Leverage COVID-19 response technologies to reopen your workplace safely and comply with local health and safety guidelines. Más información.

GDPR

GDPR

El Reglamento General de Protección de Datos (GDPR) es una nueva regulación bajo la ley de la Unión Europea (UE) con respecto a la protección y privacidad de datos para todas las personas dentro de la UE y aquellos cuyos datos personales son procesados por organizaciones establecidas en la UE. El nuevo reglamento impone nuevas obligaciones a quienes recopilan, almacenan y procesan dichos datos. El GDPR entró en vigencia en todos los países de la UE el 25 de mayo de 2018.

Si bien el GDPR no se escribió expresamente teniendo en cuenta los videos, estos se consideran información personal de los sujetos capturados en cámara y, por lo tanto, la regulación supone que quienes poseen y operan sistemas de videovigilancia deben analizar, documentar y gestionar cuidadosamente el impacto que sus sistemas de videovigilancia tienen en la privacidad.

Aunque la tecnología (como el software de gestión de video Avigilon Control Center [ACC]) en sí no puede cumplir con el GDPR, todos los proveedores de tecnología deben analizar cómo sus productos y soluciones pueden ayudar a las empresas a implementar y operar un sistema que cumpla con el GDPR. Avigilon se ha asegurado de que sus soluciones de seguridad en video incluyan características y funcionalidades que respalden el cumplimiento del GDPR.

En esta página se proporciona un marco simple basado en cinco principios básicos del GDPR para ayudar a respaldar el cumplimiento del sistema de video de un Controlador de datos. Además, se destacan las capacidades específicas dentro de las soluciones de seguridad en video de Avigilon que ayudarán a que una organización cumpla con los requisitos.

5 principios básicos del GDPR

Propósito claramente justificado
Todas las organizaciones deben tener una base legal válida para recopilar y procesar datos personales.

Privacidad por diseño
El GDPR exige que la privacidad sea una prioridad en todo el diseño y la puesta en servicio del sistema. El enfoque adoptado con respecto a la privacidad de los datos debe ser proactivo, no reactivo. Se deben anticipar los riesgos, y el objetivo debe ser prevenir los eventos antes de que ocurran.

Derecho de acceso
Según el Artículo 15, el GDPR otorga a las personas el control sobre sus datos personales, incluido el derecho a ver esos datos.

Derecho a ser olvidado
Según el Artículo 17, el GDPR otorga a las personas el control sobre sus datos personales, incluido el derecho a que se borren sus datos personales si ya no son necesarios para el propósito previsto del sistema.

Seguridad
El GDPR requiere que las organizaciones tengan políticas y procedimientos integrales que garanticen que los datos personales permanezcan bajo el control de la organización en todo momento. Además, las violaciones a los datos personales se deben informar dentro de un plazo de 72 horas a la autoridad de supervisión competente designada por el gobierno de su país.

Principio Implicaciones del sistema de video Acciones sugeridas para promover el cumplimiento Funciones y funcionalidades relacionadas de Avigilon
Propósito claramente justificado

Descripción documentada de lo siguiente: el propósito del sistema de video, qué información se recopila, para qué se utilizará, quién la utilizará y durante cuánto tiempo.

En casos específicos considerados de alto riesgo de invasión de la privacidad, se requiere una evaluación formal del impacto sobre la privacidad de los datos (DPIA).

Asegúrese de que se publiquen carteles que incluyan detalles sobre dónde los interesados pueden encontrar más información.

Asegúrese de que haya información disponible para cualquier interesado sobre el propósito de la recopilación de datos, el tipo de procesamiento realizado (p. ej. en vivo o grabado), el tiempo de retención de datos, etc.

Analice si se requiere una DPIA.

Ninguna. Estos requisitos basados en procedimientos son responsabilidad del Controlador de datos.
Privacidad por diseño

Las organizaciones deben analizar y documentar cuidadosamente cómo se diseñan los sistemas para mantenerse dentro de los objetivos establecidos.

Se debe tener cuidado para no capturar datos personales de sujetos fuera del dominio del sistema (p. ej. áreas públicas adyacentes).

Análisis cuidadoso de quién necesita ver qué información (p. ej. en vivo/grabado, período, resolución) y quién puede acceder a qué funciones (p. ej. búsqueda).

Utilice la Herramienta de diseño de sistemas (SDT) de Avigilon para documentar la resolución en diferentes puntos de la toma de la cámara, la retención prevista, etc.

Revise los roles y las responsabilidades de los operadores, investigadores, administradores del sistema y otras personas que tienen acceso al sistema.

