Torre de videovigilancia móvil y RGPD: lo que el responsable de obra debe cumplir

La torre móvil de videovigilancia no es una cámara con ruedas, es un tratamiento de datos personales con responsable identificable, finalidad declarada y plazo de conservación. Quien la instala en obra sin haberla pensado primero en términos jurídicos, la instala dos veces: una en el terreno y otra, más tarde, en el expediente sancionador.

La confusión habitual nace de equiparar la torre con un foco o un vallado. El foco ilumina, el vallado delimita, ninguno de los dos captura imágenes que permitan identificar a una persona física. La torre sí. En el momento en que el sensor graba a un trabajador entrando al recinto, a un transportista descargando o a un vecino pasando junto al cerramiento, ese registro entra de lleno en el Reglamento General de Protección de Datos y en la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. La obra, que suele tratar la documentación como carga administrativa, descubre entonces que la AEPD lleva años publicando criterios específicos sobre videovigilancia y que esos criterios no admiten lecturas creativas. Lo que sigue es una lectura ordenada, de fabricante a operador, de lo que el responsable de obra debe cumplir cuando despliega una torre móvil de videovigilancia en un emplazamiento español.

La torre como tratamiento de datos, no como mobiliario de obra

El primer error de encuadre consiste en pensar la torre como equipamiento auxiliar de obra, asimilable al generador o al vestuario. La torre captura imágenes, las procesa, las almacena y, cada vez con más frecuencia, las somete a analítica con inteligencia artificial para detectar intrusiones, accesos no autorizados o presencia en zonas restringidas. Cada uno de esos pasos es un tratamiento en el sentido del artículo 4 del RGPD. Y cada tratamiento exige un responsable identificado, una base jurídica, una finalidad explícita y un horizonte temporal acotado.

En obra, el responsable del tratamiento es, casi siempre, la empresa constructora titular del recinto. No la empresa de seguridad subcontratada, no el fabricante de la torre, no el integrador que la conecta a la central. Esa atribución no se mueve por contrato accesorio, por mucho que algunos pliegos pretendan lo contrario. La AEPD ha sido constante en este punto: quien decide los fines y los medios esenciales del tratamiento es el responsable, y en una obra esa decisión la toma quien dirige la ejecución material del emplazamiento. La empresa de seguridad será, en su caso, encargada del tratamiento, vinculada por el contrato del artículo 28 del RGPD. El fabricante, si solo suministra el equipo sin acceso a las imágenes, no es ninguna de las dos cosas.

La base jurídica habitual en obra es el interés legítimo del artículo 6.1.f, materializado en la protección de bienes, materiales y maquinaria frente a sustracciones, vandalismo e intrusiones. Esa base requiere haber realizado el juicio de ponderación que la propia AEPD describe en sus guías: necesidad de la medida, idoneidad respecto al fin perseguido, proporcionalidad frente a derechos de los afectados. Ese juicio debe constar por escrito, no porque alguien vaya a leerlo cada mañana, sino porque, cuando llega una reclamación, su ausencia convierte cualquier defensa en improvisación. La sustracción de cobre, herramienta y maquinaria de gama media es un fenómeno documentado por aseguradoras y por Unespa, y constituye soporte suficiente para fundar el interés legítimo, siempre que la medida se diseñe con el rigor que el RGPD exige al resto del tratamiento.

Donde el encuadre se complica es en la doble finalidad. La torre instalada para proteger materiales también capta a los trabajadores que entran y salen del recinto. Si las imágenes se usan, accesoria o explícitamente, para controlar la jornada laboral, la asistencia o el rendimiento, se entra en el supuesto del artículo 89 de la LOPDGDD, que somete la videovigilancia laboral a requisitos adicionales. El error frecuente es no distinguir, en la declaración interna de finalidades, entre protección patrimonial y control laboral. Cuando un inspector de trabajo o la propia AEPD pregunta para qué sirven realmente las imágenes, la respuesta debe poder darse en una sola frase. Si requiere matices, la finalidad no estaba bien definida.

