La videovigilancia en empresas puede ser una herramienta legítima para proteger instalaciones, personas, bienes y activos corporativos. Sin embargo, no todo vale. Instalar cámaras en un negocio implica tratar datos personales, porque la imagen de una persona identificada o identificable es un dato personal. Por tanto, el sistema debe cumplir con el RGPD, la LOPDGDD, la normativa laboral y los principios de proporcionalidad, minimización y seguridad.
En España, la videovigilancia empresarial se conecta especialmente con el artículo 22 de la LOPDGDD, relativo a tratamientos con fines de videovigilancia, y con el artículo 89 de la LOPDGDD, cuando las cámaras se utilizan en el ámbito laboral para controlar el cumplimiento de obligaciones laborales. Además, el RGPD exige base jurídica, información transparente, medidas de seguridad, limitación de conservación y análisis de riesgos cuando proceda.
¿Puede una empresa instalar cámaras de seguridad?
Sí, una empresa puede instalar cámaras, pero debe existir una finalidad legítima. Las finalidades más habituales son:
- Proteger personas, bienes e instalaciones.
- Prevenir robos, intrusiones o daños.
- Controlar accesos a zonas sensibles.
- Verificar incidencias de seguridad.
- En determinados casos, controlar el cumplimiento laboral.
La base jurídica habitual suele ser el interés legítimo del responsable del tratamiento, conforme al artículo 6.1.f del RGPD, siempre que dicho interés no prevalezca sobre los derechos y libertades de las personas afectadas. En el ámbito laboral, además, debe respetarse el derecho a la intimidad de las personas trabajadoras y el principio de proporcionalidad.
La clave no es solo preguntarse si la cámara puede instalarse, sino si es necesaria, proporcionada y menos invasiva que otras alternativas.
Límites legales de la videovigilancia en empresas
La instalación de cámaras debe respetar varios límites básicos:
1. No se pueden instalar cámaras en cualquier lugar
No deben instalarse cámaras en zonas donde exista una expectativa reforzada de intimidad, como:
- Zonas de descanso privadas.
- Comedores, salvo justificación muy excepcional.
- Espacios sindicales.
- Áreas destinadas al descanso o privacidad del personal.
Tampoco es recomendable orientar cámaras hacia la vía pública, salvo que resulte imprescindible captar una franja mínima para proteger accesos o fachadas.
2. No se puede grabar sonido de forma generalizada
La grabación de audio es especialmente intrusiva. En el entorno laboral, la captación de sonido solo debería utilizarse en casos muy excepcionales, con una justificación reforzada y cuando resulte imprescindible por riesgos relevantes para la seguridad. Como regla general, las cámaras no deben grabar conversaciones.
3. No se pueden conservar las imágenes indefinidamente
La LOPDGDD establece como criterio general que las imágenes deben suprimirse en el plazo máximo de un mes, salvo que deban conservarse para acreditar hechos que puedan afectar a la seguridad, integridad de personas, bienes o instalaciones. Esto significa que no es correcto guardar grabaciones durante meses “por si acaso”. La conservación debe ser limitada, documentada y coherente con la finalidad.
4. No se pueden usar cámaras ocultas salvo supuestos muy excepcionales
Las cámaras ocultas en empresas son altamente problemáticas. Solo podrían llegar a valorarse en escenarios muy concretos, con sospechas fundadas, finalidad legítima, proporcionalidad estricta y sin alternativas menos invasivas. En cualquier caso, su uso debe analizarse con extrema cautela.
5. No se puede usar videovigilancia para controlar permanentemente a la plantilla
La empresa no puede convertir las cámaras en un mecanismo de vigilancia constante, intimidatorio o desproporcionado. El control laboral puede existir, pero debe ser razonable, informado y respetuoso con la dignidad e intimidad de las personas trabajadoras.
Derecho de información: el cartel no basta siempre
Uno de los errores más frecuentes es pensar que basta con colocar un cartel genérico. No es suficiente. La empresa debe informar de forma clara sobre:
- Identidad del responsable del tratamiento.
- Finalidad del sistema de videovigilancia.
- Posibilidad de ejercer derechos de protección de datos.
- Dónde obtener información adicional.
- Plazo de conservación.
- Base jurídica.
- Destinatarios, si los hubiera.
- Existencia o no de cesiones, por ejemplo a Fuerzas y Cuerpos de Seguridad cuando proceda.
Debe existir un cartel visible en las zonas videovigiladas y debe ponerse a disposición de las personas afectadas la información completa del artículo 13 del RGPD. En el ámbito laboral, además, la información a la plantilla debe ser previa, expresa, clara y concisa. También puede ser necesario informar a la representación legal de las personas trabajadoras cuando proceda.
¿Es obligatorio hacer una Evaluación de Impacto?
No siempre. Una empresa no tiene que realizar una Evaluación de Impacto relativa a la Protección de Datos solo por instalar una cámara convencional de seguridad en un local, oficina o almacén, siempre que el tratamiento sea limitado, proporcionado y no implique un alto riesgo.
Sin embargo, sí puede ser necesaria una EIPD cuando el sistema implique un alto riesgo, por ejemplo:
- Videovigilancia sistemática y a gran escala.
