Anexo: El sistema Milestone XProtect VMS y el RGPD

Tenga en cuenta que: Esta sección describe los requisitos y las restricciones para ser un producto certificado con el Sello de Privacidad Europeo (EuroPriSe). Un responsable/encargado del tratamiento de datos que se desvíe de estos requisitos no puede señalar que él o ella está utilizando un producto que facilita especialmente la protección de datos y el cumplimiento del RGPD.

Componentes y dispositivos que no están cubiertos por el Sello Europeo de Privacidad

Los siguientes componentes y dispositivos no están cubiertos por el Sello Europeo de Privacidad:

  • Plug-ins disponibles en marketplace Milestone
  • Servidor XProtect Mobile (desactivado por defecto)
  • Cliente XProtect Mobile
  • XProtect Web Client
  • XProtect Access (desactivado por defecto)
  • XProtect LPR (desactivado por defecto)
  • XProtect Transact (desactivado por defecto)
  • Milestone Interconnect
  • XProtect DLNA Server
  • Milestone Open Network Bridge (integración segura de vídeo privado a público)
  • XProtect Rapid REVIEW
  • XProtect Event Server plug-ins
  • Tratamiento de los datos de audio (desactivado por defecto)
  • Tratamiento de los metadatos (desactivado por defecto)
  • Tratamiento de los datos de los dispositivos de entrada y salida (desactivado por defecto)
  • XProtect BYOL como se proporciona por medio de https://aws.amazon.com/marketplace/pp/B089DKW36G

Para que la instalación de Milestone XProtect VMS esté cubierta por el Sello de Privacidad Europeo, estos componentes no deben ser instalados.

Además, el producto estándar no realiza reconocimiento facial, análisis de comportamiento, seguimiento automático o reconocimiento de personas en la transmisión en directo o en los medios grabados. Estas funcionalidades tampoco cumplen con el Sello de Privacidad Europeo.

Esto significa que cuando instala el XProtect VMS, no utiliza la opción de un sólo ordenador en el instalador, porque instala automáticamente el Mobile Server.

En su lugar, instala el sistema XProtect VMS con las opciones Distribuido o Personalizado. Esto no instala el Mobile Server.

Una vez que se haya instalado XProtect VMS la página de descarga en el Management Server listará los DLNA Server adicionales y los componentes Mobile Server. No instale estos servidores.

Guía de actualización

Si está actualizando una instalación de la versión de Milestone XProtect VMS 2018 R2 o anterior, los antiguos archivos de registro deben ser eliminados manualmente para que la instalación cumpla con el RGPD.

Después de haber actualizado el XProtect VMS, los antiguos archivos de registro pueden ser eliminados utilizando la información y la herramienta descrita en este artículo de Base de conocimientos.

Red segura para la autenticación y la transmisión de datos

Diseñe una infraestructura de red que utilice la red física o la segmentación VLAN en la medida de lo posible.

Milestone recomienda que seleccione cámaras que soporten HTTPS. Se recomienda configurar las cámaras en VLAN separadas y utilizar HTTPS para la comunicación entre la cámara y el servidor de grabación, así como para la comunicación entre los clientes y el servidor de grabación.

Se recomienda que XProtect Smart Client y XProtect Smart Wall están en la misma VLAN que los servidores.

Utilice una red cifrada VPN o similar si utiliza Smart Client o Smart Wall desde una ubicación a distancia.

Habilite la encriptación para todas las comunicaciones. Para obtener información sobre sus instalaciones XProtect VMS, consulte la guía para reforzar y la guía de certificados.

Tenga en cuenta que: El transporte no cifrado y no seguro de los datos de vídeo violaría el sello EuroPriSe y llevaría a la pérdida del cumplimiento del sello de privacidad EuroPriSe.

Enmascarar a personas en caso de acceso

Según el artículo 15 del RGPD, el titular de los datos tiene derecho a acceder a sus datos personales que están siendo procesados, por ejemplo, las grabaciones de vídeo del titular.

El titular de los datos tiene derecho a solicitar a una empresa información sobre qué datos personales (sobre él o ella) se están procesando y la justificación de dicho tratamiento.

