¿Quiénes son los principales interesados en el RGPD en relación con la videovigilancia?

Cuando se trata del RGPD y la videovigilancia, hay tres clases de interesados. Esta sección del documento define a cada una de las partes interesadas y describe sus respectivas responsabilidades en relación con el RGPD.

Titular de los datos

Un titular de datos es cualquier persona cuyos datos personales se recogen, conservan o tratan.

Los titulares de los datos son los objetos vistos de la videovigilancia, ya sea intencionada o involuntaria.

Los sujetos de datos son también cualquier persona registrada que participe en el funcionamiento del VMS, por ejemplo, los operadores o los guardias de terceros nombrados.

El objetivo principal del RGPD es proteger los datos personales de estos titulares.

Derechos del titular de los datos

Los artículos 12 a 23 del RGPD cubren los derechos del titular de datos.

  • Sección 1: Transparencia y modalidades
    • Artículo 12: Información, comunicación y modalidades transparentes para el ejercicio de los derechos del titular de los datos
  • Sección 2: Información y acceso para los datos personales
    • Artículo 13: Información que debe facilitarse cuando se recojan datos personales del titular de los datos
    • Artículo 14: Información que debe facilitarse cuando los datos personales no se hayan obtenido del titular de los datos
    • Artículo 15: Derecho de acceso del titular de los datos (consulte Derecho de acceso)
  • Sección 3: Rectificación y eliminación
    • Artículo 16: Derecho de rectificación
    • Artículo 17: Derecho al olvido (Derecho a la supresión) (consulte Derecho al olvido (Derecho a la supresión))
    • Artículo 18: Derecho a la limitación del tratamiento (consulte Derecho a la limitación del tratamiento)
    • Artículo 19: Obligación de notificar la rectificación o supresión de los datos personales o la limitación del tratamiento
    • Artículo 20: Derecho a la portabilidad de los datos
  • Sección 4: Derecho de oposición y toma de decisión individual automatizada
    • Artículo 21: Derecho de oposición
    • Artículo 22: Toma de decisión individual automatizada, incluida la elaboración de perfiles
  • Sección 5: Restricciones
    • Artículo 23: Restricciones

De ellos, los derechos más relevantes en el contexto de la videovigilancia son:

El derecho a la información (artículos 12 a 14 y 34, RGPD)

El artículo 12 trata de la transparencia y las modalidades, mientras que los artículos 13 y 14 tratan sobre la información y el acceso a los datos personales. Estos artículos ofrecen al titular de los datos la posibilidad de recibir información sobre qué datos personales se recogen y durante cuánto tiempo se conservan. En el contexto del VMS, consulte Anexo: Aviso en el lugar.

El artículo 34 proporciona al titular de los datos el derecho a recibir información en caso de que se produzca una violación de los datos si ésta puede suponer un alto riesgo para los derechos y libertades del titular.

El derecho de acceso (Artículo 15, RGPD)

Este derecho proporciona al titular de los datos la posibilidad de acceder a sus datos personales que están siendo procesados, por ejemplo, grabaciones de vídeo del titular.

El titular de los datos tiene derecho a solicitar a una empresa información sobre qué datos personales (sobre él o ella) se están procesando y la justificación de dicho tratamiento.

El derecho a la supresión ("derecho al olvido") (Artículo 17, RGPD)

Este derecho proporciona al titular de los datos la posibilidad de solicitar la supresión de sus datos. En el contexto del VMS, la supresión a petición de los interesados es excepcional debido a los intereses del responsable del tratamiento y a los breves plazos de conservación. (Consulte Anexo: Política de videovigilancia y Eliminar parcialmente grabaciones de vídeo en Anexo: El sistema Milestone XProtect VMS y el RGPD).

