el registro documentado y verificable de quién, cuándo, con qué finalidad y en qué alcance tuvo acceso al material de vídeo o a las imágenes, así como de qué operaciones realizó sobre el archivo, el soporte o su copia. En la práctica del compliance, esto significa mantener la trazabilidad continua del material desde su obtención, pasando por la exportación, la transferencia, el almacenamiento, el análisis y la anonimización de rostros y matrículas, hasta su puesta a disposición o archivado.
En el contexto de las grabaciones de vídeo, la cadena de custodia cumple dos funciones. En primer lugar, debe confirmar la integridad del material, es decir, la ausencia de cambios no documentados. En segundo lugar, debe demostrar la legalidad y la proporcionalidad del tratamiento de los datos personales visibles en la imagen. Esto afecta especialmente a los materiales que contienen la imagen de personas, matrículas y otra información que pueda permitir la identificación. Desde la perspectiva probatoria y regulatoria, no solo importa el archivo en sí, sino también los metadatos, la suma de verificación, el entorno de tratamiento, los permisos de los operadores y el historial de versiones.
La importancia de la cadena de custodia se deriva de los principios generales de seguridad de la información y responsabilidad proactiva. En protección de datos personales, la base está en el art. 5.1.f y el art. 5.2 del RGPD, es decir, integridad, confidencialidad y responsabilidad proactiva, así como en el art. 32 del RGPD relativo a la seguridad del tratamiento. En la práctica también resultan útiles las normas ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO/IEC 27037:2012 e ISO/IEC 27042:2015, que describen la identificación, obtención, preservación y evaluación de la evidencia digital.
¿Cómo debe entenderse la cadena de custodia en la anonimización de vídeo?
La anonimización del material de vídeo no elimina la necesidad de preservar su valor probatorio. Al contrario, exige separar con precisión el material original del material tratado. Si una organización difumina rostros o matrículas antes de compartir una grabación, debe poder demostrar que la versión publicada deriva de un archivo fuente concreto y que la operación se realizó de forma controlada.
En este modelo, normalmente existen al menos dos versiones del material:
- versión original: sin modificar, con la suma de verificación conservada y acceso restringido,
- versión de trabajo o copia destinada a su divulgación tras el tratamiento: con la anonimización, la exportación y el alcance de la edición de imagen debidamente documentados.
Si para detectar rostros o matrículas se utiliza un modelo de IA, a efectos de auditoría debe documentarse no solo el hecho del difuminado, sino también los parámetros del proceso. El deep learning es una de las técnicas utilizadas para crear modelos de detección de objetos que posteriormente automatizan la identificación de las áreas que deben difuminarse. Sin embargo, desde el punto de vista de la cadena de custodia, lo relevante no es el entrenamiento del modelo, sino qué versión del modelo se utilizó, cuándo se realizó la detección, quién aprobó el resultado y si las intervenciones manuales quedaron registradas en el historial de operaciones.
En el entorno de Gallio PRO también debe distinguirse claramente entre el alcance de la automatización y las acciones manuales. El software difumina automáticamente únicamente rostros y matrículas. No detecta automáticamente logotipos, tatuajes, placas identificativas, documentos ni el contenido visible en pantallas. Estos elementos pueden difuminarse manualmente en el editor. Toda intervención manual debe incluirse en la documentación de la cadena de custodia.
¿Cómo documentar cada etapa del tratamiento del material de vídeo?
Una cadena de custodia eficaz se basa en un registro de eventos repetible. No basta con almacenar el archivo. Debe poder demostrarse el ciclo de vida del material, desde su obtención hasta su eliminación o entrega. En la práctica, el enfoque más eficaz es el basado en eventos, identificadores y sumas de verificación.
El alcance mínimo de la documentación suele incluir:
- identificador único del caso, del soporte y del archivo,
- fecha y hora de obtención del material junto con la zona horaria,
- fuente de la grabación, por ejemplo, cámara CCTV, body cam, teléfono o dashcam,
- persona o sistema que realizó la importación, copia o exportación,
- suma de verificación del archivo, normalmente SHA-256,
- ubicación lógica y física del soporte o repositorio,
- historial de accesos y cambios de permisos,
- alcance de la anonimización: rostros, matrículas y zonas difuminadas manualmente,
- versión de la herramienta y de la configuración utilizadas para el tratamiento,
- información sobre la exportación, entrega, conservación o eliminación.
Conviene aplicar una regla simple: toda operación sobre el material debe dejar una huella probatoria, pero esa huella no debe contener datos personales más allá del mínimo necesario para la responsabilidad proactiva. Esto también es importante porque los sistemas de anonimización no deberían generar registros que incluyan datos personales innecesarios. En el entorno de Gallio PRO, este principio se ajusta a ese enfoque: el software no recopila logs que contengan datos personales ni categorías especiales de datos personales.
