🔥 Flame Analytics estará en Retail Forum 2026. ¡Nos vemos allí!
logo_flame.png
Solicita una Demo

RGPD y Video analítica: Guía para centros comerciales

RGPD y video-analítica: guía completa de compliance para centros comerciales con Flame Hypersensor

Tu centro comercial necesita datos de tráfico para optimizar operaciones, negociar con operadores y justificar inversiones. Pero cada cámara que instalas abre una pregunta incómoda: ¿estamos cumpliendo con el RGPD? La paradoja es real: los retailers que más datos necesitan son los que más riesgo regulatorio asumen. Esta guía te explica exactamente qué puedes medir, qué no, y cómo implementar video-analítica sin que tu DPO pierda el sueño.

📅 Marzo 2026
⏱ 14 min lectura
📊 Fuentes: RGPD, LOPDGDD, EU AI Act, AEPD, EDPB
1.200M€
en multas RGPD
acumuladas (2018-2025)
Art. 9
prohíbe tratar
datos biométricos
0
datos biométricos
con Hypersensor

La paradoja del compliance: necesitas datos, temes la multa

Los centros comerciales operan en un entorno cada vez más competitivo. El ecommerce captura cuota de mercado y los propietarios necesitan demostrar valor a operadores y marcas con datos objetivos: tráfico real, tasas de conversión, tiempos de permanencia, mapas de calor por zonas.

Al mismo tiempo, el marco regulatorio europeo se ha endurecido. El RGPD lleva en vigor desde 2018, la LOPDGDD española desde ese mismo año, y el EU AI Act — vigente desde agosto de 2024 — añade una capa adicional específica para sistemas de IA en espacios públicos. El resultado: muchos retailers paralizan proyectos de analítica por miedo a equivocarse.

Pero la realidad es que el RGPD no prohíbe la video-analítica. Lo que prohíbe es el tratamiento de datos personales sin base legal. Y ahí está la clave: no toda analítica de vídeo genera datos personales. Entender esta distinción es lo que separa a los centros comerciales que aprovechan la tecnología de los que la temen.

Dato clave: Según la AEPD, la videovigilancia con fines de seguridad tiene base legal en el interés legítimo. Pero cuando añades analítica — conteo, heatmaps, perfilado — la base legal cambia según el tipo de datos que extraigas. La diferencia entre datos agregados anónimos y datos personales identificables determina todo tu framework de compliance.

RGPD y video-analítica: qué aplica y qué no

El Reglamento General de Protección de Datos regula el tratamiento de datos personales. Según el artículo 4, un dato personal es cualquier información que permita identificar directa o indirectamente a una persona física. El artículo 9 va más allá: prohíbe expresamente el tratamiento de categorías especiales de datos, entre las que se incluyen los datos biométricos dirigidos a identificar de manera unívoca a una persona.

Para la video-analítica en centros comerciales, esto se traduce en tres escenarios claramente diferenciados:

Tipo de dato Ejemplo ¿Es dato personal? Artículo RGPD
Datos agregados anónimos “527 personas entraron entre 10:00-11:00” No Fuera de ámbito RGPD
Datos pseudoanónimos con tracking “Visitante #A47 pasó 8 min en zona B” Zona gris — depende de la reversibilidad Art. 6 (interés legítimo o consentimiento)
Datos biométricos identificativos “Mujer, 35 años, ha visitado 3 veces” Sí — categoría especial Art. 9 (prohibido salvo excepciones)

El primer escenario — datos agregados anónimos — no está sujeto al RGPD. Si tu sistema de video-analítica produce exclusivamente conteos, flujos y mapas de calor sin posibilidad de identificar o reidentificar a individuos, el reglamento simplemente no aplica. Este es el espacio en el que opera la analítica de vídeo CCTV basada en IA sin biometría.

La línea de la biometría: por qué muchos retailers la cruzan sin saberlo

Aquí es donde la mayoría de centros comerciales cometen errores. No porque quieran infringir la ley, sino porque no entienden dónde está el límite. Veamos las funcionalidades que cruzan la línea:

Reconocimiento facial
Identifica individuos por rasgos faciales. Dato biométrico directo. Prohibido en espacios públicos por el EU AI Act salvo excepciones de seguridad nacional.
Estimación de edad y género
Aunque sea “estimación”, la AEPD ha dictaminado que inferir características demográficas de la imagen facial constituye tratamiento de datos biométricos. Varios proveedores de analítica ofrecen esta función como estándar.
Re-identificación (Re-ID)
Seguir al mismo individuo entre múltiples cámaras usando características de apariencia (ropa, complexión, accesorios). El EDPB considera que si el sistema puede vincular trayectorias a un individuo concreto, se genera un dato personal.
Análisis emocional
Inferir emociones (satisfacción, frustración) desde expresiones faciales. Explícitamente prohibido por el EU AI Act en el lugar de trabajo y espacios educativos, y severamente restringido en retail.

Alerta: Muchos proveedores de analítica incluyen estimación de edad/género como función “por defecto” en sus dashboards. Si tu sistema la tiene activada — incluso si no la consultas — estás tratando datos biométricos y necesitas una base legal que probablemente no tienes.

