Borrado de video e imágenes en cámaras de seguridad: lo que dice la normativa

En México, las cámaras de seguridad son parte cotidiana de oficinas, tiendas, edificios y hasta escuelas. Pero detrás de su aparente simplicidad, se esconde una responsabilidad legal que muchas empresas e instituciones desconocen: ¿qué hacer con los videos una vez que ya no son útiles?

Eliminar videos e imágenes de vigilancia no es solo una cuestión de espacio en el disco duro. Hay regulaciones que establecen cuándo deben borrarse, cómo deben eliminarse y qué métodos son válidos para evitar sanciones.

¿Las grabaciones de videovigilancia se consideran datos personales?

Sí. De acuerdo con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), cualquier imagen o video que permita identificar directa o indirectamente a una persona se considera un dato personal. Esto significa que el uso de cámaras de vigilancia implica obligaciones legales para quien instala y administra los sistemas.

Si las grabaciones contienen rostros, comportamientos, voces, placas vehiculares o rutinas, deben ser tratadas como información confidencial. Su almacenamiento, consulta, transferencia o eliminación están sujetos a reglas específicas, tanto en México como en el ámbito internacional.

¿Qué leyes y normas regulan el borrado de videos de cámaras de seguridad?

A nivel nacional, la principal legislación es la LFPDPPP, que obliga a establecer políticas claras sobre el uso y eliminación de datos personales. En el caso de la videovigilancia, esto incluye definir:

• Cuánto tiempo se conservarán las grabaciones.
• Quién tiene acceso a ellas.
• Cómo se eliminarán al terminar su periodo de vigencia.

A nivel técnico, se deben considerar normativas internacionales como:

• NIST 800-88: establece métodos de destrucción segura de datos digitales.
• ISO/IEC 27001: sistema de gestión de seguridad de la información (SGSI).
• ISO/IEC 27040: almacenamiento seguro de la información, aplicable a grabaciones en discos duros y servidores.
• Borrado certificado: prácticas que garantizan que la eliminación sea irreversible y trazable.

¿Cuánto tiempo deben conservarse los videos de seguridad?

La ley mexicana no establece un plazo único, pero sí exige que el tratamiento de los datos sea proporcional a la finalidad para la que fueron recabados. En la práctica, estos son los plazos recomendados:

• Entre 15 y 30 días para sistemas de vigilancia comercial o residencial.
• Hasta 90 días en instalaciones públicas con alto flujo o requerimientos de seguridad.
• Tiempos mayores deben justificarse legalmente, y documentarse en el aviso de privacidad.

Este principio también aplica a sectores como el médico, donde los plazos de conservación de datos clínicos pueden extenderse por razones de salud o procesos legales.

¿Qué métodos de eliminación están permitidos legalmente?

El método más seguro y aceptado para eliminar grabaciones de cámaras de seguridad es el borrado seguro. Esto significa que los archivos se sobrescriben de manera que no puedan ser recuperados por ningún medio técnico.

Existen tres métodos reconocidos por normas como NIST 800-88:

1. Clear: eliminación lógica sin sobrescritura. No recomendado.
2. Purge: sobrescritura de sectores del disco. Recomendado para organizaciones con riesgos medios.
3. Destroy: destrucción física del medio, como triturado de discos. Aplicable en entornos de alta seguridad.

El borrado criptográfico es otra opción avanzada, donde los datos se hacen inaccesibles al eliminar las claves de cifrado.

¿Por qué no es suficiente con borrar archivos desde el sistema?

Muchas empresas creen que al eliminar los archivos desde el panel del DVR o el software de gestión ya están cumpliendo. Pero estos métodos suelen dejar rastros en el disco duro que pueden recuperarse con herramientas forenses.

Solo un borrado certificado puede garantizar que los datos se eliminaron de forma trazable y segura. Además, este proceso genera un reporte de auditoría que puede usarse ante inspecciones del INAI o auditorías internas.

¿Qué obligaciones tiene una empresa que graba con cámaras?

Cualquier empresa o institución que utilice sistemas de videovigilancia debe cumplir con lo siguiente:

• Informar mediante un aviso de privacidad visible que se están captando imágenes.
• Justificar legalmente la necesidad de la videovigilancia.
• Proteger el acceso a las grabaciones mediante contraseñas y permisos de administrador.
• Establecer una política de conservación y eliminación de grabaciones, conforme a las mejores prácticas y normas técnicas.

Todo esto forma parte de un Sistema de Gestión de Seguridad de la Información, cada vez más necesario en sectores sensibles como salud, educación, banca o retail.

¿Qué riesgos existen si no se eliminan los videos correctamente?

Los riesgos de mantener grabaciones sin control ni protocolos adecuados son altos:

• Filtración de imágenes que pueden comprometer la privacidad de empleados, clientes o visitantes.
• Sanciones legales por no cumplir con la ley de protección de datos.
• Ataques informáticos a servidores de almacenamiento mal configurados.
• Responsabilidad civil o penal en caso de que el contenido filtrado cause daño moral.

Estos escenarios son más comunes de lo que se piensa. Por ello, implementar un sistema de borrado seguro de metadatos también se vuelve relevante si el archivo es extraído o enviado a terceros.

¿Qué tecnologías pueden ayudar a cumplir estas normas?

Hoy existen herramientas que permiten automatizar y certificar el proceso de eliminación. Algunas de las más utilizadas en entornos profesionales incluyen:

• Software de destrucción de datos que aplica borrado seguro.
• Sistemas de almacenamiento con borrado programado, especialmente útiles en videovigilancia masiva.
• Sistemas que integran borrado en la nube, como los que se describen en el artículo sobre borrado en servicios cloud.

Puedes integrar estas funciones dentro de una solución integral de SGSI, con registros, bitácoras y reportes automáticos.

Preguntas frecuentes

¿Puedo conservar los videos más de 30 días si los necesito como evidencia?

Sí, siempre y cuando exista una justificación legal y se documente en tu aviso de privacidad.

¿Eliminarlos manualmente desde el sistema DVR es suficiente?

No. Se recomienda aplicar borrado certificado y generar evidencias del proceso.

¿Es necesario avisar que se está grabando?

Sí. La ley mexicana obliga a informar mediante un aviso de privacidad físico o digital en el área vigilada.

¿Qué hago si necesito destruir discos con grabaciones antiguas?

Lo ideal es aplicar un borrado físico o criptográfico, según el nivel de seguridad requerido por tu sector.

Delete Technology se especializa en la destrucción segura y certificada de activos digitales, ofreciendo soluciones validadas bajo estándares internacionales como ADISA, NIST y PCI DSS. Esto permite a las organizaciones blindar su información, evitar riesgos y cumplir con la legislación vigente en materia de protección de datos.

Síguenos en nuestras redes sociales

Rafael Chust I Director Delete Technology España y Portugal