Por:
Carlos A. FERREYROS SOTO
Doctor en Derecho
PROLOGO.
El presente
artículo es la traducción del inglés al castellano de los "Lineamientos sobre
procesamiento de datos personales a través de dispositivos de video" aprobado por el Consejo Europeo de Protección de Datos el 29 de enero
del presente año. Ver versión en inglés:
A la espera de su traducción oficial al castellano he preferido mantener algunas
expresiones como: Lineamientos por Guía o Pautas, Procesamiento por Tratamiento,
Controlador por Responsable del
tratamiento de los datos - entre otras - aun cuando no sean las más
significantes ni estrictamente sinónimas.
La aprobación de los "Lineamientos sobre
procesamiento de datos personales a través de dispositivos de vídeo", en adelante los Lineamientos, confirman el
análisis que hiciera sobre las Limitaciones
de la Directiva N°
01-2020-JUS/DGTAIPD, sobre el Tratamiento de Datos Personales mediante Sistemas
de Videovigilancia. Véase: https://derecho-ntic.blogspot.com/2020/01/limitaciones-de-la-directiva-sobre.html
Algunas de la principales reflexiones están referidas a las novedades que incorpora el
Reglamento General de Protección de Datos de la Unión Europea, RGPD, que las
normas peruanas de protección de datos personales no han contemplado ni han ido
adaptando a la evolución de las nuevas tecnologías ni a la doctrina ni
legislación internacional. Algunas de ellas son:
·
Deber de información
y consentimiento reforzado: necesidad de un
consentimiento claro y afirmativo de la persona sobre el tratamiento de sus
datos personales, revocable en todo momento.
· Derecho de supresión
o derecho al olvido: mediante la rectificación o
supresión de datos personales bajo determinadas condiciones.
·
Derecho a la
portabilidad: derecho a trasladar los datos a
otro proveedor de servicios.
· Mayor protección de
los datos de los menores de edad: los
menores de 13 años necesitan del consentimiento de sus padres para la apertura
de cuentas en redes sociales. Este límite de edad puede ser ampliado a los 16
años por los Estados miembros.
· Notificación
de violaciones de seguridad: se deben notificar al órgano de control y
al interesado, en un plazo máximo de 72 horas, las fisuras de seguridad si existe
alto riesgo para sus derechos y libertades.
· Nuevos
principios de la protección de datos: rendición de cuentas (“accountability")
y protección de datos desde el diseño y por defecto. Suponen que el responsable
del tratamiento de los datos personales lo haga considerando estos derechos
fundamentales desde la fase de planificación hasta después de la ejecución,
adoptando las medidas adecuadas al riesgo que implica el tratamiento de los
datos, para demostrarse el cumplimiento.
· Designación
de Delegado de Protección de datos, obligatoria para determinadas instituciones
(Sector público y actividades de Big Data). Designado atendiendo a sus conocimientos
especializados de Derecho y práctica en materia de protección de datos.
·
Ventanilla
única: una empresa con filiales en
varios Estados miembros sólo tendrá que tratar con la Autoridad de Protección
de Datos del Estado miembro de su establecimiento principal.
·
Sanciones: hasta 20 millones de euros o hasta el 4% del volumen
de negocios anual (el importe más elevado).
·
Evaluación
de impacto. obligatoriedad de realizar una evaluación de impacto
sobre la protección de datos siempre que el
tratamiento previsto pueda representar un alto riesgo para
los derechos y libertades de las personas, por ejemplo cuando se utilizan
nuevas tecnologías.
Complementariamente a estas innovaciones, una Guía de Evaluación de
Impacto en la Protección de los Datos Personales acaba de ser editada
recientemente por los Gobiernos de Argentina y Uruguay, quienes han celebrado
sendos Convenios con la Unión Europea en materia de Protección de Datos. Véase el siguiente enlace: https://www.argentina.gob.ar/noticias/argentina-y-uruguay-lanzan-la-guia-evaluacion-de-impacto-en-la-proteccion-de-datos
Se han incluido en la traducción algunos enlaces sobre el RGPD, dos
Directivas relacionadas a la Protección de los Datos, https://eur-lex.europa.eu/legal
content/ES/TXT/?uri=OJ:L:2016:119:TOC y una Directiva
de la UE sobre privacidad y comunicaciones electrónicas.
Reiteramos la sustantiva importancia del tratamiento de datos personales
en las nuevas formas de producción y de organización social, y del interés en
la protección de los derechos y libertades de las personas, pero también de las
amenazas y violaciones que se ciernen sobre ellas.
Finalmente, este artículo debe interesar
en el Perú a las instituciones públicas: Secretaria de Gobierno
Electrónico, Autoridad Nacional de Transparencia, Acceso a la Información
Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos
Humanos; Órganos Desconcentrados, Organismos Descentralizados dependientes de
los Poderes Ejecutivos, Legislativos, Judiciales y Organismos
Constitucionalmente Autónomos. Especialmente aquellas instituciones vinculadas
a la vigilancia y protección de los sectores de defensa y seguridad interior
que utilizan dispositivos de videovigilancia. Igualmente debería interesar al
sector privado, entorno empresarial y sociedad civil, la academia, universidades
y centros de investigaciones.
