CCTVplanner.io
    CumplimientoLectura de 15 minutos

    Software de origen ruso en proyectos de videovigilancia de la UE (2026): Cumplimiento, sanciones y revisión de adquisiciones.

    Un análisis objetivo y centrado en la contratación pública para diseñadores, integradores y autoridades contratantes de la UE que se plantean la misma pregunta recurrente en 2026: ¿cómo se aplican las normas de origen, sanciones y residencia de datos cuando se utiliza software de diseño de CCTV? Este artículo resume el marco normativo disponible públicamente. No constituye asesoramiento jurídico; toda decisión de contratación concreta debe ser confirmada por un asesor jurídico especializado en materia de contratación.

    Importante: esta es una reseña objetiva, no un asesoramiento legal.

    Las sanciones, los controles de exportación y las normas de contratación pública cambian con frecuencia y se interpretan de manera diferente en los Estados miembros de la UE. El contenido de este artículo no debe considerarse asesoramiento jurídico para ninguna transacción específica. Para resoluciones vinculantes, consulte con un abogado especializado en contratación pública en la jurisdicción correspondiente. Las referencias a normas, reglamentos y jurisprudencia de dominio público son correctas según nuestro leal saber y entender a fecha de mayo de 2026.

    Tabla de contenidos

    Por qué esta pregunta es importante en la contratación pública de la UE en 2026.

    Desde 2022, la UE ha adoptado varios paquetes de sanciones sucesivos contra Rusia, junto con una evolución paralela de las normas de contratación pública de los Estados miembros. El efecto acumulativo en la adquisición de software ha sido considerable: las autoridades contratantes que antes no preguntaban por el origen del software ahora incluyen de forma rutinaria requisitos de divulgación de origen en la fase de cualificación, y las ofertas que no pueden demostrar un origen no sancionado suelen ser descartadas antes de la revisión comercial.

    El software de diseño de sistemas de videovigilancia (CCTV) se sitúa en una categoría de riesgo particular, ya que los elementos que genera —planos, ubicación de cámaras, topología de red, BOM son sensibles tanto desde el punto de vista de la seguridad como del operativo. Incluso cuando un instrumento de sanciones no abarca explícitamente una herramienta de planificación de CCTV en concreto, las autoridades contratantes suelen adoptar una postura de precaución, especialmente en defensa, administración pública, infraestructuras críticas y grandes proyectos sanitarios o de transporte.

    Este artículo es la explicación que nos hubiera gustado tener cuando los clientes integradores empezaron a preguntarnos sobre el origen del software en las respuestas a las licitaciones. Es descriptivo, no prescriptivo; su propósito es presentar el marco de trabajo en un lenguaje sencillo para que un diseñador de CCTV pueda formular las preguntas adecuadas a su asesor de compras, en lugar de sustituir esa conversación.

    El marco actual de sanciones de la UE: resumen de alto nivel

    Las medidas restrictivas de la UE contra Rusia se implementan mediante reglamentos del Consejo publicados en el Diario Oficial de la Unión Europea y actualizados mediante sucesivos paquetes de enmiendas. El marco se basa en tres pilares generales relevantes para la adquisición de software.

    Tres pilares relevantes para el software

    • Controles de exportación. Restricciones al suministro a Rusia de determinados bienes, servicios, tecnología y software, con especial atención a los sectores de doble uso, defensa y ciertas categorías industriales.
    • Sanciones financieras. Congelación de activos y prohibición de poner fondos o recursos económicos a disposición de personas y entidades incluidas en la lista. La prueba de "propiedad y control" depende de las circunstancias específicas de cada caso y se aplica incluso cuando un proveedor no figura en la lista, pero es propiedad de una entidad que sí figura en ella o está bajo su control.
    • Filtros de contratación pública. Las disposiciones del Reglamento (UE) 833/2014 del Consejo (en su versión modificada) que prohíben la adjudicación de contratos públicos a determinadas personas y entidades rusas, han sido transpuestas y complementadas de diversas maneras por la legislación de contratación pública de los Estados miembros.