Cartelería, registro y deber de información

El artículo 13 del RGPD establece el deber de información, y la AEPD ha traducido ese deber a la realidad de la videovigilancia a través de su modelo de cartel informativo, disponible en su sede electrónica. Ese cartel, en su formato corto, debe ser visible antes de que el afectado entre en la zona videovigilada. En obra, eso significa colocación en el perímetro de cerramiento, en los accesos peatonales y vehiculares, y en cualquier punto donde un trabajador o visitante pueda cruzar el campo de visión de la torre por primera vez. La cartelería no es decorativa. Es la pieza visible de un cumplimiento que, sin ella, queda incompleto aunque el resto del expediente esté impecable.

El cartel corto contiene la identidad del responsable, la finalidad del tratamiento, una referencia a la posibilidad de ejercer los derechos de acceso, rectificación, supresión, oposición y limitación, y la indicación de dónde encontrar la información detallada. Esa información detallada, denominada información de segunda capa, debe estar disponible para quien la solicite. En obras grandes, el lugar habitual es la caseta de control de accesos, en formato impreso o como código QR que enlaza con una página específica del sitio web de la empresa. En obras pequeñas, basta con que el encargado tenga una carpeta accesible. Lo que no es aceptable es la respuesta "lo tendrá que pedir por escrito a las oficinas centrales", porque el RGPD obliga a facilitar el ejercicio de derechos, no a entorpecerlo.

El registro de actividades de tratamiento del artículo 30 del RGPD es la otra pieza documental que debe existir antes del primer fotograma. Para la mayoría de las empresas constructoras, ese registro ya existe a nivel corporativo, pero la línea correspondiente a videovigilancia en obra suele estar redactada en términos genéricos que no resisten una inspección detallada. Una redacción correcta identifica el responsable, los datos tratados (imagen, en su caso audio si la torre lo capta), las categorías de afectados (trabajadores propios, subcontratistas, visitantes, terceros que circulan por el perímetro), los destinatarios (fuerzas y cuerpos de seguridad en caso de incidente, juzgados a requerimiento), las transferencias internacionales si las hubiera, el plazo de conservación y una descripción general de las medidas técnicas y organizativas de seguridad. La actualización del registro no es opcional ni periódica, es continua: cada vez que cambia la finalidad, el plazo, el encargado o el emplazamiento, la línea correspondiente se revisa.

A esto se añade, cuando el tratamiento incluya analítica con inteligencia artificial capaz de identificar comportamientos o categorizar personas, la conveniencia de una evaluación de impacto en protección de datos del artículo 35. La AEPD ha publicado listas de tratamientos que requieren EIPD obligatoria, y la videovigilancia masiva con analítica automatizada figura entre ellos cuando concurren ciertos factores. No toda torre móvil con detección de intrusión perimetral exige EIPD, pero el responsable debe haber documentado por qué considera que no la exige, no asumirlo por defecto.

Plazos de conservación y la trampa del "por si acaso"

El artículo 22.3 de la LOPDGDD fija el plazo máximo de conservación de imágenes de videovigilancia en un mes desde su captación, salvo que deban conservarse para acreditar la comisión de actos contra la integridad de personas, bienes o instalaciones, en cuyo caso pueden conservarse el tiempo necesario para ponerlas a disposición de las autoridades. Este mes no es un objetivo, es un techo. La conservación durante el plazo máximo solo se justifica cuando la finalidad lo exige. Para una torre cuya función es la detección de intrusiones nocturnas, la pregunta legítima no es si conservar todo durante un mes, sino si las grabaciones que no han generado alarma necesitan conservarse más allá de unos pocos días.