Lineamientos sobre procesamiento de datos personales a través de dispositivos de vídeo
1.
INTRODUCCIÓN
2.1 Datos
personales
2.3 Exenciones
domésticas
3
LICITUD DEL PROCESAMIENTO
3.1 Intereses
legítimos, Artículo 6 (1) (f)
3.1.1
Existencia de intereses legítimos.
3.1.2 Necesidad de
procesamiento
3.1.3 Equilibrio de
intereses
3.1.3.1 Tomar
decisiones caso por caso
3.1.3.2
Expectativas razonables de los interesados
3.2 Necesidad de
realizar una tarea de interés público o en el ejercicio de una
Autoridad oficial
conferida al controlador, Artículo 6 (1) (e)
3.3 Consentimiento,
Artículo 6 (1) (a)
4
DIVULGACIÓN DE VÍDEO FOTOGRAFÍA A TERCEROS
4.1 Divulgación de
imágenes de video a terceros en general
4.2 Divulgación de
imágenes de video a organizaciones legales
5
TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS
5.1 Consideraciones
generales en el procesamiento de datos
biométricos
5.2 Medidas
sugeridas para minimizar los riesgos al procesar datos biométricos
6
DERECHOS SOBRE LOS DATOS DEL INTERESADO
6.1 Derecho de
acceso
6.2 Derecho a
borrar y derecho de oposición
6.2.1
Derecho a borrar (derecho a ser olvidado)
6.2.2
Derecho de oposición
7
OBLIGACIONES DE TRANSPARENCIA E INFORMACIÓN[2]
7.1 Información de
la primera capa (señal de advertencia)
7.1.1
Posicionamiento de la señal de advertencia
7.1.2
Contenido de la primera capa
7.2 Información de
la segunda capa
8
PERÍODOS DE ALMACENAMIENTO Y OBLIGACIÓN DE BORRADO
9
MEDIDAS TÉCNICAS Y ORGANIZATIVAS
9.1 Descripción
general del sistema de vídeovigilancia
9.2 Protección de
datos por diseño y por defecto
9.3 Ejemplos
concretos de medidas relevantes
9.3.1 Medidas
organizativas
9.3.2 Medidas
técnicas
10
EVALUACIÓN DE IMPACTO DE PROTECCIÓN DE DATOS
Lineamientos sobre procesamiento de datos personales a
través de dispositivos de vídeo
Versión 2.0
Adoptada el 29 de
enero de 2020
EL
CONSEJO EUROPEO DE PROTECCIÓN DE DATOS
Visto el artículo 70, apartado 1 sexies, del Reglamento 2016/679 / UE del
Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de
las personas físicas en relación con el tratamiento de datos personales y sobre
la libre circulación de dichos datos, y por la que se deroga la Directiva 95/46
/ CE (en adelante, "RGPD"),
Visto el Acuerdo EEE y, en particular, su anexo XI y su
Protocolo 37, en su versión modificada mediante la Decisión del Comité Mixto del EEE
no 154/2018, de 6 de julio de 2018[3] ,
HA
ADOPTADO LOS SIGUIENTES LINEAMIENTOS
1.
INTRODUCCIÓN
1) El uso intensivo
de dispositivos de video tiene un impacto en el comportamiento de los
ciudadanos. La implementación significativa de tales herramientas en
muchas esferas de la vida de los individuos ejercerá una presión adicional
sobre el individuo para evitar la detección de lo que podría percibirse como
anomalías. De hecho, estas tecnologías pueden limitar las posibilidades de
movimiento anónimo y uso anónimo de servicios y generalmente limitan la posibilidad
de pasar desapercibido. Las implicaciones de protección de datos son
masivas.
2) Si bien las
personas pueden sentirse cómodas con la vídeovigilancia configurada para un
determinado propósito de seguridad por ejemplo, se deben tomar ciertas garantías
para evitar cualquier uso indebido de datos totalmente diferentes y - para
datos sujetos - a fines inesperados (por ejemplo, marketing, monitoreo del
desempeño de los empleados, etc.). Además, ahora se implementan muchas
herramientas para explotar las imágenes capturadas y convertir las cámaras tradicionales
en cámaras inteligentes. La cantidad de datos generados por el vídeo,
combinados con estas herramientas y las técnicas aumentan los riesgos de uso
secundario relacionado o no con el propósito originalmente asignado al sistema)
o incluso los riesgos de mal uso. Los principios generales en RGPD
(Artículo 5), deberían ser siempre cuidadosamente considerados tratándose de vídeovigilancia.
