EIPD Robots de Seguridad: Plantilla y Matriz

Este artículo entrega una plantilla operativa para la Evaluación de Impacto en la Protección de Datos (EIPD) en el uso de robots de patrulla en la vigilancia industrial. Está dirigido al delegado de protección de datos del operador y no sustituye un dictamen jurídico individual. La estructura sigue la práctica de unos 40 procedimientos EIPD que acompañamos entre 2023 y 2025 para emplazamientos KRITIS e industriales.

EIPD robots de seguridad: cuándo es obligatoria

El art. 35 RGPD obliga al responsable a realizar la evaluación de impacto cuando un tratamiento previsiblemente implique un riesgo alto para los derechos y libertades de las personas físicas. Esto aplica en particular a la vigilancia sistemática a gran escala y a las nuevas tecnologías (contexto RGPD en EUR-Lex). Los robots de patrulla cumplen ambos criterios de forma acumulativa por regla general.

El art. 35 apdo. 3 letra c RGPD se activa con la vigilancia sistemática de zonas de acceso público. Un recinto industrial con tráfico de mercancías, transportistas, técnicos y visitantes es, en sentido jurídico de protección de datos, fácticamente de acceso público. La lista obligatoria de la Conferencia de Autoridades Independientes de Protección de Datos (DSK) menciona la videovigilancia con reconocimiento de personas asistido por IA expresamente como sujeta a EIPD (lista obligatoria DSK, versión 2018).

El perfil sensor QR-2 con detección térmica de personas y el QR-3 con LiDAR y detección de drones cumplen adicionalmente el criterio de "nueva tecnología" del art. 35 apdo. 1 RGPD. Una grabación RGB pura sin análisis, por ejemplo del QR-1 en recinto privado interno, puede quedar por debajo del umbral. Incluso entonces, el análisis de umbral documentado es obligatorio, no opcional.

La EIPD debe cerrarse antes de la puesta en servicio. Una operación piloto sin EIPD cerrada es una infracción del art. 35 en relación con el art. 83 apdo. 4 RGPD. En este supuesto se prevén multas de hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial (art. 83 apdo. 4 RGPD).

Siguiente paso: revise el registro de actividades de tratamiento para identificar supuestos de videovigilancia ya documentados y contrástelos con los perfiles sensores del perfil sensor QR-2.

Análisis de umbral: los nueve criterios DSK

La DSK trabaja con nueve criterios de evaluación, derivados de las directrices WP248 del Grupo de Trabajo del Art. 29 (WP248 rev.01). Si se cumplen al menos dos criterios, debe realizarse la EIPD. Los robots de patrulla cumplen típicamente entre tres y cinco criterios.

Los nueve criterios en síntesis: evaluación o scoring, decisiones automatizadas con efectos jurídicos, vigilancia sistemática, datos sensibles o de naturaleza altamente personal, tratamiento de datos a gran escala, comparación o combinación de conjuntos de datos, datos de personas vulnerables, uso innovador de soluciones tecnológicas nuevas, impedimento del ejercicio de derechos por parte de los interesados.

La plantilla utiliza cinco columnas. Columna 1: criterio. Columna 2: aplica (S/N). Columna 3: justificación en dos o tres frases. Columna 4: fuente de datos (QR-1, QR-2 o QR-3). Columna 5: área funcional responsable.

Ejemplo para QR-2 con sensórica térmica. Vigilancia sistemática: sí, patrulla 24/7 en rutas fijas, afectados empleados y visitantes. Nueva tecnología: sí, la movilidad autónoma combinada con detección térmica no está consolidada en la vigilancia industrial. Tratamiento de datos a gran escala: sí en emplazamientos de más de 50.000 m². Tres criterios resultan en obligación de EIPD.

El resultado del análisis de umbral se aprueba como acuerdo del consejo de administración, no como nota interna de TI. Justificación: el consejo responde según el art. 24 RGPD por el deber de responsabilidad del responsable. Una delegación en el director de TI no satisface a la autoridad de control en caso de inspección.

Base jurídica y limitación de finalidad en la vigilancia industrial

La base jurídica habitual es el art. 6 apdo. 1 letra f RGPD (interés legítimo). El consentimiento queda descartado. En la relación laboral no puede prestarse libremente; frente a visitantes no puede recabarse en la práctica.

El test de tres niveles se documenta por escrito. Nivel 1: interés legítimo. Protección frente a robo, sabotaje, incendio provocado, acceso no autorizado a almacenes de sustancias peligrosas. En operadores KRITIS, el interés se apoya adicionalmente en los deberes de protección de la BSI-KritisV (Gesetze im Internet) y en los requisitos para operadores KRITIS.

