Anexo: El sistema Milestone XProtect VMS y el RGPD

Componentes y dispositivos que no están cubiertos

Los siguientes componentes y dispositivos no están cubiertos aquí:

  • Plug-ins disponibles en Milestone marketplace
  • XProtect Access (desactivado por defecto)
  • XProtect LPR (desactivado por defecto)
  • XProtect Transact (desactivado por defecto)
  • Milestone Interconnect
  • XProtect DLNA Server
  • Milestone Open Network Bridge (integración segura de vídeo privado a público)
  • XProtect Rapid REVIEW
  • XProtect Event Server plug-ins
  • Tratamiento de los datos de audio (desactivado por defecto)
  • Tratamiento de los metadatos (desactivado por defecto)
  • Tratamiento de los datos de los dispositivos de entrada y salida (desactivado por defecto)
  • XProtect BYOL como se proporciona por medio de https://aws.amazon.com/marketplace/pp/prodview-ryozifnbg4kas

Guía de actualización

Si está actualizando una instalación de la versión de VMS Milestone XProtect 2018 R2 o anterior, los antiguos archivos de registro deben ser eliminados manualmente para que la instalación cumpla con el RGPD.

Después de haber actualizado el VMS XProtect, los antiguos archivos de registro pueden ser eliminados utilizando la información y la herramienta descrita en este artículo KB.

Respaldar las SQL Server bases de datos

Se recomienda hacer una copia de seguridad de la SQL Server base de datos, especialmente antes de iniciar una actualización, para poder restaurar la instalación anterior en caso de que falle la actualización. Tanto si la actualización se realiza desde el instalador de XProtect o el Management Client, como si se hace a través de las funciones nativas SQL Server, se deben guardar los datos de la copia de seguridad en un lugar seguro y no almacenarlos en una unidad en la nube si el proveedor de la nube está fuera de la UE, como Microsoft.

Para obtener más información, consulte el manual de administrator para XProtect VMS.

No utilice un servicio gestionado SQL Server

Aunque XProtect admite el uso de bases de datos gestionadas externamente, como la base de datos SQL Azure SQL, es posible que esto exponga datos personales fuera de la UE. Para cumplir con el RGDP, no utilice un servicio gestionadoSQL Server

Red segura para la autenticación y la transmisión de datos

Diseñe una infraestructura de red que utilice la red física o la segmentación VLAN en la medida de lo posible.

Milestone recomienda que seleccione cámaras que soporten HTTPS. Se recomienda configurar las cámaras en VLAN separadas y utilizar HTTPS para la comunicación entre la cámara y el servidor de grabación, así como para la comunicación entre los clientes y el servidor de grabación.

Se recomienda que XProtect Smart Client y XProtect Smart Wall estén en la misma VLAN que los servidores.

Utilice una red cifrada VPN o similar si utiliza Smart Client o Smart Wall desde una ubicación a distancia.

Habilite la encriptación para todas las comunicaciones. Para obtener información sobre sus instalaciones de VMS XProtect, consulte la guía de protección y la guía de certificados.

Ajustes de recogida de datos y privacidad

Aunque puede recopilar datos de uso en Servidor XProtect Mobile, Cliente de XProtect Mobile, y XProtect Web Client, esto puede correr el riesgo de infringir el RGPD.

Desde el XProtect Management Client, puede habilitar la recopilación de datos de uso en el cuadro de diálogo Opciones en la pestaña Ajustes de privacidad.

Estos datos de uso proporcionan información sobre colisiones y estadísticas de uso. Los datos se procesan mediante Google Firebase.

Si habilita la recopilación de datos, se arriesga a infringir el RGPD al activar Google Analytics.

El procesamiento por parte de Google se produce fuera de la UE.

Aunque los datos están configurados para ser anónimos, Milestone no puede garantizar que Google no pueda derivar datos personales de los datos procesados por ellos.

Al realizar una evaluación de interés legítimo (Legitimate Interests Assessment, LIA), consulte lo siguiente:

El Comité Europeo de Protección de Datos (EDPB) opina que el consentimiento según el artículo 49 (1)(a) del GDPR no es aplicable a Google Analytics, porque el tratamiento con fines analíticos no es una excepción (consulte la Asociación Internacional de Profesionales de la Privacidad sobre Schrems II).