El derecho de oposición (Artículo 21, RGPD)

Este derecho proporciona al titular de los datos la posibilidad de oponerse al tratamiento de sus datos personales. En el contexto del VMS, otros intereses, como los intereses legítimos (detección de fraudes, salud y seguridad), las obligaciones legales (contabilidad, lavado de dinero) o incluso el cumplimiento contractual (contratos de trabajo), pueden prevalecer sobre los intereses y derechos del titular de los datos. En todos los casos, esto debe ser totalmente transparente para que el titular de los datos pueda conocerlo y oponerse. Si el titular de los datos se opone, el responsable del tratamiento debe valorar la objeción o, de lo contrario, podría enfrentarse a una multa.

Solicitud del titular de los datos

Su empresa debe tener un proceso para gestionar las solicitudes de derechos de los titulares de los datos, por ejemplo, aplicar el derecho de solicitud de acceso. Dicha solicitud debe gestionarse en un plazo razonable. Según el artículo 12 (3) del RGPD, esto es "sin demora indebida y, en cualquier caso, dentro de un mes a partir de la recepción de la solicitud." Se recomienda utilizar una plantilla de solicitud del titular de los datos para documentar dichas solicitudes, ya que puede ser vital en un caso del RGPD con las autoridades nacionales de protección de datos. Para ver un modelo de solicitud del titular de los datos, consulte la plantilla Milestone Solicitud del titular de los datos.

La política de videovigilancia describe la solicitud del titular de los datos (consulte Anexo: Política de videovigilancia).

¿Qué son los datos personales?

Para cumplir con el RGPD, debe saber qué son los datos personales y limitar la recopilación de esos datos solo a lo necesario.

Según el reglamento, la información personal es cualquier información relativa a una persona identificada o identificable.

Una persona identificable es alguien que puede ser identificado directa o indirectamente, por referencia a un identificador como:

  • Un nombre
  • Un número de identificación
  • Datos de ubicación
  • Identificador en línea, como direcciones IP o identificador de cookies
  • Datos de usuario
  • Imágenes de vídeo
  • O para uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona

La información personal es cualquier tipo de información que pueda utilizarse directa o indirectamente para identificar a una persona física (titular de los datos). Estos son los datos que pueden utilizarse para identificar los objetos vistos de la videovigilancia, tanto si se recogen intencionada como accidentalmente.

Los datos personales que están protegidos por el RGPD son:

  • Datos que son procesados por el producto de TI o el servicio basado en TI (por ejemplo, nombre y dirección de una persona, imagen de vídeo, datos de pago, datos sanitarios).
  • Datos que se producen incidentalmente cuando se utiliza el producto o servicio (por ejemplo, datos de uso, archivos de registro, datos estadísticos, datos para la autorización, datos de configuración). Estos datos pueden ser información personal de los usuarios del servicio, datos personales de las personas que administran el producto o servicio (esto puede incluir tanto al personal del proveedor de servicios como al personal de los usuarios del producto o servicio), o datos de configuración relevantes para la privacidad (consulte Responsable del tratamiento).

La información personal se define como cualquier información relativa a una persona física identificada o identificable o a un titular de datos, por ejemplo:

  • Nombre completo
  • Dirección del domicilio
  • Dirección de correo electrónico
  • Número de teléfono
  • Datos de ubicación
  • Identidad digital
  • Matrícula del vehículo
  • Número del permiso de conducir
  • Números de tarjetas de crédito
  • Información identificable, imágenes, etc., como grabaciones de vídeo e imágenes fijas
  • Actividades de los usuarios, como las que se encuentran en los archivos de registro

Esta información no es necesariamente sólo una relación directa con el objeto. La información personal también puede ser un cuasi-identificador. Los cuasi-identificadores son piezas de información que no son de por sí identificadores únicos, pero que están lo suficientemente bien correlacionados con algo como para que puedan combinarse con otros cuasi-identificadores para crear un identificador único. Los cuasi-identificadores son particularmente importantes cuando se trata de categorías especiales de datos personales.

Las categorías especiales de datos personales incluyen los datos que describen el origen racial y étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual, por ejemplo:

  • Historial médico
  • Datos biométricos (incluidos fotos, vídeos y huellas dactilares)
  • Antecedentes penales
  • Identidad racial o étnica
  • Información genética
  • Opiniones políticas y compromisos
  • Creencias religiosas o filosóficas
  • Orientación sexual e historial

Esta es la información personal que potencialmente recoge un sistema de videovigilancia:

¿Qué tipos de descripciones de datos personales, almacenados por XProtect, están incluidos en el ámbito de aplicación del RGPD?

