DARLOTParis · 1856

Privacidad

Videoanalítica con IA · FAQ de privacidad.

Preguntas frecuentes sobre protección de datos en el uso de la videoanalítica con IA de Darlot. RGPD · BDSG · Reglamento de IA (UE) 2024/1689.

Versión: abril de 2026 · Ámbito: Sitio web corporativo Darlot

Observación previa

Darlot utiliza videoanalítica asistida por IA para detectar eventos relevantes para la seguridad en tiempo real. El uso de la tecnología está sujeto al Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, "RGPD"), a la Ley Federal alemana de Protección de Datos (BDSG), a las leyes de protección de datos de los Estados federados y – progresivamente aplicable desde 2026 – al Reglamento de IA (Reglamento (UE) 2024/1689, "RIA").

Estas FAQ se dirigen a clientes, personas afectadas, comités de empresa, delegados de protección de datos y autoridades de control. Complementan, pero no sustituyen, la política de privacidad, el contrato de encargado de tratamiento y la evaluación de impacto preparada para cada instalación (art. 35 RGPD).

Nota: La valoración jurídica del uso concreto depende de la finalidad, la ubicación y la configuración. Las afirmaciones vinculantes para su caso individual figuran en el contrato de encargado de tratamiento (CET) preparado para su instalación según el art. 28 RGPD.

Preguntas frecuentes

  1. 1. ¿Qué hace la videoanalítica con IA de Darlot?

    La videoanalítica con IA de Darlot evalúa flujos de vídeo de cámaras estacionarias en tiempo real y detecta patrones relevantes para la seguridad, como entradas no autorizadas, personas inmóviles, manipulación de instalaciones o cruce de zonas de seguridad definidas. El sistema genera alarmas, no perfiles continuos de personas.

    Sin seguimiento de individuos a través de sistemas de cámaras, sin reidentificación en la configuración estándar y sin evaluación de comportamiento fuera del fin de seguridad definido.

  2. 2. ¿Qué datos personales se tratan?

    Se tratan principalmente datos de imagen y vídeo de personas que se encuentran en el área de captura de las cámaras: imágenes en movimiento (flujos de vídeo) de las áreas vigiladas; metadatos de detección (sello temporal, ID de cámara, tipo de evento, valor de confianza); coordenadas de bounding box de objetos o personas detectadas; y datos técnicos de protocolo (estado del sistema, accesos, registros de auditoría).

    En la configuración estándar no se generan plantillas biométricas en el sentido del art. 9.1 RGPD ni se capturan grabaciones de audio. La captura acústica está técnicamente desactivada y solo puede activarse con una base jurídica específica y acuerdo contractual.

  3. 3. ¿Cuál es la base jurídica del tratamiento?

    La base jurídica depende de la finalidad y de la persona del responsable. Las habituales son: art. 6.1.f) RGPD (interés legítimo en proteger propiedad, empleados, visitantes e infraestructuras críticas, con ponderación documentada); § 4 BDSG para videovigilancia de espacios accesibles al público; § 26 BDSG cuando se capta a personal – generalmente complementado por un acuerdo de empresa; y art. 6.1.e) RGPD para entes públicos.

    El tratamiento basado en consentimiento (art. 6.1.a RGPD) es excepcional en entornos de vídeo, ya que en espacios públicos los consentimientos no pueden prestarse de forma realmente libre.

  4. 4. ¿Se tratan datos biométricos en el sentido del art. 9 RGPD?

    No, no en la configuración estándar. La videoanalítica con IA de Darlot detecta personas como clase de objeto sin extraer ni almacenar rasgos faciales que permitan identificar de forma unívoca a una persona física. No se generan plantillas biométricas.

    Una eventual activación de funciones biométricas constituiría una categoría especial de datos personales conforme al art. 9 RGPD y exigiría una base jurídica autónoma, una evaluación de impacto complementaria y, dentro del ámbito del RIA, una evaluación de conformidad separada.

  5. 5. ¿Cómo se relaciona el uso con el Reglamento de IA (UE) 2024/1689?

    El RIA distingue los sistemas de IA por categorías de riesgo. La identificación remota en tiempo real en espacios accesibles al público por las fuerzas del orden (art. 5 RIA) está, en general, prohibida; Darlot no emplea tales funciones. La IA de alto riesgo conforme al Anexo III (sistemas de identificación y categorización biométricas) solo se activa en configuraciones expresamente solicitadas; por defecto no está activa. Para la detección de eventos sin identificación rigen obligaciones de transparencia frente a las personas afectadas.

    Para cada sistema entregado, Darlot documenta la clasificación de riesgo aplicable y el cumplimiento de las obligaciones del proveedor conforme a los arts. 16 y siguientes del RIA.

