Sí, pero no debe confundirse con una visualización permanente de las cámaras. La gestión remota de un sistema de videovigilancia implica cumplir el RGPD, firmar el contrato de encargado del tratamiento y verificar que el proveedor cuenta con la habilitación legal necesaria.
Es frecuente que responsables de comunidades, comercios y empresas contraten este tipo de servicio sin el contrato adecuado o con un proveedor que no cuenta con la habilitación legal necesaria. El resultado es una infracción latente que puede derivar en sanciones de la AEPD.
A continuación encontrarás qué documentos son obligatorios, cuándo necesitas una evaluación de impacto y qué debe acreditar el proveedor antes de que firmes nada. Contar con una empresa homologada y con experiencia en normativa de protección de datos reduce considerablemente esa carga legal sobre el cliente, siempre que el proveedor aporte documentación verificable y medidas técnicas contrastadas.
Responsable vs. encargado del tratamiento: quién es quién en la gestión remota de videovigilancia
Tú, como comunidad, empresa o negocio, eres el responsable del tratamiento: decides la finalidad y los medios. La empresa de seguridad especializada en la instalación, mantenimiento y gestión del sistema actúa como encargada del tratamiento cuando, para prestar el servicio contratado, puede acceder remotamente a imágenes o datos personales captados por las cámaras. Esta distinción no es semántica. Determina qué obligaciones legales recaen sobre cada parte y qué documentos son exigibles.
Cuando una empresa externa puede ver, gestionar o almacenar imágenes de tus cámaras, se produce un tratamiento de datos personales por un tercero. Eso activa el artículo 28 del RGPD de forma automática. Sin contrato formal entre responsable y encargado, cualquier supervisión remota es, técnicamente, un tratamiento no autorizado y sancionable por la AEPD.
El contrato de encargado del tratamiento: el documento que no puede faltar
Qué debe incluir el contrato según el artículo 28 del RGPD
El contrato debe recoger el objeto y la duración del servicio, la finalidad del tratamiento, el tipo de datos (imágenes de personas identificables) y las categorías de interesados. También debe incluir las obligaciones de ambas partes de forma explícita, sin remisiones genéricas al RGPD. La AEPD pone a disposición cláusulas tipo, disponibles en su web oficial, que pueden servir de base para este acuerdo.
El encargado debe comprometerse a tratar los datos solo bajo tus instrucciones, garantizar la confidencialidad y aplicar medidas técnicas y organizativas adecuadas: cifrado en la transmisión, control de acceso por perfiles y retención limitada de imágenes. Al finalizar el servicio, debe devolver o destruir los datos. Sin estas cláusulas por escrito, el contrato no cumple los requisitos mínimos del artículo 28.3 del RGPD.
Subencargados y cadena de responsabilidad
Si el Encargado de tratamiento de los datos delega parte del trabajo en un subencargado, por ejemplo, un centro receptor de alarmas externo, necesita autorización expresa previa del Responsable y un contrato adicional con las mismas garantías.
Registro de actividades, señalización y cuándo es obligatoria la DPIA
Registro de actividades y conservación de imágenes
El servicio de videovigilancia debe quedar reflejado en tu registro de actividades, tal como exige el artículo 30 del RGPD. Debes incluir el responsable, el encargado, la finalidad, la base legal, las medidas de seguridad aplicadas y los plazos de conservación. En España, la AEPD establece como criterio general un plazo máximo de 30 días para la conservación de imágenes de videovigilancia, aunque pueden existir excepciones justificadas por obligaciones legales o investigaciones en curso.
Señalización de zonas videovigiladas
La señalización de las zonas videovigiladas es igualmente obligatoria. Los carteles deben indicar la existencia de cámaras, la identidad del responsable y los datos de contacto para ejercer derechos. La AEPD ofrece modelos oficiales de cartelería en su web, con los textos ya validados, que puedes utilizar directamente sin necesidad de redactar el contenido desde cero.
Evaluación de impacto (DPIA): cuándo es necesaria
La evaluación de impacto o DPIA es obligatoria cuando, se aplican tecnologías de reconocimiento facial, se tratan datos en espacios de acceso público de forma continua o se combinan dos o más factores de alto riesgo. Debe realizarse antes de poner en marcha el servicio, documentarse por escrito e incorporar al Delegado de Protección de Datos si existe en tu organización. Si tienes dudas sobre si tu caso la requiere, la AEPD recomienda realizar la DPIA ante la incertidumbre: las consecuencias de omitirla injustificadamente superan con creces el esfuerzo de documentarla. Para orientación práctica sobre cuándo y cómo llevar a cabo una DPIA puedes consultar guías especializadas sobre evaluaciones de impacto en la protección de datos (DPIA).
La homologación del proveedor: el requisito que muchos olvidan
Autorización del Ministerio del Interior y el Registro Nacional de Seguridad Privada
Según la Ley 5/2014 de Seguridad Privada, cuando una empresa presta servicios profesionales que implican el acceso remoto a imágenes de videovigilancia de terceros, debe contar, con carácter general, con autorización previa del Ministerio del Interior y estar inscrita en el Registro Nacional de Seguridad Privada. Esto abarca la gestión de imágenes, la recepción de señales de alarma y la operación de centros de control. Contratar con una empresa no habilitada es una infracción de la Ley de Seguridad Privada, con independencia de que el servicio técnico funcione correctamente.
Puedes verificar la habilitación de cualquier proveedor consultando el Registro Nacional de Seguridad Privada, accesible a través de la web del Ministerio del Interior. Comprueba el número de autorización y la actividad concreta para la que está habilitado. Si el proveedor no aparece en ese registro, no firmes nada.
Un proveedor homologado y con experiencia en normativa de protección de datos debería entregarte el contrato de encargado del tratamiento ya redactado, orientarte sobre si tu caso requiere DPIA y acreditar que las medidas técnicas y organizativas están implementadas desde el principio. Antes de contratar, solicita documentación que lo respalde: inscripción en el Registro, modelo de contrato artículo 28 y política de seguridad aplicada al servicio. En Prevent Security Systems puedes solicitar esa información y valorar si el servicio se ajusta a tus necesidades.
Conclusión: cómo contratar un servicio remoto de videovigilancia sin riesgos legales
El proceso se resume en cuatro acciones concretas que conviene completar antes de que el proveedor acceda a una sola imagen:
-
Verificar la habilitación del proveedor en el Registro Nacional de Seguridad Privada del Ministerio del Interior, comprobando número de autorización y actividad.
-
Firmar el contrato de encargado del tratamiento con todas las cláusulas mínimas exigidas por el artículo 28 del RGPD, incluyendo subencargados si los hay.
-
Actualizar el registro de actividades con los datos del nuevo tratamiento y colocar la señalización correcta en todas las zonas videovigiladas.
-
Evaluar si tu caso requiere una DPIA y realizarla antes de arrancar el servicio si concurren factores de riesgo.
Contratar una empresa de seguridad dentro del marco legal no es especialmente complicado si sigues estos pasos. Los problemas surgen cuando se elige al proveedor sin verificar su habilitación o cuando se omite el contrato de encargado. Con el proveedor adecuado, la documentación y las medidas técnicas deberían estar en su sitio desde el primer día.
Si quieres saber si tu sistema actual cumple estos requisitos, en Prevent Security Systems podemos revisar tu caso, indicarte qué documentación falta y proponerte la solución más adecuada para tu situación. Solicita una revisión sin compromiso.