La información personal es cualquier tipo de información que pueda utilizarse directa o indirectamente para identificar a una persona física (titular de los datos). Puede tratarse de flujos de videovigilancia, de una sola imagen o de una secuencia de vídeo combinada con información de localización procedente de cámaras y/o planos en capas, de una integración de control de acceso que identifique una tarjeta de acceso personal y la combine con una localización específica, o de datos procedentes del reconocimiento de matrículas (LPR) con o sin datos de localización.

Las categorías especiales de información personal se dan cuando la videovigilancia está cerca de hospitales (relacionada con información sanitaria), cárceles (condenas penales), actividad política (afiliación sindical), actividad religiosa o imágenes que revelan la orientación sexual (por ejemplo, bares gays).

Los datos personales también se refieren a los datos de los usuarios (operador, supervisor y administrador) de la actividad y el registro de auditoría. Esto incluye los registros personales de los usuarios de XProtect Smart Client, incluidas las marcas de tiempo de inicio y fin de sesión y el registro de auditoría de los flujos de vídeo, audio o metadatos a los que se ha accedido, así como la reproducción y exportación de las grabaciones.

Consulte Riesgos inherentes al uso del VMS para asegurarse de que no se vulneran los derechos personales.

Responsable del tratamiento

En el contexto de la videovigilancia, los controladores de datos son los propietarios y operadores de los sistemas de videovigilancia. Los responsables del tratamiento son la entidad jurídica que recopila, procesa y comparte datos sobre el titular de los mismos.

¿Cuáles son las responsabilidades del responsable del tratamiento de datos?

Los responsables del tratamiento deben respetar los principios de protección de datos y cumplir determinadas obligaciones específicas. El responsable del tratamiento debe aplicar las medidas técnicas y organizativas adecuadas para garantizar y poder demostrar que el tratamiento se realiza de conformidad con el RGPD. Esto también incluye:

  • Aplicar y mantener políticas y procedimientos de seguridad de la información para proteger los datos personales. Estas políticas y procesos internos deben ser aprobados al más alto nivel dentro de la organización y, por tanto, ser vinculantes para todos los miembros del personal.
  • Mantener una visión general de los registros de datos personales y de los flujos de tratamiento, por ejemplo, el registro de actividades de tratamiento (artículo 30 del RGPD) y una lista de los sistemas y archivos que manejan información personal (el sistema VMS XProtect y otros sistemas que guardan datos personales, como los registros del personal, los acuerdos del encargado del tratamiento, etc., incluida información sobre cómo y dónde fluyen los datos personales). Para ver un modelo de registro de actividades de tratamiento, consulte la plantilla de Registro de actividades de tratamiento.
  • Poner en marcha mecanismos que ejecuten las políticas y procesos internos, incluidos los procedimientos de reclamación, para que dichas políticas sean efectivas en la práctica. Esto incluye la concienciación sobre la protección de datos y la formación e instrucción del personal. La formación de concienciación está disponible en https://www.milestonesys.com/solutions/services/learning-and-performance/.
  • Definición de la política de videovigilancia (consulte Anexo: Política de videovigilancia). Esta política debe hacer referencia a las leyes locales relativas a la videovigilancia.
  • Llevar a cabo las Evaluaciones de impacto sobre la protección de datos, en particular para determinadas operaciones de tratamiento de datos que se considera que presentan riesgos específicos para los derechos y libertades de los titulares de los datos, por ejemplo, en virtud de su naturaleza, su alcance o su finalidad (ver Anexo: Evaluación del impacto de la protección de datos).
  • Garantizar la transparencia de estas medidas adoptadas en relación con los titulares de los datos y el público en general. Los requisitos de transparencia contribuyen a la responsabilidad de los responsables del tratamiento de datos (por ejemplo, la publicación de las políticas de privacidad en Internet, la transparencia de los procedimientos internos de reclamación y la publicación en los informes anuales).
  • Publicar el aviso de derecho de información al público (consulte Anexo: Aviso en el lugar). Este aviso informa a las personas afectadas de la finalidad de la vigilancia, de quién conserva los datos que se recogen (responsable del tratamiento) y de la política de conservación.
  • Asignar la responsabilidad de la protección de datos a personas designadas con responsabilidad directa sobre el cumplimiento de las leyes de protección de datos por parte de sus organizaciones. En particular, nombrar al delegado de protección de datos (DPD).

