Ir al contenido
Envío 24/48h Soporte técnico profesional Precios B2B exclusivos Pago seguro

CCTV con IA: qué exige el Reglamento Europeo de Inteligencia Artificial a la videovigilancia

Guía técnica para instaladores e integradores: qué cambia con el Reglamento UE 2024/1689 (AI Act), qué usos de IA en videovigilancia están limitados o prohibidos, reconocimiento facial, biometría, calendario de aplicación y obligaciones prácticas en el proyecto.
15 de mayo de 2026 por
CCTV con IA: qué exige el Reglamento Europeo de Inteligencia Artificial a la videovigilancia
ELECTRONICA MAXIM MIRANDA SL

Las cámaras de videovigilancia ya no solo graban. Los sistemas CCTV actuales incorporan analítica de vídeo, detección de personas y vehículos, cruce de línea, conteo de aforo, detección de objetos abandonados, reconocimiento de matrículas, búsqueda inteligente en grabaciones e integración con plataformas de control de accesos. Para instaladores, integradores y responsables de seguridad surge una pregunta cada vez más habitual: ¿cuándo una cámara con IA pasa de ser una herramienta de seguridad a un sistema regulado por el Reglamento Europeo de Inteligencia Artificial?

Nota: Guía técnica orientativa para uso profesional. No sustituye el asesoramiento jurídico ni la consulta al texto consolidado del Reglamento UE 2024/1689 y a los criterios de la AEPD aplicables a cada proyecto concreto.

La respuesta corta: no se regula la cámara por sí misma, sino el uso que se hace de la inteligencia artificial sobre las imágenes. Una analítica de movimiento o clasificación de vehículos no tiene el mismo impacto que un sistema de reconocimiento facial, identificación biométrica remota o análisis de emociones. Esta guía repasa qué cambia con el AI Act, qué prácticas están limitadas o prohibidas, qué debe revisar el instalador antes de proponer CCTV con IA y cómo configurar proyectos conformes y proporcionados al riesgo real.

1. ¿Existe una nueva ley de IA específica para CCTV?

No exactamente. Lo que entra en juego es el Reglamento (UE) 2024/1689, conocido como Reglamento Europeo de Inteligencia Artificial o AI Act. La norma no está pensada solo para CCTV, pero afecta a determinados sistemas de IA usados en videovigilancia, especialmente cuando tratan datos biométricos, identifican personas, categorizan individuos o se utilizan en espacios accesibles al público.

Calendario de aplicación a mayo de 2026

El AI Act entró en vigor el 1 de agosto de 2024, con aplicación progresiva por fases:

FechaQué entra en aplicación
2 feb 2025Prácticas prohibidas de IA (incluidas algunas relevantes para CCTV) y alfabetización en IA del personal (art. 4).
2 ago 2025Normas de gobernanza, modelos de IA de propósito general, régimen sancionador.
2 ago 2026Aplicación general del Reglamento, incluidas las obligaciones para sistemas de alto riesgo del Anexo III (entre ellos los biométricos). Fecha legalmente vigente hoy.
2 ago 2027Obligaciones para sistemas de IA de alto riesgo integrados en productos regulados por el Anexo I (legislación sectorial armonizada).

Sobre el "Digital Omnibus": el 19 de noviembre de 2025 la Comisión Europea publicó una propuesta de simplificación (conocida como "Digital Omnibus" o "AI Omnibus") que pretende posponer las obligaciones de sistemas de alto riesgo del Anexo III del 2 de agosto de 2026 al 2 de diciembre de 2027, y las de IA integrada en productos regulados a agosto de 2028. El Parlamento Europeo aprobó su posición negociadora el 26 de marzo de 2026 (569 votos a favor); las negociaciones interinstitucionales (trílogos) se retoman a mediados de mayo de 2026. Hasta que el texto modificado no se publique en el Diario Oficial de la UE, el calendario vigente es el del Reglamento UE 2024/1689 original. Conviene seguir las novedades en las próximas semanas.

Para el sector CCTV, la conclusión práctica: agosto de 2026 es una fecha clave para el Reglamento de IA en sistemas de alto riesgo, pero algunas prácticas con biometría e identificación ya están limitadas o prohibidas desde febrero de 2025.

