Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Cumplimiento · Actualizado 2026-05-05

Videovigilancia en el lugar de trabajo conforme al GDPR / RODO /DSGVO

Una hoja de ruta para el cumplimiento normativo hasta 2026 dirigida a los responsables de RR. HH., operaciones y seguridad que implementan sistemas de videovigilancia en el lugar de trabajo en la UE. El marco legal mínimo es GDPR ; el marco máximo lo constituyen la legislación laboral nacional y la codecisión del comité de empresa, que varía considerablemente entre los Estados miembros.

Las siete obligaciones relativas a la videovigilancia en el lugar de trabajo según GDPR

Base legal. El interés legítimo, según el artículo 6(1)(f), es la única opción realista: el consentimiento no es viable porque los empleados no pueden negarse libremente, y el artículo 6(1)(b) (ejecución del contrato) es demasiado restrictivo. La ponderación de los intereses legítimos debe documentarse y revisarse anualmente.
DPIA (Artículo 35). La videovigilancia en el lugar de trabajo constituye una "vigilancia sistemática a gran escala" y da lugar a una evaluación de impacto en la protección de datos (EIPD) obligatoria en todas las jurisdicciones de la UE. La EIPD documenta la finalidad, el criterio de proporcionalidad, las alternativas consideradas (y los motivos de su rechazo) y las medidas adoptadas para minimizar el impacto.
Transparencia (Artículos 13-14). Antes de su incorporación, se debe informar a cada empleado qué información se registra, dónde, por qué, quién la registra, durante cuánto tiempo y cómo ejercer sus derechos. Un aviso de privacidad en el manual del personal, junto con la señalización en el perímetro, cumple con este requisito.
Retención. El plazo mínimo necesario suele ser de 7 a 30 días. La mayoría de los acuerdos de procesamiento diferido consideran 30 días como el plazo mínimo; un plazo mayor requiere una justificación específica.
Señalización visible. Pictograma + nombre del responsable del tratamiento + contacto + base jurídica + período de retención + contacto del DPO. Colocar en cada punto de acceso y en cada planta de los edificios de varias plantas.
Acceso a los sujetos. Cualquier empleado puede solicitar una copia de las grabaciones en las que aparezca. El plazo de respuesta es de 30 días.
Minimización. FOV de la cámara debe ser el más estrecho que cumpla con el objetivo de seguridad. Las cámaras que apuntan a escritorios, áreas de descanso designadas o que cubren más espacio público del que requiere el objetivo de seguridad no superan esta prueba automáticamente.

Complementos específicos de cada país

Alemania (DSGVO + BDSG + BetrVG). La codecisión del comité de empresa, según el artículo 87(1)(6) de la Ley de Protección de Datos de los Estados Unidos (BetrVG), es obligatoria para cualquier tecnología de monitorización de empleados, incluido el circuito cerrado de televisión (CCTV). El empleador no puede instalar, ampliar ni modificar el sistema sin el consentimiento del comité de empresa. Las autoridades estatales de protección de datos (16 Länder) imponen multas con frecuencia por falta de consulta. El artículo 26 de la Ley Federal de Protección de Datos (BDSG) establece plazos de conservación más estrictos que GDPR general: el límite máximo habitual es de 72 horas.

Polonia ( RODO + Kodeks pracy). El artículo 22² del Código Laboral permite el uso de cámaras de videovigilancia en el trabajo, pero solo para garantizar la seguridad, proteger la propiedad, supervisar la producción o preservar la confidencialidad. Su instalación debe estar regulada en el reglamento interno del lugar de trabajo y notificarse a los empleados con al menos 14 días de antelación. La UODO (Oficina de Control de la Cámara de Trabajo) está cada vez más activa: son frecuentes las multas por señalización inadecuada y retención injustificada de cámaras.

Francia (orientación CNIL + Code du travail). Se requiere la consulta del comité de empresa conforme al artículo L2312-38. La CNIL ha publicado una guía vinculante que limita la retención de grabaciones a 30 días, salvo incidentes específicos. Las cámaras no deben grabar continuamente los puestos de trabajo de los empleados y deben evitar por completo las zonas de descanso. Las multas de la CNIL por infracciones de la normativa sobre videovigilancia en el lugar de trabajo oscilan entre 1000 € y más de 600 000 €.

Italia (Garante + Statuto dei Lavoratori Artículo 4). Uno de los regímenes más estrictos. El artículo 4 del estatuto de los trabajadores prohíbe la instalación de equipos de vigilancia para el control directo de los empleados y exige un convenio colectivo (con el comité de empresa o, en su defecto, la autorización de la Inspección de Trabajo regional) antes de que se pueda implementar cualquier sistema que registre incidentalmente la actividad de los empleados.

Reino Unido ( GDPR del Reino Unido + Ley de Protección de Datos de 2018 + Código de Prácticas Laborales de la ICO). Se recomienda la consulta con el comité de empresa, pero no es obligatoria. El Código de Prácticas Laborales de la ICO se considera una guía autorizada y la aplicación de la Ley de Protección de Datos (DPA) lo cita con frecuencia. El plazo de retención predeterminado es de 30 días; para un plazo mayor se requiere un incidente documentado.

Incumplimientos de normativa comunes (y su coste)

Cámaras de vigilancia en aseos, vestuarios o zonas de descanso: multas automáticas de seis cifras en toda la UE.
Retención indefinida o de más de 90 días sin justificación documentada: multas frecuentes de cinco cifras bajas.
En los centros de trabajo multilingües, la falta de señalización o la señalización en un solo idioma supone un coste típico de entre 5.000 y 25.000 euros.
No contar con una Evaluación de Impacto en la Protección de Datos (EIPD) es un factor que cada vez se considera más agravante y que incrementa la sanción subyacente.
No se realizará consulta al comité de empresa en Alemania, Francia ni Italia; todo el despliegue podría quedar anulado retroactivamente.
La transmisión en directo accesible a los gestores sin registro de acceso infringe los principios de minimización y rendición de cuentas.
La captura de audio sin justificación separada —el audio de las conversaciones en el lugar de trabajo se trata con mayor rigor que el vídeo—.

Una lista de verificación previa al despliegue que se mantiene

Antes de tender el primer cable: (1) redactar el DPIA que cubra el propósito, la proporcionalidad, las alternativas, la minimización FOV y la retención; (2) actualizar el aviso de privacidad y el manual del personal con el nuevo procesamiento; (3) consultar al comité de empresa/sindicato cuando corresponda y obtener un acuerdo por escrito; (4) diseñar el mapa FOV que muestre la cobertura exacta con la prueba de proporcionalidad anotada por cámara; (5) producir señalización en todos los idiomas del lugar de trabajo; (6) definir las reglas de retención y el control técnico que las hace cumplir; (7) designar al custodio del registro de acceso; (8) capacitar al equipo de seguridad sobre el flujo de trabajo de acceso a los sujetos.

CCTVplanner genera (4) directamente: coloca las posiciones de las cámaras en el plano, bloquea los conos FOV, exporta un PDF etiquetado con la anotación de la prueba de proporcionalidad para cada cámara y lo adjunta al apéndice de la DPIA. El revisor de la DPA lee el mismo documento que usted revisó.

Cree el mapa de FOV del lugar de trabajo para su DPIA.

Coloca las cámaras en tu plano, bloquea los conos FOV y exporta el PDF que se incluirá en el apéndice de la Evaluación de Impacto en la Protección de Datos (EIPD). El plan gratuito cubre 1 sitio.

Referencia RODO / GDPR →

Nuestra guía completa para operadores de CCTV en la UE.

Caso de uso de CCTV industrial →

Sistema de videovigilancia a nivel de planta con minimización del campo de visión FOV adaptada a las normativas del comité de empresa.