  6. 6. ¿Quién es el responsable conforme al RGPD?

    Responsable en el sentido del art. 4.7 RGPD es regularmente el operador de la instalación de cámaras, esto es, el cliente que decide los fines y medios del tratamiento (por ejemplo, el propietario de un inmueble o el operador de una instalación crítica).

    En la constelación estándar, Darlot actúa como encargado del tratamiento conforme al art. 28 RGPD. Antes de la puesta en marcha se celebra un contrato de encargado del tratamiento (CET) que regula, entre otros, derechos de instrucción, subencargados, medidas técnicas y organizativas y cooperación en derechos de los afectados.

  7. 7. ¿Se realiza una evaluación de impacto en la protección de datos (EIPD)?

    Sí. La vigilancia sistemática a gran escala de zonas accesibles al público activa con regularidad la obligación de EIPD del art. 35.3.c RGPD. Darlot pone a disposición del responsable una EIPD modelo y toda la información técnica necesaria para elaborar una EIPD específica de la instalación.

    La EIPD final es responsabilidad del responsable y, cuando proceda, se coordina con el delegado de protección de datos competente y, en su caso, con la autoridad de control.

  8. 8. ¿Cuánto tiempo se conservan los datos de vídeo?

    Rigen los principios de minimización y limitación de la conservación (art. 5.1.c y e RGPD). Por defecto se aplican plazos escalonados: flujo en directo procesado en tiempo real sin almacenamiento permanente; grabación basada en eventos 48 a 72 horas, con borrado automático posterior; grabación de incidentes relevantes hasta su resolución y, como máximo, dentro de los plazos legales de conservación; datos de auditoría y registro hasta doce meses por seguridad TI.

    Plazos divergentes pueden acordarse contractualmente, pero deben ser proporcionados y documentarse en la EIPD.

  9. 9. ¿Qué medidas técnicas y organizativas (MTO) existen?

    Darlot cumple los requisitos de los arts. 25 y 32 RGPD mediante un concepto de MTO escalonado: cifrado con TLS 1.3 en tránsito y AES-256 en reposo; control de acceso basado en roles con autenticación multifactor y registros de auditoría completos; separación lógica – y, en instalaciones edge, física – de inquilinos; privacidad desde el diseño con enmascaramiento de zonas privadas, pixelado dinámico y procesamiento local cuando es posible; firma criptográfica de grabaciones de eventos para preservación probatoria; y procesos de copia de seguridad, recuperación y notificación conforme al art. 33 RGPD en 72 horas.

  10. 10. ¿Dónde se tratan los datos? ¿Hay transferencias a terceros países?

    El tratamiento se realiza prioritariamente en dispositivos edge en el lugar de instalación o en centros de datos certificados dentro de la Unión Europea o del Espacio Económico Europeo.

    En la configuración estándar no hay transferencia a terceros países en el sentido del Capítulo V RGPD. Si en casos concretos – por ejemplo en mantenimiento o soporte remoto – surgiera una referencia a terceros países, se aplican los mecanismos del art. 46 RGPD (Cláusulas Contractuales Tipo en su versión 2021/914) y medidas complementarias (Transfer Impact Assessment).

  11. 11. ¿Qué derechos tienen las personas afectadas?

    Las personas afectadas pueden ejercer ante el responsable los siguientes derechos: acceso (art. 15 RGPD), rectificación (art. 16 RGPD), supresión (art. 17 RGPD), limitación del tratamiento (art. 18 RGPD), portabilidad (art. 20 RGPD, cuando proceda), oposición (art. 21 RGPD, especialmente relevante en tratamientos basados en interés legítimo) y reclamación ante la autoridad de control competente (art. 77 RGPD).

    Darlot apoya al responsable en la gestión de solicitudes de los afectados con herramientas técnicas adecuadas, por ejemplo para localizar secuencias de imagen relevantes por hora y cámara.

  12. 12. ¿Existe toma de decisiones automatizada?

    No. El sistema genera alarmas e indicaciones; la valoración final y la decisión sobre medidas corresponde a personas, normalmente en una central de operaciones de seguridad. No existe una decisión exclusivamente automatizada con efectos jurídicos en el sentido del art. 22 RGPD.

    Este principio de "persona en el bucle" (human-in-the-loop) está anclado organizativamente y corresponde al requisito de supervisión humana del art. 14 RIA.

  13. 13. ¿Cómo se cumple la obligación informativa del art. 13 RGPD?

    El responsable coloca señalización claramente visible en el área de captura, que incluye: aviso de videovigilancia con análisis asistido por IA; nombre y datos de contacto del responsable y del delegado de protección de datos; finalidades y base jurídica; plazo de conservación y categorías de destinatarios; referencia a los derechos de los afectados y al derecho a reclamar ante la autoridad de control.