2. CCTV tradicional, CCTV con analítica y CCTV biométrico: no son lo mismo

Para valorar el riesgo normativo de una instalación hay que distinguir tres niveles bien diferenciados:

NivelTecnologíaMarco normativo principal
Videovigilancia tradicionalCaptura y grabación con fines de seguridad sin analítica avanzadaRGPD, LOPDGDD, criterios AEPD sobre videovigilancia
CCTV con analítica no biométricaDetección de personas/vehículos, cruce de línea, intrusión, merodeo, objeto abandonado, conteo de aforo, búsqueda por atributos no identificativosRGPD + criterios AEPD; según uso, puede entrar en obligaciones del AI Act sin ser de alto riesgo
CCTV biométrico/identificativoReconocimiento facial, identificación biométrica remota, comparación con base de datos, reconocimiento de la forma de andar, voz, inferencia de emocionesRGPD (categorías especiales) + AI Act (alto riesgo o práctica prohibida según caso) + criterios AEPD reforzados

Videovigilancia tradicional

Cámaras que captan y graban imágenes con fines de seguridad. El marco principal sigue siendo el RGPD, la LOPDGDD y los criterios de la AEPD sobre videovigilancia: uso solo cuando no sea posible acudir a medios menos intrusivos, no captar vía pública salvo imprescindible, evitar tratamientos innecesarios, cartel informativo obligatorio, registro de actividades y medidas de seguridad técnicas y organizativas.

CCTV con analítica no biométrica

Funciones como detección de personas y vehículos, cruce de línea, intrusión perimetral, merodeo, objeto abandonado, conteo de entradas o búsqueda por atributos genéricos (color de ropa, tipo de vehículo). Este tipo de analítica puede ser útil y proporcionada si se configura correctamente. No siempre es "alto riesgo" bajo el AI Act, pero sigue tratando imágenes de personas identificables, por lo que aplica el RGPD: minimización, finalidad, información, seguridad y conservación limitada.

CCTV biométrico o identificativo

Aquí cambia todo. Hablamos de reconocimiento facial, identificación biométrica remota, comparación con bases de datos, reconocimiento de la forma de andar o de voz, o sistemas que infieren emociones o categorías personales a partir de datos biométricos. La AEPD ha señalado que el reconocimiento facial en videovigilancia implica tratamiento de datos biométricos, considerados categorías especiales del RGPD, y que la legitimación ordinaria de una instalación de videovigilancia no cubre por sí sola tecnologías mucho más intrusivas como reconocimiento facial, forma de andar o voz.

3. Qué usos de IA en CCTV están prohibidos o especialmente restringidos

El AI Act prohíbe determinadas prácticas. Para el sector CCTV, hay tres especialmente importantes:

1. Bases de datos faciales por extracción no selectiva. Crear o ampliar bases de datos de reconocimiento facial mediante extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión. No se puede usar material masivo de cámaras o fuentes online para alimentar bases de datos faciales de forma indiscriminada.

2. Inferencia de emociones en trabajo y educación. Utilizar sistemas de IA para inferir emociones en lugares de trabajo y centros educativos, salvo excepciones muy concretas por motivos médicos o de seguridad. Afecta a soluciones que pretendan detectar estrés, enfado, atención, cansancio, actitud o comportamiento emocional de trabajadores, alumnos o visitantes.

3. Identificación biométrica remota en tiempo real en espacios públicos. Uso de identificación biométrica remota "en tiempo real" en espacios de acceso público con fines de aplicación de la ley. El Reglamento la trata como práctica prohibida salvo supuestos excepcionales estrictamente necesarios, con límites temporales, geográficos y personales, evaluación de impacto, registro y autorización judicial o administrativa independiente.

Para una empresa privada, una comunidad, un comercio o una industria, la conclusión práctica es clara: activar reconocimiento facial o biometría sobre CCTV no es una simple función adicional de la cámara. Es un tratamiento de alto impacto que exige análisis jurídico, técnico y documental previo.

4. Reconocimiento facial: el punto más delicado para instaladores

El reconocimiento facial suele venderse como una prestación avanzada: búsqueda de personas, listas blancas, listas negras, control de acceso, detección de reincidentes o identificación de usuarios VIP. Pero desde el punto de vista normativo es una de las funciones más sensibles del catálogo CCTV moderno.

La AEPD ha indicado que el empleo de reconocimiento facial en videovigilancia supone tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física. Estos datos entran en categorías especiales del RGPD y, en principio, su tratamiento está prohibido salvo que concurra una excepción válida y una base jurídica suficiente.

