Anexo: Cumplimiento del RGPD

Realización de una evaluación de impacto

Antes de instalar e implementar sistemas de videovigilancia, debe realizar una evaluación del impacto sobre la privacidad y la protección de datos.

El objetivo de la evaluación de impacto es determinar el impacto del sistema propuesto sobre la privacidad de las personas y otros derechos fundamentales, así como identificar formas de mitigar o evitar cualquier efecto adverso.

¿Cuánto esfuerzo debe dedicarse a la evaluación de impacto? Depende de las circunstancias. Un sistema de videovigilancia con un alto riesgo de violación de la intimidad justifica una mayor inversión que un sistema de videovigilancia con un impacto limitado en la intimidad, por ejemplo, un sistema de CCTV estático convencional.

Como mínimo, de acuerdo con el artículo 35 (7) del RGPD, la evaluación debe contener al menos:

• Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluyendo, en su caso, el interés legítimo perseguido por el responsable del tratamiento

• Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento en relación con los propósitos

• Una evaluación de los riesgos para los derechos y libertades de los titulares de los datos a los que se refiere el artículo 35 (1) del RGPD:

  Donde un tipo de tratamiento, en particular que utiliza nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, pueda suponer un riesgo elevado para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de los datos personales. Una única evaluación puede referirse a un conjunto de operaciones de transformación similares que presentan riesgos elevados parecidos.

• Las medidas previstas para hacer frente a los riesgos, incluidas garantías, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del RGPD teniendo en cuenta los derechos e intereses legítimos de los interesados y otras personas afectadas

En cualquier caso, y en todos los casos, debe calcular y justificar si se recurre a la videovigilancia, cómo colocar las cámaras, seleccionar y configurar los sistemas, y cómo aplicar las garantías de protección de datos necesarias. Para obtener información sobre sus instalaciones de VMS XProtect, consulte la guía de protección y la guía de certificados.

Derecho de acceso

En virtud del artículo 15, el RGPD proporciona a las personas el control de sus datos personales, incluido el derecho a verlos. Es de especial importancia el derecho a que los titulares de los datos puedan obtener una copia de los mismos y a que se enmascare a terceras personas (utilizando herramientas de terceros).

A demanda del interesado, las organizaciones deben entregarle todos los datos personales recogidos sobre él, incluido el vídeo recogido por un sistema de videovigilancia.

Asegúrese de establecer procedimientos y políticas formales para gestionar las solicitudes de derecho de acceso, descritas en el Registro de transferencias y divulgaciones.

Transferencias y divulgaciones

Hay tres normas principales en el RGPD que regulan las transferencias, dependiendo de si se transfieren las grabaciones:

• A un destinatario dentro de la organización o en otra organización

  En este caso, el RGPD establece que las grabaciones pueden ser transferidas a otras personas dentro de la organización o en otra organización si esto es necesario para el desempeño legítimo de las tareas cubiertas por la competencia del destinatario.

• A otros dentro de la Unión Europea

  En este caso (transferencias fuera de las organizaciones pero dentro de la Unión Europea), son posibles si es necesario para el cumplimiento de una tarea realizada en interés público o sujeta al ejercicio de la autoridad pública, o si el destinatario establece de otro modo que la transferencia es necesaria y no hay razón para suponer que los intereses legítimos de aquellos cuyas imágenes se transfieren puedan verse perjudicados.

• O al exterior de la Unión Europea

  En este caso, se pueden realizar transferencias fuera de la Unión Europea: (i) si se hace únicamente para permitir que se lleven a cabo las tareas de la organización y (ii) sólo conforme a requisitos adicionales, principalmente para garantizar que los datos estarán adecuadamente protegidos en el extranjero.

Registro de transferencias y divulgaciones

Las organizaciones deben llevar un registro, siempre que sea posible, en formato electrónico, de las transferencias y divulgaciones. En él, se debe registrar cada transferencia a un tercero. (los terceros también incluyen a cualquier persona dentro de la organización a la que los que tienen acceso a las grabaciones le hagan una transferencia en primer lugar. Esto incluye normalmente cualquier transferencia fuera de la unidad de seguridad). El registro, además, debe contener todas las instancias en las que, aunque no se haya transferido la copia de la grabación de videovigilancia, se hayan mostrado las grabaciones a terceros o cuando el contenido de las grabaciones se haya divulgado de otro modo a terceros.

