VideoIntelligence

Blog · Cumplimiento

RGPD, EU AI Act y centrales receptoras

1 jul 2026 · 10 min lectura · Equipo editorial de VideoIntelligence

Responsable de cumplimiento revisando videovigilancia y protección de datos

Resumen directo: una CRA que incorpora IA al análisis de alarmas de vídeo debe revisar dos marcos distintos y complementarios: el RGPD y la normativa española para el tratamiento de imágenes, y el Reglamento Europeo de Inteligencia Artificial. Ni todo análisis de vídeo es automáticamente «alto riesgo» ni el proveedor tecnológico es siempre encargado del tratamiento: la calificación depende de la finalidad, las funciones reales y el reparto de decisiones. Este contenido es informativo y no constituye asesoramiento legal.

Mapa normativo: tres preguntas antes de clasificar

El punto de partida no es la etiqueta «IA», sino el caso de uso. Una CRA debería describir qué imágenes recibe, quién determina la finalidad, qué hace el sistema y cómo influye su resultado en la actuación del operador. Esa descripción permite analizar por separado protección de datos, seguridad privada y regulación de IA.

  1. ¿Hay datos personales? Una persona identificada o identificable en un clip puede activar el Reglamento (UE) 2016/679 (RGPD), además de la legislación española aplicable.
  2. ¿Qué papel cumple cada entidad? El responsable decide fines y medios esenciales; el encargado trata datos por cuenta del responsable. Los contratos no pueden corregir una asignación que no refleje la realidad.
  3. ¿Para qué se usa la IA? Clasificar movimiento, identificar biométricamente a una persona o apoyar a una autoridad policial son finalidades diferentes bajo el Reglamento de IA.

También sigue siendo relevante la normativa de seguridad privada, incluida la Ley 5/2014, de Seguridad Privada, y las disposiciones aplicables a sistemas y centrales de alarma. Una evaluación concreta requiere revisar el servicio, contratos, instrucciones y configuración con profesionales cualificados.

RGPD y videovigilancia: finalidad, roles y conservación

Las imágenes de videovigilancia pueden ser datos personales aunque el sistema no conozca el nombre de la persona. El RGPD exige una base jurídica, finalidad determinada, minimización, seguridad, transparencia y conservación limitada. Incorporar un modelo de IA no crea por sí solo una nueva base legal ni permite reutilizar clips para cualquier propósito.

En España, el artículo 22 de la Ley Orgánica 3/2018 (LOPDGDD) regula tratamientos con fines de videovigilancia. Establece, con las excepciones y condiciones del propio artículo, la supresión de las imágenes en el plazo máximo de un mes desde su captación, salvo cuando deban conservarse para acreditar actos contra personas, bienes o instalaciones. No debe interpretarse esa referencia como una regla automática para todos los registros técnicos o todos los servicios: la CRA ha de documentar qué conserva, por qué y durante cuánto tiempo.

Responsable y encargado: no asumir el reparto

En un servicio típico, el titular o la empresa que determina la finalidad de la videovigilancia puede actuar como responsable, mientras una CRA o un proveedor procesa imágenes siguiendo instrucciones. Pero pueden existir responsabilidades diferenciadas o conjuntas si una entidad decide finalidades propias o medios esenciales. El Comité Europeo de Protección de Datos, en sus Directrices 07/2020, explica cómo interpretar estos conceptos.

Cuando haya un encargo, el contrato del artículo 28 del RGPD debe cubrir instrucciones, confidencialidad, seguridad, subencargados, asistencia, devolución o supresión y auditoría. Un DPA es importante, pero no sustituye el análisis previo ni convierte automáticamente a todas las partes en encargados. La CRA debe contrastar el contrato con el flujo técnico real.

Alojamiento en la UE y transferencias internacionales

Alojar y procesar en la Unión Europea simplifica algunos aspectos, pero no demuestra por sí solo cumplimiento. Hay que revisar dónde acceden soporte y subencargados, copias de seguridad, telemetría y claves. Si existe una transferencia fuera del Espacio Económico Europeo, debe aplicarse un mecanismo válido del capítulo V del RGPD y valorar las garantías necesarias.