3) Los sistemas de vídeovigilancia
cambian de muchas maneras la forma en que los profesionales del sector público
y del sector privado interactúan en lugares privados o públicos con el fin de
mejorar la seguridad, obteniendo análisis de audiencia, entrega de publicidad
personalizada, etc. La vídeovigilancia ha devenido una técnica de alto
rendimiento a través de la creciente implementación de análisis de vídeo
inteligente. Estas técnicas pueden ser más intrusivas (por ejemplo,
tecnologías biométricas complejas) o menos intrusivas (por ejemplo, algoritmos
de conteo simples). Permanecer anónimos y preservar la privacidad es, en
general, cada vez más difícil. Los problemas de protección de datos planteados
en cada situación pueden diferir, también lo hará el análisis legal cuando usa
una u otra de estas tecnologías.
4) Además de los
problemas de privacidad, también existen riesgos relacionados con el posible
mal funcionamiento de estos dispositivos y los sesgos que pueden
inducir. Los investigadores informan que el software utilizado para la
identificación facial, reconocimiento, o el análisis se realiza de manera
diferente según la edad, el género y el origen étnico de la persona que está
identificando.
Los algoritmos
funcionarían según diferentes datos demográficos, por lo tanto, el sesgo en el
reconocimiento facial amenaza con reforzar los prejuicios sociales. Es por
eso que los controladores de datos también deben garantizar que el
procesamiento de datos derivados de la vídeovigilancia estará sujeto a una
evaluación periódica de su relevancia y suficiencia de las garantías previstas.
5) La vídeovigilancia
no es por defecto una necesidad cuando hay otros medios para lograr el
propósito subyacente. De lo contrario, corremos el riesgo de un cambio en
las normas culturales que conduzcan a la aceptación de la falta de privacidad
como principio general.
6) Estos Lineamientos
tienen como objetivo brindar orientación sobre cómo aplicar el RGPD en relación
con el tratamiento personal datos a través de dispositivos de vídeo. Los
ejemplos no son exhaustivos, el razonamiento general puede aplicarse a todas
las potenciales áreas de uso.
2
ÁMBITO DE APLICACIÓN[6]
2.1
Datos personales
7) El monitoreo
sistemático automatizado de un espacio específico por medios ópticos o
audiovisuales, principalmente para fines de protección de la propiedad, o para
proteger la vida y la salud del individuo, se ha convertido en un importante fenómeno
de nuestros días. Esta actividad conlleva la recolección y conservación de
información pictórica o audiovisual sobre todas las personas que ingresan al
espacio monitoreado que son identificables en función de su apariencia u otros
elementos específicos. La identidad de estas personas puede establecerse
sobre la base de estos detalles. Ello también permite un mayor procesamiento
de datos personales en referencia a la presencia y el comportamiento de las
personas en el espacio dado. El riesgo potencial de mal uso de estos datos
aumenta en relación con la dimensión del espacio monitoreado así como al número
de personas que frecuentan ese espacio. Este hecho se refleja en el
Artículo 35 (3) (c) del Reglamento General de Protección de Datos que requiere la realización de una evaluación de impacto para
la protección de datos en caso de un monitoreo sistemático de un área de acceso
público a gran escala, como del Artículo 37 (1) (b) que requiere la designación
de un oficial de protección de datos, si la operación de procesamiento por su
naturaleza implica un monitoreo regular y sistemático de los interesados.
8. Sin embargo, el Reglamento no se aplica al
procesamiento de datos que no hace referencia a una persona, p. Ej. Si un
individuo no puede ser identificado, directa o indirectamente.
9.
Ejemplo: El RGPD no es
aplicable a cámaras falsas (es decir, cualquier cámara que no funciona como
cámara y, por lo tanto, no procesa ningún dato personal). Sin embargo, en
algunos Estados miembros pudiera estar sujeta a otra legislación.
Ejemplo: Las grabaciones
desde una altitud elevada solo entran dentro del alcance del RGPD si, bajo ciertas
circunstancias, los datos procesados pueden estar relacionados con una
persona específica.
Ejemplo: Una videocámara
integrada en un automóvil para proveer asistencia de estacionamiento. Si la
cámara está construida o ajustada de tal manera que no recopila ninguna
información relacionada con una persona física (como placas o información que
pueda identificar a los transeúntes), el RGPD no se aplica.
|
10. El tratamiento de datos personales por parte de las
autoridades competentes para fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a
la libre circulación de dichos datos y por la que se deroga la Decisión Marco
2008/977/JAI del Consejo, incluyendo la
protección y la prevención de amenazas a la seguridad pública, en particular, caen
bajo la Directiva EU 2016/680.
