Pregunta

¿Qué es la videovigilancia en centros sanitarios y el RGPD?

Tabla de contenidos

Videovigilancia en centros sanitarios y RGPD: definición

La videovigilancia en centros sanitarios y el RGPD es el conjunto de requisitos legales, organizativos y técnicos aplicables a la grabación de imágenes en hospitales, clínicas, consultorios y otras entidades sanitarias, de forma conforme con la normativa de protección de datos personales. En la práctica, se trata de determinar cuándo y bajo qué condiciones puede captarse la imagen de pacientes, personal, visitantes y otras personas presentes en el centro, así como de qué manera deben protegerse y limitarse los usos de esas grabaciones.

En el entorno sanitario, la videovigilancia presenta un nivel de riesgo elevado para la privacidad. La propia imagen del rostro constituye un dato personal si permite identificar a una persona, de conformidad con el artículo 4.1 del RGPD: “se entenderá por datos personales toda información sobre una persona física identificada o identificable”. En los centros médicos, una grabación también puede revelar indirectamente información sobre el estado de salud, la utilización de prestaciones sanitarias, el lugar de hospitalización o la relación del paciente con una consulta concreta. Esto genera el riesgo de tratar categorías especiales de datos en el sentido del artículo 9.1 del RGPD, así como el riesgo de vulnerar el secreto profesional médico.

En el contexto de fotografías y vídeo, el cumplimiento del RGPD no significa prohibir el uso de cámaras. Significa que es necesario limitar la finalidad, el campo de visión, el plazo de conservación, el círculo de destinatarios y el grado de identificación de las personas. Si el material va a compartirse, analizarse con fines formativos, entregarse a un proveedor externo o utilizarse fuera de su finalidad inicial de seguridad, a menudo será necesaria la anonimización o, al menos, la seudonimización de las grabaciones. En la práctica, en los vídeos se aplica sobre todo el difuminado de rostros y matrículas, mientras que otros elementos, como documentos, identificadores o imágenes visibles en monitores, suelen requerir una edición manual.

Base jurídica de la videovigilancia en centros sanitarios

La evaluación de la licitud de la videovigilancia no se basa en una sola norma, sino en varios regímenes jurídicos concurrentes. Para el Delegado de Protección de Datos, es esencial diferenciar la finalidad de seguridad de la finalidad asistencial y de la finalidad formativa. Cambian, por tanto, la base legitimadora, el alcance de los datos y el periodo de conservación.

Las principales normas y documentos de referencia son:

  • RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
  • La normativa nacional aplicable a la actividad sanitaria y a la organización de los centros asistenciales.
  • La normativa sobre derechos del paciente y confidencialidad de la información sanitaria.
  • La legislación laboral aplicable, si la videovigilancia afecta a trabajadores.
  • Las Directrices 3/2019 del CEPD sobre el tratamiento de datos personales mediante dispositivos de vídeo, adoptadas el 29 de enero de 2020.
  • La jurisprudencia del TJUE y de los tribunales nacionales sobre el alcance del concepto de dato personal y el principio de proporcionalidad.

Las Directrices 3/2019 del CEPD subrayan que la videovigilancia exige acreditar su necesidad y proporcionalidad. En centros sanitarios, esto significa en particular evitar cámaras en lugares donde la privacidad del paciente requiere el máximo nivel de protección, como consultas de exploración, salas de procedimientos, vestuarios o aseos, salvo que exista una base jurídica muy específica y se hayan implantado garantías adicionales.

Importancia del secreto médico y de los datos sensibles en las grabaciones

En un hospital o una clínica, el simple acceso a una zona determinada puede revelar información sobre la salud. La grabación de una persona esperando frente a una consulta de oncología, psiquiatría, tratamiento de adicciones o enfermedades infecciosas puede permitir extraer conclusiones sobre su estado de salud. Por ello, el análisis de riesgos de la videovigilancia sanitaria debe tener en cuenta no solo la identificación facial, sino también el contexto del lugar, del momento y de las interacciones.