Para VideoIntelligence, la documentación comercial indica procesamiento e infraestructura cloud en la Unión Europea y retención configurable. Una CRA debería verificar ese alcance en el DPA, la lista de subencargados y la configuración contratada, especialmente antes de enviar clips reales.

Evaluación de impacto y seguridad

La observación sistemática a gran escala de zonas de acceso público puede requerir una evaluación de impacto relativa a la protección de datos conforme al artículo 35 del RGPD. La necesidad depende del alcance y riesgos del tratamiento. La guía de videovigilancia de la AEPD y las Directrices 3/2019 del EDPB sobre dispositivos de vídeo son referencias útiles para el análisis.

Los controles pueden incluir cifrado en tránsito, permisos por función, autenticación robusta, registro de accesos, separación de entornos, gestión de incidentes y eliminación verificable. También hay que limitar lo que aparece en logs: un identificador técnico suele ser suficiente y evita copiar datos del abonado a sistemas auxiliares.

EU AI Act: qué regula y cuándo se aplica

La norma correcta es el Reglamento (UE) 2024/1689, conocido como Reglamento de Inteligencia Artificial o EU AI Act. Entró en vigor el 1 de agosto de 2024 y aplica de forma escalonada. La Comisión Europea mantiene un resumen oficial del marco.

Fechas oficiales principales

  • 2 de febrero de 2025: comenzaron a aplicarse las disposiciones generales, las prácticas prohibidas y la obligación de alfabetización en materia de IA del artículo 4.
  • 2 de agosto de 2025: comenzaron a aplicarse, entre otras, reglas de gobernanza y obligaciones relativas a modelos de IA de uso general, con las excepciones previstas en el artículo 113.
  • 2 de agosto de 2026: es la fecha general de aplicación del Reglamento para las disposiciones que no se adelantaron o aplazaron expresamente.
  • 2 de agosto de 2027: se aplica el artículo 6.1 y las obligaciones correspondientes para determinados sistemas de alto riesgo vinculados a productos regulados enumerados en el anexo I.

Existen reglas transitorias y matices para sistemas ya introducidos en el mercado, modelos de uso general y autoridades. Por ello, una hoja de ruta interna debe contrastarse con el texto consolidado y no basarse solo en una cronología resumida.

¿El triaje de alarmas de vídeo es siempre de alto riesgo?

No. El artículo 6 y los anexos I y III determinan qué sistemas se consideran de alto riesgo. La clasificación depende de la finalidad prevista y del contexto de uso. El mero hecho de analizar vídeo con IA para priorizar una alarma privada no aparece automáticamente como una categoría general de alto riesgo.

La evaluación cambia si el sistema realiza funciones específicamente reguladas, por ejemplo determinadas formas de identificación biométrica remota, categorización biométrica, reconocimiento de emociones o usos concretos por fuerzas y cuerpos de seguridad. Tampoco debe confundirse detectar una «persona» como categoría de objeto con identificar de forma biométrica a una persona concreta. Si el proveedor o desplegador cambia la finalidad prevista, integra nuevas funciones o utiliza el resultado en otro contexto, debe repetir la clasificación.

Roles bajo el Reglamento de IA

El Reglamento distingue, entre otros, proveedor y responsable del despliegue. Son conceptos distintos de «responsable» y «encargado» del RGPD. Una empresa puede ser desplegadora bajo el AI Act y responsable del tratamiento bajo el RGPD, pero esa combinación no se presume. El contrato y la documentación deberían mapear ambos marcos por separado.

Comparativa de obligaciones y preguntas

Marco Pregunta principal Evidencia útil para la CRA
RGPD y LOPDGDD ¿Cómo y por qué se tratan imágenes personales? Registro de actividades, base jurídica, DPA, plazos y controles
Seguridad privada ¿Cómo se verifica y gestiona la alarma? Procedimientos, contratos, configuración y auditoría operativa
EU AI Act ¿Qué IA es, cuál es su finalidad y qué riesgo tiene? Ficha del sistema, clasificación, instrucciones, logs y supervisión
Ciberseguridad ¿Cómo se protege el servicio y su cadena? Accesos, cifrado, incidentes, vulnerabilidades y continuidad

Controles operativos recomendables para una CRA

Aunque un caso de uso no sea de alto riesgo bajo el AI Act, siguen siendo útiles controles proporcionados. Facilitan la supervisión, la gestión de proveedores y la demostración de diligencia.