Debido a que XProtect VMS no soporta la identificación automática de las personas, debe establecer medidas adicionales para garantizar los derechos de las personas. En el contexto del VMS, consulte Anexo: Aviso en el lugar.

Más aún, XProtect VMS no soporta el enmascaramiento de otras personas que se desplazan y que están registradas junto con el demandante por el derecho de acceso.

En Milestone Marketplace se pueden encontrar varias soluciones de socios técnicos de Milestone para el desenfoque dinámico de todas u otras personas antes de la exportación. Como alternativa, se puede añadir el desenfoque a las imágenes individuales o a los flujos de vídeo de forma manual o asistida después de la exportación. Algunas empresas ofrecen el desenfoque como servicio (por ejemplo, FACIT Data Systems).

Eliminar parcialmente grabaciones de vídeo

Según el artículo 17 del RGPD, el titular de los datos tiene derecho a solicitar la supresión de sus datos. En el contexto del VMS, esto a menudo no se cumple debido a los intereses legítimos primordiales (detección de fraude, salud y seguridad) u otros fines empresariales indicados en la política de videovigilancia (consulte Derecho al olvido (Derecho a la supresión) y Anexo: Política de videovigilancia). La política de videovigilancia define la conservación automática (por defecto, 7 días) que garantiza la eliminación automática de las grabaciones, y esto debe equilibrar de forma justa los derechos de los titulares de los datos frente a los propósitos empresariales razonables.

Si un titular de datos solicita la supresión de sus datos, se recomienda que el responsable del tratamiento utilice una Solicitud del titular de datos para documentar la reclamación (consulte Solicitud del titular de los datos). Para ver un modelo de solicitud del titular de los datos, consulte la plantilla Milestone Solicitud del titular de los datos.

Debe eliminar todas las grabaciones de la cámara o cámaras en cuestión.

Para conservar todas las demás grabaciones que no deben ser eliminadas, exporte todos los datos y guárdelos de forma segura. No puede restaurar estos datos de vuelta al VMS.

Cualquier exportación debe estar cifrada y firmada digitalmente, y excluir los intervalos de tiempo especificados de la cámara o cámaras específicas. Es decir, exportar hasta la hora/fecha y exportar después de la hora/fecha. Esto puede dar lugar a copias de seguridad de múltiples periodos de tiempo.

El Smart Client – Player puede entonces ser usado para ver los datos.

Se recomienda que el responsable del tratamiento busque asesoramiento jurídico y lleve a cabo tanto una evaluación del impacto sobre el negocio como una evaluación del impacto sobre la privacidad (consulte Realización de una evaluación de impacto) antes de ejecutar el derecho al olvido del titular de los datos, ya que la supresión puede introducir nuevos riesgos para el negocio que pueden inclinar la balanza de intereses e introducir riesgos que afecten negativamente a la protección de la privacidad de otros titulares de los datos.

Utilizar fondos geográficos en XProtect Smart Client

XProtect Smart Client soporta el uso de fondos geográficos. Estos fondos muestran los fondos de planos.

Se arriesga a violar el RGPD si utiliza cualquiera de los siguientes servicios de planos, y no cumplirá con el RGPD dentro de la certificación de EuroPriSe:

  • Bing Maps
  • Google Maps
  • Milestone Map Service

Estos servicios no proporcionan las garantías adecuadas en relación con el tratamiento de los datos personales en los EE.UU. El cliente se convierte en el responsable (conjunto) del tratamiento de los datos del usuario.

Consulte cualquier actualización de la sentencia Schrems II por parte de la Comisión Europea en el sitio web oficial.

Como alternativa, se recomienda configurar el servicio privado OpenStreetMap para el fondo geográfico.

Integraciones de socios registrados

Cuando se activa una licencia, Milestone recopila datos "por integración". El XProtect VMS recoge datos sobre plugins y los fabricantes de plugins y sobre los plugins y la integración que el cliente utiliza.

Los datos que se recopilan de cada instalación son:

  • Nombre de integración

  • Fabricante de la integración

  • Versión de integración

  • Tipo de integración (independiente, Smart Client, Management Client, Event Server) y un número de instancias de cada tipo (es decir, cuántos clientes están ejecutando el plugin)

Los desarrolladores de plugins nunca deben utilizar nombres personales al registrar su producto. Utilice sólo el nombre de la empresa.

