Legislación Instalaciones camaras CCTV

Normativa aplicable

Reglamento General de Protección de Datos (RGPD)

Reglamento (UE) 2016/679, de 27 de abril de 2016, aplicable en todos los Estados miembros de la UE desde el 25 de mayo de 2018. Establece los principios y obligaciones de los responsables y encargados del tratamiento de datos personales, especialmente en los artículos 6 (legitimación), 13–17 (derechos de los afectados), 30 (registro de actividades) y 32–35 (seguridad y EIPD).

Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD)

Ley Orgánica 3/2018, de 5 de diciembre, que adapta el RGPD al ordenamiento jurídico español. Regula aspectos concretos como la protección de datos de menores, el régimen sancionador y el consentimiento en soportes electrónicos.

Instrucción 1/2006 sobre Videovigilancia (AEPD)

Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos (AEPD), que regula de forma específica el uso de sistemas de videovigilancia. En su artículo 4 establece que no se debe grabar espacios públicos, y remite a la legislación de seguridad ciudadana cuando las cámaras captan vías públicas o zonas de tránsito.

Guía de Videovigilancia de la AEPD

Documento actualizado de la AEPD con pautas prácticas para la instalación de cámaras, criterios de conservación de las grabaciones y modelos de carteles informativos. Disponible en: Guía Videovigilancia AEPD.

Normativa autonómica y sectorial

• Comunidad de Madrid: Guía informática de sistemas de videovigilancia (OCM-2023).
• Cataluña: Protocol de videovigilància (Generalitat de Catalunya, 2022).
• Otras guías específicas para hostelería, centros sanitarios y residencias de ancianos en cada comunidad autónoma.

Legitimación y base jurídica según el tipo de instalación

Para que una instalación de videovigilancia sea conforme al artículo 6 del RGPD, debes identificar la base legal adecuada. A continuación se resumen los casos más frecuentes:

• Interés legítimo (art. 6.1.f RGPD):
  • Aplicable en zonas privadas: garajes familiares, comunidades de vecinos o recintos privados donde la seguridad de las personas o bienes justifica la videovigilancia.
  • No requiere consentimiento individual, pero sí un balanceo de intereses (documentarlo en la EIPD y asegurarse de que no se perjudican derechos fundamentales de los afectados).
• Consentimiento (art. 6.1.a RGPD):
  • Se requiere cuando las cámaras captan espacios donde no hay un interés legítimo claro, por ejemplo, en actos públicos privados (eventos, celebraciones) o despachos de consultas médicas.
  • Debe ser informado, inequívoco y formalizado por escrito o en soporte electrónico. El interesado puede revocar el consentimiento en cualquier momento.
• Obligación legal (art. 6.1.c RGPD):
  • Puede darse si la normativa sectorial (por ejemplo, seguridad privada) obliga a la empresa a instalar cámaras en determinados entornos. En este caso, la videovigilancia se ampara en la ley que impone esa obligación.

Tabla resumen:

Aunque el RGPD ya no exige la inscripción obligatoria de ficheros en un registro público, es imprescindible mantener una documentación completa que acredite la legalidad de tu sistema de videovigilancia:

• Registro de Actividades de Tratamiento (RAT): Conforme al artículo 30 del RGPD, incluye todos los datos sobre la finalidad, categorías de interesados y destinatarios de las grabaciones.
• Memoria técnica y plano de instalaciones: Descripción detallada de la ubicación de cada cámara, su campo de visión y su finalidad específica.
• Notificación/Comunicación a la AEPD: Aunque no se inscriban ficheros, conserva la documentación necesaria para demostrar el cumplimiento (informe interno). En caso de inspección, la AEPD puede solicitar tu expediente completo. Consulta la Resolución AEPD 0016/2017 para detalles.
• Instrucciones documentadas: Procedimientos internos que definan quién accede a las grabaciones, con qué finalidad y en qué plazo.
• Contratos con encargados de tratamiento: Si subcontratas la gestión, el instalador o empresa de mantenimiento debe formalizar un acuerdo conforme al artículo 28 del RGPD.
• Planes de seguridad: Medidas técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de las imágenes (cifrado, controles de acceso, registro de incidencias).
• Evaluación de Impacto en la Protección de Datos (EIPD): Cuando el sistema de videovigilancia pueda suponer un alto riesgo para los derechos y libertades de las personas (por ejemplo, reconocimiento facial, zonas con menores), el responsable debe elaborar una EIPD conforme al artículo 35 del RGPD.