2.3
Exenciones domésticas
11. De conformidad
con el Artículo 2 (2) (c), el procesamiento de datos personales por una persona
física durante una actividad puramente personal o doméstica, que también puede
incluir actividad en línea, está fuera del alcance de RGPD.[7]
12. Esta disposición,
llamada exención doméstica, en el contexto de la vídeovigilancia debe ser interpretada
específicamente. Por lo tanto, según lo considerado por el Tribunal de
Justicia de la Unión Europea, TJCE, la
llamada "exención doméstica " debe" interpretarse
como relacionada únicamente con actividades que se llevan a cabo en el curso de
la vida privada o familiar de las personas, lo que claramente no es el caso
con el procesamiento de datos personales consistente en su publicación
en Internet para que esos datos sean accesibles a un número indefinido de
personas".[8] Además,
si se trata de un sistema de vídeovigilancia, en la medida en que implica el
registro y almacenamiento constante de datos personales y portadas,
" incluso parcialmente, un espacio público y, en consecuencia, se
dirige hacia afuera desde el entorno privado de la persona que procesa los
datos de esa manera, no puede considerarse como una actividad puramente
"personal o doméstica" a los efectos del segundo guión del apartado 2
del artículo 3 de la Directiva 95/46 »[9] .
13. En lo referente a
los dispositivos de video operados dentro de las instalaciones de una persona
privada, puede caer bajo la exención doméstica. Dependerá de varios
factores, todos los cuales deben considerarse para llegar a una
conclusión. Además de los elementos mencionados anteriormente
identificados por las decisiones del TJCE, el usuario de la vídeovigilancia en
el hogar debe analizar si tiene algún tipo de relación personal con los datos captados,
si la escala o frecuencia de la vigilancia sugiere algún tipo de actividad
profesional por su parte, y del posible impacto adverso de la vigilancia sobre
los datos captados. La presencia de cualquiera de los elementos
mencionados no necesariamente sugiere que el procesamiento se encuentre fuera
del alcance de la exención doméstica, se necesita una evaluación general para esta
determinación.
14.
Ejemplo: Un turista está
grabando videos tanto a través de su teléfono móvil como a través de una videocámara
para documentar sus vacaciones. Muestra el material a amigos y
familiares, pero no lo hace accesible para un número indefinido de
personas. Esto caería bajo la exención del hogar.
Ejemplo: un ciclista de montaña
cuesta abajo quiere grabar su descenso con una cámara de
acción. Ella monta en un área
remota y solo planea usar las grabaciones para su entretenimiento personal en
hogar. Esto caería bajo la exención del hogar, incluso si en cierta
medida se procesan los datos personales.
Ejemplo: Alguien está
monitoreando y grabando su propio jardín. La propiedad está vallada y solo
el propio controlador y su familia entran al jardín de manera
regular. Esto podría caer bajo la exención doméstica, siempre que la vídeovigilancia
no se extienda incluso parcialmente a un espacio público o propiedad vecina.
|
3
LICITUD DEL PROCESAMIENTO
15. Antes de su uso,
los fines del procesamiento deben ser especificados detalladamente. (Artículo 5
(1) (b)). La vídeovigilancia puede servir para muchos propósitos, por
ejemplo, apoyar la protección de la propiedad y otros activos, apoyando la
protección de la vida y la integridad física de las personas, recolectando
evidencia para reclamaciones civiles.[10]
Estos propósitos de monitoreo deben documentarse por escrito (Artículo 5 (2)) y
deben ser especificados para cada cámara de vigilancia en uso. Las cámaras
que son utilizadas para el mismo propósito por un solo operador pueden ser documentadas en conjunto. Además, los
interesados deben ser informados del o de los propósitos del procesamiento de
acuerdo con el Artículo 13 (Ver sección 7, Obligaciones
de transparencia e información). La vídeovigilancia basada en el
simple propósito de "seguridad" o "para su seguridad" no es
suficientemente específico (Artículo 5 (1) (b)). Además, es contrario al
principio de que los datos personales deberán ser procesados legalmente, de
manera justa y transparente en relación con el interesado (ver Artículo 5 (1)
(a)).
16. En principio,
todo fundamento legal en virtud del Artículo 6 (1) puede proporcionar una base
legal para el procesamiento de vídeo datos de vigilancia. Por ejemplo, el
Artículo 6 (1) (c) se aplica cuando la legislación nacional estipula la
obligación de realizar vídeovigilancia.[11] Sin
embargo, en la práctica, las disposiciones con mayor probabilidad de ser
utilizadas son:
• Artículo 6 (1) (f)
(interés legítimo),
• Artículo 6 (1) (e)
(necesidad de realizar una tarea para cumplir un propósito de interés público o
en el ejercicio de una autoridad oficial).
En casos excepcionales,
el controlador podría utilizar el Artículo 6 (1) (a) (consentimiento) como base
legal.
3.1
Intereses legítimos, Artículo 6 (1) (f)
17. La evaluación
jurídica del artículo 6, apartado 1, letra f), debe basarse en los siguientes
criterios de conformidad con el Considerando 47.
3.1.1
Existencia de intereses legítimos.