Las fuentes de riesgo más habituales en el material de vídeo son:

  • la imagen del rostro del paciente y del personal,
  • las matrículas de vehículos en el aparcamiento o junto al área de urgencias,
  • las placas de las puertas de consultas y los nombres de las unidades,
  • las pulseras de pacientes, acreditaciones del personal y notas informativas,
  • las pantallas con datos médicos que pueden aparecer en el encuadre,
  • la grabación de audio, si el sistema también registra sonido.

En la práctica, el secreto médico no se limita exclusivamente a la historia clínica. También puede vulnerarse por la cesión o la protección inadecuada de una grabación que muestre a un paciente en circunstancias que permitan inferir la existencia de tratamiento, hospitalización o el tipo de asistencia recibida.

Anonimización de grabaciones e imágenes de videovigilancia sanitaria

Si una grabación procedente de un centro sanitario va a utilizarse fuera de su finalidad original de seguridad, debe evaluarse si es necesaria la anonimización de la imagen. En la práctica, esto suele afectar a la entrega del material para la auditoría de un incidente, la formación del personal, una investigación interna, la publicación de material ilustrativo o la cesión a una entidad externa.

En material de vídeo, la anonimización suele consistir en una limitación permanente e irreversible de la identificación de las personas. Para rostros y matrículas se utiliza la detección automática y el difuminado. Este proceso puede apoyarse en modelos de IA basados en deep learning, ya que la detección debe funcionar con distintos ángulos faciales, oclusiones parciales, iluminación variable, movimiento, reflejos y baja calidad de imagen. El modelo se entrena primero con grandes conjuntos de datos y después se utiliza en la fase de inferencia, es decir, para detectar objetos en una grabación concreta y aplicar una máscara de desenfoque o pixelado.

Sin embargo, conviene diferenciar entre la anonimización automática de rostros y matrículas y la edición completa de la imagen. Gallio PRO difumina automáticamente solo rostros y matrículas. No detecta de forma automática logotipos de empresas, tatuajes, placas con nombres, documentos ni contenido mostrado en monitores. Esos elementos pueden difuminarse manualmente en el editor. Esto resulta especialmente importante en centros sanitarios, donde los datos del paciente suelen aparecer precisamente en pulseras, pantallas e impresos visibles en la imagen.

Parámetros clave para evaluar un sistema de anonimización de vídeo

Al evaluar una herramienta, no basta con la declaración de que “difumina rostros”. En el entorno sanitario se necesitan parámetros que permitan valorar el riesgo de omitir objetos o de aplicar un enmascaramiento excesivo. Estos parámetros deben verificarse con material de prueba propio, ya que la eficacia depende de la calidad de las cámaras y de la escena.

Parámetro

Significado práctico

Observaciones para centros sanitarios

 

Recall de detección

Porcentaje de rostros o matrículas detectados por el modelo

Clave para minimizar pacientes no detectados en la grabación

Precisión de detección

Porcentaje de detecciones correctas sobre el total de detecciones

Influye en el número de máscaras falsas y en la legibilidad del material tras la anonimización

Tasa FN

Porcentaje de objetos omitidos

La métrica más importante desde la perspectiva del riesgo de brecha de datos

Tiempo de procesamiento

Tiempo necesario para anonimizar el material

Gallio PRO no realiza anonimización en tiempo real ni sobre flujo de vídeo en directo

Modo de despliegue

On-premise o en la nube

El modelo on-premise limita la transferencia de grabaciones sanitarias fuera de la organización

Alcance del registro de eventos

Qué eventos registra el sistema

Es importante que los logs no contengan datos personales ni categorías especiales de datos

En la evaluación del riesgo puede utilizarse un indicador simple de cobertura de anonimización: eficacia = 1 - tasa FN. Si en una muestra de 1000 rostros el sistema omitió 8, entonces la tasa FN = 0,008 y la eficacia de cobertura es del 99,2 %. Aun así, ese resultado requiere una valoración cualitativa, porque importa qué rostros se omitieron y en qué contexto clínico aparecen.