    Además del marco normativo de la UE, Estados miembros como Alemania, Francia, Polonia, los países nórdicos y los países bálticos han introducido sus propias normas de contratación pública con criterios más estrictos. Como resultado, un mismo proveedor puede ser aceptable en una jurisdicción de la UE y descartado en otra, incluso cuando ningún instrumento lo menciona explícitamente. Por consiguiente, los equipos de contratación tienden a aplicar la normativa más estricta del Estado miembro como referencia interna.

    Parte estadounidense: Órdenes ejecutivas NDAA §889 y del ICTS

    Por parte de Estados Unidos, dos instrumentos son citados habitualmente incluso por los funcionarios de adquisiciones de la UE como referencias informales. NDAA §889 (Ley de Autorización de Defensa Nacional John S. McCain para el Año Fiscal 2019) prohíbe a las agencias federales y a los contratistas federales comprar o utilizar equipos de telecomunicaciones y videovigilancia específicos de determinados fabricantes chinos. Las órdenes ejecutivas sobre Tecnologías de la Información y las Comunicaciones (TIC), principalmente la Orden Ejecutiva 13873 y sus sucesoras, otorgan al Departamento de Comercio de Estados Unidos amplia autoridad para revisar transacciones que involucren a adversarios extranjeros.

    Ninguno de estos instrumentos se aplica legalmente a una contratación pública típica de la UE. Sin embargo, se utilizan con frecuencia como plantilla en los procesos de contratación. Una autoridad contratante de la UE que elabore una licitación de CCTV en 2026 suele exigir al proveedor que declare que su software, alojamiento y personal no quedarían excluidos en virtud de normas equivalentes al artículo 889, incluso cuando dicho artículo sea irrelevante para el contrato. Los proveedores que no puedan realizar esta declaración se encuentran en desventaja competitiva, independientemente de la legalidad subyacente de su oferta.

    Impacto directo de la contratación pública en el software de diseño de CCTV

    Las categorías que se detallan a continuación son las cuatro en las que observamos que surgen con mayor frecuencia preguntas sobre el origen del software en los proyectos de videovigilancia de la UE de 2026.

    Licitaciones del sector público

    Las licitaciones gubernamentales, de defensa, sanidad y educación incluyen cada vez más cláusulas explícitas de divulgación del origen del software. El detonante suele ser una de las disposiciones de filtrado de contratación mencionadas anteriormente, aplicada mediante transposición nacional. Incluso cuando el umbral legal es discutible, en la práctica, las ofertas que no pueden demostrar un origen aceptable se descartan en la fase de calificación. Los diseñadores que respondan a licitaciones del sector público en 2026 deberán prever la necesidad de realizar declaraciones afirmativas sobre el origen de cada herramienta de software utilizada en el proceso de diseño, no solo del propio hardware de vigilancia.

    Contratos de infraestructura crítica

    La contratación pública en los sectores de energía, transporte, banca y agua se rige por la Directiva NIS2 (Directiva (UE) 2022/2555) y normas sectoriales superpuestas. Si bien la Directiva NIS2 se basa en el riesgo y no en el origen, las evaluaciones de riesgo resultantes suelen identificar el origen de la cadena de suministro como un factor relevante, y los operadores de servicios esenciales lo han incorporado a sus marcos de contratación. El nivel de exigencia para demostrar el origen del software en proyectos de infraestructura crítica es significativamente mayor que en la contratación pública general.

    Auditorías de cumplimiento para empresas privadas

    Las grandes empresas con sus propios marcos de ESG, cadena de suministro o riesgo cibernético auditan periódicamente a sus proveedores y subproveedores. Incluso sin una licitación específica, un integrador que utilice software cuyo origen no se pueda verificar puede ser excluido de la lista de proveedores preferentes durante una revisión anual. Esta dinámica se aceleró notablemente entre 2024 y 2025 y continúa en 2026.