El registro debe incluir al menos lo siguiente:

• Fecha de los registros
• Parte demandante (nombre, título y organización)
• Nombre y título de la persona que autoriza la transferencia
• Breve descripción del contenido de las grabaciones
• Motivo de la solicitud y la razón para concederla
• Si se transfirió una copia de la grabación, se mostró la grabación o se dio información verbal

Derecho al olvido (Derecho a la supresión)

En virtud del artículo 17, el RGPD proporciona a las personas el control sobre sus datos personales, incluido el derecho a que se borren sus datos personales si ya no son necesarios para los fines previstos del sistema.

Según el artículo 17 (1) (c) del RGPD, el responsable del tratamiento debe gestionar las objeciones de los titulares de datos. Ya que no es práctico borrar un tema específico del vídeo, los procesadores de datos deben limitar estrictamente el tiempo de retención del vídeo de acuerdo con el propósito documentado del sistema.

¿Qué debe hacer?

Revisar el tiempo de retención de todas las cámaras y asegurarse de que se establece de acuerdo con el propósito documentado del sistema.

El derecho al olvido no suele aplicarse a la videovigilancia, ya que el tiempo de retención suele ser breve y porque hay otros fundamentos jurídicos que prevalecen sobre los intereses técnicos y legales "razonables", como la obligación legal (ley de empleo), el interés público (prevención de la delincuencia, salud y seguridad públicas), los intereses vitales (datos críticos para la vida y la salud, entornos peligrosos), los intereses legítimos (detección de fraudes, empleo, desarrollo de productos), o incluso el cumplimiento contractual (empleo, suscripciones y licencias). Un ejemplo de interés legítimo es que las grabaciones de videovigilancia deben ser una fuente fiable de pruebas en cualquier momento, por lo que el VMS protege principalmente las pruebas de vídeo para que no sean manipuladas y asegura su autenticación, haciendo que el derecho al olvido sea secundario.

Normalmente hay dos razones para que los titulares de los datos se opongan al almacenamiento de las grabaciones de vídeo:

• Los intereses del responsable del tratamiento para almacenar los datos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado que exigen la protección de los datos personales (artículo 17, apartado 1, letra c), del RGPD)
• Los datos personales han sido tratados ilegalmente, por ejemplo, la vigilancia de una guardería o de un vestuario (artículo 17 (1) (d), RGPD)

Por lo tanto, cada solicitud debe ser examinada a fondo.

¿Cuánto tiempo deberían conservarse las grabaciones?

El principio general es que las grabaciones no deben ser conservadas más tiempo del necesario para los fines específicos para los que fueron realizadas. También hay que considerar si la grabación es necesaria en primer lugar y si la supervisión en directo sin grabación sería suficiente.

Si una organización escoge la grabación, debe especificar el periodo en que se conservarán las grabaciones. Después de este periodo, las grabaciones deben ser borradas. VMS Milestone XProtect automatiza el proceso de supresión, borrando automáticamente las grabaciones más antiguas que el tiempo de retención establecido.

Cuando los archivos que contienen los datos de vídeo grabados son eliminados por el VMS, los archivos y su contenido no se borran realmente de los bloques de datos del sistema de almacenamiento, sino que simplemente se marcan como libres en el sistema de archivos, lo que permite que se escriban otros archivos en esta ubicación del sistema de almacenamiento. Hasta que los bloques de datos sean realmente sobrescritos con nuevos datos, los datos de vídeo antiguos borrados pueden ser potencialmente restaurados, proporcionando acceso a grabaciones más antiguas que el tiempo de retención establecido.

Por este motivo, se recomienda no sobredimensionar el sistema de almacenamiento, ya que el riesgo aumenta con el tamaño de la sobrecarga.

Por ejemplo, si el sistema de almacenamiento asignado es el doble de grande que la cantidad de datos de vídeo almacenados para el tiempo de retención establecido, por ejemplo siete días, los bloques de datos eliminados que contienen datos de vídeo antiguos eliminados pueden permanecer estadísticamente en el sistema de almacenamiento durante siete días más antes de ser sobrescritos.