3 niveles de compliance en video-analítica

No todas las implementaciones de video-analítica son iguales. Dependiendo de la tecnología que utilices, tu nivel de exposición regulatoria cambia radicalmente:

Nivel Tecnología Datos generados Riesgo RGPD Requisitos legales
Nivel 1: CCTV básico Cámaras de seguridad sin analítica Grabación de vídeo Medio Cartel informativo, registro de actividades, EIPD si escala es grande
Nivel 2: Analítica con biometría IA con reconocimiento facial, edad, género o Re-ID Datos personales y/o biométricos Muy alto Consentimiento explícito, EIPD obligatoria, DPO, registro AEPD, base legal Art. 9
Nivel 3: Analítica privacy-first IA con detección de siluetas, sin biometría Datos agregados y anónimos Mínimo Cartel de videovigilancia (por las cámaras), sin requisitos adicionales por la analítica

La diferencia es crítica. Un centro comercial que opera en Nivel 3 obtiene los mismos insights operativos (tráfico, flujos, zonas calientes, tiempos de permanencia, tasas de conversión) con una fracción del coste legal y regulatorio. No necesita consentimiento explícito para la analítica, no necesita Evaluación de Impacto específica por ese motivo, y no tiene riesgo de sanción por tratamiento indebido de datos biométricos.

Comparativa analítica biométrica vs privacy-first Hypersensor para compliance RGPD en retail

El enfoque Hypersensor: analítica completa sin biometría

Flame Analytics desarrolló Hypersensor precisamente para resolver esta paradoja. Es un motor de inteligencia artificial que procesa el vídeo de cámaras CCTV existentes y extrae métricas de negocio completas — sin recopilar, procesar ni almacenar ningún dato biométrico.

¿Cómo es posible obtener datos útiles sin identificar personas? Porque la mayoría de decisiones de negocio en retail no requieren saber quién es el visitante, sino cuántos hay, dónde van y cuánto tiempo se quedan. Y eso se puede medir con detección de siluetas y tracking anónimo.

Conteo bidireccional por entrada, planta y zona — con precisión >95%
Mapas de calor que muestran las zonas más transitadas y los puntos muertos
Tiempos de permanencia por zona, sin vincularlos a ningún individuo
Flujos de circulación entre zonas — patrones de movimiento agregados
Tasas de conversión por operador (entradas tienda / tráfico pasillo)
Detección de colas y tiempos de espera en tiempo real
Procesamiento edge — el vídeo se analiza en local, nunca sale del centro

Diferenciador clave: Más de 50 centros comerciales en España, México, Chile, Panamá, República Checa y UK ya utilizan Hypersensor. Clientes como IKEA, Decathlon y Cushman & Wakefield confían en este enfoque porque obtienen todos los datos de tráfico que necesitan con cero riesgo regulatorio. Sin consentimientos adicionales, sin evaluaciones de impacto por biometría, sin almacenamiento de datos personales.

Si buscas entender en detalle cómo funciona el sistema de cuenta personas sobre el que se construye Hypersensor, consulta nuestra guía completa.

Cómo funciona Flame Hypersensor: pipeline de 4 pasos sin biometría para compliance RGPD

Checklist: 15 puntos para RGPD compliance en video-analítica

Independientemente del sistema que utilices, estos son los 15 puntos que todo centro comercial debe verificar antes de implementar o auditar su sistema de video-analítica:

1Inventario de cámaras y finalidad: documenta cada cámara, su ubicación y si se usa para seguridad, analítica o ambas.
2Base legal definida: identifica si operas con interés legítimo (seguridad), consentimiento (biometría) o no necesitas base legal (datos anónimos).
3Cartelería de videovigilancia: visible en todos los accesos, conforme al modelo de la AEPD (responsable, finalidad, derechos).
4Registro de actividades de tratamiento: incluir la video-analítica en el registro interno (Art. 30 RGPD).
5Evaluación de Impacto (EIPD): obligatoria si hay tratamiento sistemático a gran escala de datos personales. En un centro comercial con analítica avanzada, casi siempre aplica — salvo que uses exclusivamente datos anónimos.
6Verificar funcionalidades biométricas: revisa si tu sistema incluye estimación de edad, género, reconocimiento facial o Re-ID — incluso si no las usas, si están activas estás tratando datos.
7Contrato de encargado de tratamiento: si usas un proveedor externo de analítica, necesitas un contrato conforme al Art. 28 RGPD.
8Transferencias internacionales: ¿el vídeo o los datos se procesan fuera de la UE? Si sí, necesitas mecanismos de transferencia válidos (cláusulas contractuales tipo, decisión de adecuación).
9Minimización de datos: recoge solo lo necesario. Si necesitas conteos, no almacenes imágenes de rostros.
10Limitación de conservación: las grabaciones de videovigilancia deben eliminarse en 30 días máximo (criterio AEPD). Los datos analíticos anónimos no tienen esta restricción.
11Seguridad del procesamiento: cifrado en tránsito y en reposo, control de acceso al NVR y al servidor de analítica, logs de auditoría.
12Derechos de los interesados: garantiza que los visitantes puedan ejercer acceso, rectificación, supresión y oposición. Si tus datos son anónimos, estos derechos no aplican (no hay interesado identificable).
13Privacy by design: la protección de datos debe estar integrada desde el diseño del sistema, no añadida después.
14Formación del equipo: asegúrate de que el personal que accede al sistema entiende qué datos son sensibles y cuáles no.
15Auditoría periódica: revisa el cumplimiento al menos una vez al año. La tecnología cambia, las actualizaciones de software pueden activar funcionalidades nuevas que no tenías contempladas.