    La información completa se facilita mediante código QR, URL o exposición en recepción. Darlot proporciona plantillas de señalización revisadas conforme al estándar de la Conferencia alemana de protección de datos (DSK).

  14. 14. ¿Cómo se garantiza la protección de datos del personal?

    Cuando se capta a personal, rige el § 26 BDSG. Si existe comité de empresa o personal, debe respetarse la cogestión del § 87.1.6 BetrVG. Antes de la puesta en marcha se concluye habitualmente un acuerdo de empresa que regula: limitación de finalidad y exclusión del control del rendimiento y conducta; clases de detección activadas; plazos de conservación y borrado; derechos de acceso y principio de cuatro ojos para análisis; procedimiento ante sospechas y preservación de pruebas.

  15. 15. ¿Qué sucede ante una violación de datos?

    Ante una violación de la seguridad de los datos personales se activa un procedimiento documentado de respuesta a incidentes. Darlot notifica los incidentes al responsable sin demora indebida y, a más tardar, en 24 horas tras conocerlos, para que el responsable cumpla su deber de notificación del art. 33 RGPD en el plazo de 72 horas ante la autoridad de control.

    Cuando proceda, se notifica adicionalmente a las personas afectadas conforme al art. 34 RGPD. Todos los incidentes se documentan en un registro a prueba de auditoría.

  16. 16. ¿Se utilizan subencargados?

    Cuando se contratan subencargados – por ejemplo para alojamiento, mantenimiento o soporte remoto – ello se realiza exclusivamente con base en un contrato conforme al art. 28.4 RGPD. La lista vigente de subencargados forma parte del CET y se comunica al responsable antes de cualquier cambio. Se prevé contractualmente un derecho de oposición ante la incorporación de nuevos subencargados.

  17. 17. ¿Cómo se garantiza la no discriminación de los modelos?

    Darlot examina los modelos antes de su puesta en marcha en busca de sesgos estadísticos, en particular respecto a las características protegidas del § 1 AGG. Los datos de entrenamiento están documentados; los conjuntos de prueba cubren distintas condiciones de iluminación, vestimenta y características personales.

    Los modelos se monitorizan continuamente en operación respecto a drift, tasas de falsos positivos y métricas de equidad. Los resultados se integran en la gestión de calidad y riesgos del art. 9 RIA.

  18. 18. ¿A quién pueden dirigirse las personas afectadas?

    Las personas afectadas se dirigen primariamente al responsable, cuyos datos de contacto figuran en la señalización o en la información de privacidad expuesta.

    Las consultas de privacidad referidas a Darlot como encargado pueden dirigirse adicionalmente al delegado de protección de datos de Darlot. Los datos de contacto se publican en la sección "Privacidad" del sitio web. Con independencia de ello, existe en todo momento el derecho de reclamación ante la autoridad de control competente (art. 77 RGPD).

  19. 19. ¿Se utilizan datos con fines de entrenamiento o marketing?

    No. Los datos de imagen y vídeo del funcionamiento productivo se tratan exclusivamente para el fin de seguridad acordado. No se utilizan para entrenamiento de modelos, benchmarking o marketing, salvo que el responsable lo haya autorizado expresamente y los datos hayan sido previamente anonimizados de forma efectiva, sin posibilidad de referencia personal.

  20. 20. ¿Cómo se acredita la conformidad?

    Darlot opera una gestión de cumplimiento integrada conforme a RGPD y RIA y se somete a auditorías externas según corresponda. A petición se facilita al responsable la siguiente documentación: Registro de Actividades de Tratamiento (art. 30 RGPD – extracto del software); descripción de MTO como anexo del CET; EIPD modelo y materiales de apoyo; ficha técnica del modelo conforme al Anexo IV RIA, cuando proceda; certificaciones de los centros de datos empleados (por ejemplo ISO 27001, C5).

Notas sobre el uso de estas FAQ

Estas FAQ tienen carácter informativo y no sustituyen el asesoramiento jurídico o de protección de datos individualizado. Reflejan la situación jurídica a la fecha indicada. Debido a la concreción continua del RIA mediante actos delegados y directrices del Comité Europeo de Protección de Datos, pueden producirse adaptaciones. Para una valoración jurídica más profunda de su escenario concreto, están a su disposición nuestro delegado de protección de datos y nuestros contactos jurídicos.

Contacto de privacidad

Darlot – Delegado de Protección de Datos
Correo: datenschutz@darlot.co
Dirección postal: Quarero Robotics Deutschland GmbH, Hornbergstrasse 49, 70794 Filderstadt, Alemania
Web: darlot.co/datenschutz