¿Hay alguna cámara / dispositivo de vigilancia que cumpla con el Reglamento General de Protección de Datos de la UE (GDPR)?

7

Recientemente me encontré con el Reglamento General de Protección de Datos de la UE (GDPR) destinado a la regulación de la privacidad de datos. La versión final de GDPR se lanzó en diciembre / 2015.

¿Alguna cámara o dispositivo de vigilancia que se sepa que cumple totalmente con GDPR? ¿Existen programas de cumplimiento / certificación derivados de la directriz EUGDPR?

No puedo entender cómo la UE puede estar planeando asegurar / hacer cumplir el GDPR para los dispositivos que se venden.

sollozo
fuente
2
Los dispositivos no son compatibles. Los controladores de datos, es decir, los humanos, son.
pjc50

Respuestas:

10

Además de la respuesta de Simon, el RGPD se trata más de procesos que de sistemas de TI si lo observa con más detalle. Claro, hay algunas cosas técnicas allí (principalmente cifrado y seudonimización), pero en su mayor parte dicta lo que se le permite hacer con los datos. Tenga en cuenta para todo lo que sigue, que no soy un abogado, solo alguien que tiene algo de experiencia preparando su GDPR.


TL; DR: los dispositivos en sí mismos no pueden ser conformes o no con ellos mismos. Sin embargo, las cámaras pueden ser complicadas. Con respecto a su pregunta de certificación, la respuesta parece no ser todavía .


Algunas cosas generales sobre GDPR

En primer lugar, define un mecanismo de suscripción específico para los datos del cliente. Esto significa que, como entidad legal de procesamiento de datos, deberá mantener un registro del cliente que otorga ese consentimiento y ese consentimiento debe especificar qué datos usará y para qué fines lo está utilizando. Ver Wiki secciones 2.4 y 2.5 .

En segundo lugar, le da al usuario el derecho expreso de obtener todos los datos que la compañía ha almacenado sobre él o ella. Eso significa que se deben proporcionar todos los datos en cada sistema que puedan vincularse al usuario específico. Se puede imaginar que en compañías más grandes donde todo tipo de sistemas contienen datos que de alguna manera están conectados a un usuario que es una molestia. Supongo que Netflix se divierte con eso si miras sus sistemas:

Servicios de Netflix Fuente (Diapositiva 12)

Los siguientes artículos continúan para otorgar el derecho de rectificar datos incorrectos y borrarlos por completo, por supuesto, solo si ninguna otra ley requiere que conserve los datos (por ejemplo, leyes fiscales o de auditoría de facturas).

Por supuesto, hay toneladas de trampas en los otros cuarenta y tantos artículos de los primeros cincuenta que definen sus responsabilidades y derechos del consumidor que ni siquiera he mencionado. Como no poder poner los datos en ningún lugar donde no se cumplan los estándares de la UE, que si lees la cosa parece estar en todas partes, ciertamente no en los EE . UU .

Consideraciones de cámara

Otra cosa interesante que podría afectar a un dispositivo es el artículo 32, "seguridad de procesamiento", que es un poco confuso, pero si su cámara está frente a un edificio médico, se podría argumentar que necesita cifrado de extremo a extremo con cifrado de todos los datos en reposo en la cámara también.

Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de una probabilidad y severidad variables para los derechos y libertades de las personas físicas, el controlador y el procesador deberán implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas, entre otras, según corresponda:

(a) la seudonimización y el cifrado de datos personales;

(b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de procesamiento;

(c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico;

(d) un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

Dado que, después de la legislación de la UE, la imagen de una persona se considera (afortunadamente) datos personales, es probable que deba seudonimizar o cifrar las imágenes o el video.

En certificaciones

No he podido encontrar ninguno que se base en la propia regulación. Por supuesto, hay un montón de personas que le venden "certificaciones" con sonido GDPR, pero ninguna (que pude encontrar) parece cumplir con los requisitos de la regulación a partir de hoy.

Helmar
fuente
Taking into account the ...... ... ... .. ... (sic)Los abogados van a tener un día de campo. Al menos, los chicos de mi empresa que están haciendo consultoría interna sobre GDPR para los desarrolladores, etc., están mirando los próximos meses con interés y tienen las manos ocupadas. Dicho esto, para las cámaras, seguramente colocar la cámara en una caja cerrada junto con su enrutador actuando como un punto final VPN, o usar una cámara WIFI / celular con VPN integrada debería ser bastante fácil y suficiente.
AnoE
11

No es posible hacer que ningún dispositivo cumpla con GDPR, ya que es el resto del sistema el responsable de cumplir con GDPR.

Una cámara podría, o no podría, comercializarse como compatible con GDPR, pero hace poca diferencia en ambos sentidos. Se podría conectar una cámara a un sistema que elimine datos en cuestión de segundos (como se puede usar para el conteo de personas) y, por lo tanto, es bastante simple cumplir con GDPR. Se podría usar exactamente la misma cámara en un sistema que realiza reconocimiento facial y comparte los datos con otros sistemas, que tal vez nunca cumplan con GDPR.

¿Diría un fabricante de PC, como Dell, que una computadora portátil cumple con GDPR? Si usa esa computadora portátil para iniciar sesión en Facebook, GDPR es un problema de Facebook, no uno de Dell.

Debe mirar todo el sistema, GDPR no es solo un problema de dispositivos.

Es posible que desee que un proveedor de dispositivos certifique que no está enviando ningún dato a otra parte, ya que puede enviar datos a sus propios servicios para diagnóstico o registro. Eso probablemente es importante en GDPR, pero también es importante y necesario para la seguridad y la privacidad en general.

No haga suposiciones y tenga cuidado con los consejos de extraños en Internet. Si es crítico, busque asesoría legal profesional. Por ejemplo, aunque promuevo agresivamente la seguridad del dispositivo, es posible que el GDPR no requiera cifrado de extremo a extremo . Las "medidas técnicas apropiadas" pueden no extenderse a la provisión costosa (en términos de procesadores, batería, etc.) de cifrado de extremo a extremo en una red privada. Para los sitios web, sí, agregue SSL, incluso si no es necesario, el costo es insignificante. Los dispositivos son más complejos. Como sugiere, es posible que no existan dispositivos certificables, entonces, ¿es apropiado que cree un dispositivo personalizado, solo para satisfacer un requisito GDPR poco claro?

Simon Munro
fuente