El "por si acaso" es el error más caro en este terreno. Se traduce en discos duros llenos de imágenes de trabajadores realizando sus tareas, de proveedores entregando materiales, de vecinos paseando junto al cerramiento, sin que nadie revise jamás esas imágenes, sin que tengan utilidad operativa alguna, y sin que la empresa pueda explicar, llegado el caso, por qué las ha conservado. La respuesta "porque cabían en el disco" no es jurídicamente sostenible. El principio de minimización del artículo 5.1.c del RGPD obliga a tratar solo los datos necesarios para la finalidad, y la limitación del plazo de conservación del 5.1.e obliga a borrar cuando la finalidad ha caducado.

En obra, la práctica razonable distingue entre dos flujos. El primero, las imágenes que generan alarma, sea por intrusión detectada, por incidente reportado o por requerimiento posterior. Estas imágenes se aíslan, se etiquetan, se vinculan al expediente correspondiente y pueden conservarse hasta que se resuelva el incidente, ya sea por archivo policial, por sentencia firme o por cierre interno del caso. El segundo flujo, las imágenes que no generan nada, debe someterse a un borrado automatizado en plazos cortos, típicamente entre siete y treinta días, configurado en el propio sistema de gestión. La configuración del borrado debe estar documentada, debe haber un responsable de su correcto funcionamiento, y deben existir registros que acrediten que el borrado se produce efectivamente. La AEPD ha sancionado en varias ocasiones la conservación indebida no porque la empresa la hubiera querido, sino porque no había mecanismo de borrado y nadie podía explicar por qué el material seguía allí.

La cuestión se complica cuando la torre incorpora analítica con inteligencia artificial que genera metadatos derivados de las imágenes: número de personas detectadas por hora, vectores de movimiento, mapas de calor, clasificaciones de comportamiento. Esos metadatos también son datos personales si permiten, directa o indirectamente, identificar a una persona, y su régimen de conservación debe pensarse con la misma disciplina. La separación entre dato bruto e inferencia derivada es jurídicamente relevante: borrar el vídeo no borra automáticamente el modelo entrenado con él, y ese modelo, si refleja características identificables de personas concretas, puede seguir siendo dato personal aunque la imagen original ya no exista.

Trabajadores, subcontratistas y el artículo 89 de la LOPDGDD

La videovigilancia en obra capta inevitablemente a los trabajadores. El artículo 89 de la LOPDGDD permite el uso de cámaras para el ejercicio de funciones de control de los trabajadores previsto en el artículo 20.3 del Estatuto de los Trabajadores, siempre que se informe expresa, clara y previamente a los trabajadores, y, en su caso, a sus representantes legales. La información expresa significa que no basta con el cartel general de la AEPD: los trabajadores deben recibir, en el momento de su incorporación al recinto, una información específica que indique que la zona está videovigilada, con qué finalidad, durante qué horas, y qué uso se hará de las imágenes.

En la práctica, esto se traduce en una comunicación escrita que se entrega junto al resto de la documentación de acceso a obra, firmada por el trabajador o, cuando no sea factible la firma individual, acreditada por otros medios verificables. Para los subcontratistas, la obligación recae materialmente sobre la empresa principal en su condición de titular del recinto, pero el contrato entre principal y subcontrata debe trasladar el deber de informar a sus propios trabajadores. La cadena de información debe ser documentable, porque, llegado un conflicto, la pregunta no es si la información existió, sino si puede acreditarse.

La situación se vuelve delicada cuando las imágenes se usan, o pueden usarse, para sancionar conductas laborales. La doctrina constitucional española, consolidada tras las sentencias del Tribunal Constitucional en los últimos años, exige que el uso disciplinario de imágenes de videovigilancia esté precedido de información específica sobre esa finalidad. La finalidad "protección de bienes" no ampara automáticamente la sanción por incumplimientos laborales captados de paso. Si la empresa quiere reservarse esa posibilidad, debe declararla expresamente y someterla a su propio juicio de proporcionalidad. Si no la declara, debe asumir que las imágenes, aunque existan, no son utilizables como prueba en un procedimiento disciplinario.