Medidas de seguridad técnicas y organizativas

Más allá del cifrado básico o del control de accesos, estas son las recomendaciones detalladas para proteger las grabaciones y el sistema:

• Control de acceso y roles:
  • Define perfiles: Administradores (configuración de cámaras), Operadores (visualización puntual) y Gestores (descarga de imágenes con justificación).
  • Asigna credenciales únicas a cada usuario y evita el uso de cuentas compartidas.
• Registro de accesos:
  • Lleva un log interno (quién, cuándo, finalidad) de cada visualización o descarga de grabaciones.
  • Audita ese registro al menos cada seis meses.
• Cifrado en tránsito y en reposo:
  • Utiliza TLS/SSL para las conexiones remotas (apps móviles, visualización web).
  • Cifra las grabaciones en el servidor o en la nube con algoritmos robustos (AES-256 o similar).
• Autenticación reforzada (2FA):
  • Requiere doble factor (código SMS o app de autenticación) para acceder a la plataforma de gestión remota.
• Seguridad de firmware y actualizaciones:
• • Instala siempre la última versión oficial del firmware de la cámara y del NVR/DVR.
  • Desactiva servicios innecesarios (telnet, puertos abiertos que no uses).

Mantenimiento y actualizaciones periódicas

Para garantizar que tu instalación sigue siendo legal y funciona correctamente, debes:

• Pruebas periódicas de funcionamiento:
  • Verifica semanalmente que todas las cámaras envían imagen y que los ángulos de visión no han variado.
  • Comprueba que el borrado automático de imágenes a los 30 días (o el plazo que hayas configurado) se ejecuta correctamente.
• Registro de mantenimiento:
  • Lleva un libro o ficha donde anotes fecha, técnico, incidencia detectada y solución aplicada.
  • Conserva estos registros al menos dos años para posibles inspecciones.
• Actualizaciones de software/firmware:
  • Programa actualizaciones mensuales o trimestrales del firmware de cámaras y NVR/DVR.
  • Comprueba que el proveedor libera parches de seguridad y aplícalos en cuanto estén disponibles.
• Documentación de incidencias:
  • Anota cualquier fallo, corte de grabación o intento de acceso no autorizado en un “Libro de Incidencias”.
  • Si detectas un intento de brecha, aplica el Protocolo de Brechas (ver Punto 6).

Cámaras en el entorno de trabajo

Cuando la videovigilancia se instala en un centro de trabajo, se añade una capa extra de obligaciones conforme al Estatuto de los Trabajadores y la jurisprudencia:

• Negociación con representantes de los trabajadores:
  • Debes informar y negociar previamente con el comité de empresa o los delegados de personal cualquier sistema de vigilancia que afecte a empleados.
  • No se puede imponer de forma unilateral: el acuerdo o, al menos, la consulta es obligatoria.
• Prohibición de videovigilancia encubierta:
  • Las cámaras deben ser visibles y el personal debe saber que están siendo grabados. No se admiten sistemas ocultos de grabación.
• Cartel interno y protocolos de acceso:
  • Coloca un cartel informando a los trabajadores y visitantes. Ese cartel debe incluir la finalidad laboral (control de acceso, prevención de robos) y referenciar el convenio colectivo cuando aplique.
  • Define un protocolo interno donde figure quién puede ver las imágenes (por ejemplo, director de seguridad, responsable de RRHH) y para qué.
• Proporcionalidad y no discriminación:
  • No coloques cámaras en vestuarios, aseos o comedores. Su uso debe ser estrictamente para seguridad de instalaciones o control de acceso y no para supervisar el rendimiento diario.

Protocolo de actuación ante brechas de seguridad

Si tu sistema de videovigilancia sufre un incidente (filtración de grabaciones, acceso no autorizado, robo de servidor), sigue estos pasos:

• Detección y contención inmediata:
  • Informa al responsable interno de seguridad y, si procede, al proveedor del sistema.
  • Cierra accesos vulnerados, desconecta dispositivos afectados si hay indicio de manipulación.
• Notificación a la AEPD en 72 horas:
  • Debes comunicar brechas con riesgo para los derechos y libertades de las personas en un plazo máximo de 72 horas (art. 33 RGPD).
  • Incluye descripción sucinta de los hechos, datos afectados, medidas tomadas y plan de mitigación.
• Informe interno de brecha:
  • Redacta un informe donde conste: fecha del incidente, causas probables, extensión del daño, personas afectadas y medidas de corrección implementadas.
  • Conserva este informe durante al menos cinco años.
• Comunicación a los afectados:
  • Si la brecha supone un alto riesgo (por ejemplo, difusión pública de imágenes), notifica a los interesados sin demora injustificada (art. 34 RGPD).
  • Incluye información sobre las posibles consecuencias y las medidas que puedan tomar para protegerse.