Nivel 2: necesidad. Las medidas menos intrusivas deben examinarse de forma documentada, por ejemplo cámaras fijas, rondas humanas, sensores perimetrales en vallas. El Reglamento de Máquinas UE 2023/1230 impone requisitos adicionales a máquinas autónomas con sensórica (EUR-Lex 2023/1230), que se integran en el examen de necesidad.

Nivel 3: ponderación. Pondera los intereses de los empleados (derechos de personalidad, derecho a la autodeterminación informativa) y visitantes frente al interés de seguridad. El enmascaramiento y la restricción de accesos desplazan la ponderación a favor del responsable.

El § 87 apdo. 1 núm. 6 BetrVG obliga a la participación del comité de empresa en la introducción de medios técnicos aptos para controlar el comportamiento o el rendimiento. Un acuerdo de empresa es condición previa a la puesta en servicio, no un acto administrativo posterior.

Formule la limitación de finalidad con precisión. Finalidad: protección perimetral y detección de presencia no autorizada. Finalidades excluidas: análisis de tiempos de pausa, control de presencia, evaluación de rendimiento. Período de conservación en operación estándar 72 horas, prórroga solo en caso de incidente documentado con número de expediente.

Matriz de riesgo: probabilidad de ocurrencia y gravedad

La evaluación de riesgo se estructura en cuatro campos de riesgo. Campo 1: identificación no autorizada de afectados. Campo 2: elaboración de perfiles a partir de patrones de movimiento. Campo 3: cesión ilícita a terceros, por ejemplo a autoridades de persecución penal sin base jurídica o a aseguradoras. Campo 4: pérdida de datos por ciberataque a la flota de robots o al backend en la nube.

La escala es de cuatro niveles. Probabilidad de ocurrencia de 1 (improbable) a 4 (esperable de forma regular). Gravedad de 1 (insignificante) a 4 (existencial para los afectados). El producto da la clase de riesgo: 1 a 3 bajo, 4 a 6 medio, 8 a 9 alto, 12 a 16 muy alto.

Evaluación ejemplo QR-2 sin medidas. Campo identificación no autorizada: ocurrencia 3, gravedad 3, producto 9, clase de riesgo alta. Campo ciberataque: ocurrencia 2, gravedad 4, producto 8, clase de riesgo alta. Sin medidas la valoración global queda en "alta" y activa la obligación de consulta del art. 36 RGPD.

Tras medidas (seudonimización de los vectores biométricos, cifrado AES-256, matriz granular de accesos, principio de doble control en el desenmascaramiento) los valores descienden. Corredor objetivo: producto menor o igual a 4 por campo de riesgo. Un riesgo residual con producto superior a 6 tras medidas obliga a la consulta previa a la autoridad de control.

EN ISO 13482 define requisitos de seguridad para robots de asistencia personal y sirve de referencia para robots de servicio móviles (ISO 13482). La norma aborda la seguridad física, pero no sustituye la evaluación de riesgo en protección de datos. Ambas evaluaciones se llevan por separado y se vinculan en el registro de actividades.

Medidas técnicas y organizativas (MTO)

Las MTO deben alinearse con el estado de la técnica según el art. 32 RGPD. Las siguientes medidas son el estándar mínimo para robots de patrulla en vigilancia industrial.

Cifrado. AES-256 para el almacenamiento en el robot y en el backend. TLS 1.3 para la transmisión entre robot, centro de control y nube. Documentación conforme a BSI TR-02102-1 y TR-02102-2.

Enmascaramiento. Rostros y matrículas se vuelven irreconocibles automáticamente en operación estándar. El desenmascaramiento se efectúa únicamente por motivo documentado. Requiere el principio de doble control entre el responsable de vigilancia industrial y el delegado de protección de datos. Cada desenmascaramiento se registra en un log a prueba de auditoría con marca temporal, motivo y número de expediente.

Matriz de accesos. El responsable de vigilancia industrial accede al stream en vivo y a las grabaciones enmascaradas. El delegado de protección de datos accede al log de auditoría, no a los contenidos. La dirección recibe informes de incidentes en forma anonimizada. No se conceden permisos de administrador genéricos a personal de TI. Los accesos se auditan trimestralmente.

Audio. La grabación de audio de la serie QR está desactivada de fábrica. Una activación exige base jurídica separada, complemento propio de la EIPD y señalización adaptada. Debe observarse el § 201 StGB (vulneración de la confidencialidad de la palabra).

Concepto de borrado conforme a DIN 66398 con protocolo a prueba de auditoría. Plazo estándar de borrado 72 horas, plazo ampliado en caso de incidente máximo 30 días, después traspaso a expediente de incidente con base jurídica propia.

Deberes de transparencia y señalización

El art. 13 RGPD exige la información a los afectados antes del inicio del tratamiento. Trasladado al recinto industrial: información antes de entrar en la zona vigilada, no al acceder al recinto.

