policy ISO 27701 PIMS Policy Pack

Política de privacidad de CCTV y monitorización física

Política de privacidad de CCTV conforme a ISO/IEC 27701 para finalidades de monitorización, señalización, acceso, conservación, divulgación, incidentes y control de evidencias.

Descripción general

Esta política define controles de privacidad para CCTV, monitorización de visitantes, registros de control de acceso físico y datos personales de monitorización relacionados. Exige finalidades aprobadas, señalización, revisión de riesgos, restricciones de acceso, controles de conservación y supresión, gobernanza de divulgaciones, enrutamiento de derechos, escalado de incidentes y gestión de evidencias del PIMS.

Controles de monitorización con finalidad definida

Exige que las actividades de CCTV y monitorización física se definan, aprueben y documenten antes de su activación.

Evidencias de aviso transparente

Vincula la señalización de videovigilancia y los avisos justo a tiempo con las finalidades de tratamiento aprobadas y los registros de evidencias del PIMS.

Gobernanza de acceso y conservación

Controla la visualización, exportación, divulgación, supresión, retenciones de conservación y revisión del acceso privilegiado para los datos personales de monitorización.

Leer descripción completa (click to expand)
La Política de privacidad de CCTV y monitorización física establece controles de privacidad para las actividades de monitorización que recopilan o tratan de otro modo datos personales. Su alcance incluye CCTV, videovigilancia, monitorización de visitantes, registros de control de acceso físico, registros de monitorización operados por personal de vigilancia, sistemas de monitorización de instalaciones y monitorización física relacionada. La política se aplica cuando la organización actúa como responsable del tratamiento de datos personales en sus propias instalaciones y cuando presta soporte a actividades de encargado del tratamiento o subencargado del tratamiento mediante la operación, alojamiento, revisión, almacenamiento, divulgación, supresión u otro tratamiento de grabaciones de videovigilancia, datos de visitantes o registros de control de acceso físico por cuenta de un cliente. La política está diseñada para garantizar que la monitorización tenga una finalidad definida, sea transparente, proporcionada, esté sujeta a control de acceso, se conserve durante períodos definidos, se divulgue únicamente a través de canales aprobados y esté respaldada por evidencias auditables del PIMS. Antes de iniciar la monitorización, el Propietario del proceso o el Propietario de la empresa debe registrar cada actividad de monitorización en REG02, incluidos la finalidad, la base jurídica, la ubicación monitorizada, las categorías de datos personales, las categorías de interesados, la conservación, el aviso, el acceso y los campos de divulgación. El Responsable de Privacidad / Responsable del PIMS valida estas entradas antes de la activación de una actividad de monitorización nueva o modificada materialmente. Las zonas monitorizadas aprobadas, las zonas excluidas y los límites de recogida también deben registrarse antes de habilitar cámaras, sensores, registros de visitantes o registros de control de acceso. La política pone un énfasis significativo en la transparencia y la revisión basada en riesgos. La señalización de videovigilancia o evidencias equivalentes de aviso justo a tiempo deben registrarse en REG07 antes de abrir las áreas monitorizadas a los interesados, y cada aviso debe vincularse con la finalidad de tratamiento correspondiente en REG02. Las medidas alternativas de transparencia deben registrarse para monitorización no evidente o de emergencia. La monitorización de mayor riesgo, incluida la monitorización sistemática, la grabación de audio, la identificación biométrica, la detección basada en analítica, las ubicaciones sensibles, las personas vulnerables o la monitorización no evidente, requiere una decisión sobre riesgos de privacidad en REG04 antes de la activación. Cuando la monitorización sea de alto riesgo, no evidente, a gran escala, dirigida a empleados o sujeta a escalado no resuelto de derechos o incidentes, el Delegado de Protección de Datos (DPO) / Asesor de Privacidad proporciona asesoramiento en REG04 o REG12. Los controles operativos abordan el acceso, la visualización, la exportación, la divulgación, la conservación, la supresión y el escalado de incidentes. El Responsable de Seguridad de la Información define los roles de acceso autorizados para grabaciones de monitorización, registros de visitantes y registros de control de acceso físico, mientras que el Propietario del sistema / Propietario de la aplicación configura las restricciones de acceso y registra los resultados de la revisión de acceso privilegiado al menos trimestralmente en REG12. La supresión rutinaria, la sobrescritura o la deshabilitación de grabaciones de monitorización caducadas deben configurarse conforme a REG02, con evidencias de finalización de supresión o sobrescritura registradas al menos mensualmente para repositorios sujetos a supresión automatizada o programada. Las retenciones de conservación y las copias extraídas requieren aprobación y registro en REG12 antes de ampliar la conservación normal. Las divulgaciones externas se registran en REG08 antes de la divulgación, o en REG10 dentro de un día hábil cuando la divulgación forma parte de una respuesta a incidentes activa. La política también define la gobernanza para servicios externalizados de monitorización y seguridad física. Los proveedores externalizados de sistemas de monitorización, proveedores de vigilancia, proveedores de gestión de visitantes y proveedores de control de acceso físico deben registrarse en REG08 antes del inicio del servicio, incluido el alcance, la condición de encargado del tratamiento o subencargado del tratamiento, los permisos de acceso, el soporte de conservación, el soporte de supresión, el escalado de incidentes y las restricciones de divulgación. La supervisión se mantiene mediante métricas trimestrales, revisiones anuales, pruebas de auditoría, gestión de excepciones, registro de no conformidades, propiedad de acciones correctivas y escalado a la Alta Dirección cuando sea necesario. Esto crea un marco basado en evidencias para gestionar las obligaciones de privacidad de CCTV y monitorización física en contextos de responsable del tratamiento y encargado del tratamiento.