Delegado de protección de datos (DPD)

Toda organización debe contar con un DPD designado o, al menos, con una persona asignada como responsable de la privacidad.

Desde el principio, los planes para instalar o actualizar un sistema de videovigilancia deben ser comunicados al DPD.

El DPD debe ser consultado en todos los casos y de manera oportuna en todas las cuestiones que tengan que ver con la protección de los datos personales que se tratan cuando se presta o utiliza el servicio.

El DPD debe participar en todas las fases de la toma de decisiones.

Las responsabilidades del DPD incluyen:

  • Participar en la definición del objetivo empresarial de la videovigilancia, por ejemplo, la prevención de delitos, la detección de fraudes, la verificación de la calidad de los productos o la salud y seguridad públicas, etc.
  • Opinar sobre el proyecto de política de videovigilancia de la organización, incluidos sus anexos (consulte Anexo: Política de videovigilancia), y corregir errores y sugerir mejoras
  • Colaborar en las comunicaciones con las autoridades nacionales o regionales de protección de datos
  • Comprobar los acuerdos con terceros al compartir datos. Es decir, el mantenimiento y la gestión del Acuerdo de procesamiento de datos (consulte Anexo: Acuerdo de procesamiento de datos)
  • Elaborar informes de cumplimiento y realizar auditorías para obtener la certificación de terceros que aprueben las medidas internas adoptadas para garantizar el cumplimiento de la gestión, la protección y la seguridad de la información personal.
  • Almacenar y asegurarse de que el Registro de actividades de tratamiento y las Evaluaciones de impacto sobre la protección de datos (ver Anexo: Evaluación del impacto de la protección de datos) se actualizan cada vez que se realizan cambios relevantes de protección de datos en el VMS. Para ver un modelo de registro de actividades de tratamiento, consulte la plantilla de Registro de actividades de tratamiento.

Roles del responsable del tratamiento de datos

Las siguientes secciones describen las responsabilidades de los respectivos responsables del tratamiento de datos:

Responsable de seguridad (supervisor del VMS)

Los responsables de seguridad o los supervisores son los encargados de velar por el cumplimiento del entorno del RGPD. Los responsables de seguridad deben:

  • Definir los permisos de usuario (consulte Gestión de permisos de usuario)
  • Imponer la formación de concienciación del personal (consulte Formación en protección de datos)
  • Ponerse en contacto con el delegado de la protección de datos (DPD) si se sospecha de un incumplimiento del RGPD, por ejemplo, en el caso de una violación de los datos de los materiales de vídeo (consulte Anexo: Cumplimiento del RGPD)
  • Aplicar y mantener un alto grado de seguridad general. Para obtener más información sobre cómo asegurar sus instalaciones de VMS XProtect contra los ciberataques, consulte la guía de protección.

Gestión de permisos de usuario

¿Quién debe tener acceso a los recursos del VMS?

Las organizaciones deben:

  • Limitar el acceso de los usuarios a un número reducido de personas claramente identificadas en función de su necesidad de conocimiento.
  • Mantener registros de auditoría de los accesos y actividades de los usuarios.

Los permisos de acceso deben estar limitados a un número reducido de personas claramente identificadas y en función de la estricta necesidad de conocer. Asegúrese de que los usuarios autorizados puedan acceder solo a los datos a los que se refieren sus permisos de acceso. Las políticas de control de acceso deben definirse siguiendo el principio de «mínimo privilegio»: el permiso de acceso a los usuarios debe concederse solo a aquellos recursos que sean estrictamente necesarios para llevar a cabo sus tareas.