Señalización en la portería y en todos los accesos exteriores. Contenido: pictograma de robot con cámara, responsable con razón social y domicilio, finalidad (protección perimetral), contacto del delegado de protección de datos, código QR a la versión extensa de la información de protección de datos en al menos alemán e inglés. Tamaño del cartel suficiente para que el texto sea legible desde tres metros de distancia.

El propio robot lleva una identificación visible con número de servicio, fabricante y autoridad de control competente. Esto corresponde a la práctica con instalaciones fijas de vídeo y es condición para el reconocimiento del tratamiento durante la operación.

Información al personal como documento separado, firmado por el comité de empresa, incorporado al expediente personal. Contenido: zonas concretas de patrulla, horarios, período de conservación, derechos de los arts. 15 a 22 RGPD, vía de reclamación. En nuevas contrataciones, parte del onboarding.

Regla para visitantes en el proceso de recepción. La señalización por sí sola no basta para cadenas logísticas complejas con conductores que cambian frecuentemente. El registro en recepción o en un terminal de autoservicio incluye una indicación sobre la vigilancia por robots y un enlace a la información completa.

Ejemplo práctico de implementación en protección perimetral en parques industriales.

Encargo de tratamiento con Quarero Robotics

El modelo Robotics-as-a-Service significa en términos de protección de datos: Quarero Robotics es encargado del tratamiento según el art. 28 RGPD. El operador sigue siendo el responsable y, por tanto, el destinatario primario de la autoridad de control.

El contrato de encargo del tratamiento está disponible antes de firmar el contrato principal. Una entrega posterior no es admisible, tampoco para la fase piloto. El contrato cubre los ocho contenidos obligatorios del art. 28 apdo. 3 RGPD: objeto, duración, naturaleza y finalidad, categorías de datos y de afectados. También incluye: deberes y derechos, derecho de instrucción, confidencialidad, MTO, subencargados, deberes de asistencia, supresión y deberes de prueba.

Los subcontratistas están nominados expresamente. Alojamiento en la nube en Fráncfort del Meno (centro de datos según ISO 27001) y Zúrich (centro de datos según requisitos FINMA para los emplazamientos suizos). Los proveedores de mantenimiento de la flota de robots aparecen listados. Una modificación de la lista de subencargados exige notificación previa con derecho de oposición del responsable.

Derechos de auditoría. Inspección anual in situ en el encargado o presentación de un informe vigente según ISO 27001 Anexo A. Con sospecha justificada es posible una auditoría ad hoc a costa del responsable. Si se constata infracción, el encargado asume los costes.

La transferencia de datos a terceros países queda excluida contractualmente. El tratamiento se realiza exclusivamente en la región DACH. Con ello se evita la verificación de las cláusulas contractuales tipo según Schrems II y el Transfer Impact Assessment.

Una comparativa económica frente a la vigilancia clásica la documenta el BDSW mediante las tarifas horarias actualizadas anualmente (BDSW datos y cifras). La rentabilidad de la inversión en EIPD puede argumentarse a partir de ahí; la comparativa TCO de vigilancia completa aporta el cálculo.

Consulta a la autoridad de control y ciclo de revisión

Si tras las medidas persiste un riesgo residual alto, debe realizarse la consulta previa según el art. 36 RGPD. La autoridad estatal de protección de datos requiere de 8 a 14 semanas, en casos concretos más. Este plazo se incorpora al plan de proyecto; no es admisible adelantar la puesta en servicio.

Documentación de consulta. Informe EIPD completo, catálogo de medidas con evaluación de eficacia, evaluación del riesgo residual con escala trazable, justificación de la necesidad con exposición de las medidas menos intrusivas examinadas, dictamen del delegado de protección de datos, dictamen del comité de empresa. La autoridad de control puede imponer condiciones o prohibir el tratamiento.

Revisión de la EIPD. Anual o ante modificación sustancial. Modificaciones sustanciales incluyen: ampliación de la sensórica (por ejemplo activación de audio), nuevos emplazamientos, actualizaciones de software con nuevas funciones de IA, así como cambio de encargado, modificación de la finalidad o ampliación del círculo de afectados.

Versionado en el registro de actividades de tratamiento (RAT) según el art. 30 RGPD. Cada versión de la EIPD recibe número correlativo, fecha de modificación, responsable y justificación del cambio. Las versiones anteriores se conservan 10 años, en paralelo al plazo mercantil de conservación del § 257 HGB. Las autoridades de control y los auditores KRITIS en el marco de la transposición de NIS-2 esperan este estado documental en la primera consulta.

Siguiente paso: poner en marcha comité de empresa y cogestión en robótica como línea de trabajo paralela a la EIPD y anclar el acuerdo de servicio in situ de robótica en el contrato de encargo.