CTPDA: Orientaciones de protección de datos en videovigilancia con IA


Manuel Castilleja Toscano     11/06/2026


1. Introducción


Los sistemas de videovigilancia con inteligencia artificial no solo graban imágenes, sino que también detectan, clasifican y siguen personas y objetos, además de analizar comportamientos, expresiones faciales y sonidos. Aunque estas funciones pueden ayudar en la gestión pública, a menudo no cumplen con los requisitos del RGPD sobre licitud, necesidad y proporcionalidad.

El Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA) ha elaborado unas “Orientaciones para la protección de datos en sistemas de videovigilancia con analítica de vídeo basada en inteligencia artificial” dirigidas a los responsables del tratamiento del sector público en Andalucía y, en particular, a las entidades locales que se planteen contratar o desplegar este tipo de sistemas.

Su objetivo es proporcionar un marco práctico para evaluar estos sistemas desde la perspectiva de la protección de datos personales, identificando las obligaciones normativas y las buenas prácticas aplicables, para que su uso sea proporcionado y respetuoso con los derechos fundamentales.

En lo referente al cumplimiento de la normativa de protección de datos, en las Orientaciones, además de indicar que si el sistema se usa exclusivamente para prevención e investigación penal por las Fuerzas de Seguridad, no aplica el RGPD ni la LOPDGDD, sino la normativa específica LO 7/2021, podemos destacar los puntos que se desarrollan a continuación.

2. Licitud, lealtad y transparencia (Art. 5.1.a RGPD)


2.1. Legitimación (art. 6 RGPD y 8 LOPDGDD)


En espacios públicos, el consentimiento (art. 6.1.a RGPD) de los afectados no es viable ni aplicaría el interés legítimo (art. 6.1.f RGPD). El tratamiento debe ampararse en el cumplimiento de una obligación legal (art. 6.1.c RGPD) o en una misión de interés público (art. 6.1.e RGPD). Según el artículo 8.2 de la LOPDGDD, este interés público exige que la competencia derive de una norma con rango de ley.

2.2. Deber de Información (Art. 13 RGPD / Art. 11 LOPDGDD)


Se debe advertir expresamente a los ciudadanos mediante los carteles en dos capas de que se está usando análisis automatizado, de su lógica en caso de que existan decisiones automatizadas importantes, y de la posible grabación de audio; así como de que tienen derecho de acceso, oposición y supresión. La supresión u oposición no se limita a borrar un clip de vídeo, sino que el sistema debe ser capaz de eliminar también todo metadato, registro algorítmico o alerta que apunte a esa persona en concreto.

2.3.Tratamiento de datos de categoría especial (Art. 9 RGPD)


Las analíticas que identifican a las personas por sus rasgos (como el reconocimiento facial) o que infieren emociones, pueden suponer un tratamiento de datos biométricos dirigido a identificar unívocamente a un sujeto. Esto requiere cumplir el art. 9 RGPD, lo cual exige, contar con una de las excepciones contempladas por el art. 9.2 para poder levantar la prohibición de su tratamiento, por ejemplo, que exista una norma con rango de ley que ampare el tratamiento por razones de interés público esencial (art. 9.2.g RGPD).

3. Determinación de la finalidad y su limitación (Art. 5.1.b RGPD)


El uso de sistemas de videovigilancia con Inteligencia Artificial (IA) debe partir de la fijación de un fin legítimo, determinado y explícito (ej. gestión del tráfico, turismo, seguridad, etc.), cumpliendo el principio de limitación de la finalidad del art. 5.1.b RGPD. Las administraciones no deben adquirir funcionalidades tecnológicas (como el reconocimiento facial o de emociones) que excedan las necesidades estrictas para cumplir la finalidad declarada.

4. Minimización de Datos y Privacidad desde el Diseño (Arts. 5.1.c y 25 RGPD)


El RGPD exige diseñar los sistemas aplicando la intervención mínima sobre los datos. Si el objetivo se cumple con métricas agregadas o conteos estadísticos, no debe individualizarse a las personas. Como ejemplo, en las Zonas de Bajas Emisiones, lo óptimo y acorde a la minimización es que el sistema lea la matrícula, la contraste y borre al instante el dato si el vehículo está autorizado, reteniendo solo las infractoras. Las especificaciones técnicas deben priorizar procesar en la propia cámara, aplicar desenfoques, pixelado irreversible o "avatarización".

5. Plazos de Conservación (Art. 5.1.e RGPD y 22 LOPDGDD)


Si el tratamiento se rige por el art. 22 LOPDGDD (videovigilancia por seguridad), aplica el plazo máximo de 1 mes. Sin embargo, la IA genera también metadatos (trayectorias, alertas, etiquetas descriptivas) que deben estar sometidos al tiempo estrictamente necesario y anonimizarse lo antes posible, separando sus plazos de los de las imágenes fuente.

6. Seguridad (Art. 5.1.f y 32 RGPD y DA1ª LOPDGDD)


Las Administraciones deben aplicar las medidas del Esquema Nacional de Seguridad (ENS), tal como dispone la Disposición Adicional 1ª de la LOPDGDD, garantizando la ciberseguridad ante posibles vulnerabilidades (encriptación, controles de acceso, etc.).

7. Decisiones Automatizadas (Art. 22 RGPD)


Cuando el sistema de IA detecta conductas anómalas ("merodeo", actos violentos, etc.) y desencadena actuaciones policiales, denegación de acceso u otras decisiones con efectos significativos sobre la persona, entra en juego el artículo 22.1 del RGPD. Estas decisiones automatizadas están prohibidas salvo que existan leyes que las autoricen expresamente o el sistema cuente siempre con una validación humana real, que no sea rutinaria y aporte juicio crítico.

8. Evaluación de Impacto (EIPD) (Art. 35 RGPD)


Es obligatoria siempre antes del tratamiento (art. 35 del RGPD), ya que se observan zonas públicas a gran escala y se emplean nuevas tecnologías (IA). Debe usarse como herramienta previa a los pliegos de contratación.

Archivos adjuntos

pdfOrientaciones Proteccion Datos Videovigilancia con IA.pdf