Al compartir un ordenador, Milestone recomienda que los operadores de VMS no compartan la cuenta de acceso a Windows. Cada operador debe tener una cuenta individual.

Además, los operadores de VMS no deben seleccionar recordar su contraseña al iniciar la sesión en el sistema VMS.

Solo el responsable de seguridad, el administrador del sistema u otros miembros del personal designados específicamente por el responsable de seguridad para este fin deben poder conceder, modificar o anular los permisos de acceso de cualquier persona. Cualquier disposición, alteración o anulación de los permisos de acceso debe hacerse de acuerdo con los criterios establecidos en la política de videovigilancia (consulte Anexo: Política de videovigilancia).

Las personas con permisos de acceso deben ser en todo momento personas claramente identificables. Por ejemplo, no se deben asignar nombres de usuario y contraseñas genéricos o comunes a una empresa de seguridad subcontratada que emplee a varias personas para trabajar en la organización.

La política de videovigilancia debe especificar y documentar claramente la arquitectura técnica del sistema de videovigilancia, quién tiene acceso al vídeo de vigilancia y con qué propósito, y en qué consisten esos permisos de acceso. En particular, debe especificar quién tiene el permiso para:

  • Ver o acceder al vídeo en tiempo real
  • Operar las cámaras panorámicas, inclinadas y con zoom (PTZ)
  • Ver o acceder al vídeo grabado
  • Exportar grabaciones y registros de auditoría
  • Eliminar o quitar dispositivos (cámaras) y borrar las grabaciones
  • Alterar cualquier dato después de la configuración inicial

Además, debe asegurarse de que sólo obtengan estos permisos quienes necesiten acceder a las siguientes funciones del VMS:

  • Administrar el VMS
  • Crear / editar / ver / eliminar marcadores
  • Crear / editar / ver / eliminar bloqueos de evidencias
  • Levantar máscaras de privacidad
  • Exportar a rutas definidas (por ejemplo, sólo exportar el formato con cifrado XProtect a una unidad compartida)
  • Leer registros de auditoría
  • Iniciar/detener grabación
  • Crear / editar / eliminar / activar / bloquear / liberar valores preestablecidos de PTZ
  • Crear / editar / eliminar / iniciar / detener esquemas de patrulla PTZ
  • Permisos de audio, metadatos, E/S y eventos

Formación en protección de datos

Todo el personal con permisos de acceso, incluido el personal subcontratado que lleva a cabo las operaciones cotidianas de CCTV o el mantenimiento del sistema, debe recibir formación en materia de protección de datos y estar familiarizado con las disposiciones del RGPD en la medida en que sean relevantes para sus tareas. La formación debe prestar especial atención a la necesidad de evitar la divulgación del vídeo de vigilancia a cualquier persona que no esté autorizada.

La formación del personal es obligatoria y debe incluir:

  • Seguridad cibernética
  • Exportación de datos VMS
  • Vídeo Push

La formación debe realizarse cuando se instala un nuevo sistema, cuando se realizan modificaciones significativas en el sistema, cuando se incorpora una nueva persona a la organización, así como periódicamente después a intervalos regulares. En el caso de sistemas existentes, la formación inicial debe realizarse durante el periodo de transición y, a partir de entonces, de forma periódica.

Para obtener más información sobre el RGPD para el operador de VMS, consulte la Milestone Guía de privacidad del RGPD para operadores de VMS y el Milestone aprendizaje virtual del RGPD para operadores de VMS.

