Resumen

El RGPD es una normativa que ya está influyendo en la forma en que las organizaciones administran los datos, incluidos los de vídeo.

Como mínimo, cada organización que procesa datos personales necesita una o más personas designadas responsables para asegurarse de que la organización gestiona los datos personales en línea con el GDPR y la política de la empresa (el número de horas de trabajo asignadas para esto dependerá del tamaño de la organización y la cantidad de datos personales recopilados y procesados). Además, para algunas organizaciones, el RGPD requerirá el nombramiento de un delegado de protección de datos (DPD) formal para realizar estas tareas.

También habrá cambios en el proceso administrativo. Bajo el RGPD, las organizaciones tienen que mantener el Registro de actividades de procesamiento de datos detallado y preciso. Para ver un modelo de registro de actividades de tratamiento, consulte la plantilla de Registro de actividades de tratamiento. Hay una serie de detalles que deben registrarse, incluidos, entre otros, los siguientes:

• La categoría de personas a la que se refieren los datos personales tratados (por ejemplo, clientes, empleados, visitantes de la tienda, etc.).
• Para qué propósitos se utilizan los datos personales
• Si los datos personales van a ser transferidos, a otras empresas y/o fuera de la UE
• Cuánto tiempo se almacenarán los datos personales
• Medidas adoptadas por la organización, en relación con cada actividad de tratamiento de datos por separado, para garantizar el cumplimiento del RGPD

Todo esto es relevante cuando se trata de vídeo de vigilancia almacenado, y definido en la política de videovigilancia (consulte Anexo: Política de videovigilancia).

Las organizaciones están obligadas a explicar por qué una cámara de vídeo está en un lugar determinado, qué se está filmando y el motivo. En el caso de la videovigilancia, se debe utilizar una señalización adecuada en la zona en la que se utiliza la videovigilancia y en sus alrededores para proporcionar información al respecto.

El responsable del tratamiento puede estar obligado a realizar una evaluación de impacto de la protección de datos (ver Anexo: Evaluación del impacto de la protección de datos) cuando se trata de instalar una cámara en un lugar público. Una evaluación de impacto debe incluir:

• Una descripción sistemática de las operaciones de tratamiento previstas y de los propósitos del tratamiento
• Una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en términos de propósito (Esto puede requerir asistencia externa)
• La evaluación del riesgo para los derechos y libertades de las personas
• Las medidas previstas para hacer frente a estos riesgos, incluidas las garantías y los mecanismos para asegurar la protección de los datos personales y el cumplimiento del RGPD (se deben tener en cuenta los derechos e intereses legítimos de las personas y otras personas afectadas)

Una de las características clave del RGPD es que las personas a las que se hace un seguimiento deben estar plenamente informadas de los datos que se guardan sobre ellas y de cómo se utilizan. El aviso de derecho de información informa a las personas afectadas de: el propósito de la vigilancia, quién conserva los datos que se recogen (responsable del tratamiento/encargado del tratamiento) y la política de conservación. Para ver un modelo de notificación en el lugar de los hechos, consulte la plantillaMilestone Aviso en el lugar.

Las organizaciones que almacenan vídeo tienen responsabilidades claras cuando se trata de almacenar datos personales y deben establecer medidas sólidas para evitar el acceso no autorizado. Esto significa que es importante establecer, por escrito, quién tendrá acceso a las cámaras y grabaciones.

Las organizaciones también deben contar con un procedimiento para cuando una persona decida ejercer su derecho de acceso a los datos personales o solicitar su supresión. Esto es para que puedan permanecer dentro de la ventana prescrita de un mes dentro de la cual deben cumplir con estas solicitudes de acuerdo con el RGPD. Al hacer una solicitud de este tipo, es razonable esperar que el solicitante proporcione información adecuada para localizar estos datos, por ejemplo, un período de tiempo aproximado y la ubicación en la que se capturó el vídeo. Es decir, el sujeto debe proporcionar documentos de identidad oficiales que demuestren quién es, y la organización debe dejar constancia de las grabaciones que se le muestran o proporcionan al individuo. Además, hay que enmascarar a otras personas en el vídeo, utilizando herramientas de terceros.

Las organizaciones deben utilizar medidas estrictas para evitar el acceso no autorizado a los datos personales que almacenan. Las tácticas utilizadas por cada organización serán únicas para los desafíos a los que se enfrentan. Sin embargo, en todos los casos, las organizaciones deben utilizar controles de seguridad robustos, mantenerse al día con las mejores prácticas de ciberseguridad y asegurarse de que están trabajando con socios de confianza que proporcionan hardware y software seguros, así como un cuidado posterior exhaustivo.

Tratamiento de la información personal

Al tratar la información personal, se deben respetar estos principios:

• Evaluar: Saber qué información personal tiene en sus archivos y en sus ordenadores.
• Reducir: Conservar sólo lo que necesita para su negocio.
• Proteger: Proteger la información que conserva.
• Eliminar: Deshacerse adecuadamente de lo que ya no necesita.
• Responder: Informar inmediatamente de todas las infracciones de seguridad reales o presuntas.