18. La vídeovigilancia
es legal si es necesaria para cumplir con el propósito de un interés legítimo perseguido
por un controlador o un tercero, a menos que dichos intereses sean invalidados
por el interesado, o derechos fundamentales y libertades (Artículo
6 (1) (f)). Los intereses legítimos perseguidos por un controlador o por un
tercero pueden ser legales[12], intereses
económicos o no materiales.[13] Sin
embargo, el controlador debe considerar que sí el interesado se opone a la
vigilancia de acuerdo con el Artículo 21, el controlador solo puede proceder
con la vídeovigilancia de ese sujeto si se trata de un interés legítimo
convincente que anula los intereses, derechos y libertades del interesado o
para el establecimiento, ejercicio o defensa de reclamos legales.
19. Dada una
situación real y peligrosa, el propósito de proteger la propiedad contra robos,
robos o el vandalismo puede constituir un interés legítimo para la vídeovigilancia.
20. El interés
legítimo debe ser real y debe ser un tema actual. (No debe ser ficticio o
especulativo)[14] . Se
requiere una situación de angustia en la vida real, como daños o incidentes
graves en el pasado, antes de comenzar la vigilancia. A la luz del
principio de responsabilidad, se recomienda que los controladores documenten
los incidentes relevantes (fecha, forma, pérdida financiera) y se expresen los cargos criminales relacionados. Esos
incidentes documentados pueden ser una fuerte evidencia de la existencia de un interés
legítimo. La existencia de un interés legítimo, así como la necesidad del
monitoreo deben reevaluarse a intervalos periódicos (por ejemplo, una vez al
año, según las circunstancias).
21.
Ejemplo: el propietario de
una tienda quiere abrir una nueva tienda y quiere instalar un sistema de vídeovigilancia para prevenir el
vandalismo. Puede mostrar, presentando estadísticas, que hay una alta
expectativa de vandalismo en el vecindario cercano. Además, la experiencia
de las tiendas vecinas es útil. No es necesario que se haya producido un
daño contra el controlador en cuestión. Como siempre y cuando los daños
en el vecindario sugieran un peligro o evento similar, pueden ser consecuentemente
una indicación de un interés legítimo. Sin embargo, no es suficiente
presentar a nivel nacional o general una estadística de crimen sin analizar
el área en cuestión o los peligros de esta tienda específica.
|
22. Las situaciones
de peligro inminente pueden constituir un interés legítimo, como bancos o
tiendas que venden bienes preciosos (por ejemplo, joyeros), o áreas que se sabe
que son escenas típicas de delitos por delitos contra la propiedad (por
ejemplo, estaciones de servicio).
23. El RGPD también
establece claramente que las autoridades públicas no pueden confiar su
procesamiento por motivos de interés legítimo, mientras lleven a cabo sus
tareas, artículo 6 (1), oración 2.
3.1.2
Necesidad de procesamiento
24. Los datos
personales deben ser adecuados, relevantes y limitados a aquello que es
necesario en relación a los fines para los cuales se procesan ('minimización de
datos'), ver Artículo 5 (1) (c). Antes de instalar un sistema video de
vigilancia, el controlador siempre debe examinar críticamente si esta medida es
adecuada en primer lugar para alcanzar el objetivo deseado, y en segundo lugar
adecuado y necesario para sus fines. Las medidas de vídeovigilancia solo
deben elegirse si el propósito del procesamiento no puede ser razonablemente
cumplido por otros medios menos intrusivos a los derechos y libertades
fundamentales del interesado.
25. Dada la situación
de que un controlador desea prevenir delitos relacionados con la propiedad, en
lugar de instalar un sistema de vídeovigilancia, el controlador también podría
tomar medidas de seguridad alternativas, como cercar la propiedad, instalar patrullas
regulares de seguridad, utilizar guardianes, proporcionar mejor iluminación,
instalar cerraduras de seguridad, ventanas y puertas a prueba de manipulaciones
o aplicar revestimiento antigraffiti o láminas en las paredes. Esas medidas
pueden ser tan efectivas como los sistemas de vídeovigilancia contra robos y
robos y vandalismo. El controlador tiene que evaluar caso por caso si
tales medidas pueden ser una solución razonable.
26. Antes de operar
un sistema de cámara, el controlador está obligado a evaluar dónde y cuándo las
medidas de vídeovigilancia son estrictamente necesarias. Por lo general,
un sistema de vigilancia que funciona por la noche como así como fuera del
horario de trabajo regular satisfará las necesidades del controlador para
evitar cualquier peligro a su propiedad.
27. En general, la
necesidad de utilizar vídeovigilancia para proteger las instalaciones de los
controladores termina en los límites de la propiedad.[15] Sin
embargo, hay casos en que la vigilancia de la propiedad no es suficiente para
una protección efectiva. En algunos casos individuales, puede ser
necesario superar la vídeovigilancia a los alrededores inmediatos del
local. En este contexto, el controlador debe considere medios físicos y
técnicos, por ejemplo, bloquear o pixelar áreas no relevantes.
28.