Administrador del sistema VMS

Los administradores de sistemas son responsables de la creación de un entorno de sistemas que cumpla con el RGPD. Los administradores del sistema hacen entre otras cosas lo siguiente:

  • Aplicar y mantener un alto grado de seguridad general. Para obtener más información sobre cómo asegurar sus instalaciones de VMS XProtect contra los ciberataques, consulte la guía de protección.
  • Aplicar una política de contraseñas seguras
  • Efectuar auditorías de seguridad
  • Asegúrese de que los dispositivos registren de acuerdo con el propósito definido, por ejemplo, en caso de evento, movimiento, siempre activo, etc.
  • Garantizar que el tiempo de conservación del registro y de la auditoría se establecen de acuerdo con la legislación local y el propósito definido del VMS
  • Garantizar la gestión de usuarios (añadir y eliminar usuarios)
  • Asegúrese de que las cámaras cumplen las leyes de privacidad y no graban zonas que no deben ser grabadas enmascarando las zonas que no deben ser grabadas
  • Póngase en contacto con el delegado de protección de datos (DPD) si se sospecha de un incumplimiento del RGPD, por ejemplo, en el caso de una violación de los datos de los materiales de vídeo (consulte Anexo: Cumplimiento del RGPD)

Operador de VMS

Los operadores de VMS deben seguir procesos e instrucciones de trabajo cuando acceden a los datos del sistema, por ejemplo, cuando visualizan vídeos o exportan vídeos, etc.

Para cumplir con el RGPD, los operadores deben tener lo siguiente:

  • Comprensión general del RGPD y de las normas de exportación de datos
  • Formación sobre el RGPD

    Los operadores deben tener una formación adecuada del sistema de videovigilancia para garantizar que no se invade la intimidad y otros derechos fundamentales de los titulares de los datos captados por las cámaras. Se les debe enseñar lo que definen las políticas de videovigilancia (por ejemplo, los procedimientos de entrega de evidencias de vídeo), a quién dirigirse en caso de duda (personas de punto de referencia, como el supervisor o el responsable de la protección de datos), etc. (consulte Responsable de seguridad (supervisor del VMS)).

    Para obtener más información sobre el RGPD para el operador de VMS, consulte la Milestone Guía de privacidad del RGPD para operadores de VMS y el Milestone aprendizaje virtual del RGPD para operadores de VMS.

Gestión de datos exportados

La exportación se realiza cuando ha habido un incidente que requiere compartir las pruebas con las autoridades. Si tiene los permisos de usuario para exportar evidencias, tiene la responsabilidad a la hora de manejarlas. El motivo por el que es sensible es tanto por el contenido como por el hecho de que los datos salen del sistema de vigilancia. Lo más probable es que se haya producido un incidente que puede implicar una actividad delictiva. También puede haber detalles privados sensibles en las pruebas. Cuando se exporta, suele guardarse en algún tipo de soporte extraíble (unidad USB, disco óptico, etc.).

Si esos datos acaban en manos equivocadas, se perdería la privacidad de los titulares de los datos en las pruebas.

Debe tener un proceso claro para exportar las pruebas, que incluya:

  • ¿Quién puede exportar pruebas?
  • ¿Dónde se guardan las pruebas hasta que se entregan a las autoridades?
  • ¿Quién tiene acceso a ella?
  • ¿Qué formato(s) debe(n) utilizarse?
  • ¿Si se debe aplicar el cifrado (muy recomendable)?
  • ¿Cuándo se destruyen las evidencias?

Los responsables del tratamiento deben adoptar medidas técnicas y organizativas para proteger los datos que salen del Milestone XProtect VMS. Estas medidas podrían ser:

  • Limitar el permiso para exportar vídeos y registros de auditoría sólo al personal especial
  • Considerar la posibilidad de cifrar los datos antes o después de exportarlos
  • Aplicar máscaras de privacidad antes de exportar los datos de vídeo, cuando sea necesario
  • Proteger físicamente los soportes extraíbles con datos personales
  • Establecer políticas que garanticen que los datos personales se eliminan de los soportes según el tiempo de conservación
  • Lleva un registro de los soportes extraíbles: ¿quién ha exportado qué datos a los medios? ¿A quién se ha enviado y con qué fin? ¿Se informa al destinatario de que debe destruir el soporte o devolverlo una vez cumplido el propósito? Etc.
  • Utilizar las políticas de grupo de Windows para deshabilitar los puertos USB o el acceso a los medios en los ordenadores del cliente.
  • Monitorizar los registros de auditoría en busca de eventos de exportación no autorizados
  • Comprometer a los empleados con la política de protección de datos
  • Desinfectar adecuadamente los soportes o eliminarlos físicamente si no es posible la desinfección (por ejemplo, los DVD)