Responsabilidad compartida: responsable vs. encargado

Aunque la empresa instaladora sea tu encargado del tratamiento, recuerda que la responsabilidad última recae en ti, como responsable de la instalación:

• Vigilancia del cumplimiento:
  • Debes revisar periódicamente (al menos cada seis meses) que el encargado cumple las instrucciones y cláusulas acordadas (acceso a logs, EIPD, protocolos de eliminación).
• Actualización de cláusulas:
  • Si cambian normativas o tecnología, revisa el contrato con el encargado para añadir nuevos requisitos (ej. inclusión de cifrado, EIPD ampliadas, nuevas advertencias en carteles).
• Auditorías puntuales:
  • Realiza una auditoría interna o contrata un tercero cada año para comprobar el estado de la instalación, la correcta conservación de registros y la aplicación de medidas de seguridad.

Los 7 pilares de una instalación legal

1. Información visible y transparente

• Obligación legal (Art. 13 RGPD): Informar a los afectados antes de recoger imágenes.
• Carteles informativos: Deben colocarse en todos los accesos y en la zona de visión de las cámaras. Utiliza el modelo oficial de la AEPD.
• Contenido mínimo del cartel: Nombre y datos de contacto del responsable, finalidad de la grabación, periodo de conservación y dónde el interesado puede ejercer sus derechos.

Aspectos prácticos de señalización y diseño de carteles

Para que tu cartelería cumpla no sólo la parte legal, sino también sea efectiva y legible, ten en cuenta:

• Tamaño y ubicación:
  • Mínimo 20 × 30 cm (A4) para zonas con alto tráfico, colocados a 1,5 m de altura aproximada.
  • Situar al inicio del acceso (puerta principal, parking) y junto a cada cámara si es posible.
• Legibilidad:
  • Tipografía sans-serif (Arial, Helvetica) de al menos 18 pt para texto descriptivo y 24 pt para el título “Zona videovigilada”.
  • Contraste alto (fondo blanco con texto negro o viceversa). Evita colores chillones que dificulten la lectura.
• Contenido mínimo obligatorio:
  • Título: “Zona videovigilada”.
  • Responsable del tratamiento: Nombre de la empresa u organismo (por ejemplo, Empresa S.L.).
  • CIF/NIF del responsable: (por ejemplo, B12345678).
  • Dirección del responsable: Calle, número, código postal, población y provincia (por ejemplo, C/ Nombre de la Calle, nº X, 28001 Madrid).
  • Teléfono y correo electrónico de contacto: para ejercer derechos (por ejemplo, Tlf: 123456789 – Mail: mail@dominio.es).
  • Finalidad de la grabación: (por ejemplo, “Vigilancia de las instalaciones y seguridad de clientes y trabajadores”).
  • Plazo de conservación: (por ejemplo, “30 días”).
  • Base jurídica: (por ejemplo, “Interés legítimo del responsable”).
  • Derechos de los afectados: Información sobre cómo ejercerlos (“Puede ejercer sus derechos de protección de datos ante el responsable … adjuntando copia de su DNI”).
  • Información adicional: “No hay decisiones automatizadas, cesiones ni transferencias internacionales”.
• Modelo AEPD:
  • Descarga y adapta el modelo oficial de la AEPD.
  • Si ya tienes un cartel semi cumplimentado, incluye tu logo en la parte superior, y completa los campos con la información de tu empresa (ver ejemplo más abajo).

Cartel de ejemplo (semi cumplimentado):

A continuación se muestra un ejemplo de cartel ya con datos rellenados, para que tengas una guía visual de cómo debe quedar. Sustituye los datos de ejemplo por los tuyos:

Nota: En este ejemplo, los datos rellenados son:

• Responsable: Empresa S.L.
• CIF: B12345678
• Dirección: C/ Nombre de la Calle, nº X, C.P. 28001 – Madrid
• Teléfono: 123456789
• Correo: mail@dominio.es
• Finalidad: Vigilancia de las instalaciones y seguridad de clientes y trabajadores
• Plazo de conservación: 30 días
• Base jurídica: Interés legítimo del responsable
• Información adicional: No hay decisiones automatizadas, cesiones ni transferencias internacionales

Este diseño sirve de plantilla: simplemente descarga la imagen, edita los campos con tus datos reales y úsalo como cartel oficial en tus accesos y junto a las cámaras.

2. Cámaras bien orientadas

• Solo grabar tu propiedad: según la Instrucción 1/2006 (Art. 4), no puedes enfocar espacios públicos (calles, aceras, plazas) ni viviendas ajenas.
• Autorización administrativa: Si tu cámara, aun estando en tu propiedad, capta espacios públicos, debes solicitar autorización previa a la Delegación del Gobierno o autoridad competente en materia de Seguridad Ciudadana de tu CCAA.
• Ángulos de visión controlados: Ajusta la inclinación para limitar el campo de visión estrictamente a tu parcela o negocio.