Ejemplo: Una librería
quiere proteger sus instalaciones contra el vandalismo. En general, las cámaras
solo debería estar filmando las instalaciones en sí porque no es necesario
mirar a los vecinos locales o áreas públicas en los alrededores de los
locales de la librería para ese propósito.
|
29. También surgen
preguntas sobre la necesidad del procesamiento respecto de la forma en que se
preserva la evidencia o prueba. En algunos casos, puede ser necesario utilizar
soluciones de caja negra donde el material de archivo se elimina
automáticamente después de un cierto período de almacenamiento y solo se accede
en caso de un incidente. En otras situaciones, puede que no sea necesario
grabar el material de video, sino en su lugar, es más apropiado usar el
monitoreo en tiempo real. La decisión entre las soluciones de caja negra y
el monitoreo en tiempo real también debe basarse en el propósito
perseguido. Si, por ejemplo, el propósito de la vídeovigilancia es la
preservación de la evidencia, los métodos en tiempo real generalmente no son
adecuados. A veces, el monitoreo en tiempo real también puede ser más intrusivo
que almacenar y eliminar material automáticamente después de un período de
tiempo limitado (por ejemplo, si alguien está viendo constantemente el monitor,
podría ser más intrusivo que si no hubiera ningún monitor y el material se
almacena directamente en una caja negra). El principio de minimización de
datos debe considerarse en este contexto (Artículo 5 (1) (c)). También se
debe tener en cuenta que es posible que el controlador pudiera usar personal de
seguridad en lugar de vídeovigilancia capaz de reaccionar e intervenir inmediatamente.
3.1.3
Equilibrio de intereses
30. Suponiendo que la
vídeovigilancia sea necesaria para proteger los intereses legítimos de un
controlador, un sistema de vídeovigilancia solo se puede poner en
funcionamiento, si los intereses legítimos del controlador o los de un tercero
(por ejemplo, protección de la propiedad o integridad física) no son anulados
por los intereses o derechos y libertades fundamentales del interesado. El
controlador debe considerar: 1) en qué medida el monitoreo afecta los
intereses, los derechos fundamentales y las libertades de las personas y 2) si
esto causa violaciones o consecuencias negativas con respecto a los derechos
del interesado. De hecho, equilibrar los intereses es
obligatorio. Derechos y libertades fundamentales por un lado y por otro
lado, los intereses legítimos del controlador deben evaluarse y equilibrarse
cuidadosamente.
31.
Ejemplo: Una compañía de
estacionamiento privado ha documentado recurrentes problemas de robos en los autos
estacionados. El área de estacionamiento es un espacio abierto y
cualquiera puede acceder fácilmente, pero está claramente demarcada por
letreros y bloqueadores de carreteras que rodean el espacio. La compañía
de estacionamiento tiene un interés legítimo (evitar robos en los automóviles
de los clientes) para monitorear el área durante la hora del día en que
experimentan problemas. Los datos son monitoreados en un período de tiempo
limitado, no están en el área con fines recreativos y también les interesa
que se eviten los robos. El interés de los interesados de no ser
monitoreados es en este caso anulado por el interés legítimo del controlador.
Ejemplo: Un restaurante
decide instalar cámaras de video en los baños para controlar el orden de las
instalaciones sanitarias. En este caso, los derechos de los interesados
claramente anulan el interés del controlador, por lo tanto, las cámaras no
se pueden instalar allí.
|
3.1.3.1 Tomar
decisiones caso por caso
32. Como el
equilibrio de intereses es obligatorio de acuerdo con el reglamento, la
decisión debe tomarse caso por caso (ver Artículo 6 (1) (f)). Hacer
referencia a situaciones abstractas o comparar casos similares uno con otro es insuficiente. El
controlador debe evaluar los riesgos de intrusión sobre los derechos del
interesado; aquí el criterio decisivo es la intensidad de la intervención en
los derechos y libertades del individuo.
33. La intensidad
puede definirse, entre otras cosas, por el tipo de información que se recopila
(contenido de la información), el alcance (densidad de información, extensión
espacial y geográfica), el número de sujetos de datos en cuestión, ya sea como
un número específico o como una proporción de la población relevante, la
situación en cuestión, los intereses reales del grupo de interesados, medios
alternativos, así como por la naturaleza y el alcance en la evaluación de los datos.
34. Los factores de equilibrio
importantes pueden ser el tamaño del área, que está bajo vigilancia y la
cantidad de sujetos de datos bajo vigilancia. El uso de vídeovigilancia en
un área remota (por ejemplo, para observar la vida silvestre o para proteger la
infraestructura crítica, como una antena de radio privada) debe evaluarse diferentemente
a la vídeovigilancia en una zona peatonal o en un centro comercial.
35.