    Colaboraciones de integración transfronteriza

    Los integradores con operaciones tanto en la UE como fuera de ella se enfrentan a una complejidad adicional debido a las diferencias en los estándares de contratación pública. Una herramienta aceptable para un proyecto comercial privado en una jurisdicción puede no cumplir con los requisitos de contratación para un proyecto público en otra jurisdicción. Muchos integradores han solucionado este problema estandarizando el uso de herramientas de origen comunitario para todos sus proyectos, lo que simplifica la respuesta a cualquier licitación futura, independientemente de su ubicación.

    Cómo los compradores verifican el origen del software

    Un funcionario de compras que realiza una verificación de origen cuenta con un conjunto de herramientas bastante estándar. Ninguna de estas verificaciones por sí sola prueba el origen; todas ellas reconstruyen una imagen triangulada a partir de información pública.

    • Registro WHOIS del dominio del proveedor: país del registrador, organización registrante, ASN del servidor de nombres.
    • El proveedor debe revelar el nombre de su entidad legal, el país de registro y el número de identificación fiscal, lo cual suele ser un requisito para la calificación.
    • Revisión del proveedor de alojamiento: la región de la nube donde se ejecuta físicamente la infraestructura SaaS, lo cual se evidencia mediante una certificación o un acuerdo de alojamiento con un tercero.
    • Documentos corporativos públicos: registros de beneficiarios finales, estructura de la empresa matriz y cualquier referencia cruzada a listas de sanciones.
    • Certificación de la cadena de suministro: una declaración escrita del proveedor que describe dónde se diseña, aloja y recibe soporte el software, e indica los nombres de los subprocesadores.

    En el caso de adquisiciones de alto riesgo (defensa, infraestructura crítica), la evaluación puede incluir la procedencia del código fuente, pruebas de seguridad realizadas por terceros y una opinión legal independiente. El coste marginal de esta evaluación de nivel superior no es insignificante, y las autoridades contratantes generalmente solo la encargan cuando el valor o la sensibilidad del contrato lo justifican.

    Ángulo de transferencia a terceros países GDPR

    Los artículos 44 a 49 GDPR regulan la transferencia de datos personales a países fuera del Espacio Económico Europeo. Por lo general, dicha transferencia está prohibida a menos que se aplique alguna de las garantías especificadas: una decisión de adecuación de la Comisión Europea, un mecanismo de transferencia aprobado, como cláusulas contractuales tipo con medidas complementarias adecuadas, o una excepción para situaciones específicas.

    El Tribunal de Justicia de la Unión Europea, en el asunto Schrems II (C-311/18, 2020), dejó claro que las cláusulas contractuales estándar deben complementarse con una evaluación del impacto de la transferencia que tenga en cuenta la legislación del país de destino y si esta ofrece una protección esencialmente equivalente. Rusia no figura en la lista de países con protección equivalente de la Comisión Europea, y la interpretación predominante es que lograr una protección "esencialmente equivalente" para las transferencias a Rusia resulta difícil dado el marco jurídico vigente. En consecuencia, cualquier herramienta de diseño de sistemas de videovigilancia que transmita datos personales a servidores en Rusia o a entidades bajo jurisdicción rusa se enfrenta a una importante carga de evaluación del impacto de la transferencia, algo que las herramientas alojadas en la UE no tienen.

    En los proyectos de videovigilancia, esto es importante porque las herramientas de diseño manejan datos personales con más frecuencia de lo que la gente cree: metadatos del proyecto, información del sitio del cliente final, direcciones de correo electrónico de la cuenta, contenido de los tickets de soporte. Un comprador que se tome en serio GDPR querrá tener la seguridad de que ninguno de esos datos sale de la UE/EEE de una manera que active el escrutinio del Capítulo V.

    ¿Por qué existe CCTVplanner? — Alojado en la UE, desarrollado en la UE

    CCTVplanner es operado por DEFENSAR, empresa registrada en Polonia, con el frontend alojado en Polonia y el backend en una infraestructura de nube de la UE. Esto explica el lema "100 % diseñado y alojado en la UE": la entidad legal, el desarrollo y el alojamiento se encuentran dentro de la Unión Europea, y la arquitectura predeterminada no incluye subprocesadores de terceros países.