Atributos y métricas clave de la cadena de custodia de las grabaciones de vídeo
El valor probatorio depende de si puede demostrarse la integridad, la autenticidad y el control de acceso. Para los equipos de compliance, los indicadores medibles son especialmente útiles. No todos tienen carácter normativo, pero facilitan la auditoría y la evaluación de riesgos.
Atributo | Descripción práctica | Métrica de ejemplo
|
|---|---|---|
Integridad del archivo | Posibilidad de confirmar que el archivo original no ha sido modificado | Coincidencia de la suma SHA-256 antes y después de la transferencia |
Integridad del registro | Porcentaje de operaciones documentadas en el historial del caso | 100% de los eventos críticos con identificador del operador y hora |
Trazabilidad | Posibilidad de vincular las versiones con el material original | Número de versiones con referencia completa al archivo fuente |
Tiempo de respuesta | Tiempo transcurrido desde la obtención hasta el aseguramiento del material | T1 - T0 en minutos u horas |
Control de acceso | Número y alcance de las cuentas con acceso al material | RBAC, principio de mínimo privilegio |
Calidad de la anonimización | Eficacia de la detección de objetos que deben difuminarse | Precision, recall, número de correcciones manuales |
En el ámbito de la integridad, lo más habitual es utilizar funciones hash de la familia SHA-2, descritas por NIST en FIPS 180-4. Pueden calcularse hashes independientes para el archivo de entrada y para la versión resultante. Si el material original tiene el hash H1 y la copia de trabajo H2, la documentación debe explicar por qué H1 y H2 son distintos, por ejemplo, debido a la anonimización realizada o a un cambio en el contenedor del archivo.
Un registro simple puede tener la forma:
hash_integrity = SHA-256(archivo)
Importancia de la cadena de custodia para el cumplimiento del RGPD y la protección de la privacidad
En la práctica de la protección de datos, la cadena de custodia no es solo una cuestión forense. También es una herramienta de responsabilidad proactiva del responsable del tratamiento. Si una organización publica o entrega una grabación tras su anonimización, debe poder demostrar la base jurídica del tratamiento, la adecuación del alcance de la divulgación y las medidas técnicas y organizativas adoptadas.
En los materiales de vídeo son especialmente importantes:
- la documentación de la finalidad del tratamiento y de la base jurídica,
- la separación entre el material original y la copia destinada a su divulgación,
- la limitación del acceso a la versión no anonimizada,
- la conservación conforme a la política interna y a la normativa sectorial,
- la posibilidad de demostrar que se difuminaron rostros y matrículas cuando era necesario.
En el caso de los rostros, la necesidad de anonimización puede derivarse de los principios del RGPD, de la protección de los derechos de la personalidad y de la normativa sobre difusión de la imagen, teniendo en cuenta las excepciones relativas a personas públicas y a escenas públicas más amplias. En el caso de las matrículas, la situación jurídica no es totalmente uniforme. En Polonia, la valoración de si un número de matrícula constituye un dato personal depende del contexto y de la posibilidad de identificar a una persona utilizando medios razonablemente probables. Desde la perspectiva del compliance, es más seguro documentar la decisión adoptada y el estándar de anonimización aplicado.
Desafíos y limitaciones de la cadena de custodia en el tratamiento de vídeo
Incluso un proceso bien diseñado tiene limitaciones. El material de vídeo es vulnerable a los cambios de formato, la pérdida de metadatos, los errores de sincronización horaria y la ambigüedad sobre su origen. Además, la detección automática de rostros y matrículas no garantiza una eficacia del 100%, por lo que en ocasiones es necesaria una verificación manual.
Los problemas más frecuentes son:
- falta de coherencia en la hora del sistema entre dispositivos y servidores,
- exportación de grabaciones a formatos que eliminan parte de los metadatos,
- registro incompleto de las operaciones manuales,
- permisos de operador excesivamente amplios,
- mezcla de copias de trabajo con el material original,
- ausencia de un procedimiento independiente para la anonimización y para la preservación de la prueba.
Por ello, la organización debería definir en su procedimiento cuándo se trabaja sobre una copia bit a bit o lógica, quién aprueba la anonimización y cómo se etiquetan las versiones del material. Esto reduce el riesgo de impugnación del valor probatorio y el riesgo de vulneración de la privacidad.
Referencias normativas y fuentes
Los siguientes documentos se utilizan con mayor frecuencia como punto de referencia al diseñar procedimientos para la evidencia digital y la seguridad del tratamiento:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, RGPD, en particular el art. 5 y el art. 32
- ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements
- ISO/IEC 27002:2022 - Information security controls
- ISO/IEC 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence
- ISO/IEC 27042:2015 - Guidelines for the analysis and interpretation of digital evidence
- NIST FIPS PUB 180-4, Secure Hash Standard, August 2015
- NIST SP 800-86, Guide to Integrating Forensic Techniques into Incident Response, 2006