Para reducir aún más el riesgo de acceder a datos de vídeo antiguos que han sido borrados, y por seguridad en general, se recomienda habilitar el cifrado de las bases de datos multimedia, ya que esto, además de restaurar los archivos borrados, ahora también requiere romper el cifrado.

Más allá de que los datos de vídeo hayan sido cifrados o no, una vez que los discos del sistema de almacenamiento ya no son utilizables, es importante que desinfecte o destruya físicamente los discos duros que han sido utilizados para almacenar bases de datos multimedia antes de deshacerse de ellos (por ejemplo, mediante la trituración u otro medio equivalente).

Para obtener información sobre cómo configurar esto en Milestone XProtect, consulte la sección Almacenamiento y archivo (explicación) en el manual del administrador para VMS XProtect.

Si el propósito de la videovigilancia es la seguridad, y se produce un incidente de seguridad y se determina que las grabaciones son necesarias para seguir investigando el incidente o utilizar las grabaciones como prueba, la grabación correspondiente podrá conservarse más allá de los períodos normales de retención durante el tiempo que sea necesario para estos fines. No obstante, a partir de ahí, también deben ser borrados.

Período de conservación para fines típicos de seguridad: de una semana a un mes

Cuando se instalan cámaras con propósitos de seguridad, entre una semana y un mes debería ser tiempo suficiente para que el personal de seguridad tome una decisión informada sobre la conveniencia de conservar una grabación durante un periodo más largo para seguir investigando un incidente de seguridad o utilizarla como prueba.

Un ejemplo de legislación local: según algunas autoridades alemanas de protección de datos y la mayor parte de la bibliografía sobre protección de datos, este periodo de conservación es de 48 a 72 horas como orientación para el control de acceso y la investigación de delitos penales.

Estado miembro o territorio de un tercer país: 48 horas

En caso de que la vigilancia cubra alguna zona fuera de los edificios en el territorio de un estado miembro (o de un tercer país) (normalmente las que están cerca de las zonas de entrada y salida) y no sea posible evitar que los transeúntes o los coches que pasan sean captados por las cámaras, se recomienda reducir el periodo de conservación a 48 horas o tener en cuenta de otro modo las preocupaciones locales siempre que sea posible.

Derecho a la limitación del tratamiento

El titular de los datos puede, con referencia al artículo 18 (1) del RGPD, reclamar el derecho a la restricción del tratamiento. En un escenario básico de VMS, el titular de los datos puede alegar que el tratamiento de VMS es ilegal, por ejemplo, si el titular de los datos no es consciente de que la videovigilancia de un espacio público se realiza con protección de la máscara de privacidad. Se recomienda utilizar una plantilla de solicitud del titular de los datos para documentar la reclamación (consulte Solicitud del titular de los datos). Para ver un modelo de solicitud del titular de los datos, consulte la plantilla Milestone Solicitud del titular de los datos.

La petición debe tramitarse en un plazo razonable, más rápido que el periodo de conservación, para evitar la retención o el borrado automático de las pruebas del VMS en la petición. Por lo general, se aconseja solicitar asesoramiento legal en relación con la limitación del tratamiento. Una forma de manejar dicha solicitud es permitir que el administrador del VMS limite a los supervisores u operadores del VMS por asignación de funciones para que sólo puedan reproducir las grabaciones dentro de un corto período de tiempo después de haber sido grabadas, por ejemplo, cuatro horas o un día (consulte ¿Qué debe hacer?: "Considere la posibilidad de restringir el acceso de los operadores a los vídeos grabados, ya sea por completo, sólo a los vídeos grabados en las últimas horas, o sólo con doble autorización"). Las limitaciones de la reproducción también se aplican a los bloqueos de pruebas. Si es necesario restringir aún más el tratamiento, se recomienda realizar tanto una evaluación del impacto sobre la empresa como una evaluación del impacto sobre la privacidad (consulte Realización de una evaluación de impacto) como parte de la atención de las reclamaciones.

¿Qué debe hacer?

