El Reglamento General de Protección de Datos de la Unión Europea (GDPR) entró en vigor el 25 de mayo de 2018, pero aún hay mucha confusión y no hay directrices claras sobre cómo estas nuevas regulaciones impactarán en la industria de la videovigilancia y la protección de datos personales.
¿Qué significa GDPR?
El Reglamento General de Protección de Datos ( GDPR ) es un marco legal que establece pautas para la recopilación y el procesamiento de información personal de personas que viven en la Unión Europea (UE)
Alcance del GDPR
- El presente Reglamento se aplica al tratamiento de datos personales total o parcialmente por medios automatizados y al tratamiento por medios distintos de los automatizados de datos personales que forman parte de un sistema de archivo o que están destinados a formar parte de un sistema de archivo.
- El presente Reglamento no se aplica al tratamiento de datos personales:
- en el curso de una actividad fuera del ámbito de aplicación del Derecho de la Unión;
- por los Estados miembros cuando realicen actividades que entren en el ámbito del capítulo 2 del título V del TUE ;
- por una persona física en el curso de una actividad puramente personal o doméstica;
- por las autoridades competentes a los efectos de la prevención, investigación, detección o enjuiciamiento de los delitos o la ejecución de las sanciones penales, incluida la protección y prevención de amenazas a la seguridad pública.
- Para el tratamiento de datos personales por parte de las instituciones, órganos, oficinas y agencias de la Unión, se aplica el Reglamento (CE) no 45/2001 . El Reglamento (CE) No: 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos personales se adaptarán a los principios y normas del presente Reglamento de conformidad con el artículo 98 .
- El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31 / CE , en particular de las normas de responsabilidad de los proveedores de servicios intermediarios en los artículos 12 a 15 de dicha Directiva.
Fundamentos de GDPR
El GDPR regula todas las empresas que procesan los datos personales de las personas en la UE, independientemente de dónde se encuentre la empresa. Debido a que las imágenes de video de alguien se consideran sus datos, la industria de videovigilancia se ve directamente afectada por el GDPR.
El GDPR brinda a los interesados en la UE nuevos y significativos derechos para acceder y eliminar sus datos, al tiempo que impone restricciones sobre cómo se pueden recopilar estos datos. Pero el GDPR en sí mismo no menciona cómo se aplica a la videovigilancia y amenaza con penas severas por mala conducta.
Términos de GDPR
Primero, para tener una mejor idea de cómo el GDPR afecta la videovigilancia, aquí hay algunos términos clave de GDPR, que se analizan con más detalle a continuación:
- Controladores de datos
- Procesadores de datos
- Sujetos de datos
- Información biométrica
Controladores de datos: usuarios finales de videovigilancia
Los controladores de datos son las empresas más directamente afectadas por el GDPR; la mayor parte de la carga de cumplimiento del GDPR recae en los controladores de datos. Pero, ¿qué es un controlador de datos? Según el GDPR , «determinan los propósitos y los medios del procesamiento de datos personales». En el contexto de la videovigilancia, los controladores de datos son usuarios finales: un centro comercial equipado con un sistema de cámara de seguridad, por ejemplo, es el controlador del datos de videovigilancia que recopila. (Nota: Las empresas que conservan datos personales de sus empleados también se consideran controladores de datos de esta información específica, por lo que muchas empresas, si no todas, son «controladores de datos» en este sentido).
Procesadores de datos: Cloud / VSaaS, posiblemente integradores
Los procesadores de datos son las empresas que procesan datos personales en nombre de los controladores de datos. En la videovigilancia, es probable que los proveedores de la nube que almacenan datos personales en nombre de un usuario final se consideren procesadores de datos. Los integradores o fabricantes también podrían considerarse procesadores de datos si manejan directamente los datos de grabación de video en nombre del usuario final. Por ejemplo, si un integrador accede a los datos de grabación de video de un usuario final con fines de mantenimiento, el integrador puede considerarse un procesador de datos bajo el GDPR.
Sujetos de datos: personas
Estas son las personas que se graban en la cámara. El GDPR crea una serie de nuevos derechos para los sujetos de datos.
Datos biométricos definidos
Cualquier técnica que «singularmente [identifique] a una persona natural». Las técnicas de análisis de video como reconocimiento facial o de edad entran en esta categoría.