Organización de un proceso conforme al RGPD

En un centro sanitario, el cumplimiento normativo no depende solo del algoritmo. Son igual de importantes las reglas de acceso, conservación, cesión y documentación de las actividades de tratamiento. El alto riesgo para los derechos de los pacientes puede justificar la realización de una EIPD, es decir, una evaluación de impacto relativa a la protección de datos, conforme al artículo 35 del RGPD.

Un proceso de seguridad mínima debería incluir:

  • la definición de la finalidad de la videovigilancia y de su base jurídica,
  • el análisis de las zonas cubiertas por cámaras y la exclusión de áreas especialmente sensibles,
  • la determinación del plazo de conservación de las grabaciones y de las reglas de sobreescritura,
  • el control de acceso basado en roles,
  • un procedimiento de exportación de grabaciones y su anonimización antes de cualquier uso posterior,
  • un registro de destinatarios y de los casos de cesión del material,
  • la verificación de los contratos de encargo del tratamiento, si participa un tercero en el proceso.

En un modelo on-premise, el material permanece dentro de la infraestructura de la organización, lo que normalmente simplifica el control sobre la transferencia de datos. Esto es especialmente relevante para grabaciones de hospitales y clínicas, donde cada copia adicional del material incrementa el riesgo de vulneración de la confidencialidad.

Aplicaciones prácticas de la videovigilancia y la anonimización en centros sanitarios

Los usos lícitos más habituales de la videovigilancia en sanidad se refieren a la seguridad de personas y bienes, el control de acceso a zonas restringidas, la aclaración de incidentes y la protección de infraestructuras. Sin embargo, si una grabación va a incorporarse a material formativo, una presentación, una auditoría externa o a un proveedor de software, debe limitarse el grado de identificación de las personas.

Ejemplos prácticos de uso de la anonimización:

  • preparación de material formativo del área de urgencias con difuminado de los rostros de pacientes y de las matrículas de los vehículos,
  • entrega de una grabación de pasillo a una empresa que analiza un incidente de seguridad, previa edición de los datos visibles en la imagen,
  • cesión de un fragmento de videovigilancia para una auditoría interna de calidad sin revelar la identidad de terceros ajenos,
  • preservación de material probatorio del aparcamiento del hospital con anonimización de matrículas para destinatarios posteriores no autorizados a una identificación completa.

Conviene recordar que, en Europa, el estatus de las matrículas como dato personal suele valorarse de forma contextual. Por un lado, las orientaciones de las autoridades de protección de datos, las directrices del CEPD y parte de la jurisprudencia europea aconsejan un enfoque prudente y su enmascaramiento. Por otro, algunas resoluciones judiciales consideran que las matrículas, por sí solas, no siempre constituyen datos personales. En la práctica, para los centros sanitarios es más seguro adoptar un enfoque conservador, especialmente cuando el material va a ser comunicado a terceros.

Referencias normativas y fuentes

Las siguientes fuentes son básicas para interpretar los requisitos aplicables a la videovigilancia en entidades sanitarias y a la anonimización de grabaciones:

  • RGPD: Reglamento (UE) 2016/679, DOUE L 119 de 4.05.2016.
  • CEPD, Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo, adoptadas el 29.01.2020.
  • Normativa nacional sobre derechos del paciente y confidencialidad de la información sanitaria.
  • Normativa nacional reguladora de la actividad sanitaria.
  • Legislación laboral aplicable en materia de videovigilancia de empleados.
  • Norma ISO/IEC 27001:2022, como referencia para controles organizativos y técnicos de seguridad de la información.
  • Norma ISO/IEC 27701:2019, como extensión para la gestión de información de privacidad, útil en el diseño de procesos de protección de datos.

Ver también

Volver al glosario