Notificación de una violación de datos de vídeo (art. 33 del RGPD): definición
La notificación de una violación de datos de vídeo es la comunicación formal a la autoridad de control de una violación de la seguridad de los datos personales cuando el incidente afecta a materiales fotográficos o de vídeo y puede entrañar un riesgo para los derechos y libertades de las personas físicas. En la Unión Europea, la base jurídica es el artículo 33 del Reglamento (UE) 2016/679, es decir, el RGPD. En Polonia, la notificación se dirige al Presidente de la Oficina de Protección de Datos Personales (UODO).
En el contexto de fotografías y grabaciones, se trata sobre todo de situaciones en las que se ha producido una pérdida de confidencialidad, disponibilidad o integridad de materiales que contienen personas identificables. Esto incluye, por ejemplo, grabaciones de videovigilancia, documentación en vídeo de inspecciones, fotografías de trabajo, material probatorio o archivos multimedia antes de la anonimización. Si en la imagen aparecen rostros, matrículas u otros elementos que permitan identificar a una persona, aunque sea de forma indirecta, el material puede constituir datos personales. Por tanto, la evaluación no termina en el mero hecho de la filtración de un archivo. Lo esencial es determinar si la persona puede ser identificada mediante medios razonablemente probables, de conformidad con el considerando 26 del RGPD.
El artículo 33, apartado 1, del RGPD exige notificar la violación “sin dilación indebida” y, en su caso, a más tardar en un plazo de 72 horas desde que se tenga constancia de ella, salvo que sea improbable que dicha violación constituya un riesgo para los derechos y libertades de las personas físicas. La propia filtración no determina todavía la obligación de informar a los interesados. Esa es una obligación distinta, prevista en el artículo 34 del RGPD, que se activa cuando existe un alto riesgo.
Cuándo una filtración de grabaciones o fotografías obliga a notificarla a la UODO
En la práctica del compliance, lo más difícil suele ser distinguir entre un incidente técnico y una violación de la seguridad de los datos personales que requiera notificación. En el caso de materiales visuales, no solo debe analizarse el origen del incidente, sino también el contenido de la imagen, el grado de identificabilidad y la posibilidad de reutilización de los datos.
La obligación de notificar a la UODO surge, por regla general, cuando concurren conjuntamente dos elementos: se ha producido una violación de la seguridad de los datos personales y existe al menos un riesgo para los derechos o libertades de las personas físicas. Entre los supuestos más habituales se incluyen:
- la divulgación no autorizada de grabaciones no anonimizadas con rostros visibles,
- el envío de fotografías o archivos de vídeo al destinatario equivocado,
- el robo de un soporte que contenga un archivo multimedia,
- un ataque de ransomware que afecte a un repositorio de materiales fotográficos y de vídeo,
- la publicación errónea de material en el que no se hayan difuminado los rostros o las matrículas,
- la pérdida de control sobre copias de trabajo exportadas para su tratamiento externo.
Si el material fue anonimizado de forma eficaz antes del incidente, el riesgo puede ser significativamente menor o incluso inexistente. No obstante, esto solo se aplica cuando la anonimización es irreversible dentro de un modelo de amenazas razonablemente previsible. Un simple desenfoque parcial de baja calidad o un tapado defectuoso no producen automáticamente ese efecto.
Plazo de 72 horas y momento en que se tiene constancia de la violación
El plazo del artículo 33 del RGPD se cuenta desde el momento en que se tiene constancia de la violación, y no desde el momento en que se produjo el hecho. El Comité Europeo de Protección de Datos, en sus directrices sobre notificación de violaciones, indica que el responsable del tratamiento puede considerar que tiene constancia de la violación cuando dispone de un grado suficiente de certeza de que se ha producido un incidente de seguridad que ha dado lugar a una violación de datos personales.
En la práctica, en el caso de materiales de vídeo conviene distinguir tres hitos temporales:
Fase | Significado operativo | Significado jurídico
|
|---|---|---|
Detección del incidente | Señal de un posible problema | No siempre activa el plazo |
Confirmación de la violación | Se determina que afecta a datos personales | Normalmente, desde este momento empieza a correr el plazo de 72 horas |
Ampliación de la información | Concreción del alcance y de las consecuencias | Es posible una notificación por fases conforme al art. 33.4 |
Si no se dispone de toda la información en 72 horas, el responsable del tratamiento puede presentar una notificación parcial y remitir posteriormente los datos que falten sin dilación injustificada.
Contenido de la notificación de una violación de datos de vídeo
El contenido de la notificación resulta directamente del artículo 33, apartado 3, del RGPD. En los incidentes relacionados con fotografías y vídeo, es necesario describir tanto el aspecto jurídico como el técnico. Una descripción genérica del tipo “filtración de grabaciones” no es suficiente.