Los representantes de los trabajadores tienen derecho a ser informados sobre la instalación de sistemas de videovigilancia que afecten al personal, conforme al artículo 64 del Estatuto de los Trabajadores. En obras donde exista comité de empresa o delegados de personal, ese trámite debe documentarse. Su omisión no invalida automáticamente el sistema, pero genera un frente adicional ante la inspección laboral y ante la propia AEPD si llega una denuncia.

Los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento, regulados en los artículos 15 a 22 del RGPD, son ejercitables por cualquier persona captada por la torre. El acceso a sus propias imágenes es el más solicitado en la práctica, y la empresa debe estar preparada para atenderlo en el plazo de un mes. La preparación incluye disponer del procedimiento, conocer qué materiales existen, poder identificar a la persona en las grabaciones sin afectar a terceros, y, cuando sea técnicamente posible, entregar copia anonimizando a las demás personas que aparezcan. La negativa razonada también es posible cuando el ejercicio del derecho afecte desproporcionadamente a derechos de terceros, pero la negativa sin razonar no lo es.

Encargados del tratamiento, central de alarmas y cadena de responsabilidad

La torre rara vez funciona en aislamiento. Las imágenes y los eventos se envían a una central de alarmas, normalmente operada por una empresa de seguridad privada autorizada conforme a la Ley 5/2014. Esa empresa, en su condición de encargado del tratamiento, debe estar vinculada por un contrato del artículo 28 del RGPD que regule las instrucciones del responsable, las medidas de seguridad, las subcontrataciones permitidas, la asistencia al responsable en el cumplimiento de sus obligaciones y el destino de los datos al finalizar la prestación. Ese contrato no es un anexo decorativo del contrato de servicios de seguridad, es una pieza independiente con contenido mínimo regulado.

El fabricante de la torre puede o no ser encargado del tratamiento. Cuando solo entrega el equipo y no accede a las imágenes, no lo es. Cuando presta servicios de mantenimiento remoto, actualización de software, soporte técnico que implica acceso al material grabado, o aloja imágenes o metadatos en su propia infraestructura, sí lo es. La diferencia es relevante porque el contrato del artículo 28 cambia según el alcance del acceso. En instalaciones que incorporen analítica con inteligencia artificial, donde el fabricante puede necesitar acceder a muestras para mejorar los modelos, esa posibilidad debe estar regulada expresamente, debe contar con base jurídica y debe haber sido sometida al juicio de proporcionalidad del responsable. No es admisible que el fabricante use las imágenes de los clientes para entrenar modelos sin que el cliente lo sepa y lo haya autorizado.

La central de alarmas, además de ser encargada en términos del RGPD, está sometida a su propia regulación sectorial, supervisada por el Ministerio del Interior a través de la Dirección General de la Policía y, en lo que respecta a infraestructuras críticas, por el CNPIC. La conexión de la torre a una central no homologada es, antes que un problema de protección de datos, un problema de seguridad privada. La AEPD, INCIBE y el CCN-CERT han recordado en distintas comunicaciones la importancia de que la cadena técnica entre el sensor en obra y el operador en central cumpla con los estándares de ciberseguridad aplicables, porque una brecha en cualquier punto compromete simultáneamente la seguridad de la obra y los derechos de las personas captadas.

Las transferencias internacionales merecen atención específica. Cuando el fabricante o el operador del software de analítica esté establecido fuera del Espacio Económico Europeo, o cuando las imágenes o los metadatos se procesen en servidores fuera de él, debe verificarse que existe una base jurídica para la transferencia conforme a los artículos 44 y siguientes del RGPD. Tras la jurisprudencia Schrems II del Tribunal de Justicia de la Unión Europea, las cláusulas contractuales tipo no bastan por sí solas: se requiere un análisis de las garantías existentes en el país de destino y, cuando proceda, medidas suplementarias. Las arquitecturas que mantienen el procesamiento de imágenes en territorio europeo, con modelos de analítica desplegados localmente en el propio equipo, simplifican enormemente este punto.