• Documentar la resolución de diferentes puntos en la escena de la cámara
• Documentar el tiempo de conservación previsto
• Considerar la posibilidad de aplicar una máscara de privacidad, permanente o elevable
• Considerar la posibilidad de establecer permisos para ver vídeos en directo, grabaciones
• Considerar la posibilidad de limitar el acceso para exportar las grabaciones y para retirar las máscaras de privacidad
• Revisar periódicamente las funciones y responsabilidades de los operadores, investigadores, administradores del sistema y otras personas con acceso al sistema
• Considerar la posibilidad de limitar el acceso a los grupos encargados de las investigaciones de las cámaras que se colocan específicamente para captar la identidad (por ejemplo, las caras de las personas que entran en una tienda)
• Considere la posibilidad de restringir el acceso de los operadores a los vídeos grabados, ya sea por completo, sólo a los vídeos grabados en las últimas horas, o sólo con doble autorización
• Limitar el número de usuarios que tienen un rol de administrador

Requisitos para la privacidad por diseño

Privacidad por diseño y privacidad por defecto

Según el RGPD, el responsable del tratamiento de datos personales, al tratar dichos datos, debe aplicar medidas técnicas u organizativas diseñadas para aplicar los principios de protección de datos establecidos en el RGPD. El RGPD se refiere a esto como privacidad por diseño.

En el contexto de una cámara, un ejemplo relevante de privacidad por diseño sería una característica que permite digitalmente al usuario restringir la captura de imágenes a un determinado perímetro, impidiendo que la cámara capture cualquier imagen fuera de este perímetro que de otro modo sería capturada.

En el VMS de XProtect, hay un soporte para la máscara de privacidad en dos formas: máscaras permanentes que no pueden ser retiradas, y máscaras elevables que (con los permisos apropiados) pueden ser levantadas para revelar la imagen detrás de la máscara.

El responsable del tratamiento también debe aplicar medidas técnicas u organizativas que, por defecto, garanticen el tratamiento menos intrusivo para la privacidad de los datos personales en cuestión. El RGPD se refiere a esto como privacidad por defecto. En el contexto de una cámara, un ejemplo de privacidad apropiado por defecto podría ser el uso de la máscara de privacidad para mantener privada un área que sea sensible dentro de la vista de la cámara.

¿Cuál es un ejemplo de una característica de XProtect que soporta el enfoque de privacidad por diseño?

Milestone desarrolla continuamente su cartera de productos, y la privacidad por defecto es un criterio de evaluación clave para hacer que XProtect cumpla con el RGPD. Para obtener más información, consulte la guía sobre el ciclo de vida del desarrollo seguro en Milestone. Esta guía es una parte esencial de la privacidad por defecto, con la aplicación de principios como el de "defensa en profundidad", el de "mínimos privilegios" y el de evitar las configuraciones por defecto menos seguras y desactivar las funciones de uso poco frecuente por defecto.

¿Qué hay que hacer para garantizar la privacidad por diseño?

• Considerar la resolución de los diferentes puntos de la escena de la cámara y documentar estos ajustes

  Diferentes propósitos requieren diferentes calidades de imagen. Cuando la identificación no es necesaria, la resolución de la cámara y otros factores modificables deben ser elegidos para garantizar que no se capturen imágenes faciales reconocibles.

• Cifrar sus grabaciones

  Milestone recomienda que proteja sus grabaciones activando al menos un cifrado ligero en el almacenamiento y los archivos de sus servidores de grabación. Milestone utiliza el algoritmo AES-256 para el cifrado. Cuando selecciona el cifrado ligero, solo se cifra una parte de la grabación. Cuando se selecciona cifrado fuerte, se cifra toda la grabación.

• Cifre la base de datos de investigaciones

  Milestone le recomienda que proteja la base de datos de investigaciones en el Mobile Server.

• Asegurar la red

  Milestone recomienda que seleccione cámaras que soporten HTTPS. Se recomienda configurar las cámaras en VLAN separadas y utilizar HTTPS para la comunicación entre la cámara y el servidor de grabación, así como para la comunicación entre los clientes y el servidor de grabación.

  Se recomienda habilitar el cifrado para todas las comunicaciones entre todos los servidores y clientes. Para obtener información sobre sus instalaciones de VMS XProtect, consulte la guía de protección y la guía de certificados.

  Se recomienda que XProtect Smart Client y XProtect Smart Wall estén en la misma VLAN que los servidores.

  Utilice una red cifrada VPN o similar si utiliza Smart Client o Smart Wall desde una ubicación a distancia.