En control de presencia y acceso, la AEPD también considera los tratamientos biométricos como tratamientos de alto riesgo y exige superar un análisis de idoneidad, necesidad y proporcionalidad. Además, en determinados contextos como el laboral, el consentimiento no suele ser una base válida por el desequilibrio entre la persona afectada y la entidad que decide el tratamiento.

Esto no significa que toda tecnología biométrica sea imposible. Significa que no debe instalarse como una función estándar sin justificar finalidad, necesidad, proporcionalidad, base jurídica, alternativas menos intrusivas, medidas técnicas, información a los afectados, evaluación de impacto y conservación limitada. En la mayoría de aplicaciones de control de acceso, las alternativas no biométricas (tarjetas, credenciales móviles, PIN, QR temporal, doble factor) son más fáciles de justificar y menos arriesgadas legalmente.

5. Qué debe revisar un instalador antes de proponer CCTV con IA

El instalador no siempre será el responsable del tratamiento. Normalmente lo será el cliente que decide para qué se instalan las cámaras: empresa, comunidad, comercio, industria, administración o titular del edificio. Pero el instalador sí tiene un papel crítico: debe saber qué funciones está activando, cómo se configuran y qué documentación debe entregar.

Antes de ofertar o instalar cámaras con IA, conviene plantear estas preguntas al cliente y al proveedor:

  • ¿La cámara solo detecta movimiento, personas o vehículos, o identifica personas concretas?
  • ¿La analítica funciona en local, en el NVR, en la cámara edge o en una plataforma cloud?
  • ¿Se captan imágenes de vía pública, zonas comunes, puestos de trabajo, aulas, accesos o zonas sensibles?
  • ¿Se genera una base de datos de rostros, matrículas, patrones biométricos o perfiles?
  • ¿El sistema permite desactivar funciones de reconocimiento facial, categorización o búsqueda biométrica?
  • ¿Existe cartel informativo y segunda capa de información para los afectados?
  • ¿Hay registro de actividades de tratamiento?
  • ¿El cliente ha valorado alternativas menos intrusivas?
  • ¿Es necesaria una Evaluación de Impacto de Protección de Datos (EIPD)?
  • ¿Quién accede a las grabaciones y a los eventos generados por IA?
  • ¿Durante cuánto tiempo se conservan las imágenes, eventos y logs?

La AEPD recuerda que si un tercero gestiona las cámaras (mantenedora, centro de control, CRA, servicios cloud, VMS gestionado, integradores remotos), puede actuar como encargado del tratamiento y debe cumplir las obligaciones correspondientes del artículo 28 del RGPD. Esto incluye contrato de encargo, instrucciones documentadas y garantías de seguridad.

6. Obligaciones técnicas: no basta con instalar y grabar

Los sistemas de IA de alto riesgo deben estar diseñados para permitir supervisión humana, comprensión de capacidades y limitaciones, interpretación de resultados, intervención humana y registro adecuado. El AI Act exige que los responsables del despliegue de sistemas de alto riesgo adopten medidas técnicas y organizativas para usarlos según instrucciones, asignen supervisión humana a personas competentes, vigilen el funcionamiento y conserven registros cuando estén bajo su control.

En identificación biométrica remota, la supervisión humana es especialmente relevante: el Reglamento prevé que no se actúe ni se tome una decisión basándose únicamente en la identificación generada por el sistema salvo verificación humana cualificada. En instalaciones reales, esto obliga a evitar automatismos peligrosos: bloquear accesos, generar acusaciones, activar protocolos contra una persona o tomar decisiones relevantes solo por una coincidencia algorítmica puede ser problemático.

Desde el punto de vista de proyecto, esto implica pedir al fabricante y al distribuidor documentación clara sobre:

  • Finalidad prevista del sistema.
  • Funciones de IA disponibles.
  • Funciones activadas por defecto.
  • Posibilidad de desactivar analíticas sensibles.
  • Tratamiento local o en la nube.
  • Retención de eventos y logs.
  • Niveles de precisión declarados.
  • Limitaciones conocidas.
  • Política de actualizaciones de firmware.
  • Ciberseguridad del sistema.
  • Integración con terceros.
  • Documentación de cumplimiento aplicable.

7. Casos prácticos

Caso 1: nave industrial con detección perimetral

Una instalación con cámaras térmicas o cámaras IP que detectan intrusión, cruce de línea o presencia de vehículos puede ser proporcionada si se limita al perímetro, evita vía pública innecesaria, informa correctamente y conserva las imágenes durante el plazo definido. La IA ayuda a reducir falsas alarmas, pero no identifica biométricamente a las personas. Marco principal: RGPD + AEPD; AI Act aplicable en términos generales sin ser de alto riesgo.

