Skip to content
An orange-toned illustration shows a person monitoring computer screens filled with warning icons and code under a spotlight, using bold reds, oranges, and blacks to symbolize cybersecurity threats, alert systems, and heightened vigilance.

Ilustración de iStock; Security Management

Del 'Mándame el Video' a la Gobernanza: Cómo la Privacidad Hace Defendibles los Sistemas de Seguridad

By Germán Sánchez Beltrán, PCI
1 June 2026

Focus on Privacy in Security Systems
This article is available in English here. 

En la mayoría de las organizaciones modernas, los sistemas de seguridad física cumplen una doble función: son herramientas de prevención y, al mismo tiempo, fábricas permanentes de datos. Las cámaras de videovigilancia, los sistemas de control de acceso, las credenciales, la biometría, la analítica de video y las plataformas de monitoreo generan registros de manera constante.

En operaciones intensivas —plantas industriales, centros de distribución, patios logísticos y rutas de transporte— esa producción de datos no se limita simplemente a observar incidentes. La información se convierte en evidencia para resolver discrepancias, reconstruir hechos y respaldar la toma de decisiones.

Las conversaciones sobre estos sistemas casi siempre comienzan por los aspectos técnicos: cobertura, resolución, almacenamiento, mantenimiento, disponibilidad del sistema y tiempos de respuesta del monitoreo. Sin embargo, el verdadero riesgo suele aparecer en otro lugar: cuando el uso de la información carece de reglas claras. Instalar cámaras o ampliar puntos de control puede ser relativamente sencillo. El verdadero desafío consiste en sostener, a lo largo del tiempo, un marco en el que todos comprendan cómo puede y cómo no puede utilizarse el sistema; quién está autorizado para usarlo, con qué propósito; y de qué manera se registra cada acceso, consulta o exportación de información.

En el centro de este desafío está la diferencia entre operar y gobernar.

Operar significa mantener el sistema funcionando: asegurar su disponibilidad, estabilidad y capacidad de respuesta cuando se necesita.

Gobernar es distinto. Significa garantizar que ese mismo sistema se utilice con un propósito claramente definido, con límites defendibles, con trazabilidad y con consistencia. Cuando falta el componente de gobernanza, incluso una plataforma robusta se vuelve frágil; no por el equipo en sí mismo, sino por los hábitos riesgosos que, poco a poco, empiezan a normalizarse alrededor de su uso.

Cuando el Problema no es el Incidente, Sino Cómo Usamos el Sistema

Un escenario habitual permite ilustrar esta dinámica. Durante una operación de carga o descarga en un centro de distribución, por ejemplo, aparece una discrepancia en el andén. Puede tratarse de producto faltante, una tarima dañada o una diferencia entre la documentación de embarque y lo que realmente se recibió o despachó. En ese momento, la presión operativa es alta. Los camiones esperan su turno, las rutas no pueden retrasarse y los compromisos de entrega deben cumplirse.

Por esa razón, la reacción suele ser inmediata. Alguien del área de operaciones se acerca o llama al departamento de seguridad y le pide revisar las cámaras del andén para entender qué ocurrió.

La primera solicitud de operaciones parece sencilla: “Necesito ver el video del andén”.

Después aparece otra petición: “Revisa también el ángulo de la cámara exterior”.

Poco después llega una instrucción más clara: “Esto puede escalar a una revisión interna; guarda todo el material”.

En cuestión de minutos, el sistema de videovigilancia deja de ser únicamente una herramienta de monitoreo y se convierte en la fuente principal para reconstruir un incidente. Ese es precisamente el momento en que la situación cambia. Ya no se trata solamente de ver imágenes; ahora se trata de administrar quién puede acceder a esas imágenes, con qué propósito y cómo queda documentado ese acceso.

Casi sin advertirlo, seguridad pasa de investigar un hecho a administrar algo mucho más sensible. Su responsabilidad se convierte en asegurar quién accede a qué, por qué razón y cómo podrá justificarse ese acceso más adelante si alguien lo cuestiona.

Si seguridad toma en ese momento el camino informal —exportar el video sin dejar registro, otorgar accesos amplios basados en la confianza o conservar grabaciones indefinidamente “por si acaso”— quizá resuelva la urgencia del día. Pero también empieza a cargar al sistema con riesgos acumulativos. Seguridad pierde control sobre la evidencia, debilita la credibilidad tanto del sistema como del equipo que lo administra, y genera la percepción de que la información se utiliza según la conveniencia del momento.

En un entorno operativo, esa percepción tiene un costo elevado. Las personas reportan menos, aumenta la fricción con Recursos Humanos y Legal, y se vuelve más difícil sostener el apoyo interno hacia la función de seguridad.

En este contexto, la gobernanza no es una discusión teórica. La gobernanza forma parte del control operacional. No es un obstáculo, sino la regla del juego que evita que la información se utilice por conveniencia, sin claridad o más allá de lo necesario.