Consejo práctico: Si operas con un sistema privacy-first como Hypersensor (Nivel 3), los puntos 5, 6, 8, 10 y 12 se simplifican drásticamente o no aplican. Eso no significa que puedas ignorarlos — significa que tu respuesta a cada uno será “no aplica porque no tratamos datos personales”, lo cual es la mejor posición posible ante una inspección.

Errores comunes que llevan a sanciones

Las sanciones de la AEPD y otras autoridades europeas de protección de datos no suelen llegar por casos extremos. Llegan por errores que parecen menores pero que demuestran falta de diligencia:

1

Cartelería insuficiente o ausente
La AEPD sancionó a Mercadona con 2,5 millones de euros (PS/00120/2021) en parte por instalar un sistema de reconocimiento facial sin información adecuada a los clientes. Incluso para CCTV básico, la cartelería es obligatoria.

2

Funcionalidades biométricas activadas “por defecto”
Algunos proveedores incluyen estimación demográfica como función estándar. Si no la desactivas explícitamente, estás tratando datos biométricos. Y “no sabíamos que estaba activada” no es una defensa válida ante la AEPD.

3

Conservar grabaciones más de 30 días
El criterio de la AEPD es claro: 30 días máximo para grabaciones de videovigilancia. Se han impuesto multas de hasta 50.000€ a negocios que mantenían archivos de meses.

4

No realizar la Evaluación de Impacto
Si tratas datos personales a gran escala mediante videovigilancia, la EIPD es obligatoria. La autoridad francesa (CNIL) multó a Clearview AI con 20 millones de euros por, entre otras cosas, no haber realizado evaluación de impacto.

5

Compartir datos con terceros sin contrato
Enviar datos de tráfico a operadores, marcas o consultoras sin un contrato de encargado de tratamiento adecuado viola el Art. 28. Es un error especialmente común en centros comerciales que comparten informes con sus inquilinos.
Sanciones reales RGPD: Mercadona 2.5M, Clearview AI 20M, Rite Aid 25M vs Flame Hypersensor

Preguntas frecuentes

¿La video-analítica necesita consentimiento del visitante?
Depende del tipo de datos. Si el sistema produce exclusivamente datos agregados y anónimos (conteos, heatmaps, flujos) sin posibilidad de identificar a individuos, no se trata de datos personales y por tanto no necesitas consentimiento ni ninguna base legal del RGPD. Si el sistema utiliza biometría (reconocimiento facial, edad, género), necesitas consentimiento explícito del interesado conforme al Art. 9.
¿Puedo usar mis cámaras CCTV para analítica sin cambiar nada?
Técnicamente sí, si utilizas un sistema como Hypersensor que se conecta al flujo de vídeo existente. Legalmente, debes actualizar tu cartelería y registro de actividades para reflejar la nueva finalidad (analítica además de seguridad). Si el sistema no usa biometría, los requisitos adicionales son mínimos.
¿Qué dice el EU AI Act sobre video-analítica en centros comerciales?
El EU AI Act clasifica los sistemas de identificación biométrica remota en espacios públicos como de alto riesgo o prohibidos. Sin embargo, los sistemas de analítica que no realizan identificación biométrica — como el conteo de personas o la generación de mapas de calor mediante detección de siluetas — no entran en esta clasificación restrictiva.
¿Es legal medir el tiempo de permanencia de los visitantes?
Sí, siempre que la medición sea anónima y agregada. Un sistema que mide “tiempo medio de permanencia en zona A: 4,2 minutos” con datos estadísticos no trata datos personales. Un sistema que registra “el visitante con ID #X47 permaneció 4,2 minutos” genera un dato potencialmente personal dependiendo de si ese ID puede vincularse a una persona.
¿Qué multas se han impuesto por video-analítica no conforme?
Las más relevantes incluyen: Mercadona — 2,5M€ por reconocimiento facial en tiendas (AEPD, 2021); Clearview AI — 20M€ por la CNIL francesa; la cadena de tiendas Rite Aid en EEUU, obligada a cesar el uso de reconocimiento facial por la FTC en 2023. En todos los casos, el denominador común fue el uso de biometría sin base legal adecuada.

Obtén todos los datos de tráfico que necesitas. Sin riesgo regulatorio.

Más de 50 centros comerciales ya confían en Hypersensor para medir tráfico, flujos y conversión sin biometría. Descubre cómo hacerlo en tu centro.

Solicita una demo gratuita