Caso 2: comercio con conteo de aforo

Un sistema de conteo puede ser adecuado si no identifica personas ni genera perfiles individuales. Hay que revisar si el conteo se hace de forma anónima, si se almacenan imágenes, si se combinan datos con otros sistemas y si existe información visible para clientes y empleados. La frontera entre conteo agregado (bajo impacto) y seguimiento individual (riesgo alto) la marca cómo se procesan y almacenan los datos, no la cámara en sí.

Caso 3: control de acceso por reconocimiento facial

Este caso es mucho más sensible. Aunque técnicamente sea cómodo, el uso de biometría exige justificación reforzada, análisis de alternativas, evaluación de impacto y base jurídica adecuada. En muchos casos será preferible usar tarjetas, credenciales móviles, PIN, QR temporal o doble factor no biométrico. La AEPD ha sido restrictiva especialmente en el ámbito laboral, donde el consentimiento no suele ser una base válida.

Caso 4: colegio o empresa con detección de emociones

Un sistema que pretenda medir atención, cansancio, estrés, satisfacción o emociones de alumnos o empleados entra en una zona de altísimo riesgo normativo. El AI Act prohíbe los sistemas de inferencia de emociones en lugares de trabajo y centros educativos salvo excepciones muy específicas por motivos médicos o de seguridad. En la práctica: no es un caso de uso comercial viable en estos entornos.

Caso 5: reconocimiento facial en espacio accesible al público

La identificación biométrica remota en espacios de acceso público es una de las materias más restringidas. En fines policiales, solo cabe en supuestos excepcionales con autorización y garantías reforzadas. En usos privados, la dificultad principal será encontrar una base jurídica suficiente y superar necesidad, proporcionalidad y protección de datos. Solo viable con un análisis jurídico profundo y, en muchos casos, no recomendable.

8. Checklist para una instalación CCTV con IA

Documentación y decisiones antes de activar funciones avanzadas

Antes de activar funciones avanzadas, el instalador debería documentar:

  • La finalidad exacta del sistema.
  • Las zonas cubiertas por cada cámara.
  • Las analíticas activadas y desactivadas.
  • Si se tratan datos biométricos o no.
  • Si hay tratamiento cloud o solo local.
  • Quién accede a imágenes, eventos y alertas.
  • Qué logs genera el sistema.
  • Qué plazo de conservación aplica.
  • Qué medidas de ciberseguridad se han configurado.
  • Qué información se facilita a usuarios, empleados, clientes o visitantes.
  • Si el cliente necesita Evaluación de Impacto.
  • Qué documentación del fabricante se entrega.
  • Qué mantenimiento y actualización de firmware se recomienda.

Este checklist no sustituye al análisis jurídico del responsable del tratamiento, pero ayuda a evitar un error frecuente: instalar cámaras con múltiples funciones de IA activadas sin haber decidido realmente cuáles son necesarias.

9. Recomendación para empresas: comprar tecnología configurable

La mejor solución no siempre es la cámara con más funciones activadas. En 2026, lo importante es elegir sistemas configurables, documentados y proporcionados al riesgo real.

Para muchas instalaciones, una buena cámara IP con analítica perimetral, clasificación persona/vehículo, máscaras de privacidad, grabación segura, control de usuarios, logs y actualizaciones será suficiente. Para proyectos más complejos, conviene revisar desde fase de diseño si se van a integrar control de accesos, lectura de matrículas, analítica avanzada, vídeo en cloud, CRA, VMS o inteligencia artificial de terceros.

La recomendación para instaladores es clara: vender CCTV con IA no debe significar activar todo por defecto. Debe significar configurar lo necesario, justificarlo, documentarlo y dejar al cliente una instalación segura, mantenible y conforme.

En el catálogo de Maxim Miranda contamos con soluciones CCTV profesionales con analítica avanzada y configurable de Hikvision (AcuSense, ColorVu, DeepinView), Dahua (WizSense, WizMind) y Uniview, con grabadores NVR de alta capacidad, control de accesos sin necesidad de biometría y soluciones de red e iluminación complementarias. Si quieres comparar la analítica IA de los principales fabricantes, te interesará nuestra comparativa de IA en cámaras de seguridad: Dahua WizSense vs Hikvision AcuSense vs Ajax.