Lo que permanece

La torre móvil de videovigilancia es, antes que un equipo de seguridad, un tratamiento de datos personales con responsable identificado, finalidad acotada, base jurídica documentada, información a los afectados, plazo de conservación limitado y cadena de encargados regulada por contrato. Cuando cualquiera de esas piezas falta, la torre sigue grabando, pero el responsable de obra ha dejado de cumplir el RGPD. La diferencia entre una y otra situación no se ve en el monitor de la caseta, se ve cuando llega la reclamación, la inspección o la denuncia, y entonces ya no hay margen para improvisar.

El cumplimiento no es una capa que se añade al final, es la estructura del propio despliegue. En el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad" se describe esta lógica como la diferencia entre construir para el momento y construir para los próximos diez años, y aplica igual al hormigón que al expediente regulatorio. La empresa que diseña su política de videovigilancia con la misma disciplina con la que calcula la estructura, dispone de un activo que la protege en los tres frentes que importan: el operativo, el jurídico y el reputacional.

Para los responsables de obra que quieran revisar su despliegue actual sin asumir compromisos previos, el Camino I ofrece una conversación confidencial de sesenta minutos con un miembro de la dirección de Boswau + Knauer, en la que se contrasta la situación concreta con los requisitos del RGPD, la LOPDGDD y los criterios publicados por la AEPD. Para empresas que necesiten una revisión documentada sobre uno o varios emplazamientos, el Camino II proporciona una auditoría de tres a cinco días con entregables específicos, incluyendo el catálogo de carencias y la matriz de prioridades. Quien quiera probar el sistema en condiciones operativas reales antes de decidir a escala, dispone del Camino III, un piloto de noventa días con métricas acordadas antes de empezar.

Preguntas frecuentes

¿Qué exige el RGPD para la videovigilancia en obra?

El RGPD exige identificar al responsable del tratamiento, definir la finalidad (típicamente protección de bienes), fundar el tratamiento en una base jurídica adecuada (habitualmente interés legítimo previa ponderación documentada), informar a los afectados mediante cartelería y información de segunda capa, llevar registro de actividades del artículo 30, limitar la conservación al tiempo necesario, garantizar el ejercicio de derechos por las personas captadas, y regular por contrato del artículo 28 la relación con encargados como la central de alarmas o el proveedor de software. La AEPD publica modelos y guías específicas aplicables.

¿Hay que avisar a los trabajadores?

Sí, expresamente y antes de iniciar la captación. El artículo 89 de la LOPDGDD obliga a informar de manera expresa, clara y previa a los trabajadores, y en su caso a sus representantes legales. La información general mediante el cartel de la AEPD no basta. Debe entregarse una comunicación específica que indique la existencia del sistema, la finalidad, las zonas vigiladas y el uso de las imágenes, idealmente firmada o acreditada por otros medios verificables. Si las imágenes pueden usarse para fines disciplinarios, esa finalidad debe declararse expresamente para que sean utilizables como prueba.

¿Cuánto tiempo se pueden guardar las grabaciones?

Como máximo un mes desde su captación, conforme al artículo 22.3 de la LOPDGDD, salvo que deban conservarse para acreditar actos contra personas, bienes o instalaciones, en cuyo caso se mantienen hasta su entrega a las autoridades. El mes es un techo, no un objetivo: la conservación debe limitarse al tiempo realmente necesario para la finalidad. La práctica razonable consiste en borrado automatizado en plazos cortos del material sin incidencia, y aislamiento del material vinculado a alarmas o incidentes para su tratamiento separado.

¿La LOPDGDD añade obligaciones adicionales?

Sí, varias. El artículo 22 regula específicamente la videovigilancia, fijando el plazo máximo de conservación, exigiendo cartelería conforme al modelo de la AEPD e información de segunda capa accesible. El artículo 89 regula la videovigilancia en el ámbito laboral, con requisitos reforzados de información a trabajadores y a sus representantes. La AEPD ha publicado guías específicas para videovigilancia que concretan estos requisitos, y mantiene una doctrina sancionadora consolidada que conviene consultar antes de diseñar el despliegue, no después de recibir la primera reclamación.