Diseño de vigilancia / consideraciones tecnológicas
A continuación, describimos el probable impacto de GDPR en estas áreas clave:
- Señalización pública
- Evaluaciones de impacto de protección de datos
- Duraciones de almacenamiento
- Uso de datos biométricos (cara / género / edad)
- Solicitudes de datos
- Informes de seguridad cibernética / vulnerabilidad
- Anonimización / enmascaramiento de privacidad
- Requisitos de cifrado
¿Debo contratar a un oficial de protección de datos?
Existe cierta preocupación de que cada empresa que procese los datos de personas en la UE necesite contratar un Oficial de Protección de Datos a tiempo completo para garantizar de forma independiente que las políticas de datos de la compañía cumplan con GDPR.
La Comisión de la UE ha declarado que si las «actividades principales de una empresa implican el procesamiento de datos confidenciales a gran escala o implican una supervisión a gran escala, regular y sistemática de personas», debería tener un OPD. Un DPO es obligatorio, por ejemplo, para «una compañía de seguridad responsable de monitorear centros comerciales y espacios públicos», afirma la Comisión de la UE.
Por lo tanto, parece bastante probable que los usuarios finales que controlan grandes espacios públicos necesiten OPD. Sin embargo, ni la Comisión de la UE ni el GDPR definen lo que realmente significa «a gran escala». Además, las OPD se pueden subcontratar de otras compañías e incluso pueden ser miembros del personal de las propias filas de la empresa; también pueden trabajar a tiempo parcial.
¿Las OPD necesitan certificación u otras calificaciones?
En ninguna parte del GDPR se afirma que las OPD necesitan algún tipo de certificación o calificación formal.
El Grupo de Trabajo Artículo 29 de la UE (un organismo asesor oficial de la UE) publicó algunas pautas sobre OPD en diciembre y declaró que «las OPD deben tener experiencia en leyes y prácticas nacionales y europeas de protección de datos y una comprensión profunda del GDPR. útil si las autoridades supervisoras promueven una capacitación adecuada y periódica para las OPD. «También señala que» el nivel requerido de experiencia [de una OPD] no está estrictamente definido, pero debe ser acorde con la sensibilidad, complejidad y cantidad de datos que una organización procesa «
Hasta ahora, la Autoridad de Protección de Datos de España es el primer y único país de la UE en publicar un esquema detallado de certificación de DPO que incluye un examen de cuatro horas y una cantidad mínima de experiencia laboral (o, si el DPO no tiene experiencia laboral, al menos 180 horas de entrenamiento.)
¿Necesito obtener la certificación?
Bajo el GDPR, cualquier sello o esquema de certificación es completamente voluntario ( Artículo 42, sección 3 ). Compañías como Genetec actualmente están promocionando que algunos de sus productos están certificados como GDPR que cumplen con esquemas de terceros como EuroPriSe , pero tales certificaciones no son obligatorias. Estas certificaciones se llevan a cabo principalmente para tranquilizar a los clientes y para fines de relaciones públicas. No se deje engañar por pensar que cualquier tipo de certificación es obligatoria para ser considerada conforme a GDPR, para usuarios finales, integradores o fabricantes.
¿Hay excepciones al GDPR?
El artículo 23 de la GDPR otorga a los estados miembros de la UE el derecho de restringir muchas de las disposiciones centrales de GDPR, incluido el derecho al olvido, el derecho a obtener información sobre un tema de datos y la necesidad de proporcionar información detallada y transparente sobre qué tipo de el procesamiento está en marcha. Estas excepciones incluyen seguridad nacional, defensa, seguridad pública, casos legales en curso y prevención del delito.
Es posible que el monitoreo de espacios públicos sea considerado como un servicio de seguridad pública, eximiendo a los proveedores de vigilancia de cargas significativas. Sin embargo, aún no sabemos hasta qué punto la «seguridad pública» se aplica a la videovigilancia.
Lo que está claro en el Artículo 23 es que, por ejemplo, alguien acusado de robar un banco no puede solicitar que el banco elimine todas las imágenes de videovigilancia de él bajo el derecho de ser olvidado, y un individuo no puede solicitar agencias contra el terrorismo para obtener ningún video grabaciones que tienen de ella.
[isc_list]