Los datos sólo se procesan por Milestone si el fabricante del plugin está incluido en el mercado y ha aprobado el tratamiento de los datos con el fin de mejorar Milestone XProtect Corporate (y no para la comercialización y la investigación de mercado). Si el plugin no se registra, los datos se eliminan inmediatamente. La base legal del procesamiento es el artículo 6 (1) (f) del RGPD, que muestra los intereses legítimos de Milestone y los usuarios del VMS.

Garantías adicionales

Para garantizar mejor que la configuración de Milestone XProtect VMS cumple con el RGPD, esta lista le ofrece algunas garantías adicionales que debe tener en cuenta al configurar el sistema.

Problema Impacto negativo en la privacidad Consejos para el responsable del tratamiento de datos
Las cámaras PTZ y el enmascaramiento de la privacidad no funcionan juntos. Los enmascaramientos no siguen las mociones de PTZ. El efecto de mejora de la privacidad del enmascaramiento puede ser burlado.

Milestone recomienda que haga una de las siguientes cosas:

  • No debe utilizar la función de enmascaramiento de privacidad XProtect incorporada en las cámaras PTZ porque la máscara es estática en relación con los píxeles decodificados de la imagen y no con la dirección/ubicación real de la cámara PTZ.
  • Desactive la funcionalidad PTZ cuando utilice máscaras.
  • Compre cámaras PTZ que admitan el enmascaramiento dinámico de la privacidad (de modo que las zonas seleccionadas siempre queden enmascaradas, independientemente de la ubicación y el zoom de la cámara).
El uso de micrófonos o dispositivos de metadatos puede atentar contra la intimidad personal. (En XProtect Corporate, están desactivados por defecto).

El uso de micrófonos puede violar fácilmente el cumplimiento del RGPD.

Tenga en cuenta que: Utilizar micrófonos y dispositivos de metadatos no está cubierto por el Sello Europeo de Privacidad. Su activación violaría el sello EuroPriSe.

Antes de activar los micrófonos o los dispositivos de metadatos, debe asegurarse de que tiene un propósito claramente justificado para la recogida de datos. Consulte ¿Tiene una base legal para recopilar datos?
Los operadores y administradores pueden exportar o copiar los datos de vídeo, los archivos de vídeo, las copias de seguridad de la configuración y los registros de auditoría en discos duros locales o en soportes extraíbles como CD, DVD, unidades flash USB, etc. Los datos personales salen de las fronteras de la gobernanza de XProtect VMS. Los datos ya no están protegidos por los mecanismos de control de acceso de XProtect VMS y no pueden ser eliminados por XProtect VMS cuando se alcanza el período de conservación. Esto conlleva el riesgo de que los datos se almacenen durante más tiempo del permitido, de que se utilicen para diferentes propósitos y de que se viole la confidencialidad de los datos.

Los responsables del tratamiento adoptarán medidas técnicas y organizativas para proteger los datos que salgan de los límites de XProtect VMS. Consulte Gestión de datos exportados para las posibles medidas a tomar.

Los datos del registro de auditoría y otros datos personales no están cifrados por el producto antes de ser almacenados en las bases de datos SQL.

Los administradores de la base de datos pueden acceder a los datos del registro de auditoría utilizando clientes de la base de datos. XProtect Corporate no pueden controlar o registrar este acceso.

Especialmente, los datos sensibles del registro de auditoría pueden ser revelados a usuarios no autorizados. Consulte Protección de los datos almacenados y transmitidos. Para obtener más información sobre cómo asegurar sus instalaciones XProtect VMS ontra los ciberataques, consulte la guía para reforzar.

Haga lo siguiente:

  • Implemente un concepto de rol adecuado para la administración de la base de datos.
  • Limite el acceso a la base de datos sólo para el personal autorizado.
  • Si es posible, active el cifrado de la base de datos mediante mecanismos de base de datos.
El producto implementa una función de copia de seguridad. Esta función hace una copia de seguridad de la configuración del VMS pero no de la base de datos del registro de auditoría. La destrucción física del soporte de datos que contiene la base de datos de los registros de auditoría podría impedir al responsable del tratamiento cumplir con sus obligaciones de rendición de cuentas cuando no existen copias de seguridad de los registros de auditoría.

