La gestión del almacenamiento de grabaciones es uno de los puntos más conflictivos en la operativa de cualquier sistema de seguridad. Muchas empresas cometen el error de conservar las imágenes de forma indefinida bajo la premisa de que «más vale que sobre que no que falte», ignorando que esta práctica supone una vulneración directa del principio de limitación del plazo de conservación. El problema reside en que mantener datos biométricos más tiempo del estrictamente necesario convierte un tratamiento lícito en una infracción grave, exponiendo a la organización a inspecciones de la AEPD motivadas por denuncias de empleados o clientes que ven vulnerada su privacidad.
La importancia de cumplir con los tiempos estipulados por la ley es fundamental para la supervivencia jurídica de la entidad. Superar los plazos legales de conservación de imágenes de cámaras no solo acarrea multas económicas considerables, sino que puede invalidar la utilidad de dichas imágenes en un proceso judicial. Si una empresa presenta una grabación de hace tres meses para justificar un despido o una reclamación de daños, el juez podría desestimar la prueba al considerar que el dato debería haber sido borrado mucho antes, dejando a la empresa en una situación de indefensión y con la carga de una sanción administrativa adicional por incumplimiento normativo.
A continuación, analizaremos detalladamente cuáles son estos plazos, cómo deben gestionarse las excepciones y qué medidas técnicas debe adoptar su organización para automatizar este cumplimiento. Exploraremos la diferencia entre la conservación ordinaria y el bloqueo de datos ante incidentes. El objetivo es proporcionar una guía clara para que el uso de la tecnología sea seguro y legal, destacando cómo el servicio de protocolo de videovigilancia se convierte en la herramienta técnica esencial para garantizar que su sistema borre la información exactamente cuando la ley lo exige.
Los plazos legales de conservación de imágenes de cámaras establecen, con carácter general, un máximo de 30 días naturales para el almacenamiento de grabaciones. Una vez transcurrido este periodo, las imágenes deben ser eliminadas de forma automatizada, salvo que exista un requerimiento judicial, policial o un incidente de seguridad que obligue a su bloqueo y custodia como evidencia legal.
El plazo general de 30 días: la regla de oro en videovigilancia
La normativa española, alineada con el RGPD, es taxativa respecto al tiempo de permanencia de las imágenes en los sistemas de grabación. El protocolo de videovigilancia debe reflejar que el plazo ordinario es de un mes. Esta duración se considera suficiente para que el responsable de seguridad detecte cualquier anomalía, robo o incidente y pueda extraer la evidencia necesaria.
Es imperativo que los grabadores (NVR o DVR) estén configurados para el sobreescrito automático. Esto significa que, al llegar al día 31, el sistema debe grabar encima de los datos del día 1 sin intervención humana. El incumplimiento de esta configuración es una de las causas más frecuentes de sanción en auditorías de protección de datos.
Excepciones específicas en el sector financiero e infraestructuras
Existen ciertos sectores donde la normativa sectorial puede ampliar o matizar estos tiempos debido a la naturaleza del riesgo. Sin embargo, para la inmensa mayoría de comercios, oficinas y comunidades de propietarios, el plazo de los 30 días es inamovible.
Entidades de crédito: En algunos casos, la normativa de seguridad privada puede exigir plazos diferentes para cajeros automáticos o cámaras de alta seguridad.
Infraestructuras críticas: Pueden estar sujetas a planes de seguridad específicos que determinen plazos de custodia superiores bajo supervisión administrativa.
Qué hacer ante un incidente: el bloqueo de las imágenes
Cuando las cámaras captan un hecho relevante (un accidente laboral, un hurto o una agresión), el principio de limitación del plazo de conservación se pausa para dar paso al bloqueo de datos. El protocolo de videovigilancia debe definir un procedimiento claro para estos casos, asegurando que la imagen se extraiga del flujo de borrado automático y se custodie de forma segura.
El bloqueo consiste en la identificación y reserva de las imágenes, impidiendo su tratamiento habitual pero permitiendo su puesta a disposición de las autoridades. No se trata de «guardar el vídeo por si acaso», sino de conservarlo porque existe una base jurídica clara: la tutela judicial efectiva.
Procedimiento para la custodia de evidencias legales
Para que la conservación extendida sea lícita, se deben seguir estos pasos:
Identificación del clip: Acotar la fecha y hora exacta del suceso.
Extracción segura: Copiar la grabación en un soporte externo cifrado.
Registro de bloqueo: Documentar internamente por qué se conserva esa imagen y durante cuánto tiempo se estima que será necesaria.
