Pregunta

¿Qué es el videovigilancia en aparcamientos y el RGPD?

Tabla de contenidos

Videovigilancia en aparcamientos y RGPD: definición

La videovigilancia en aparcamientos y el RGPD es el conjunto de normas jurídicas, organizativas y técnicas aplicables a la grabación de imágenes en aparcamientos públicos y privados de forma compatible con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. En la práctica, se trata de diseñar y operar un sistema CCTV de manera que el tratamiento de datos personales sea lícito, limitado a una finalidad concreta, proporcionado y seguro. En las grabaciones de aparcamientos, los datos personales suelen ser, sobre todo, la imagen de las personas y, en muchos casos, también las matrículas, si permiten identificar a una persona física de forma directa o indirecta.

En el contexto de la anonimización de fotos y vídeos, este concepto abarca principalmente el difuminado o enmascarado de rostros y matrículas antes de compartir el material con personas no autorizadas, publicarlo, exportarlo para fines distintos del original o cederlo a terceros. No se refiere a la anonimización de documentos de texto. En el entorno de un aparcamiento, es clave diferenciar entre la grabación original, que el responsable del tratamiento puede conservar durante un tiempo limitado, y la copia de trabajo o exportación, que debería anonimizarse si la identificación completa de las personas no es necesaria.

La base interpretativa se encuentra, en particular, en el RGPD 2016/679, las Directrices 3/2019 del CEPD sobre el tratamiento de datos personales mediante dispositivos de vídeo, la jurisprudencia del TJUE y los criterios de las autoridades nacionales de control. Desde el punto de vista técnico, son especialmente relevantes los principios de privacy by design y privacy by default del artículo 25 del RGPD, así como la seguridad del tratamiento prevista en el artículo 32 del RGPD.

Cómo entender la videovigilancia en aparcamientos en el contexto de la anonimización de vídeo

En un aparcamiento, la videovigilancia suele utilizarse para proteger bienes, garantizar la seguridad de las personas, controlar entradas y salidas y esclarecer incidentes. Esa finalidad puede justificar la grabación de imágenes, pero no otorga un derecho ilimitado a difundir posteriormente las grabaciones. Si el material va a comunicarse fuera del círculo reducido de personas autorizadas, debe evaluarse si es realmente necesario identificar a todas las personas y vehículos visibles.

En la práctica, la anonimización de grabaciones de aparcamientos consiste en ocultar de forma selectiva los identificadores visuales. Esto suele implicar el difuminado automático de rostros y matrículas, sin anonimizar las siluetas completas y, por lo general, sin procesar el flujo de vídeo en tiempo real. Otros elementos, como logotipos, tatuajes, identificaciones nominales, documentos o imágenes visibles en una pantalla, pueden requerir una intervención manual en un editor.

Obligaciones del responsable de la videovigilancia del aparcamiento

El responsable de la videovigilancia de un aparcamiento debe poder demostrar que el tratamiento cumple los principios del artículo 5 del RGPD. No basta con instalar cámaras. Es necesario documentar la finalidad, la base jurídica, el alcance de la observación y el plazo de conservación, así como implantar medidas que limiten la recogida excesiva de datos.

Las obligaciones principales pueden resumirse del siguiente modo:

  • definir la finalidad de la videovigilancia, por ejemplo, protección de bienes, seguridad de los usuarios, prevención de daños o control de accesos,
  • identificar la base jurídica, normalmente el artículo 6.1.f del RGPD: el interés legítimo del responsable, tras realizar la correspondiente ponderación,
  • cumplir con el deber de información mediante un modelo por capas, de conformidad con el artículo 13 del RGPD y las Directrices 3/2019 del CEPD,
  • limitar el campo de visión de las cámaras al área estrictamente necesaria, sin captar espacios colindantes más allá de lo imprescindible,
  • establecer un plazo de conservación de las grabaciones y un procedimiento para su supresión,
  • controlar el acceso a las grabaciones, registrar las operaciones administrativas y conceder permisos según el principio de need-to-know,
  • aplicar anonimización o enmascarado cuando se exporten materiales para fines secundarios.

Señalización de un aparcamiento sometido a videovigilancia

La señalización no es solo un requisito formal. Debe permitir que la persona acceda a la zona vigilada sabiendo quién trata sus datos y con qué finalidad. Las Directrices 3/2019 del CEPD recomiendan un enfoque de dos capas: una información breve justo en el acceso a la zona videovigilada y una cláusula informativa completa fácilmente disponible in situ o en línea.

En el cartel situado en la entrada o acceso deberían figurar, como mínimo:

  • la indicación de que la zona está videovigilada,
  • la identidad del responsable del tratamiento,
  • la finalidad de la videovigilancia,
  • una referencia al lugar donde puede consultarse la cláusula informativa completa.