La notificación debe incluir al menos:
- la naturaleza de la violación, por ejemplo, la divulgación no autorizada de archivos MP4 y JPG con rostros visibles,
- las categorías y el número aproximado de interesados afectados,
- las categorías y el número aproximado de registros de datos personales afectados,
- el nombre y los datos de contacto del delegado de protección de datos u otro punto de contacto,
- una descripción de las posibles consecuencias para las personas físicas,
- una descripción de las medidas adoptadas o propuestas para poner remedio a la violación y mitigar sus posibles efectos.
En el caso de materiales visuales, conviene precisar también los parámetros técnicos, ya que influyen en la evaluación del riesgo. Son relevantes, entre otros: la resolución, la duración de la grabación, el número de cámaras, la posibilidad de leer matrículas, la presencia de audio, la geolocalización, los metadatos EXIF, las marcas de tiempo, la retención de copias y el nivel de cifrado del soporte.
Evaluación del riesgo en fotografías y grabaciones antes de la anonimización
La evaluación del riesgo no puede ser abstracta. El material de vídeo suele tener un mayor potencial identificativo que un registro textual aislado, porque combina imagen, contexto espacial, tiempo y secuencia de comportamiento. Esto es especialmente relevante en grabaciones anteriores a la aplicación de técnicas de difuminado de rostros y matrículas.
En el análisis resultan útiles los siguientes atributos:
Atributo | Importancia para el riesgo | Ejemplo
|
|---|---|---|
Identificabilidad del rostro | Una resolución alta aumenta el riesgo de reconocimiento | 4K, primer plano del rostro |
Identificabilidad del vehículo | Posibilidad de leer la matrícula y vincularla con una persona | Aparcamiento de empresa |
Contexto situacional | Revela hábitos, lugar de trabajo, trayecto o relaciones | Entrada a un centro médico |
Alcance del incidente | Influye en la prioridad y en el alcance de las medidas | 10 archivos frente a 10.000 archivos |
Eficacia de la anonimización | Reduce el riesgo solo si existe una irreversibilidad real | Tapado permanente en la exportación final |
En los entornos de tratamiento de imagen se utilizan modelos de IA basados en aprendizaje profundo para la detección de rostros y matrículas, y posteriormente algoritmos de difuminado o enmascaramiento. El modelo de detección por sí solo no equivale a una anonimización. Es solo la fase de detección del objeto. El riesgo de violación disminuye únicamente después de aplicar correctamente la máscara y verificar el resultado. Si antes de la exportación siguen existiendo rostros o matrículas sin difuminar, el material continúa conteniendo datos personales.
Práctica organizativa y medidas para limitar los efectos de la violación
Una buena notificación debe demostrar que el responsable del tratamiento comprende el origen del incidente y ha aplicado medidas correctoras. En el ámbito foto-vídeo, estas suelen incluir control de acceso, segmentación de repositorios, cifrado, políticas de retención y procedimientos de verificación de la anonimización antes de publicar o transferir el material.
En la práctica, conviene documentar:
- si el material se trataba localmente en un entorno on-premise o fuera de él,
- si los archivos estaban cifrados en reposo y durante la transferencia,
- si el acceso se concedía conforme al principio de privilegio mínimo,
- si se realizó un control de calidad del difuminado de rostros y matrículas,
- si las copias de trabajo y las exportaciones temporales fueron eliminadas o aisladas,
- si se llevaba un registro de violaciones conforme al artículo 33, apartado 5, del RGPD.
La documentación interna tiene valor probatorio. Incluso cuando el responsable del tratamiento concluye que no es necesario notificar a la UODO, debe poder demostrar el proceso de evaluación seguido y la base de esa decisión.
Referencias normativas e interpretativas
La base son las disposiciones legales y las directrices oficiales. En el caso de los datos visuales, revisten especial importancia las fuentes de la Unión Europea y la práctica nacional de la autoridad de control.
- Reglamento (UE) 2016/679, art. 4.12, art. 33, art. 34, considerando 26 - Parlamento Europeo y Consejo, 2016.
- Directrices del Grupo de Trabajo del Artículo 29 sobre la notificación de violaciones de datos personales en virtud del Reglamento 2016/679, WP250 rev.01, adoptadas el 6 de febrero de 2018 y refrendadas por el CEPD.
- Directrices 01/2021 del CEPD sobre ejemplos de violaciones de datos personales, versión 2.0, adoptadas el 14 de diciembre de 2021.
- Materiales y formularios de notificación del Presidente de la UODO relativos a la notificación de violaciones de la seguridad de los datos personales.