    Para los equipos de compras, esto se traduce en una respuesta breve y concisa a las preguntas sobre el origen y la divulgación de los datos descritas anteriormente. No hay subprocesadores con jurisdicción rusa, china o estadounidense en ningún punto de la cadena de datos. No existe ninguna carga de evaluación del impacto de la transferencia según el Capítulo V GDPR, ya que los datos no salen de la UE. No hay ningún factor de exclusión equivalente al §889 en la cadena de suministro. La arquitectura UE-by-default, en la que confían integradores de todo el mundo, es la característica que más se menciona en las conversaciones sobre compras en 2026.

    La postura de la UE en un párrafo

    • La entidad operativa DEFENSAR está registrada y tiene su domicilio fiscal en Polonia.
    • El frontend está alojado en Polonia; el backend en la nube de la región de la UE (eu-west).
    • La arquitectura predeterminada no incluye subprocesadores de datos de terceros países.
    • Cumple con GDPR por defecto: no se requiere una evaluación de impacto de la transferencia por separado para los compradores de la UE.

    La realidad del "cambio de JVSG "

    Una pregunta práctica que nos hacen los integradores en 2026 es: «Estamos satisfechos con nuestra herramienta actual de diseño de CCTV, pero el equipo de compras ha señalado la divulgación del origen del software como un riesgo. ¿Cómo sería la transición?». La respuesta es principalmente mecánica: exportar el plano a DXF, importarlo a CCTVplanner, reubicar las cámaras de un catálogo de más de 23 025 modelos, ajustar los umbrales DORI, redirigir el cableado y exportar el PDF resultante de varias páginas. Hemos elaborado una guía paso a paso en la guía de migración que se enlaza a continuación. Ninguno de los pasos es particularmente difícil. La parte más difícil suele ser la decisión de realizar el cambio, no el cambio en sí.

    En el caso específico de los cambios impulsados por las compras, recomendamos documentar la transición por escrito: el evento desencadenante, las alternativas evaluadas, la herramienta de reemplazo elegida y la fecha en que la herramienta actual se retira del flujo de trabajo. Tanto los asesores de compras como los auditores ESG valoran las decisiones documentadas, y un registro escrito de la transición es un elemento común en los informes de debida diligencia.

    Aviso legal final

    Este artículo es un análisis objetivo basado en normas, reglamentos y jurisprudencia disponibles públicamente a mayo de 2026. No constituye asesoramiento jurídico ni sustituye el asesoramiento de un abogado especializado en contratación pública en su jurisdicción. Las sanciones, los controles de exportación y las normas de contratación pública evolucionan con frecuencia y se interpretan de forma diferente en los Estados miembros de la UE. Toda decisión de contratación pública debe ser confirmada por un abogado familiarizado con la autoridad contratante, el sector y la jurisdicción específicos en cuestión.

    Ninguna declaración en este artículo pretende menospreciar a ningún país, empresa o categoría de proveedor. El objetivo es describir el marco de adquisiciones tal como lo experimentarán los compradores en 2026, para que los integradores puedan preparar propuestas y diseñar flujos de trabajo que superen la etapa de calificación.

    Preguntas frecuentes

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Artículos relacionados

    CCTVplanner contra JVSG

    Comparación paralela que incluye la postura sobre la residencia de los datos.

    Migración desde JVSG : Guía de migración 2026

    Guía paso a paso para una transición impulsada por las adquisiciones.

    El mejor software gratuito para el diseño de sistemas de videovigilancia (2026)

    Las opciones gratuitas han sido verificadas en cuanto a su origen en la UE y su cumplimiento con GDPR.

    EN 62676-4 : 2025 Actualización OODPCVS (2026)

    Actualización normativa relativa al lenguaje de contratación pública de la UE.

    Calculadora DORI

    Calculadora web alojada en la UE, no requiere instalación.

    Calculadora EN 62676-4

    Recomendación de lentes que cumple con los estándares, alojada en la UE.

    ← Volver al blog

    © 2026 CCTVplanner. © 2026 CCTVplanner. Todos los derechos reservados.