Consulte cualquier actualización de la sentencia Schrems II por parte de la Comisión Europea en el sitio web oficial.

Enmascarar a personas en caso de acceso

Según el artículo 15 del RGPD, el titular de los datos tiene derecho a acceder a sus datos personales que están siendo procesados, por ejemplo, las grabaciones de vídeo del titular.

El titular de los datos tiene derecho a solicitar a una empresa información sobre qué datos personales (sobre él o ella) se están procesando y la justificación de dicho tratamiento.

Debido a que VMS XProtect no es compatible con la identificación automática de las personas, debe establecer medidas adicionales para garantizar los derechos de las personas. En el contexto del VMS, consulte Anexo: Aviso en el lugar.

Además, VMS XProtect no es compatible con el enmascaramiento de otras personas que se desplazan y que están registradas junto con el demandante por el derecho de acceso.

En Milestone Marketplace se pueden encontrar varias soluciones de socios técnicos de Milestone para el desenfoque dinámico de todas u otras personas antes de la exportación. Como alternativa, se puede añadir el desenfoque a las imágenes individuales o a los flujos de vídeo de forma manual o asistida después de la exportación. Algunas empresas ofrecen el desenfoque como servicio (por ejemplo, FACIT Data Systems).

Eliminar parcialmente grabaciones de vídeo

Según el artículo 17 del RGPD, el titular de los datos tiene derecho a solicitar la supresión de sus datos. En el contexto del VMS, esto a menudo no se cumple debido a los intereses legítimos primordiales (detección de fraude, salud y seguridad) u otros fines empresariales indicados en la política de videovigilancia (consulte Derecho al olvido (Derecho a la supresión) y Anexo: Política de videovigilancia). La política de videovigilancia define la conservación automática (por defecto, 7 días) que garantiza la eliminación automática de las grabaciones, y esto debe equilibrar de forma justa los derechos de los titulares de los datos frente a los propósitos empresariales razonables.

Si un titular de los datos solicita la supresión de sus datos, se recomienda que el responsable del tratamiento utilice una Solicitud del titular de los datos para documentar la reclamación (ver Solicitud del titular de los datos). Para ver un modelo de solicitud del titular de los datos, consulte la plantilla Milestone Solicitud del titular de los datos.

Debe eliminar todas las grabaciones de la cámara o cámaras en cuestión.

Para conservar todas las demás grabaciones que no deben ser eliminadas, exporte todos los datos y guárdelos de forma segura. No puede restaurar estos datos de vuelta al VMS.

Cualquier exportación debe estar cifrada y firmada digitalmente, y excluir los intervalos de tiempo especificados de la cámara o cámaras específicas. Es decir, exportar hasta la hora/fecha y exportar después de la hora/fecha. Esto puede dar lugar a copias de seguridad de múltiples periodos de tiempo.

El Smart Client – Player puede entonces ser usado para ver los datos.

Se recomienda que el responsable del tratamiento busque asesoramiento jurídico y lleve a cabo tanto una evaluación del impacto sobre el negocio como una evaluación del impacto sobre la privacidad (consulte Realización de una evaluación de impacto) antes de ejecutar el derecho al olvido del titular de los datos, ya que la supresión puede introducir nuevos riesgos para el negocio que pueden inclinar la balanza de intereses e introducir riesgos que afecten negativamente a la protección de la privacidad de otros titulares de los datos.

Utilizar entornos geográficos en XProtect Smart Client

XProtect Smart Client soporta el uso de fondos geográficos. Estos fondos muestran los fondos de planos.

Se arriesga a infringir el RGPD si utiliza cualquiera de los siguientes servicios de planos:

  • Bing Maps
  • Google Maps
  • Milestone Map Service

Estos servicios no proporcionan las garantías adecuadas en relación con el tratamiento de los datos personales en los EE.UU. El cliente se convierte en el responsable (conjunto) del tratamiento de los datos del usuario.