• Habilitar y documentar el tiempo de conservación previsto

  Según el artículo 17 (1) (a) del RGPD, las grabaciones no deben conservarse más tiempo del necesario para los propósitos específicos para los que se realizaron. Milestone recomienda establecer el tiempo de conservación de forma adecuada. De este modo, se automatiza la eliminación del vídeo.

• Exportaciones seguras

  Milestone recomienda que sólo permita el acceso a la funcionalidad de exportación a un conjunto selecto de usuarios que necesitan este permiso.

  Milestone también recomienda que el perfil Smart Client se cambie para permitir solo la exportación en formato XProtect con el cifrado habilitado. Las exportaciones de AVI y JPEG no deberían estar permitidas, porque no se pueden hacer seguras. Esto hace que la exportación de cualquier material explicativo esté protegido por contraseña, cifrado y firmado digitalmente, lo que garantiza que el material forense es auténtico, no está manipulado y sólo lo ve el receptor autorizado.

• Activar máscara de privacidad, permanente o elevable

  Utilice la máscara de privacidad para ayudar a eliminar la vigilancia de áreas irrelevantes para su objetivo de vigilancia.

• Restringir los permisos de acceso con cometidos

  Aplicar el principio del mínimo privilegio (PoLP).

  Milestone recomienda que sólo permita el acceso a la funcionalidad a un conjunto selecto de usuarios que necesitan este permiso. Por defecto, sólo el administrador del sistema puede acceder al mismo y realizar tareas. Todos los nuevos cometidos y usuarios que se crean no tienen acceso a ninguna función hasta que son configurados deliberadamente por un administrador.

  Configure los permisos para todas las funciones, incluida la visualización de vídeo en directo y las grabaciones, la escucha de audio, el acceso a los metadatos, el control de las cámaras PTZ, el acceso y la configuración de Smart Wall, la retirada de las máscaras de privacidad, el trabajo con las exportaciones, el almacenamiento de instantáneas, etc.

  Restrinja el acceso a los vídeos, audios y metadatos grabados para los operadores, ya sea por completo, o restrinja el acceso sólo a los vídeos, audios o metadatos grabados en las últimas horas o menos.

  Evaluar y revisar periódicamente las funciones y responsabilidades de los operadores, investigadores, administradores del sistema y otras personas con acceso al sistema. ¿Se sigue aplicando el principio del mínimo privilegio?

• Habilitar y utilizar la doble verificación de acceso

  Milestone recomienda que especifique un paso adicional de inicio de sesión para los usuarios de XProtect Mobile o XProtect Web Client habilitando la doble verificación de acceso.

• Limitar los permisos de administrador

  Milestone recomienda que limite el número de usuarios que tienen un rol de administrador.

Instalación y configuración del sistema de videovigilancia

El principio rector en lo que respecta a todos los puntos abordados en esta sección debe ser minimizar cualquier impacto negativo sobre la privacidad y otros derechos fundamentales e intereses legítimos de las personas vigiladas.

Ubicación de las cámaras y ángulos de visión

Se debe elegir la ubicación de las cámaras para minimizar las zonas de visión que no sean relevantes para los propósitos previstos.

Por regla general, allí donde se instale un sistema de videovigilancia para proteger los activos (bienes o información) de la organización o la seguridad del personal y los visitantes, la organización debe limitar la monitorización a

• áreas cuidadosamente seleccionadas que contienen información sensible, artículos de alto valor u otros activos que requieran una mayor protección por una razón concreta,
• los puntos de entrada y salida de los edificios (incluidas salidas de emergencia y salidas de incendios y muros o vallas que rodean el edificio o la propiedad), y
• puntos de entrada y salida dentro del edificio que conectan diferentes zonas sujetas a distintos permisos de acceso y separadas por puertas cerradas con llave u otro mecanismo de control de acceso.

Número de cámaras

El número de cámaras a instalar dependerá del tamaño de los edificios y de las necesidades de seguridad que, a su vez, dependen de diferentes factores. El mismo número y tipo de cámaras puede ser adecuado para una organización y puede ser enormemente desproporcionado para otra. No obstante, en igualdad de condiciones, el número de cámaras es un buen indicador de la complejidad y el tamaño de un sistema de vigilancia y puede sugerir mayores riesgos para la privacidad y otros derechos fundamentales. Conforme aumenta el número de cámaras, también aumenta la probabilidad de que no se utilicen de forma eficiente y se produzca un exceso de información. Por ello, el Supervisor Europeo de Protección de Datos (SEPD) recomienda limitar el número de cámaras a lo estrictamente necesario para lograr los propósitos del sistema. El número de cámaras debe figurar en la política de videovigilancia.