Conservación de las grabaciones del aparcamiento

El RGPD no establece un plazo fijo de conservación de las grabaciones. Se aplica el principio de limitación del plazo de conservación del artículo 5.1.e del RGPD. Esto significa que el periodo de retención debe estar vinculado a la finalidad y al riesgo. En la práctica de los aparcamientos, es frecuente encontrar plazos de varios días a varias semanas, pero siempre deben estar debidamente justificados.

Para evaluar el plazo de conservación, resultan útiles los siguientes criterios:

Parámetro

Importancia práctica

 

Finalidad del tratamiento

Cuanto más concreta y limitada sea la finalidad, más fácil será justificar un plazo de conservación más corto

Frecuencia de incidentes

Influye en el tiempo durante el cual la grabación puede ser necesaria para detectar un daño

Tiempo de detección del incidente

Si los daños suelen notificarse varios días después, el plazo de conservación debería tenerlo en cuenta

Capacidad y seguridad del sistema

Una mayor capacidad no justifica automáticamente una conservación más prolongada

Preservación de la prueba para un procedimiento

Una grabación aislada por un incidente puede conservarse más tiempo que el búfer ordinario

En la práctica, debe distinguirse entre la conservación ordinaria y la conservación vinculada a un incidente. Tras una reclamación por daños o un requerimiento de una autoridad, una parte de la grabación puede preservarse durante más tiempo, pero solo en la medida necesaria para el procedimiento.

Tecnologías de anonimización de rostros y matrículas en la videovigilancia de aparcamientos

La anonimización de vídeo eficaz requiere, en primer lugar, la detección de objetos. En el caso de rostros y matrículas, lo más habitual es utilizar modelos de deep learning entrenados con conjuntos de datos etiquetados. Un modelo de IA de este tipo no constituye por sí mismo la anonimización: es la fase de detección, a la que después sigue el difuminado, desenfoque o enmascarado del área señalada en cada fotograma.

En los sistemas que procesan grabaciones de aparcamientos, son especialmente importantes:

  • la precision y el recall en la detección de rostros y matrículas,
  • la resistencia del modelo ante iluminación nocturna, lluvia, reflejos y ocultaciones parciales del objeto,
  • la estabilidad del seguimiento entre fotogramas, para que la máscara no “pierda” el rostro o la matrícula,
  • la velocidad de procesamiento offline, por ejemplo, el número de fotogramas por segundo con una determinada configuración de CPU o GPU,
  • el porcentaje de casos que requieren corrección manual.

En un entorno conforme con privacy by design, las implantaciones on-premise pueden limitar la transferencia de grabaciones fuera de la organización. Esto es especialmente relevante cuando el material contiene datos personales e información sobre los desplazamientos de personas y vehículos.

Matrículas en las grabaciones de aparcamientos: diferencias interpretativas

El estatus de las matrículas como dato personal no se valora de forma totalmente uniforme. Por un lado, los criterios de las autoridades de protección de datos y el enfoque funcional europeo respaldan la idea de que un número de matrícula puede constituir un dato personal si, en un contexto concreto, permite identificar a una persona. Por otro, en algunos pronunciamientos judiciales se sostiene que la matrícula, por sí sola, no siempre tiene la consideración de dato personal.

Para el responsable del aparcamiento, esto implica la necesidad de evaluar el riesgo y la finalidad del tratamiento. Cuando se facilitan grabaciones a personas ajenas o se publican, la opción más prudente es difuminar las matrículas. En muchos países europeos, la práctica de protección sigue precisamente esa línea.

Caso práctico: cesión de una grabación de un incidente en un aparcamiento

Una situación típica es la de una colisión o un daño a un vehículo en un aparcamiento. El responsable dispone de una grabación de cámara en la que aparecen el causante, otras personas y vehículos ajenos al incidente. El objetivo pasa a ser entregar el material a un destinatario autorizado sin revelar en exceso los datos de terceros.

El proceso recomendado es el siguiente:

  1. preservar el fragmento original de la grabación en un repositorio de acceso restringido,
  2. verificar la base jurídica de la comunicación y la condición del destinatario,
  3. crear una copia de trabajo para la anonimización,
  4. detectar automáticamente rostros y matrículas,
  5. realizar un control manual de calidad y corregir los elementos no detectados automáticamente,
  6. exportar una versión anonimizada para el destinatario, si no es necesaria la identificación completa de terceros,
  7. documentar la operación en el registro de actividades de tratamiento o en la documentación operativa.

Referencias normativas y fuentes

La evaluación de la conformidad de la videovigilancia en aparcamientos con el RGPD debe basarse en fuentes primarias y directrices oficiales. Los documentos más importantes son:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, el RGPD,
  • CEPD, Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo, versión adoptada tras consulta pública el 29 de enero de 2020,
  • Carta de los Derechos Fundamentales de la UE, artículos 7 y 8,
  • jurisprudencia del TJUE sobre la interpretación amplia del concepto de dato personal y de identificabilidad,
  • criterios y materiales de las autoridades de protección de datos sobre videovigilancia y deber de información.

Ver también

Volver al glosario