La Deuda de la Privacidad: Lo que se Acumula Cuando los Sistemas Crecen Sin Reglas Claras

Con el tiempo, cuando el sistema crece, pero la gobernanza no evoluciona al mismo ritmo, comienza a aparecer la deuda de privacidad. Esta deuda está formada por prácticas creadas para resolver problemas de manera rápida, pero que gradualmente acumulan exposición para la organización. La deuda de privacidad rara vez se presenta como un gran error. Más bien, se normaliza en la operación diaria.

Esta deuda comienza con una cuenta compartida para cubrir turnos, con permisos que permanecen abiertos “por si alguien los necesita”. Las exportaciones de video se realizan rápidamente porque “urge”, o las grabaciones se conservan de manera indefinida porque nadie definió una política clara de retención. También empiezan a llegar solicitudes por llamadas o aplicaciones de mensajería, sin documentación formal, y el sistema comienza a utilizarse para fines distintos de aquellos que justificaron originalmente su instalación.

El riesgo real de estas decisiones no es únicamente regulatorio o reputacional. También es operativo y cultural. Cuando las reglas se vuelven ambiguas, el sistema deja de sentirse neutral. Empieza a percibirse como una herramienta que se utiliza dependiendo del momento, de la persona que solicita la información o de la relación entre departamentos.Esa percepción erosiona la legitimidad. Y cuando la legitimidad se debilita, seguridad pierde capacidad de influencia incluso cuando su análisis técnico es correcto, porque surgen dudas sobre los criterios utilizados para administrar la información.

En una operación con múltiples ubicaciones, por ejemplo, el sistema de videovigilancia fue implementado antes de que existiera una función formal de seguridad corporativa. En ese momento, se otorgó acceso directo a Recursos Humanos, administración y gerentes operativos a través de la plataforma digital de gestión de video, para que pudieran supervisar la actividad del personal en distintas ubicaciones. Con el tiempo, esos accesos permanecieron sin cambios.

Lo que inicialmente parecía eficiente terminó modificando gradualmente el propósito del sistema de video. Las grabaciones empezaron a utilizarse no solo para revisar incidentes de seguridad, sino también para verificar asistencia, monitorear comportamientos del personal y respaldar decisiones internas, muchas veces sin criterios consistentes ni trazabilidad suficiente. Cuando más adelante se cuestionó un caso sensible, la organización no pudo demostrar quién había accedido al material, bajo qué autoridad ni cómo se había utilizado.

Para recuperar el control, los accesos fueron centralizados bajo la función de seguridad, los permisos se redefinieron con base en roles y se implementó un proceso simple de solicitud y autorización para toda recuperación de video. Estas medidas ayudaron a restablecer la trazabilidad y devolver al sistema un papel neutral y defendible.

El caso anterior ofrece una oportunidad de aprendizaje valiosa para otros profesionales de seguridad que estén considerando introducir más tecnología en sus instalaciones. Antes de dar ese paso, conviene detenerse y plantear seis preguntas concretas de gobernanza:

  1. ¿Cuál es el propósito de cada sistema?
  2. ¿Qué usos son legítimos y cuáles no lo son?
  3. ¿Quién puede acceder al sistema y bajo qué roles?
  4. ¿Durante cuánto tiempo se conserva la información?
  5. ¿Cómo puedo demostrar quién consultó o exportó evidencia?
  6. ¿Qué mecanismo existe para actuar si se detecta un uso indebido?

Estas preguntas son simples, pero con frecuencia marcan la diferencia entre un sistema poderoso y un sistema defendible.

Cinco Decisiones de Gobernanza que Limitan el Riesgo

Gobernar, sin embargo, no significa añadir burocracia. Significa contar con un proceso que facilite decisiones claras y permita que los sistemas de videovigilancia y control de acceso operen de manera consistente y defendible, incluso cuando la operación exige respuestas rápidas.

Estas son cinco medidas de gobernanza que pueden ayudar a evitar que un sistema de videovigilancia se convierta en un pasivo para la organización.

  1. Propósito por zona y límites de uso.
    Defina por qué existe el sistema en cada entorno: perímetro, andenes de carga, almacenes u oficinas. Cuando el propósito es explícito, los límites también son claros, lo que evita el uso creativo de las cámaras o de los registros de acceso.

  2. Diseño proporcional enfocado en puntos críticos.
    Más cámaras no significan necesariamente mejor seguridad. Priorice una cobertura útil: encuadres correctos, configuración adecuada y calidad suficiente para capturar eventos relevantes sin generar exposición innecesaria ni ruido operativo.

  3. Retención y eliminación automatizada y auditable.
    La retención indefinida suele ocurrir simplemente porque nadie definió otra cosa. Establezca periodos razonables de conservación y amplíelos únicamente cuando un incidente documentado lo requiera. La eliminación automática y auditable se vuelve esencial.

  4. Acceso basado en roles para lograr mayor trazabilidad.
    El acceso debe otorgarse según la función: monitoreo, investigación formal o administración del sistema. Cada consulta debe registrar quién accedió, a qué información, cuándo y por qué motivo. Evite cuentas compartidas y revise los permisos periódicamente.