Si es necesario enmascarar partes de una vista de cámara de una secuencia de vídeo que se va a compartir con terceros, el operador de VMS debe utilizar la funcionalidad de exportación desde Smart Client en lugar de desde XProtect Web Client porque XProtect Web Client no admite la máscara de privacidad.

Consulte el Milestone aprendizaje virtual sobre el RGPD para operadores de VMS para obtener más información sobre la gestión de las exportaciones de datos.

Tratamiento de los datos exportados en las notificaciones y el correo electrónico

Además de las exportaciones, los datos también pueden extraerse del VMS mediante archivos adjuntos a las notificaciones. Las notificaciones son correos electrónicos que se envían a una dirección de correo electrónico determinada. Al crear una notificación, el administrador puede decidir incluir un conjunto de instantáneas o un AVI de una secuencia. Debido a que las instantáneas adjuntas y las secuencias AVI en las notificaciones salen del VMS, están fuera del control del VMS para el acceso y la retención del usuario. Se recomienda no adjuntar imágenes o secuencias AVI a las notificaciones por correo electrónico. Si los archivos adjuntos son necesarios, hay que asegurarse al menos de que existen procedimientos y controles organizativos sobre quién recibe los correos electrónicos y cómo se gestionan.

Los operadores de VMS que estén utilizando un dispositivo móvil deben ser conscientes de que, si lo tienen configurado así en el dispositivo, automáticamente puede hacerse una copia de seguridad de las galerías de medios de su dispositivo en servidores de Google o Apple. En ese caso, si hay imágenes de personas físicas identificables, esto podría provocar una transferencia de datos ilegítima a un tercer país.

Para manejar esto, debe aplicar las políticas de privacidad y seguridad con el software Gestión de dispositivos móviles (MDM), y establecer salvaguardas como las que se recogen en Políticas para proteger el uso de dispositivos móviles.

Además, debe tener un proceso claro, que cubra:

  • ¿Dónde se almacenan los datos?

    Asegúrese de que los servidores de correo electrónico de envío y recepción están bajo el control de la organización que es el controlador/procesador de datos de la videovigilancia. En particular, los destinatarios no deben ser cuentas de correo electrónico en cuentas de correo gratuitas como Gmail o Hotmail, etc.

  • ¿Quién tiene acceso a ella?

  • ¿Qué formato(s) debe(n) utilizarse?

  • ¿Debe aplicarse el cifrado SMTP?

    Utilice un servidor de correo SMTP/SMTPS. Debe cifrar la conexión entre el VMS y los servidores de correo saliente, así como entre los servidores SMTP de envío y recepción.

  • ¿Cuándo se destruyen los datos?

    Milestone recomienda que el tiempo de conservación de los datos de vídeo en los buzones salientes y entrantes se alinee con el tiempo de conservación de la base de datos de medios o con el tiempo de conservación de las alarmas que pueden ser activadas por los mismos eventos que causaron la notificación.

    El tiempo de conservación en los buzones debe limitarse a un límite que sea razonable para el propósito del proceso de notificación.

    Milestone recomienda utilizar únicamente los buzones del responsable del tratamiento de los datos y configurar la eliminación automática de los correos electrónicos una vez alcanzado el tiempo de conservación definido.

    Los responsables del tratamiento / procesadores de datos deben asegurarse de que estos buzones no sean archivados automáticamente por el sistema de correo electrónico.

Consideraciones relativas al bloqueo de evidencias

Con la funcionalidad de bloqueo de evidencias, los operadores clientes pueden proteger secuencias de vídeo, incluido audio y otros datos, frente a su eliminación en caso necesario, por ejemplo, mientras hay una investigación o un ensayo en curso.