Ejemplo: Si se instala una
cámara de tablero (por ejemplo, con el propósito de recolectar evidencia en
caso de accidente), es importante asegurarse de que esta cámara no esté
registrando constantemente el tráfico, así como a las personas que están
cerca de una carretera. De lo contrario, el interés en tener grabaciones de
video como evidencia en el caso más teórico de un accidente de tráfico no
puede justificar esta grave interferencia con los derechos de los interesados.
|
3.1.3.2
Expectativas razonables de los interesados
36. Según el Considerando
47, la existencia de un interés legítimo requiere una evaluación
cuidadosa. Aquí se deben incluir las expectativas razonables del
interesado en el momento y en el contexto del procesamiento de sus datos
personales. Con respecto al monitoreo sistemático, la relación entre el
interesado y el controlador puede variar significativamente y pueden afectar
las expectativas razonables que pueda tener el interesado La interpretación del
concepto de expectativas razonables no debe basarse únicamente en las
expectativas subjetivas en cuestión. Por el contrario, el criterio decisivo
debe ser si un tercero objetivo puede esperar razonablemente y concluir que
está sujeto a monitoreo en esta situación específica.
37. Por ejemplo, un
empleado en su lugar de trabajo en la mayoría de los casos probablemente no
espera ser monitoreado por su empleador.[16] Además,
no se debe esperar el monitoreo en el jardín privado, en salas de estar, o en
salas de examen y tratamiento. En el mismo sentido, no es razonable
esperar monitoreo en instalaciones sanitarias o de sauna: monitorear tales áreas
es una intrusión intensa en los derechos del interesado. Las expectativas
razonables de los interesados son que no habrá vídeovigilancia en esas
áreas. Por otro lado, el cliente de un banco podría esperar que él/ella sea
monitoreado (a) dentro del banco o por el cajero automático.
38. Los interesados
también pueden esperar estar libres de monitoreo dentro de áreas de acceso
público, especialmente si esas áreas se usan típicamente actividades de
recuperación, regeneración y ocio, así como en lugares donde las personas se
quedan y/o se comunican, como áreas para sentarse, mesas en restaurantes,
parques, cines y gimnasios. Aquí los intereses o derechos y libertades del
interesado a menudo anularán los intereses legítimos del controlador.
39.
Ejemplo: En los
inodoros, los interesados esperan no ser monitoreados. La vídeovigilancia,
por ejemplo, para prevenir accidentes no es proporcional.
|
40. Las señales que
informan al interesado sobre la vídeovigilancia no tienen relevancia al
determinar qué puede esperar objetivamente la persona sujeta a la captación de datos. Esto
significa que, por ejemplo, el dueño de una tienda no puede confiar en los
clientes Tener objetivamente expectativas razonables para ser
monitoreadas solo porque un signo informa al individuo en la entrada sobre la
vigilancia. Esto significa, por ejemplo, que el dueño de una tienda no puede
confiar en que los clientes tengan objetivamente
expectativas razonables para ser monitoreados solo porque un letrero informa al
individuo a la entrada sobre la vigilancia.
3.2
Necesidad de realizar una tarea de interés público o en el ejercicio de una
Autoridad
oficial conferida al controlador, Artículo 6 (1) (e)
41. Los datos
personales podrían procesarse mediante vídeovigilancia conforme al Artículo 6
(1) (e) si es necesario realizar una tarea de interés público o para el
ejercicio de una autoridad oficial.[17] Puede
ser que el ejercicio de la autoridad oficial no permite tal procesamiento, pero
otras bases legislativas tales como "salud y seguridad" para la
protección de visitantes y empleados pueden proporcionar un alcance limitado
para procesamiento, sin dejar de tener en cuenta las obligaciones de RGPD y los
derechos de los interesados.
42. Los Estados
miembros pueden mantener o introducir una legislación nacional específica
adaptada para la vídeovigilancia. La aplicación de las reglas del RGPD mediante
la determinación de requisitos específicos más precisos para procesamiento
siempre que estén en concordancia con los principios establecidos por el RGPD
(por ejemplo, almacenamiento limitación, proporcionalidad).
3.3
Consentimiento, Artículo 6 (1) (a)
43. El consentimiento
debe ser otorgado libremente, específico, informado y sin ambigüedades, como se
describe en las directrices sobre consentimiento.[18]
44. Con respecto al
monitoreo sistemático, el consentimiento del interesado solo puede servir como
base legal en de conformidad con el artículo 7 (véase el considerando 43) en
casos excepcionales. Es en la naturaleza de la vigilancia que esto La
tecnología monitorea a un número desconocido de personas a la vez. El
controlador difícilmente podrá probar que el interesado ha dado su
consentimiento antes del procesamiento de sus datos personales (Artículo 7
(1)). Ficticio que el interesado retire su consentimiento, será difícil
para el controlador demostrar que ese personal los datos ya no se procesan (artículo
7 (3)).
45.