3. Tiempo de conservación limitado

• Plazo máximo de 30 días: No conserves las imágenes más allá de lo necesario (Guía AEPD, pág. 25).
• Borrado automático: Configura tu sistema para eliminar archivos de forma automática al cumplirse el plazo, salvo que exista investigación en curso.
• Excepciones: Si hay indicios de delito, debe conservarse hasta que la autoridad competente autorice el borrado.

4. Derechos garantizados

• Acceso y supresión: Cualquier persona afectada puede solicitar copia de las imágenes en las que aparezca (Art. 15 RGPD) y su eliminación (Art. 17 RGPD).
• Plazo de respuesta: Debes atender las solicitudes en el plazo de un mes, prorrogable dos meses si es necesario.
• Procedimiento interno: Define un formulario o modelo de solicitud y un registro de peticiones para demostrar cumplimiento.

5. Acuerdo de servicios con encargado de tratamiento

Si contratas un instalador o empresa de mantenimiento para gestionar las cámaras, debes firmar un contrato de encargado de tratamiento conforme al Art. 28 del RGPD. Entre las cláusulas mínimas se deben incluir:

• Instrucciones documentadas sobre finalidades del tratamiento, duración y tipo de datos (imágenes).
• Compromiso de confidencialidad y secreto profesional.
• Obligación de comunicar toda brecha de seguridad en un plazo máximo de 24 horas.
• Prohibición de subcontratar sin autorización expresa del responsable.
• Garantías para la destrucción segura de las imágenes tras el periodo de conservación.

6. Registro y documentación

Como se indicó en el apartado anterior, debes conservar toda la documentación que acredite el cumplimiento normativo:

• Registro de Actividades de Tratamiento (RAT).
• Memoria técnica, planos y descripciones de cada cámara.
• Cartelería normativa y modelos de consentimiento (si aplica).
• Informes internos de auditoría y revisión periódica del sistema.
• Informes de inspección (en caso de actuación de la AEPD o autoridad autonómica).

7. Evaluación de Impacto en la Protección de Datos (EIPD)

El Art. 35 del RGPD exige realizar una EIPD cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas. Casos comunes:

• Videovigilancia en torno a menores (guarderías, colegios, ludotecas).
• Sistemas con reconocimiento biométrico o facial.
• Grabación de ámbitos laborales donde se controle rendimiento o conducta de empleados.
• Integración del sistema con otros ficheros que contengan datos sensibles (por ejemplo, listado de pacientes en un centro sanitario).

La EIPD debe incluir:

• Descripción detallada del tratamiento y su finalidad.
• Evaluación de riesgos para los derechos y libertades de los afectados.
• Medidas de mitigación y garantías implementadas.
• Conclusión sobre la proporcionalidad y necesidad de las cámaras.

Conserva la EIPD junto al resto de la documentación: es fundamental ante una inspección.

Tratamiento de audio en instalaciones de videovigilancia

¿Se puede grabar sonido?

En España, la captación de audio junto con vídeo está prohibida salvo excepciones muy concretas. Para incluir micrófonos en tu sistema de CCTV debes:

• Consentimiento expreso y por escrito: Obtén un consentimiento claro, inequívoco y firmado por las personas afectadas si vas a grabar sonido en zonas donde haya tránsito de personas (por ejemplo, recepción, oficina).
• Evaluación de Impacto específica: La EIPD debe ampliar su análisis cuando incluyas audio, pues podrías estar captando datos sensibles (art. 9 RGPD) si, por ejemplo, la voz se asocia a una persona identificable.
• Cartelización diferenciada: Además del cartel estándar de videovigilancia, coloca uno adicional que indique “Este espacio está videovigilado y se graba audio”.
• Limitación estricta: Solo graba el audio estrictamente necesario: delimita zonas y horarios (por ejemplo, solo micrófono en mostrador de atención, no en pasillos).

Folletos oficiales por entorno

Descarga nuestras fichas oficiales de la AEPD para cada tipo de instalación. Incluyen pautas específicas, ejemplos de carteles y plantillas para tu documentación:

Viviendas

Ficha AEPD para instalación en viviendas particulares.

Descargar PDF

Garajes

Ficha AEPD para instalación en garajes particulares.

Descargar PDF

Comunidades de propietarios

Ficha AEPD para instalación en comunidades de vecinos.

Descargar PDF

Establecimientos públicos

Ficha AEPD para instalación en establecimientos públicos.

Descargar PDF

Control Empresarial

Ficha AEPD para instalación en entornos laborales y control de empleados.

Descargar PDF

Preguntas frecuentes (FAQ)

Casos prácticos y ejemplos reales

¿Tienes dudas o necesitas asesoría personalizada?

En EviteRobos ofrecemos asesoría legal gratuita para evaluar tu caso concreto y asegurarnos de que tu instalación de videovigilancia cumpla al 100% con la normativa.

Enlaces y referencias

Última revisión: 01 de junio de 2025