Cuando están protegidos, los datos no pueden eliminarse, ni automáticamente por el sistema después del tiempo de retención del sistema o en otras situaciones ni manualmente por los usuarios clientes. El sistema o un usuario no puede eliminar los datos hasta que un usuario con suficientes permisos desbloquee la evidencia.

Solo debe conservar las grabaciones bloqueadas mientras exista una razón válida para conservarlas, por ejemplo, una investigación en curso. Conservar grabaciones de manera indefinida atenta contra el RGPD.

Consideraciones sobre el vídeo push

Vídeo push habilita al operador a transmitir vídeo en directo desde un smartphone al VMS.

Es probable que el vídeo push sea más intrusivo que los sistemas de vigilancia estacionarios más estándar debido a su movilidad.

Antes de que decida utilizar un sistema con esta funcionalidad, es importante que justifique su uso y considere si es proporcionado, necesario y responde a una necesidad social urgente. Se recomienda realizar una evaluación del impacto de la protección de datos para demostrar que es así. Consulte Anexo: Evaluación del impacto de la protección de datos.

Cuando se utilicen dispositivos con capacidad de vídeo push, es importante saber cuándo se debe grabar y cuándo no. También es importante utilizar estos dispositivos solo dentro de los recintos definidos de su instalación de videovigilancia, es decir, la zona que ha cubierto con señalización. Por lo tanto, es importante que se coloque una señal clara, por ejemplo en el uniforme del individuo, para mostrar que se está grabando.

Los operadores que utilicen estos dispositivos deben recibir formación sobre los lugares en los que se puede utilizar esta función y sobre cómo respetar la intimidad de las personas que están siendo grabadas con el vídeo push, como por ejemplo, no grabar a personas en situaciones privadas o vulnerables. Consulte Formación en protección de datos.

Violación de información personal

El RGPD define una "violación de datos personales" como "una violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a información personal transmitida, almacenada o tratada de otro modo".

En el caso de una violación de la seguridad, el DPD debe determinar si se debe notificar a la Autoridad de protección de datos y a los titulares de los datos implicados, de acuerdo con los artículos 33 y 34 del RGPD.

De acuerdo con el artículo 33 (1) del RGPD:

En caso de violación de los datos personales, el encargado del tratamiento notificará la violación de los datos personales a la autoridad de control competente de conformidad con el artículo 55 sin demora indebida y, cuando sea posible, a más tardar 72 horas después de haber tenido conocimiento de ella, a menos que sea improbable que la violación de los datos personales dé lugar a un riesgo para los derechos y libertades de las personas físicas. Cuando la notificación a la autoridad de control no se realice en un plazo de 72 horas, deberá ir acompañada de los motivos del retraso.

Si se considera necesario, el encargado del tratamiento debe publicar la notificación de la violación de datos en un plazo de 72 horas desde que tenga conocimiento de la misma (ver Violación de información personal). Para ver un modelo de notificación de violación de datos, consulte la plantilla Milestone Notificación de violación de datos. Los titulares de los datos también deben ser notificados si la violación de los datos personales "puede suponer un alto riesgo para los derechos y libertades de las personas".

Los encargados del tratamiento que experimenten una violación de los datos personales deben notificarlo al responsable del tratamiento, pero por lo demás no tienen ninguna otra obligación de notificación o de información en virtud del RGPD.

Para obtener información sobre las demás responsabilidades del DPD, consulte Responsable del tratamiento.

Encargado del tratamiento

Si una organización subcontrata todas o parte de sus actividades de videovigilancia a un tercero (un procesador de datos), sigue siendo responsable del cumplimiento del RGPD como controlador de datos. Por ejemplo, guardias de seguridad que supervisan la videovigilancia en directo en la zona de recepción de una organización que trabaja para una empresa privada a la que la organización ha subcontratado la tarea de monitorización en directo. En este caso, la organización debe garantizar que los guardias de seguridad realicen sus actividades de conformidad con el RGPD.

Para cumplir con el RGPD, los procesadores de datos de terceros (excluyendo las fuerzas de seguridad) deben: