Is a CCTV pictogram alone enough under GDPR?

No. The pictogram is the layered approach's first level — the second level (controller name, contact, lawful basis, retention, DPO contact, link to full privacy notice) must be available either on the same sign or on a clearly visible companion sign nearby. The European Data Protection Board's 3/2019 guidance explicitly requires this two-level approach for any CCTV deployment processing personal data.

Can I use one sign for multiple cameras?

Yes, if the sign is positioned at every entry point to the monitored area and is visible before a person enters the camera coverage. For large sites with multiple zones (parking + lobby + corridors), a sign at each zone boundary is the safe pattern. A single sign at the main entrance is insufficient for visitors who enter via secondary doors.

What size and material should the sign be?

GDPR doesn't mandate a specific size, but DPAs across the EU consistently fine for signs that are too small or too high to be read at the natural approach distance. Practical rule: pictogram must be readable from 5 m, second-level text from 1.5 m. UV-stable PVC or aluminium dibond is standard for outdoor durability. Avoid laminated paper — sun and rain make it unreadable within months and the DPA treats illegible signs as no signage.

Do I need to translate the sign?

Yes, into every language a visitor would reasonably understand. In a tourist area or international airport that's typically English plus the national language. For workplace CCTV, every working language at the site. Single-language signs in multilingual contexts have been fined as inadequate notice. The pictogram itself is universal but the second-level text needs translation.

Cumplimiento · Señalización · Actualizado 2026-05-05

Requisitos de señalización y pictogramas para sistemas de videovigilancia (CCTV) GDPR

Un pictograma en la puerta no constituye, por sí solo, una señalización de videovigilancia que cumpla con GDPR. La guía del Comité Europeo de Protección de Datos (CEPD) sobre el enfoque por capas exige un primer nivel (pictograma + información crítica mínima) y un segundo nivel (aviso de privacidad completo, accesible desde la misma ubicación). La mayoría de las medidas coercitivas para sistemas de videovigilancia residenciales y de pequeñas empresas comienzan con un fallo en la señalización, no con el procesamiento subyacente de los datos.

El contenido obligatorio de la señalización de primer nivel

Pictograma — El icono universal de la cámara de videovigilancia, lo suficientemente grande como para poder leerse a una distancia de aproximación de 5 metros.
Identidad del controlador — "El nombre legal del operador (empresa, domicilio particular, organismo público). No basta con indicar únicamente 'propietario'."
Contacto — Como mínimo, una dirección de correo electrónico; lo ideal es tener un número de teléfono o una dirección postal.
Objetivo — Breve descripción del propósito de seguridad (por ejemplo, "protección de la propiedad", "prevención del robo").
Base legal — Normalmente, "Artículo 6(1)(f) GDPR — interés legítimo"; en contextos laborales, añadir la referencia pertinente de la legislación laboral.
Período de retención — en días, por ejemplo, "imágenes conservadas durante 30 días".
Aviso de derechos — Una breve declaración que indique que los interesados pueden ejercer sus derechos GDPR, junto con el enlace o la información de contacto para hacerlo.
Contacto del DPO — Obligatorio para las organizaciones que hayan designado uno; opcional para propietarios de viviendas y pequeñas empresas.
Referencia al aviso de privacidad completo — URL o código QR que enlaza con el aviso de segundo nivel.

Complementos específicos de cada país

Polonia (directrices de RODO + UODO). El pictograma debe incluir el nombre y la dirección legal completos del responsable del tratamiento, el período de conservación en días y una referencia al catálogo de derechos GDPR. La UODO ha multado a los operadores por no incluir la dirección del responsable del tratamiento y por utilizar declaraciones de conservación que solo hacen referencia al "período necesario".

Alemania (RGPD + directrices de las autoridades de protección de datos estatales). Cada autoridad de protección de datos estatal publica su propia plantilla; el mínimo a nivel federal incluye: responsable del tratamiento, contacto, finalidad, base jurídica, plazo de conservación, derechos y responsable de protección de datos (DPO). Las autoridades de protección de datos de Baviera y Baden-Württemberg han sido especialmente estrictas en cuanto a la especificidad del plazo de conservación: "30 días" es aceptable, "el tiempo que sea necesario" no lo es.

Italia (plantilla Garante). Garante publica un pictograma vinculante y una plantilla de segundo nivel. La señalización de las cámaras de videovigilancia en el lugar de trabajo debe incluir, además, una referencia al convenio colectivo o a la autorización de la Inspección de Trabajo, de conformidad con el artículo 4 del Estatuto de los Trabajadores.

España (plantilla AEPD). La AEPD proporciona un pictograma descargable y un modelo de aviso de segundo nivel. Ambos son prácticamente obligatorios; en caso de desviación, el responsable debe demostrar una transmisión de información equivalente o superior.

Reino Unido (Código de Prácticas Laborales de la ICO + Código de buenas prácticas del Comisionado de Cámaras de Vigilancia). La ICO no publica una plantilla de señalización vinculante, pero su Código de Prácticas Laborales se considera de referencia. El Código de buenas prácticas del Comisionado de Cámaras de Vigilancia añade puntos sobre buenas prácticas para los operadores (señalización visible desde el acceso, en inglés y otros idiomas relevantes, y revisión periódica de su legibilidad).

Dónde colocar los letreros

En cada punto de acceso a la zona vigilada, antes de que el visitante entre en el FOV de la cámara. Para una tienda con una sola entrada, un cartel en la puerta. Para un aparcamiento con tres entradas para vehículos y una puerta peatonal, un mínimo de cuatro carteles. Para un edificio de oficinas de varias plantas, carteles en cada planta, en las entradas de los ascensores y las escaleras.

El letrero debe estar a la altura natural de los ojos (1,5–2,0 m) y no debe estar oculto por vegetación, estanterías, vehículos estacionados ni decoraciones de temporada. Las autoridades de protección de datos de toda la UE suelen multar por letreros que, aunque técnicamente presentes, resultan prácticamente invisibles.

Para el servicio de venta minorista y estacionamiento con autoservicio, coloque el primer letrero en la barrera de entrada donde se detienen los vehículos, y el segundo letrero en la entrada de la fila de estacionamiento. El conductor debe haber leído el letrero antes de ser captado por la cámara.

Mantenimiento: el modo de fallo silencioso

Los letreros exteriores se deterioran. Los rayos UV decoloran el pictograma, la lluvia borra la tinta y el vandalismo los elimina. Inspeccione los letreros trimestralmente, fotografíelos y registre la inspección. Un letrero que cumplía con la normativa al momento de la instalación, pero que era ilegible al momento de la queja, se considera como si no existiera. Garante, UODO y AEPD han impuesto multas por casos de letreros que cumplían con la normativa al momento de la instalación, pero que se encontraban deteriorados al momento de la auditoría.

Genere un plano de ubicación de señales con el diseño de su sistema de videovigilancia.

CCTVplanner exporta un mapa de FOV por cámara que puedes usar para identificar cada punto de entrada que necesita señalización. La versión gratuita cubre 1 sitio.

Referencia completa RODO / GDPR →

Nuestra referencia completa sobre el cumplimiento normativo de los controladores de CCTV.

Cámaras de videovigilancia en el lugar de trabajo según GDPR →

Evaluación de impacto en la protección de datos (EIPD), comité de empresa, normas de retención para la supervisión de los empleados.