Consulte cualquier actualización de la sentencia Schrems II por parte de la Comisión Europea en el sitio web oficial.

Como alternativa, se recomienda configurar el servicio privado OpenStreetMap para el fondo geográfico.

Integraciones de socios registrados

Cuando se activa una licencia, Milestone recopila datos por integración. VMS XProtectrecoge datos sobre plugins y los fabricantes de plugins y sobre los plugins y la integración que el cliente utiliza.

Los datos que se recopilan de cada instalación son:

  • Nombre de integración

  • Fabricante de la integración

  • Versión de integración

  • Tipo de integración (independiente, Smart Client, Management Client, Event Server) y un número de instancias de cada tipo (es decir, cuántos clientes están ejecutando el plugin)

Los desarrolladores de plugins nunca deben utilizar nombres personales al registrar su producto. Utilice sólo el nombre de la empresa.

Los datos sólo se procesan por Milestone si el fabricante del plugin está incluido en el mercado y ha aprobado el tratamiento de los datos con el fin de mejorar Milestone XProtect Corporate (y no para la comercialización y la investigación de mercado). Si el plugin no se registra, los datos se eliminan inmediatamente. La base legal del procesamiento es el artículo 6 (1) (f) del RGPD, que muestra los intereses legítimos de Milestone y los usuarios del VMS.

Garantías adicionales

Para garantizar mejor que la configuración de Milestone XProtect VMS cumple con el RGPD, esta lista le ofrece algunas garantías adicionales que debe tener en cuenta al configurar el sistema.

IncidenciaImpacto negativo en la privacidadConsejos para el responsable del tratamiento de datos
Las cámaras PTZ y la máscara de privacidad no funcionan juntos. Los enmascaramientos no siguen las mociones de PTZ.El efecto de mejora de la privacidad del enmascaramiento puede ser burlado.

Milestone recomienda que haga una de las siguientes cosas:

  • No debe utilizar la función de enmascaramiento de privacidad XProtect incorporada en las cámaras PTZ porque la máscara es estática en relación con los píxeles decodificados de la imagen y no con la dirección/ubicación real de la cámara PTZ.
  • Desactive la funcionalidad PTZ cuando utilice máscaras.
  • Compre cámaras PTZ que admitan el enmascaramiento dinámico de la privacidad (de modo que las zonas seleccionadas siempre queden enmascaradas, independientemente de la ubicación y el zoom de la cámara).
El uso de micrófonos o dispositivos de metadatos puede atentar contra la intimidad personal. (En XProtect Corporate, están desactivados por defecto).

El uso de micrófonos puede violar fácilmente el cumplimiento del RGPD.

Antes de activar los micrófonos o los dispositivos de metadatos, debe asegurarse de que tiene un propósito claramente justificado para la recogida de datos. Consulte ¿Tiene una base legal para recopilar datos?

Los operadores y administradores pueden exportar o copiar los datos de vídeo, los archivos de vídeo, las copias de seguridad de la configuración y los registros de auditoría en discos duros locales o en soportes extraíbles como CD, DVD, unidades flash USB, etc.Los datos personales salen de las fronteras de la gobernanza de VMS XProtect. Los datos ya no están protegidos por los mecanismos de control de acceso de VMS XProtect y no pueden ser eliminados por VMS XProtect cuando se alcanza el período de conservación. Esto conlleva el riesgo de que los datos se almacenen durante más tiempo del permitido, de que se utilicen para diferentes propósitos y de que se viole la confidencialidad de los datos.

Los responsables del tratamiento adoptarán medidas técnicas y organizativas para proteger los datos que salgan de los límites de VMS XProtect. Consulte Gestión de datos exportados para las posibles medidas a tomar.

Los datos del registro de auditoría y otros datos personales no están cifrados por el producto antes de ser almacenados en las bases de datos SQL Server.

Los administradores de la base de datos pueden acceder a los datos del registro de auditoría utilizando clientes de la base de datos. XProtect Corporate no pueden controlar o registrar este acceso.

