Ir a la portada de Digital Security

El Reglamento General de Protección de Datos (RGPD) europeo no contiene normativa específica aplicable a sistemas de vídeo seguridad. Jürgen Seiler, gerente de davidiT, filial de consultoría de Dallmeier, aclara dudas al respecto.

Dallmeier RGPD-UE

La aplicación del RGPD en cuanto al uso de tecnología de vídeo genera todavía mucha incertidumbre sobre qué requisitos tienen que cumplir las compañías. También existe inseguridad sobre cuáles son las funciones de sistema necesarias para poder configurar de manera fácil sistemas de vídeoseguridad conformes a este reglamento.

Muchos usuarios finales constatan ahora que el nuevo RGPD europeo no contiene normativa específica aplicable a sistemas de vídeovigilancia, por lo que la implementación de acuerdo con el RGPD se presenta distinta para cada empresa. Asimismo, es presumible que además de la jurisprudencia que lo desarrolle, es decir, la interpretación real en la práctica, aparezcan diferencias específicas en cada empresa -por ejemplo, debidas a distintas resoluciones de los comités de empresa- en cuanto a vídeoseguridad.

Junto a la protección de datos, también se da una mayor importancia a la seguridad de los datos, ya que deben ser protegidos de pérdida o manipulación. Por consiguiente: no hay protección de datos sin seguridad de datos, y las compañías tienen que cumplir el RGPD en ambas áreas.

Para muchas empresas ahora surge la pregunta de cuáles son los componentes necesarios para cumplir concretamente los requisitos. Los fabricantes proponen enfoques distintos y, en concreto, el módulo de protección y seguridad de datos de Dallmeier ofrece catorce componentes diferentes.

Dallemeier modulo proteccion datos RGPD

Protección de datos – protección de los derechos del interesado: tal y como exige el artículo 25 del RGPD, hay que tomar medidas técnicas y organizativas apropiadas para salvaguardar los principios de protección de datos y derechos de los interesados.

En el módulo de Dallmeier se encuentran cuatro componentes esenciales para lograrlo. El gráfico muestra cómo están implementadas las funciones individuales del módulo de protección y seguridad de datos de este fabricante durante el proceso de tratamiento de datos de vídeo.

  • Pixelación de personas mediante people masking, que puede anularse en caso necesario.
  • Definición de ‘zonas de privacidad’ en la imagen captada para, por ejemplo, ocultar áreas públicas. Esta ocultación no puede ser inhabilitada, ni en vivo ni en la grabación.
  • Definición de la duración de grabación para cada cámara o pista de grabación, garantizando su supresión una vez logrado el objetivo.
  • Visualización de áreas irrelevantes para la protección de datos mediante una detallada simulación virtual 3D durante la planificación del proyecto. De esta manera es posible, por un lado, averiguar dónde la calidad de imagen no permite un reconocimiento de personas y, por tanto, no se generan datos personales.

Por otro lado, se pueden planificar ya de antemano y a medida las funciones para zonas relevantes para la protección de datos, tales como people masking.

Dallmeier RGPD-UE

Seguridad de datos – protección de los propios datos personales: el RDPG establece en su artículo 32 que se apliquen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Para proteger datos confidenciales o personales de manipulación, pérdida o acceso no autorizado, el módulo Dallmeier ofrece las siguientes funciones:

  • De manera opcional, el ‘principio de los cuatro ojos’, que exige dos contraseñas al acceder a grabaciones.
  • Gestión de grupos de usuarios a través de AD/LDAP para el control de los derechos de acceso.
  • Un procedimiento de autenticación seguro, según IEEE 802.1X, para proteger la red de accesos no autorizados.
  • Cifrado end-to-end con TLS 1.2 / 256 Bit AES para la protección de la transmisión, tanto de datos como de vídeo, entre los sistemas actuales Dallmeier.
  • Definición del periodo de grabación para cada grupo de usuarios, no pudiendo consultarse imágenes anteriores a dicho periodo.
  • Detección y prevención fiable de intentos de conexión por ciberataques. Si se detectan repetidos intentos de conexión de una dirección IP desconocida, es bloqueada automáticamente durante algún tiempo.
  • Posibilidad de emplear appliancesde grabación como puerta de enlace de seguridad del sistema de vídeo. De esta manera, la red de vídeo y la red de producción se separan, lo que evita el acceso no autorizado, por ejemplo, a través de cámaras en el exterior, y reduce la carga de la red.
  • Desarrollo de todas las soluciones de hardware, software y firmware en la propia compañía y, con ello, la imposibilidad de accesos ocultos por puertas traseras, además de sistemas operativos endurecidos.
  • Mecanismos de failovery redundancia contra pérdida de datos.
  • Certificación LGC para una preservación de pruebas que cumple con todos los criterios para su admisión ante los tribunales.

Cuidado con los certificados de protección de datos ‘conformes’ al RGPD

En principio, la UE fomenta la introducción de certificaciones en materia de protección de datos o sellos de protección de datos, ya que estos deben incrementar la transparencia y facilitar a las empresas la prueba sobre el cumplimiento del RGPD.

Sin embargo, en este ámbito hay unos puntos importantes a tener en cuenta: por un lado, a pesar del periodo transitorio de dos años, no se producen certificaciones válidas antes del 25 de mayo de 2019 que garanticen una conformidad con los requisitos del RGPD. Por otro, no son posibles certificaciones para productos o servicios concretos, sino sólo para procesos de tratamiento de datos.

En definitiva, no es posible, por ejemplo, una cámara de vigilancia ‘conforme al RGPD’. Además, con respecto a los certificados y sellos de protección de datos hay que fijarse en que tanto el propio organismo de certificación como el procedimiento de evaluación que ofrece para un proceso de tratamiento de datos, estén acreditados oficialmente según el RGPD. De lo contrario, estos certificados no tienen ningún efecto legal con relación al RGPD.

Un certificado acreditado ‘real’ se reconoce, por ejemplo, por el correspondiente logo de un organismo de acreditación nacional oficial, como puede ser el Deutsche Akkreditierungsstelle en Alemania (Dakks). Los organismos de acreditación ‘examinan’ a aquellos organismos que, a su vez, otorgan una certificación o un sello de protección de datos. Por ello, las empresas deberían dar preeminencia a una acreditación oficial de los certificados y sellos de protección de datos acorde con el RGPD y no gastar innecesariamente dinero en certificados ‘ficticios’.

Desde el 25 de mayo de 2018, si bien existen sobre el papel muchos párrafos y artículos sobre la ley de protección de datos, su interpretación final en la implementación práctica aún no está nada clara y será discutida y definida intensamente por las autoridades supervisoras nacionales y europeas de protección de datos, incluyendo una valoración final por el Tribunal de Justicia Europeo en los puntos controvertidos.

Por ese motivo, el mejor camino para las empresas en lo referente a vídeo seguridad es no confiar en las partes individuales -posiblemente con certificados ‘ficticios’- de una solución de vídeo seguridad, sino disponer, durante todo el proceso de tratamiento de datos de vídeo, de aquellas tecnologías y procedimientos relevantes para la protección y seguridad de datos que sean necesarias, para así reaccionar de manera flexible a las exigencias previsibles.

Dallmeier Juergen SeilerJürgen Seiler

Gerente de davidiT, filial de consultoría de Dallmeier

 

 

 

 

 


Be Sociable, Share!

¿Te gustó este artículo?

Suscríbete a nuestro RSS feed y no te perderás nada.

Otros artículos sobre
Por • 17 Ago, 2018
• Sección: A fondo, DESTACADO PRINCIPAL, Formación, Servicios, Tribunas, Videovigilancia