Entrega oficial: Facilitar la copia a las fuerzas de seguridad o al juzgado mediante un acta de entrega que garantice la cadena de custodia.
| Situación del dato | Plazo de conservación | Acción requerida |
| Grabación ordinaria | Máximo 30 días naturales. | Borrado o sobreescrito automático. |
| Incidente detectado | Hasta la prescripción de la responsabilidad. | Bloqueo físico y lógico de la imagen. |
| Requerimiento policial | Según indique la orden oficial. | Entrega inmediata bajo registro de salida. |
| Derecho de acceso | El tiempo necesario para la visualización. | Facilitar acceso sin comprometer a terceros. |
Riesgos técnicos de una gestión incorrecta de los plazos
No basta con conocer la ley; el sistema técnico debe ser capaz de ejecutarla. Muchas empresas descubren durante una inspección que su grabador, por un error de configuración o de capacidad de disco duro, está guardando imágenes de hace varios meses. El protocolo de videovigilancia debe incluir revisiones periódicas del sistema para verificar que el ciclo de borrado es correcto.
Además, si el disco duro tiene poca capacidad y borra las imágenes a los 3 días, la empresa puede verse perjudicada al no poder investigar un incidente ocurrido hace una semana. El equilibrio entre capacidad técnica y límite legal es la clave de una gestión eficiente.
Auditoría y verificación del sistema de borrado
Un protocolo profesional exige verificar los siguientes puntos técnicos:
Sincronización horaria: Si la hora del grabador es incorrecta, el plazo de 30 días se calculará mal, lo que puede invalidar la prueba.
Logs de sistema: El grabador debe registrar cuándo se han producido los procesos de borrado.
Capacidad de almacenamiento: Ajustar la calidad de la grabación (FPS y resolución) para asegurar que el disco duro cubra exactamente el mes de grabación exigido sin excederlo.
La responsabilidad del encargado de tratamiento
En muchas ocasiones, la gestión de las cámaras está externalizada a una empresa de seguridad. Sin embargo, la responsabilidad última sobre los plazos legales de conservación de imágenes de cámaras recae sobre el titular del negocio (el responsable del tratamiento). Es vital que el contrato con la empresa de seguridad especifique claramente la obligación de configurar el sistema según los límites del RGPD.
El protocolo debe establecer quién tiene la autoridad para ordenar la conservación prolongada de una imagen y bajo qué criterios. Dejar esta decisión en manos de personal no formado puede derivar en una custodia ilícita de datos personales.
La correcta administración de los tiempos de almacenamiento es el reflejo de una empresa comprometida con la privacidad y la legalidad. Evitar el almacenamiento excesivo no solo protege a los ciudadanos, sino que blinda a la organización frente a sanciones que podrían evitarse con una simple configuración técnica. Para garantizar que su sistema cumple con cada requisito de la AEPD y que su política de borrado es impecable, el servicio de protocolo de videovigilancia es su mejor aliado estratégico para operar con total rigor y seguridad.
Preguntas frecuentes sobre plazos legales de conservación de imágenes de cámaras
¿Puedo guardar las imágenes 15 días en lugar de 30?
Sí. La ley establece un plazo máximo (30 días), pero no un mínimo. Si su empresa considera que con 7 o 15 días es suficiente para garantizar la seguridad, puede configurar su sistema para que borre las imágenes en ese tiempo. De hecho, esto cumple de forma más estricta con el principio de minimización de datos del RGPD.
¿Qué ocurre si la policía me pide imágenes de hace dos meses?
Si usted ha cumplido con la ley, esas imágenes ya no deberían existir en su sistema. Usted no tiene obligación de entregar algo que legalmente debía haber borrado. De hecho, si las entregara, estaría admitiendo implícitamente que está incumpliendo el plazo legal de conservación, lo que podría acarrear una sanción de la AEPD.
¿El plazo de 30 días se aplica también a las cámaras de mi casa?
Sí, si sus cámaras captan zonas comunes o franjas de la vía pública y usted actúa bajo la normativa de protección de datos (por ejemplo, en una comunidad de propietarios o una vivienda con empleados domésticos), el plazo de 30 días sigue siendo la referencia legal para asegurar que el tratamiento de imágenes es proporcionado.
¿Cómo demuestro a una inspección que mis cámaras borran cada mes?
La mejor forma de demostrarlo es mediante el protocolo de videovigilancia donde conste la configuración técnica del equipo, acompañado de un certificado de mantenimiento de la empresa instaladora y una captura de pantalla de la configuración del grabador donde se vea el sistema de sobreescrito automático activado.