Diagrama de la Política

Diagrama de flujo del proceso que muestra la gobernanza de CCTV y monitorización física: definir finalidad y alcance en REG02, evaluar el riesgo en REG04, publicar evidencias de aviso en REG07, configurar controles de acceso y conservación, gestionar divulgaciones y proveedores en REG08, enrutar solicitudes de derechos a través de REG06, escalar incidentes en REG10 y registrar revisiones, métricas, excepciones y acciones correctivas en REG12.

Haga clic en el diagrama para verlo en tamaño completo

Contenido

Alcance de CCTV y monitorización física

Inventario de monitorización, finalidad y aprobación

Aviso, señalización y evidencias de transparencia

Controles de acceso, visualización, exportación y divulgación

Conservación, supresión y gestión de copias extraídas

Enrutamiento de solicitudes de derechos, escalado de incidentes y supervisión de proveedores

Cumplimiento de marcos

🛡️ Estándares y marcos compatibles

Este producto está alineado con los siguientes marcos de cumplimiento, con mapeos detallados de cláusulas y controles.

Marco Cláusulas / Controles cubiertos
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Políticas relacionadas

Política de inventario de tratamientos y base jurídica

Las actividades de monitorización deben registrarse en REG02 con finalidad, base jurídica, ubicación, categorías de datos personales, conservación, acceso y detalles de divulgación.

Política de avisos de privacidad y transparencia

El CCTV y la monitorización física requieren señalización, evidencias de aviso justo a tiempo y vinculación entre los avisos y las finalidades de tratamiento.

Política de gestión de derechos de los interesados

Las solicitudes que afecten a grabaciones de videovigilancia, datos de visitantes o registros de control de acceso físico se enrutan a través de REG06 conforme al proceso de derechos.

Política de evaluación de riesgos de privacidad y EIPD

La monitorización de mayor riesgo activa decisiones sobre riesgos de privacidad en REG04 y, cuando corresponda, revisión relacionada con la EIPD antes de la activación.

Política de conservación, supresión y eliminación

Los repositorios de monitorización requieren conservación definida, supresión o sobrescritura rutinaria, evidencias de supresión y retenciones de conservación controladas.

Política de seguridad y control de acceso

Los sistemas de monitorización dependen de roles de acceso aprobados, restricciones de acceso, revisiones de acceso privilegiado, registro de eventos y acciones de contención.

Sobre las Políticas de Clarysec - Política de privacidad de CCTV y monitorización física

Esta política proporciona un marco operativo de privacidad para actividades de CCTV y monitorización física que tratan datos personales. Define cómo se documentan las finalidades de monitorización, la base jurídica, las ubicaciones, las evidencias de aviso, los roles de acceso, los límites de divulgación, los períodos de conservación, los controles de supresión, las evidencias de proveedores, el escalado de incidentes y la actividad de revisión en REG02, REG04, REG06, REG07, REG08, REG10 y REG12. La política se aplica a actividades del responsable del tratamiento en las propias instalaciones de la organización y a actividades de soporte como encargado del tratamiento o subencargado del tratamiento que impliquen grabaciones de monitorización de clientes, registros de visitantes o registros de control de acceso físico.

Alcance de monitorización definido

Cubre CCTV, monitorización de visitantes, registros de acceso, registros de vigilancia, sistemas de instalaciones y datos personales de monitorización relacionados.

Activación basada en riesgos

Exige revisión en REG04 antes de iniciar monitorización de alto riesgo, no evidente, con audio, biométrica, analítica o sensible.

Uso por responsable y encargado del tratamiento

Se aplica a la monitorización en instalaciones propias y al soporte indicado por los clientes para grabaciones, datos de visitantes y registros de acceso.

Modelo de evidencias auditables

Utiliza REG02, REG04, REG06, REG07, REG08, REG10 y REG12 para registros, revisiones, incidentes y supervisión.

Preguntas frecuentes

Diseñado para Líderes, por Líderes

Esta política ha sido elaborada por un líder en seguridad con más de 25 años de experiencia en la implementación y auditoría de marcos ISMS en organizaciones globales. Está diseñada no solo como un documento, sino como un marco defendible que resiste el escrutinio de los auditores.

Elaborado por un experto que cuenta con:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura y temas

🏢 Departamentos objetivo

Privacidad Jurídico Cumplimiento Seguridad de TI Oficina del DPO

🏷️ Cobertura temática

Gestión de la privacidad de la información Tratamiento de datos personales Evaluación de impacto relativa a la privacidad Registros de actividades de tratamiento Gestión de derechos de los interesados Conservación y eliminación de datos Gestión de terceros
€49

Compra única

Descarga instantánea
Actualizaciones de por vida

Esta política es 1 de 25 en el Pack PIMS ISO/IEC 27701 completo

Ahorre un 52%

Obtenga las 25 políticas PIMS, el conjunto completo de registros y un plan de implementación detallado por €799, en lugar de €1.675 individualmente.

Ver Pack 27701 completo →
CCTV and Physical Monitoring Privacy Policy

Detalles del producto

Tipo: policy
Categoría: ISO 27701 PIMS Policy Pack
Estándares: 6