Especialmente, los datos sensibles del registro de auditoría pueden ser revelados a usuarios no autorizados. Consulte Protección de los datos almacenados y transmitidos. Para obtener más información sobre cómo asegurar sus instalaciones de VMS XProtect contra los ciberataques, consulte la guía de protección.

Haga lo siguiente:

  • Implemente un concepto de rol adecuado para la administración de la base de datos.
  • Limite el acceso a la base de datos sólo para el personal autorizado.
  • Si es posible, active el cifrado de la base de datos mediante mecanismos de base de datos.

Las copias de seguridad de la base de datos de configuración de Microsoft® SQL Server® no están cifradas.

Establezca una contraseña de configuración de sistema para proteger la información confidencial de la cuenta en la extensión para cifrar la base de datos de Microsoft® SQL Server®.

Las copias de seguridad de la base de datos de configuración de Microsoft® SQL Server® se cifran automáticamente cuando la base de datos de configuración está protegida por contraseña.

Proteja la configuración general del sistema asignando una contraseña de configuración de sistema.

Después de asignar una contraseña de configuración del sistema, las copias de seguridad están protegidas por esta contraseña.

La configuración de la contraseña se almacena en el ordenador que ejecuta el servidor de gestión en una carpeta segura. Necesitará esta contraseña para:

  • Restaurar la configuración a partir de una copia de seguridad de la configuración que se creó con ajustes de contraseña diferentes a los actuales

  • Mover o instalar el servidor de gestión en otro ordenador debido a un fallo de hardware (recuperación)

  • Configurar un servidor de gestión adicional en un sistema con clustering

Para obtener más información, consulte el manual de administrator para XProtect VMS.

El producto implementa una característica de copia de seguridad. Esta función hace una copia de seguridad de la configuración del VMS pero no de la base de datos del registro de auditoría. La destrucción física del soporte de datos que contiene la base de datos de los registros de auditoría podría impedir al responsable del tratamiento cumplir con sus obligaciones de rendición de cuentas cuando no existen copias de seguridad de los registros de auditoría.

Considere la posibilidad de crear copias de seguridad de la base de datos del registro de auditoría.

Si el responsable de los datos decide crear copias de seguridad de la base de datos del registro de auditoría, también debe establecer un proceso para eliminar las copias de seguridad cuando se alcance el período de conservación y protegerlas contra el acceso no autorizado (por ejemplo, cifrando la copia de seguridad, poniendo bajo llave los medios de copia de seguridad, etc). Para obtener más información, consulte el manual de administrator para XProtect VMS.

El funcionamiento de una VPN en modo dividido podría revelar la dirección IP privada de usuarios de VMS XProtect. Cuando se habilita el túnel dividido, los usuarios evitan la seguridad a nivel de puerta de enlace que pueda haber en la infraestructura de la red.

Haga lo siguiente:

  • Utilice una conexión VPN segura (una VPN es segura por defecto, pero algunos protocolos VPN antiguos no cifran los datos intercambiados entre el servidor y el cliente)

  • Utilice siempre la tunelación completa

  • Utilice los protocolos de autenticación más compatibles (si los hay)

  • Utilice Active Directory para autenticar a los usuarios de la VPN

Para obtener más información sobre cómo asegurar sus instalaciones de VMS XProtect contra los ciberataques, consulte la guía de protección.

El producto permite establecer tiempos de retención para registros de auditoría, datos de vídeo, alarmas y otros datos personales. Establecer el tiempo de conservación en períodos demasiado largos podría violar los requisitos del RGPD en cuanto a las limitaciones de almacenamiento (artículo 5 (1)(e) y artículo 17 del RGPD).Los tiempos de conservación deben adaptarse a los propósitos del tratamiento (consulte Derecho al olvido (Derecho a la supresión)).
Los administradores pueden configurar los destinatarios del correo electrónico que pueden recibir fragmentos de vídeo o imágenes fijas del VMS cuando se producen determinados eventos. No es posible configurar una lista blanca de dominios permitidos para estos destinatarios de correo electrónico.Un error tipográfico podría dar lugar a una violación de datos cuando un tercero reciba correos electrónicos con datos de vídeo y alarmas del sistema.