10. Preguntas frecuentes

¿Todas las cámaras con IA están prohibidas?

No. La mayoría de funciones de analítica de vídeo, como detección de personas, vehículos o cruce de línea, no están prohibidas por sí mismas. El riesgo aumenta cuando la IA identifica personas, trata biometría, infiere emociones o genera perfiles individuales.

¿El reconocimiento facial en CCTV es legal?

Depende del caso, pero es uno de los tratamientos más delicados. La AEPD considera que implica datos biométricos (categorías especiales del RGPD) y que la legitimación ordinaria de la videovigilancia no cubre automáticamente el reconocimiento facial. Requiere análisis específico, base jurídica, proporcionalidad y, normalmente, Evaluación de Impacto de Protección de Datos.

¿Qué cambia en agosto de 2026?

El 2 de agosto de 2026 es la fecha de aplicación general del AI Act, incluidas las obligaciones para sistemas de alto riesgo del Anexo III (entre ellos los biométricos). Algunas prohibiciones ya aplican desde febrero de 2025. La Comisión ha propuesto retrasar las obligaciones de alto riesgo a diciembre de 2027 mediante el "Digital Omnibus", pero el texto aún no ha sido adoptado formalmente, por lo que el calendario original sigue vigente.

¿Puede un instalador activar analíticas por defecto?

No es recomendable. El instalador debería activar solo las funciones necesarias para la finalidad del proyecto y dejar documentada la configuración. Las funciones biométricas, de identificación o de categorización requieren revisión reforzada y, normalmente, validación jurídica del responsable del tratamiento.

¿Qué debe pedir el cliente antes de instalar CCTV con IA?

Ficha técnica completa, documentación de funciones de IA disponibles y activadas por defecto, opciones de desactivación, información sobre tratamiento local o cloud, medidas de seguridad, política de actualizaciones, gestión de usuarios, logs y configuración de privacidad. Idealmente, también la declaración del fabricante sobre conformidad con el AI Act cuando aplique.

¿Es obligatoria la formación en IA del personal?

Sí. El artículo 4 del AI Act exige que proveedores y operadores de sistemas de IA tomen medidas para garantizar un nivel suficiente de alfabetización en IA de su personal. Esta obligación se aplica desde el 2 de febrero de 2025 y no se ha retrasado por el Digital Omnibus. Para empresas instaladoras que ofrezcan CCTV con IA, conviene documentar la formación interna del equipo técnico.

Conclusión

El Reglamento Europeo de Inteligencia Artificial no prohíbe las cámaras inteligentes. Tampoco convierte toda analítica de vídeo en un sistema de alto riesgo. Lo que hace es separar usos de bajo impacto de usos especialmente sensibles, como reconocimiento facial, identificación biométrica remota, análisis de emociones o creación de bases de datos faciales.

Para instaladores e integradores, el cambio práctico es importante: hay que hablar menos de "cámaras con IA" en genérico y más de qué función concreta se activa, para qué finalidad, con qué datos, con qué garantías y con qué documentación. La clave no está en evitar la tecnología, sino en aplicarla con criterio técnico y proporcionalidad al riesgo.

En Maxim Miranda trabajamos con soluciones profesionales de CCTV, videograbación, control de accesos e integración de seguridad de los principales fabricantes del sector. Si tienes un proyecto con analítica de vídeo, cámaras IP o funciones avanzadas de IA, nuestro equipo técnico puede ayudarte a seleccionar equipos adecuados y configurables según el tipo de instalación. Contacta con nosotros para una consulta sobre un proyecto concreto.

Aviso: Esta guía resume el marco normativo aplicable al CCTV con IA con fines orientativos para uso profesional. No sustituye al texto consolidado del Reglamento UE 2024/1689, a la normativa española aplicable (RGPD, LOPDGDD), ni a los criterios de la AEPD y de las autoridades autonómicas correspondientes. Para proyectos concretos, especialmente cuando impliquen tratamientos biométricos o de alto riesgo, se recomienda asesoramiento jurídico especializado.

RIPCI explicado: qué exige el RD 513/2017 al instalador de PCI
Guía técnica del RIPCI vigente con sus modificaciones (RD 298/2021, RD 164/2025, RD 770/2025): habilitaciones de empresa, sistemas cubiertos, mantenimiento del Anexo II, inspecciones periódicas del artículo 22 y documentación obligatoria.