  5. Flujo formal de solicitud y separación de funciones.
    Sustituya el “mándame el video” por solicitudes simples que incluyan autorización, registro y entrega controlada de la evidencia. Seguridad preserva y documenta la evidencia, mientras Recursos Humanos y Legal gestionan los procesos disciplinarios o legales correspondientes.

Cuando estas decisiones están claramente definidas, el sistema deja de depender de la improvisación y empieza a operar como una herramienta confiable para toda la organización.

Lo Que Hace Sostenible al Sistema: Consistencia, No Rigidez

La objeción más común frente a la gobernanza es que añadir reglas ralentiza la operación. Pero, por lo general, ocurre lo contrario. Lo que realmente ralentiza la operación es la improvisación, porque cada caso termina gestionándose de manera distinta y cada departamento solicita información a su manera.

La improvisación puede generar una sensación de rapidez en el momento, pero se vuelve costosa después, cuando la evidencia es cuestionada, surge fricción entre departamentos y se erosiona la confianza en el sistema y en quienes lo operan.

Una gobernanza consistente no significa volver rígido o burocrático el trabajo. Significa que las situaciones cotidianas tienen una ruta clara y repetible de respuesta. Las personas saben qué ocurre cuando se solicita un video, quién lo autoriza, cómo se entrega y qué queda registrado. Y cuando sea necesario apartarse de la regla, esa excepción debe poder explicarse, documentarse y evitar que se convierta en rutina.

La consistencia puede mantenerse mediante controles simples: revisiones periódicas de accesos, auditorías ligeras por muestreo de los registros del sistema, monitoreo de excepciones y análisis básico de patrones inusuales de acceso.

Traducir la Gobernanza al Lenguaje del Negocio

La gobernanza solo se vuelve sostenible cuando puede explicarse en términos que el negocio entiende. No la presente como cumplimiento. Preséntela como control y continuidad.

Existen indicadores simples que los profesionales de seguridad pueden utilizar para facilitar esta conversación:

  • Porcentaje de derechos de acceso revisados y ajustados en tiempo
  • Número de cuentas compartidas eliminadas
  • Cumplimiento de las políticas de retención definidas
  • Número de excepciones autorizadas y motivo de cada una
  • Casos de uso indebido detectados y cerrados con acciones correctivas

Además, proporcione información sobre algo muy práctico: cuánto tiempo tarda la organización en responder a una solicitud legítima con evidencia completa, correctamente entregada y, cuando corresponda, con una cadena de custodia adecuada.

Cuando esos indicadores forman parte de la conversación, la discusión cambia. Ya no se trata de creerle al líder de seguridad o de confiar en el sistema. Se trata de demostrar que el sistema está bajo control y que su uso continuo es defendible.

Un sistema de videovigilancia no se vuelve defendible por la tecnología que utiliza, sino por la forma en que se usa. En el momento en que el video deja de utilizarse únicamente para monitorear y se convierte en evidencia, la organización deja de jugar un juego operativo y empieza a jugar un juego de credibilidad. Ahí es donde la gobernanza deja de ser un concepto y se convierte en un verdadero mecanismo de control.

La privacidad, correctamente entendida, no es un obstáculo. Es un principio que ordena el sistema. Permite a los profesionales de seguridad definir propósitos, reducir exposición innecesaria, sostener decisiones y evitar que el sistema sea percibido como una herramienta utilizada por conveniencia.

Cuando el acceso, la retención, la trazabilidad y la entrega de evidencia siguen una ruta clara, el resultado no es solo la protección de la información. También se protege la legitimidad de seguridad como función del negocio.

 

Germán Sánchez Beltrán, PhD, PCI, es chief security officer en Embotelladora AGA del Centro, en México. Se especializa en gobernanza de seguridad, gestión de riesgos operacionales y toma de decisiones basada en inteligencia. Beltrán ha trabajado con empresas privadas e instituciones públicas en México, España y otros países de América Latina para desarrollar capacidades de inteligencia y sistemas de gestión de seguridad. Fue conferencista en ASIS LATAM Conference 2024, en Costa Rica.

 

Focus on Privacy in Security Systems

4 Ways Digital Evidence Management Supports Data and Privacy Compliance

From ‘Send Me the Video’ to Governance: How Privacy Makes Security Systems Defensible

3 Tools Providing Privacy Protections in Video Systems

En Garde! USA Fencing Advances with New Age Verification Process

Fast Facts: Age Verification Apps Could Limit Access While Introducing New Security Risks

Del “Mándame el Video” a la Gobernanza: Cómo la Privacidad Hace Defendibles los Sistemas de Seguridad

Best of Security Management

The Other Side of the Looking Glass: Providing Security for Marches and Rallies

Is Your Workplace Toxic? Here's What You Need to Do

Preventing Workplace Violence: Holistic Support Starts with Listening to Nurses

What to Add to a Rules of Engagement Document

What is Agentic AI?

How to Make a Weapon Selection When Arming Your Security Team
arrow_upward