Horas de monitorización

La hora a la que se configuran las cámaras están programadas para grabar para minimizar la vigilancia en horas que no son relevantes para los propósitos previstos. Si el propósito de la videovigilancia es la seguridad, siempre que sea posible, el sistema debe configurarse para que grabe sólo durante las horas en las que hay una mayor probabilidad de que se produzcan los supuestos problemas de seguridad.

Resolución y calidad de imagen

Se debe elegir una resolución y una calidad de imagen adecuadas. Diferentes propósitos requerirán diferentes calidades de imagen. Por ejemplo, cuando la identificación de los individuos es esencial, la resolución de las cámaras, los ajustes de compresión en un sistema digital, la ubicación, la iluminación y otros factores deben ser tenidos en cuenta y elegidos o modificados para que la calidad de la imagen resultante sea suficiente para proporcionar imágenes faciales reconocibles. Si la identificación no es necesaria, la resolución de la cámara y otros factores modificables pueden ser elegidos para garantizar que no se capturen imágenes faciales reconocibles.

¿Quién debe tener acceso al VMS?

Los permisos de acceso deben estar limitados a un número reducido de personas claramente identificadas y en función de la estricta necesidad de acceso. Las políticas de acceso a VMS deben definirse siguiendo el principio de "mínimo privilegio": se permite el acceso a los usuarios solo a los recursos estrictamente necesarios para realizar sus tareas.

Solo el responsable del tratamiento de datos, el administrador del sistema u otros miembros del personal designados específicamente por el responsable del tratamiento de datos para este fin deben poder conceder, modificar o anular los permisos de acceso de cualquier persona. Cualquier disposición, alteración o anulación de los permisos de acceso debe hacerse de acuerdo con los criterios establecidos en la política de videovigilancia de la organización.

Las personas con permisos de acceso deben ser siempre personas claramente identificables.

La política de videovigilancia debe especificar y documentar claramente quién tiene acceso a las grabaciones de videovigilancia o a la arquitectura técnica, por ejemplo los servidores VMS, del sistema de videovigilancia, con qué propósito y en qué consisten esos permisos de acceso. En particular, debe especificar quién tiene los permisos para

• Ver el vídeo/audio en tiempo real
• Operar las cámaras panorámicas, inclinadas y con zoom (PTZ)
• Ver las grabaciones
• Exportar, o
• Eliminar cualquier grabación

Además, debe configurar el acceso para las siguientes funciones del VMS:

• Marcadores
• Bloqueos de evidencias
• Levantar máscaras de privacidad
• Exportar
• Activar eventos
• Iniciar/detener grabación
• Crear/editar/borrar/activar/bloquear/retirar valores preestablecidos de PTZ
• Crear/editar/borrar/iniciar/detener esquemas de patrulla PTZ
• Búsqueda avanzada
• Permisos de audio, metadatos, E/S y eventos

Protección de los datos almacenados y transmitidos

En primer lugar, se debe realizar un análisis interno de los riesgos de seguridad para determinar qué medidas de seguridad son necesarias para proteger el sistema de videovigilancia, incluidos los datos personales tratados.

En todos los casos, deben tomarse medidas para garantizar la seguridad en relación con

• Transmisión
• Almacenamiento (como en bases de datos informáticas)
• Acceso (como el acceso a servidores, sistemas de almacenamiento, la red y las instalaciones)

La transmisión debe dirigirse a través de canales de comunicación seguros y estar protegida contra la interceptación, por ejemplo, haciendo lo siguiente:

• Cifre la base de datos de medios en el Recording Server y cifre toda la comunicación entre servidores y clientes. Para obtener información sobre sus instalaciones de VMS XProtect, consulte la guía de protección y la guía de certificados.

• Conectar la cámara HTTPS al Recording Server

• Utilice la VPN para Smart Client o Management Client conectado a través de Internet

• Usar HTTPS para Cliente de XProtect Mobile y XProtect Web Client

La protección contra la interceptación es especialmente importante si se utiliza un sistema de transmisión inalámbrica o si se transfieren datos a través de Internet. En estos casos, los datos deben ser cifrados mientras están en tránsito, o se debe proporcionar una protección equivalente.

