Anexo: Evaluación del impacto de la protección de datos

Según el artículo 35 del RGPD, se requiere una evaluación de impacto de la protección de datos si la vigilancia

pudiera suponer un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del mismo, una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales.

El controlador de datos debe consultar a la autoridad de supervisión antes del tratamiento cuando una Evaluación de impacto de la protección de datos en virtud del artículo 35 indica que el tratamiento daría lugar a un alto riesgo en ausencia de medidas adoptadas por el controlador de datos para mitigar el riesgo (Consulta previa, artículo 36 del RGPD).

Crear y mantener una evaluación de impacto de la protección de datos, un aviso a las personas afectadas. Este documento:

  • Describe el objetivo de la vigilancia
  • Es conservado por el controlador de datos o el procesador de datos
  • Define la política de retención

Antes de instalar e implantar sistemas de videovigilancia se debe realizar una evaluación del impacto de la protección de datos, siempre que ello suponga un valor añadido a los esfuerzos de cumplimiento de la organización. El objetivo de la evaluación de impacto sobre la protección de datos es determinar el impacto del sistema propuesto sobre la privacidad de las personas y otros derechos fundamentales, así como identificar formas de mitigar o evitar cualquier efecto adverso.

Como mínimo, de acuerdo con el artículo 35 (7) del RGPD, la evaluación debe contener al menos:

  • Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluyendo, en su caso, el interés legítimo perseguido por el responsable del tratamiento

  • Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento en relación con los propósitos

  • Una evaluación de los riesgos para los derechos y libertades de los titulares de los datos a los que se refiere el artículo 35 (1) del RGPD:

    Donde un tipo de tratamiento, en particular que utiliza nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, pueda suponer un riesgo elevado para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de los datos personales. Una única evaluación puede referirse a un conjunto de operaciones de transformación similares que presentan riesgos elevados parecidos.

  • Las medidas previstas para hacer frente a los riesgos, incluidas garantías, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del RGPD teniendo en cuenta los derechos e intereses legítimos de los interesados y otras personas afectadas

El esfuerzo que conviene invertir en una evaluación de impacto de la protección de datos depende de las circunstancias. Un sistema de videovigilancia con grandes riesgos inherentes, o que plantee cuestiones complejas o novedosas, justifica la inversión de un esfuerzo mucho mayor que uno con un impacto comparativamente limitado sobre la privacidad y otros derechos fundamentales, como un sistema convencional de CCTV estático operado con fines típicos de seguridad.

En cualquier caso y en todos los casos, ya sea en una evaluación del impacto de la protección de datos formal o de otro tipo, las organizaciones deben evaluar y justificar si recurren a la videovigilancia, cómo ubicar, seleccionar y configurar sus sistemas, y cómo aplicar las salvaguardias de protección de datos.

Además, puede haber casos en los que una organización proponga un sistema no estándar. En este caso, la organización debe evaluar cuidadosamente las diferencias previstas con respecto a la práctica y las recomendaciones, discutirlas con su responsable de protección de datos y con otras partes interesadas, y documentar su evaluación por escrito, ya sea en una evaluación de impacto sobre la protección de datos formal o de otro modo. La auditoría del sistema por parte de la organización también debe abordar la legalidad de la personalización del sistema.

Por último, debido a su complejidad, novedad, especificidad o riesgos inherentes, es muy recomendable realizar una evaluación de impacto de la protección de datos en los siguientes casos:

  • Videovigilancia con propósitos distintos a la seguridad (incluso con propósitos de investigación)
  • Videovigilancia de espacios públicos
  • Monitorización de los empleados
  • Monitorización en el territorio de los estados miembros y en terceros países
  • Categorías especiales de datos
  • Áreas con mayores expectativas de privacidad
  • Videovigilancia de alta tecnología y/o inteligente
  • Sistemas interconectados
  • Grabación de audio

La evaluación de impacto de la protección de datos puede ser realizada internamente o por un contratista independiente. La evaluación debe realizarse en una fase temprana del proyecto. Basándose en los resultados de la evaluación de impacto de la protección de datos, una organización puede decidir:

  • Abstenerse o modificar la monitorización prevista y/o
  • Para implementar salvaguardas adicionales

Riesgos inherentes al uso del VMS

Al realizar la evaluación de impacto de la protección de datos, debe ser consciente de los riesgos inherentes al uso del VMS.

La evaluación del impacto de la protección de datos debe estar adecuadamente documentada. Como principio, un informe de evaluación de impacto de la protección de datos debe especificar claramente los riesgos para la privacidad y/u otros derechos fundamentales que la organización ha identificado, así como las salvaguardias adicionales propuestas. Tenga en cuenta los siguientes riesgos de vulneración de los derechos personales:

  • Empresa/empleador, utilizando los vídeos, las alarmas o los registros de auditoría para:
    • Monitorizar las horas de trabajo de los empleados en el sitio investigado, por ejemplo, la hora de llegada y salida
    • Monitorizar la efectividad de los empleados controlando dónde pasan su tiempo, la cantidad de tiempo que pasan en la máquina de café, el tiempo que pasan en los baños, siempre y cuando trabajen efectivamente en la tarea que tienen
    • Monitorizar lo que el empleado está mirando en sus pantallas de ordenador
    • Monitorizar si los empleados cumplen los requisitos de trabajo o de seguridad, por ejemplo en los lugares de construcción
    • Mostrar grabaciones de vídeo de los empleados a otros empleados o gerentes para intimidar al empleado o amenazar a otros empleados para que hagan lo mismo
    • Verificar si los guardias/operadores de seguridad desempeñan sus funciones de forma eficaz, por ejemplo, comprobando si utilizan activamente a los clientes, seleccionando las cámaras, ejecutando las reproducciones, etc.
  • Empresa/propietario/operador/vigilantes, utilizando vídeos para:
    • Compartir en las redes sociales grabaciones de vídeo de personas (empleados de la empresa o público en general) en situaciones embarazosas o delicadas
    • Utilizar cámaras PTZ para acercarse a las personas y obtener grabaciones íntimas / inapropiadas en primer plano de ellas sin su conocimiento
  • Empresa/propietario/operador/vigilantes
    • Exportar vídeos o facilitar el acceso a vídeos grabados de forma no crítica a quien lo solicite

Fuentes adicionales para identificar el riesgo son:

  • La Milestone Guía para reforzar proporciona el Marco de gestión de riesgos cibernéticos, que describe los seis pasos recomendados para categorizar, seleccionar, implementar, evaluar, autorizar y supervisar los riesgos. La Milestone Guía para reforzar la seguridad ofrece una serie de riesgos técnicos y recomendaciones para mitigarlos. Estos incluyen, pero no se limitan a la protección de la privacidad del VMS en términos de una serie de violaciones de datos y riesgos de acceso no autorizado por una configuración técnica débil, diseño y operaciones de mantenimiento. Para obtener más información sobre cómo asegurar sus instalaciones de VMS XProtect contra los ciberataques, consulte la guía de protección.
  • La Milestone Guía de privacidad (esto) proporciona recomendaciones sobre la gestión de los riesgos operativos no técnicos, incluyendo la gestión de los derechos y solicitudes de los interesados, las funciones y las responsabilidades de un VMS, las plantillas para la notificación in situ, la política de videovigilancia y los Acuerdos de procesamiento de datos.
  • El Milestone aprendizaje electrónico sobre la privacidad de usuario final ofrece una formación de concienciación para las operaciones de VMS y a los supervisores sobre cómo, en el funcionamiento diario, manejar los riesgos de privacidad relacionados con el VMS. Vea más información en el Milestone sitio web de la certificación del RGPD.