Considere restringir el acceso a los grupos encargados de investigar las cámaras que están posicionadas específicamente para capturar identidades (p. ej. rostros de personas que ingresan a una tienda).

Considere restringir el acceso al video grabado para los operadores, ya sea completamente, solo al video grabado desde la última vez que iniciaron sesión o solo con doble autorización.

Asegúrese de que solo personas específicas conozcan la contraseña de la cuenta del administrador y que esta cuenta se use solo para tareas administrativas.

SDT es útil para planificar un sistema antes de la instalación y ayuda a garantizar que la cobertura, la resolución y la retención se analicen adecuadamente.

ACC™ ofrece control sobre los permisos del usuario, lo que permite garantizar que solo el personal de seguridad pueda acceder a los datos de video que necesitan para hacer su trabajo.

ACC controlará la resolución del video que se muestra en función de los permisos del usuario.

ACC requiere permisos de usuario explícitos para acceder a la funcionalidad de búsqueda que utiliza información de identificación personal, como apariencia personal, tarjetas de identidad de control de acceso, matrículas o información de punto de venta.

Derecho de acceso

De ser solicitado, las organizaciones deben brindarle a un interesado todos los datos personales recopilados sobre ellos, incluidos los videos tomados por un sistema de videovigilancia.

Cuando se entrega el video a un interesado, las otras personas que aparecen en el video deben estar tapadas o anonimizadas.

Asegúrese de que se creen procedimientos y políticas formales para gestionar las solicitudes de derecho de acceso.

ACC habilita la marcación y la exportación de video.

La tecnología Avigilon Appearance Search™ también se encuentra en ACC, que permite a los usuarios localizar, marcar y exportar videos grabados de una persona específica.

ACC puede exportar los resultados de Appearance Search y anonimizar las imágenes de todos los demás sujetos que aparecen en el video.

Derecho a ser olvidado Dado que eliminar a un sujeto específico del video no es práctico, los procesadores de datos deben limitar estrictamente durante cuánto tiempo se retiene el video de acuerdo con el propósito documentado del sistema. Revise el tiempo de retención de todas las cámaras y asegúrese de que esté configurado de acuerdo con el propósito documentado del sistema. ACC aplica estrictamente los límites especificados por el usuario final en cuanto al tiempo de retención por cámara y las capturas de matrículas.
Seguridad cibernética

Tome todas las medidas técnicas y organizativas adecuadas para evitar poner en riesgo los datos personales.

Cumpla estrictamente con las pautas del GDPR relacionadas con informar infracciones en caso de que ocurran.

Revise las políticas de seguridad sobre el control de contraseñas y el uso de la cuenta.

Considere establecer requisitos mínimos de seguridad de contraseña para todos los grupos. Considere establecer requisitos más estrictos para las cuentas administrativas.

Disponga de procesos para auditar el estado de protección y detectar infracciones.

Asegúrese de que los usuarios no compartan cuentas, ya sea compartiendo contraseñas o dejando abierta la sesión al final de su turno.

Mantenga una política y un procedimiento documentados que determinen las medidas adecuadas en caso de filtración de datos.

ACC emplea medidas de seguridad que incluyen la aplicación de una contraseña segura, la autenticación de la conexión y el cifrado de datos.

ACC proporciona registros de actividad de todas las acciones de los usuarios para permitir a los auditores ver quién accedió a qué recursos y cuándo.

Recursos adicionales

Guía del Reglamento General de Protección de Datos de ICO.org

Supervisor de Protección de Datos de la UE, “Las pautas de videovigilancia del EDPS” (PDF)

Supervisor de Protección de Datos de la UE, “Artículo 15: Derecho de acceso del interesado”

Supervisor de Protección de Datos de la UE, “Artículo 25: Protección de datos por diseño y por defecto”

Supervisor de Protección de Datos de la UE, “Artículo 33: Notificación de una filtración de datos personales a la autoridad supervisora”

Esta página no debe interpretarse como asesoramiento legal y se proporciona únicamente con fines informativos. Este folleto es de naturaleza sumativa y no debe considerarse como un análisis exhaustivo o un resumen de todas las consideraciones de cumplimiento de GDPR relevantes para usted. El cumplimiento de la legislación sobre privacidad es específico del contexto y de la situación. Como usuario final de los productos Avigilon, es su responsabilidad asegurarse de que sus acciones cumplan con la legislación de privacidad aplicable (incluido el GDPR). Si busca asesoramiento al respecto, debe comunicarse con un asesor legal calificado.