  1. Inventariar: identificar versión, proveedor, finalidad, usuarios, cámaras, datos de entrada, salida y sistemas conectados.
  2. Clasificar: documentar por qué el caso entra o no en una categoría del AI Act y revisar el análisis cuando cambie su uso.
  3. Asignar roles: separar el mapa de roles del RGPD del mapa de operador, proveedor y desplegador del Reglamento de IA.
  4. Validar con datos representativos: probar escenas reales autorizadas, incluyendo noche, clima adverso, oclusiones y distintos tipos de instalación.
  5. Mantener supervisión: mostrar el clip, la explicación y las limitaciones; permitir que el operador corrija y escale.
  6. Registrar: conservar trazas proporcionadas para reconstruir qué versión y regla produjeron una salida, con acceso y retención definidos.
  7. Preparar contingencia: continuar el procedimiento de alarma si el análisis falla o llega tarde.
  8. Formar al personal: explicar capacidad, límites, interpretación de prioridad y riesgos de confiar de forma automática.

Ejemplo operativo: piloto en modo sombra

Una CRA selecciona veinte cámaras con autorización para un piloto. Durante cuatro semanas, el análisis genera prioridad y razonamiento, pero no cambia la cola ni cierra señales. Los supervisores comparan resultados con la decisión humana, registran errores y comprueban plazos de borrado. Antes de ampliar, el equipo actualiza la evaluación de riesgos, las instrucciones de operador y el inventario. El enfoque produce evidencia propia sin atribuir al sistema una precisión universal.

Qué pedir al proveedor

La CRA puede solicitar una descripción de finalidad y limitaciones, arquitectura de datos, ubicaciones de tratamiento, subencargados, medidas de seguridad, retención, gestión de incidentes, versiones, cambios relevantes y soporte para ejercer derechos. Si el sistema se clasifica como alto riesgo, deben revisarse además las obligaciones específicas aplicables a proveedor y desplegador, incluida la documentación e instrucciones exigidas por el Reglamento.

Preguntas frecuentes

¿Usar IA para analizar vídeo obliga siempre a una evaluación de impacto?

No siempre por el mero uso de IA. La necesidad se determina según el artículo 35 del RGPD, las listas de la autoridad competente, la escala, la observación sistemática y los riesgos para las personas.

¿Toda analítica de vídeo de una CRA es IA de alto riesgo?

No. Hay que aplicar los criterios del artículo 6 y los anexos del Reglamento (UE) 2024/1689 a la finalidad concreta. Añadir biometría o cambiar el destinatario puede modificar el análisis.

¿Alojar datos en la UE basta para cumplir el RGPD?

No. También hacen falta base jurídica, transparencia, minimización, seguridad, contratos, derechos, plazos y control de accesos y subencargados, entre otras obligaciones aplicables.

¿La explicación del sistema sustituye la supervisión humana?

No. Una explicación ayuda a entender y cuestionar la salida, pero el operador necesita formación, acceso a evidencia y autoridad real para corregir o ignorar la recomendación.

¿Este artículo sirve como dictamen de cumplimiento?

No. Es una guía informativa general. La CRA debe obtener asesoramiento adaptado a su servicio, contratos, tecnología y jurisdicción.

VideoIntelligence · Análisis de vídeo para CRA

De cada clip a una prioridad explicada, antes del operador

VideoIntelligence analiza el vídeo asociado a la alarma, indica relevancia y prioridad P0–P4, y devuelve una explicación a tu software de recepción mediante API. En la demo revisamos cómo encajaría en el flujo de tu central y cómo medirlo con tu propio histórico.

Ver VideoIntelligence en acción ← Volver al blog