- Control intensivo de trabajadores.
- Cámaras con reconocimiento facial o biometría.
- Sistemas con inteligencia artificial para analizar conductas.
- Monitorización en zonas especialmente sensibles.
- Combinación de imágenes con otros datos personales.
- Tratamientos que puedan afectar significativamente a derechos y libertades.
El artículo 35 del RGPD exige realizar una evaluación de impacto cuando sea probable que un tratamiento entrañe alto riesgo para los derechos y libertades de las personas físicas. Por eso, antes de instalar cámaras, conviene realizar al menos un análisis de necesidad, proporcionalidad y riesgos. Si de ese análisis se desprende un riesgo elevado, deberá elaborarse una EIPD.
Beneficios de la videovigilancia bien implantada
Un sistema de videovigilancia correctamente diseñado puede aportar beneficios importantes:
- Mejora la seguridad de personas e instalaciones.
- Disuade robos, actos vandálicos y accesos no autorizados.
- Permite verificar incidentes.
- Ayuda a proteger activos críticos.
- Refuerza la gestión de la seguridad física.
- Puede aportar evidencias ante hechos ilícitos, siempre que el sistema sea legal.
Pero estos beneficios solo son sostenibles si la empresa respeta los límites legales. Una cámara mal ubicada, un sistema sin cartel informativo o grabaciones conservadas sin control pueden convertir una medida de seguridad en un problema jurídico.
Riesgos para la privacidad y la seguridad de la información
Riesgos de privacidad
- Captación excesiva de personas.
- Vigilancia desproporcionada del personal.
- Grabación de zonas no permitidas.
- Falta de información clara.
- Uso de imágenes para finalidades distintas.
- Acceso indebido a grabaciones.
- Conservación superior al plazo permitido.
Riesgos de ciberseguridad
Las cámaras conectadas a internet también pueden ser un punto débil si no se protegen correctamente. Algunos riesgos frecuentes son:
- Contraseñas por defecto.
- Accesos remotos inseguros.
- Falta de actualizaciones.
- Exposición de cámaras en internet.
- Usuarios con permisos excesivos.
- Ausencia de cifrado.
- Falta de registros de acceso.
Una brecha de seguridad en un sistema de videovigilancia puede exponer imágenes de trabajadores, clientes, proveedores o visitantes. Por eso, no basta con cumplir “en papel”: también deben aplicarse medidas técnicas y organizativas adecuadas, conforme al artículo 32 del RGPD.
Buenas prácticas para empresas
- Definir la finalidad: no es lo mismo instalar cámaras para seguridad perimetral que para control laboral. La finalidad debe estar documentada y ser concreta.
- Aplicar el principio de minimización: solo deben captarse las zonas necesarias. Cuantas menos imágenes se graben, menor será el riesgo.
- Revisar la ubicación de las cámaras: debe evitarse la captación de espacios no necesarios, zonas privadas o áreas públicas más allá de lo imprescindible.
- Informar correctamente: debe colocarse cartel visible y facilitar una cláusula informativa completa.
- Limitar accesos: solo personas autorizadas deben poder acceder a las grabaciones. Deben existir perfiles de usuario, contraseñas seguras y trazabilidad.
- Controlar el plazo de conservación: las imágenes deben borrarse automáticamente, como regla general, en el plazo máximo legal aplicable.
- Regular proveedores: si una empresa externa instala, mantiene o accede al sistema, debe existir un contrato de encargado del tratamiento conforme al artículo 28 del RGPD.
- Documentar el tratamiento: el sistema debe incluirse en el Registro de Actividades de Tratamiento cuando proceda, especialmente si la empresa está obligada a mantenerlo.
- Evaluar riesgos: debe revisarse si el sistema puede generar alto riesgo y si exige una Evaluación de Impacto.
- Revisar periódicamente: la videovigilancia no debe instalarse y olvidarse. Es recomendable revisar cámaras, accesos, carteles, contratos, conservación y medidas de seguridad.
Conclusión
La videovigilancia en empresas puede ser legal, útil y necesaria, pero debe implantarse con criterio. La seguridad no justifica cualquier tratamiento de imágenes. Cada cámara debe responder a una finalidad legítima, necesaria y proporcionada.
La empresa debe informar, limitar la captación, proteger las grabaciones, evitar zonas sensibles y conservar las imágenes solo durante el tiempo permitido. Cuando el sistema sea especialmente invasivo o implique tecnologías avanzadas, como biometría o análisis automatizado, será necesario valorar una Evaluación de Impacto.
En definitiva, una buena política de videovigilancia no solo evita sanciones: también protege la confianza de trabajadores, clientes y visitantes.
Límite de la información Este contenido tiene carácter general. La instalación concreta de cámaras debe analizarse caso por caso, teniendo en cuenta ubicación, finalidad, tecnología utilizada, colectivos afectados y riesgos específicos. |
#Videovigilancia #ProtecciónDeDatos #RGPD #LOPDGDD #Ciberseguridad #CumplimientoNormativo #Privacidad #Empresas #DPD #sipylopd #SIPY