Haga que el responsable del tratamiento sea consciente de este riesgo.

Milestone recomienda que establezca un proceso organizativo, como el principio de los cuatro ojos, que reduce el riesgo de fallos al introducir las direcciones de correo electrónico.

Las notificaciones son correos electrónicos que se envían a una dirección de correo electrónico determinada. Al crear una notificación, el administrador puede decidir incluir un conjunto de instantáneas o un AVI de una secuencia.Debido a que las instantáneas adjuntas y las secuencias AVI en las notificaciones salen del VMS, están fuera del control del VMS para el acceso y la retención del usuario.

Como los mensajes de correo electrónico y su contenido salen del control de acceso y conservación del usuario del VMS, se recomienda no adjuntar imágenes o secuencias AVI a notificaciones de correo electrónico.

Si el cliente necesita esta característica, al menos debe asegurarse de que existen procedimientos y controles organizativos sobre quién recibe los correos electrónicos y cómo se gestionan. Consulte Tratamiento de los datos exportados en las notificaciones y el correo electrónico.

Cuando la notificación push está habilitada, el proveedor del sistema operativo del dispositivo móvil (es decir, Google o Apple) trata los datos para entregar notificaciones push a los smartphones.Aunque el contenido de los mensajes de notificaciones push están configurados para ser anónimos, Milestone no puede garantizar que Apple y Google no puedan derivar datos personales de los datos procesados por ellos. Los proveedores del sistema operativo del dispositivo móvil (es decir, Google o Apple) utilizan un esquema de direccionamiento de mensajes. Este esquema implica tokens de registro e ID de instalación de la aplicación del cliente móvil. Esto permite a los proveedores entregar los mensajes a las aplicaciones correspondientes en los dispositivos. Para Google y Apple, el token y el ID de instalación son seudónimos.

De acuerdo con el artículo 49 (1)(a) del RGPD, se necesita el consentimiento del operador de VMS si las notificaciones push están activadas.

Se recomienda obtener el consentimiento o, de otro modo, desactivar los mensajes push.

El XProtect Incident Manager habilita a las organizaciones para que documenten incidentes y los combinen con evidencias de secuencias (vídeo y posiblemente audio) desde su VMS XProtect. Los responsables u operadores pueden crear informes de incidentes que contengan la información textual añadida a un proyecto de incidente. Estos informes pueden contener los datos personales del responsable o del operador, es decir, su nombre.Cuando los informes de incidentes se ponen a disposición fuera de la esfera del responsable o del operador, se pueden revelar datos personales. Los responsables u operadores solo deben crear informes con nombres claros e identificables del responsable u operador cuando exista una necesidad clara, dependiendo del propósito y del destinatario del informe.

Incluya los nombres del responsable o del operador en los informes de incidentes solo si existe un propósito específico y razonable para incluir los nombres.

Los responsables u operadores solo deben seleccionar la casilla de verificación Mostrar nombre de usuario si hay un propósito específico y razonable para incluir los nombres en el informe.

Los controladores u operadores pueden crear informes de alarma que contengan información sobre la alarma, incluido el historial de alarmas y, si está disponible, una imagen fija del momento de la alarma. Estos informes pueden contener los datos personales del responsable o del operador, es decir, su nombre.Cuando las alarmas se ponen a disposición fuera de la esfera del responsable o del operador, se pueden revelar datos personales. Los responsables u operadores solo deben crear informes con nombres claros e identificables del responsable u operador cuando exista una necesidad clara, dependiendo del propósito y del destinatario del informe.

Incluya los nombres del responsable o del operador en los informes de alarma solo si existe un propósito específico y razonable para incluir los nombres.

Los responsables u operadores solo deben seleccionar la casilla de verificación Nombres para mostrar si hay un propósito específico y razonable para incluir los nombres en el informe.

Los informes de alarma pueden contener imágenes que muestren a los transeúntes.

Si se entregan informes a terceros, se podrían violar los derechos de los transeúntes no involucrados.Considere ennegrecer o enmascarar manualmente las imágenes en informes PDF o impresiones.