El cifrado u otros medios técnicos que garanticen una protección equivalente también deben considerarse en otros casos, mientras están almacenados, si el análisis interno de los riesgos de seguridad lo justifica. Este puede ser el caso, por ejemplo, si los datos son especialmente delicados. Mediante el cifrado de la base de datos de los medios se consigue esto.

Todas las instalaciones en las que se almacenan los datos de videovigilancia y en las que se visualizan deben ser seguras. El acceso a la sala de control y a la sala de servidores donde se encuentran los servidores VMS debe estar protegido. Ningún tercero (por ejemplo, personal de limpieza o de mantenimiento) debe tener acceso sin supervisión a estas instalaciones.

Los monitores deben colocarse de forma que el personal no autorizado no pueda observarlos. Si deben estar cerca de zonas públicas, los monitores deben colocarse de forma que sólo el personal de seguridad pueda verlos.

El VMS XProtect registra información básica por defecto, pero le recomendamos que habilite el registro de acceso de los usuarios en el Management Client para el registro de auditoría.

Este sistema de registro digital sirve para garantizar que una auditoría pueda determinar en cualquier momento quién ha accedido al sistema, dónde y cuándo. El sistema de registro puede identificar quién ha visto, borrado o exportado cualquier dato de videovigilancia (esto requiere que se habilite el registro de acceso de los usuarios).

Para obtener más información, consulte el manual de administrator para XProtect VMS.

A este efecto, y a otros, hay que prestar atención a las funciones y competencias clave de los administradores del sistema, y a la necesidad de equilibrarlas con una supervisión y unas garantías adecuadas.

Políticas para proteger el uso de dispositivos móviles

Se le recomienda que configure una política de uso de dispositivos móviles y aplicaciones con medidas que incluyan:

• Considere utilizar el software Mobile Device Management (MDM)

• Limite el número de empleados con acceso a Cliente de XProtect Mobile o XProtect Web Client

• No permita instalaciones de Cliente de XProtect Mobile en dispositivos privados

• No utilice direcciones de correo electrónico privadas para cuentas en dispositivos de empresa, porque Google o Apple podrían ser capaces de identificar a los titulares de los datos y vincular perfiles laborales y privados.

• Cree cometidos para usuarios móviles que utilicen perfiles temporales

• Cree cuentas seudonimizadas en los dispositivos móviles que vayan a utilizar los guardias de itinerancia. Estas cuentas de Google y Apple podrían vincularse con una dirección de correo electrónico de empresa seudonimizado, como "guard01@company-name.com" con el nombre de cuenta "Guard 01".

  Al utilizar estas cuentas seudonimizadas, se limita la cantidad de datos personales tratados por Google y Apple. Así, las notificaciones push no infringen la sentencia Schrems II del CJEU, porque ninguna autoridad u organización con sede en EE. UU. puede deshacer la seudoanonimización de los datos personales afectados por las notificaciones push sin la ayuda de la organización que opera el VMS.

• Utilice la autenticación de dos pasos

• Si utiliza la característica de autenticación biométrica del sistema operativo, asegúrese de que el uso de este mecanismo de autenticación proporcione un nivel de seguridad adecuado. La autenticación biométrica mejora la seguridad general siempre y cuando se utilice en combinación con una política de contraseñas seguras.

  Al adoptar la autenticación biométrica, usted puede convertirse en responsable del tratamiento de categorías especiales de datos personales, de conformidad con el artículo 9 del RGPD sobre datos biométricos.

• Limite el periodo de retención de las investigaciones a un mínimo, y documéntelo

• Avise a los operadores de móviles que deben eliminar las capturas de pantalla inmediatamente en el momento en que dejen de ser relevantes

• Deshabilite la copia de seguridad automática de las bibliotecas de imágenes desde dispositivos móviles a servidores remotos, como Google y Apple

También debe contar con políticas y procedimientos en caso de pérdida o robo de equipos, especialmente si éstos pueden exponer datos personales.

Si se pierde o le roban un equipo, como un dispositivo móvil o un teléfono inteligente, debe:

• Deshabilitar la cuenta de usuario

• Forzar un cambio de contraseña para volver a habilitar el dispositivo