Considere la posibilidad de crear copias de seguridad de la base de datos del registro de auditoría.

Si el responsable de los datos decide crear copias de seguridad de la base de datos del registro de auditoría, también debe establecer un proceso para eliminar las copias de seguridad cuando se alcance el período de conservación y protegerlas contra el acceso no autorizado (por ejemplo, cifrando la copia de seguridad, poniendo bajo llave los medios de copia de seguridad, etc). Para obtener más información, consulte el manual de administrator para XProtect VMS.
El funcionamiento de una VPN en modo dividido podría revelar la dirección IP privada de usuarios XProtect VMS. Cuando se habilita el túnel dividido, los usuarios evitan la seguridad a nivel de puerta de enlace que pueda haber en la infraestructura de la red.

Haga lo siguiente:

  • Utilice una conexión VPN segura (una VPN es segura por defecto, pero algunos protocolos VPN antiguos no cifran los datos intercambiados entre el servidor y el cliente)

  • Utilice siempre la tunelación completa

  • Utilice los protocolos de autenticación más compatibles (si los hay)

  • Utilice Active Directory para autenticar a los usuarios de la VPN

Para obtener más información sobre cómo asegurar sus instalaciones XProtect VMS ontra los ciberataques, consulte la guía para reforzar.
El producto permite establecer tiempos de retención para registros de auditoría, datos de vídeo, alarmas y otros datos personales. Establecer el tiempo de conservación en períodos demasiado largos podría violar los requisitos del RGPD en cuanto a las limitaciones de almacenamiento (artículo 5 (1)(e) y artículo 17 del RGPD). Los tiempos de conservación deben adaptarse a los propósitos del tratamiento (consulte Derecho al olvido (Derecho a la supresión)).
Los administradores pueden configurar los destinatarios del correo electrónico que pueden recibir fragmentos de vídeo o imágenes fijas del VMS cuando se producen determinados eventos. No es posible configurar una lista blanca de dominios permitidos para estos destinatarios de correo electrónico. Un error tipográfico podría dar lugar a una violación de datos cuando un tercero reciba correos electrónicos con datos de vídeo y alarmas del sistema.

Haga que el responsable del tratamiento sea consciente de este riesgo.

Milestone recomienda que establezca un proceso organizativo, como el principio de los cuatro ojos, que reduce el riesgo de fallos al introducir las direcciones de correo electrónico.
Las notificaciones son correos electrónicos que se envían a una dirección de correo electrónico determinada. Al crear una notificación, el administrador puede decidir incluir un conjunto de instantáneas o un AVI de una secuencia. Debido a que las instantáneas adjuntas y las secuencias AVI en las notificaciones salen del VMS, están fuera del control del VMS para el acceso y la retención del usuario.

Como los mensajes de correo electrónico y su contenido salen del control de acceso y conservación del usuario del VMS, se recomienda no adjuntar imágenes o secuencias AVI a notificaciones de correo electrónico.

Si el cliente necesita esta característica, al menos debe asegurarse de que existen procedimientos y controles organizativos sobre quién recibe los correos electrónicos y cómo se gestionan. Consulte Tratamiento de los datos exportados en las notificaciones y el correo electrónico.
Cuando la notificación push está habilitada, el proveedor del sistema operativo del móvil (es decir, Google o Apple) procesan los datos para entregar notificaciones push a los smartphones. Aunque el contenido de los mensajes de notificaciones push están configurados para ser anónimos, Milestone no puede garantizar que Apple y Google no puedan derivar datos personales de los datos procesados por ellos. Los proveedores del sistema operativo móvil (es decir, Google o Apple) utilizan un esquema de direccionamiento de mensajes que implica tokens de registro e ID de instalación de la aplicación del móvil del cliente. Esto permite que los proveedores entreguen mensajes a las aplicaciones correspondientes en los dispositivos. Para Google y Apple, el token y el ID de instalación son seudónimos.

De acuerdo con el artículo 49 (1)(a) del RGPD, se necesita el consentimiento del operador de VMS si las notificaciones push están activadas.

Se recomienda obtener el consentimiento o, de otro modo, desactivar los mensajes push.