Ejemplo: Los atletas
pueden solicitar monitoreo durante los ejercicios individuales para analizar
sus técnicas y rendimiento. Por otro lado, cuando un club deportivo toma
la iniciativa de supervisar a todo un equipo con el mismo propósito, el
consentimiento a menudo no será válido, ya que individualmente los atletas
pueden sentirse presionados a dar su consentimiento para que su negativa de
consentimiento no afecte negativamente a los compañeros de equipo.
|
46. Si el controlador
desea confiar en el consentimiento, es su deber asegurarse de que todos los
interesados que ingresen al área que está bajo vigilancia por video hayan dado
su consentimiento. Este consentimiento tiene que cumplir con las
condiciones del Artículo 7. Entrar en un área monitoreada marcada (por ejemplo,
se invita a las personas a pasar por un pasillo o puerta específica para
ingresar a un área monitoreada), no constituye una declaración o una clara
necesaria acción afirmativa para el consentimiento, a menos que cumpla con los
criterios de los artículos 4 y 7 como se describe en las Directrices sobre el
consentimiento.[19]
47. Dado el
desequilibrio de poder entre empleadores y empleados, en la mayoría de los
casos los empleadores deberían no confiar en el consentimiento al procesar
datos personales, ya que es poco probable que se entregue libremente. Las
directrices sobre el consentimiento deben tenerse en cuenta en este contexto.
48. La legislación de
los Estados miembros o los convenios colectivos, incluidos los "acuerdos
de trabajo", pueden establecer reglas específicas sobre el procesamiento
de los datos personales de los empleados en el contexto laboral (véase el
artículo 88).
4
DIVULGACIÓN DE VÍDEO FOTOGRAFÍA A TERCEROS
49. En principio, las
regulaciones generales del RGPD se aplican a la divulgación de grabaciones de
video a terceros.
4.1
Divulgación de imágenes de video a terceros en general
50. La divulgación se
define en el Artículo 4 (2) como transmisión (por ejemplo, comunicación
individual), difusión (por ejemplo, publicación en línea) o cualquier otro modo
de puesta a disposición. Los terceros se definen en el Artículo 4
(10). Dónde la divulgación se realiza a terceros países u organizaciones
internacionales, las disposiciones especiales del artículo 44 y siguientes, también
se aplica.
51. Cualquier
divulgación de datos personales es un tipo separado de procesamiento de datos
personales para el cual el controlador requiere tener una base legal en el
Artículo 6.
52.
Ejemplo: Un controlador
que desea subir una grabación a Internet debe confiar en un base para ese
procesamiento, por ejemplo, obteniendo el consentimiento del interesado de
acuerdo con Artículo 6, apartado 1, letra a).
|
53. La transmisión de
imágenes de video a terceros para fines distintos de aquellos para los cuales
los datos han sido recolectados es posible bajo las reglas del Artículo 6 (4).
54.
Ejemplo: La vídeovigilancia
de una barrera (en un estacionamiento) se instala con el fin de resolver
daños y perjuicios. Producido un daño, la grabación se transfiere a un
abogado para iniciar un proceso. En esto caso, el propósito de la
grabación es el mismo que el de la transferencia.
Ejemplo: La vídeovigilancia
de una barrera (en un estacionamiento) se instala con el fin de resolver daños
y perjuicios. La grabación se publica en línea por simples razones de
diversión. En este caso el propósito ha cambiado y no es compatible con el
propósito inicial. Además sería problemático para identificar una base
legal para ese proceso (publicación).
|
55. Un tercero
receptor tendrá que hacer su propio análisis legal, en particular identificando
su base legal según el Artículo 6 para su procesamiento (por ejemplo, recibir
el material).
4.2
Divulgación de imágenes de video a organizaciones legales
56. La divulgación de
grabaciones de video a las organizaciones legales también es un proceso
independiente, que requiere una justificación separada para el controlador.
57. Según el Artículo
6 (1) (c), el procesamiento es legal si es necesario para cumplir con una
obligación legal a la que está sujeto el controlador. Aunque la ley
policial aplicable es un asunto bajo el control exclusivo de los Estados
miembros, existen normas más generales que regulan la transferencia de pruebas
a organizaciones legales en todos los Estados miembros. El procesamiento
del controlador que entrega los datos está regulado por el RGPD. Si la
legislación nacional requiere que el controlador coopere con la aplicación de
la ley (por ejemplo, investigación), La base legal para la entrega de los datos
es la obligación legal en virtud del Artículo 6 (1) (c).
58. La limitación del propósito en
el Artículo 6 (4) a menudo no suele ser
problemática, ya que la divulgación se remite explícitamente a la legislación
de los Estados miembros. Una consideración de los requisitos especiales para un
cambio de propósito en el sentido del literal. a - e, no es por lo tanto
necesario.
59.
Ejemplo: El dueño de una
tienda graba imágenes en su entrada. Las imágenes muestran a una persona
robando la billetera de otra persona. La policía le pide al controlador que
entregue el material para ayudar en su investigación. En ese caso, el dueño
de la tienda usaría la base legal bajo el Artículo 6 (1) (c) (obligación
legal) leída junto con la legislación nacional relevante para el
procesamiento de la transferencia.
|
60.
Ejemplo: Se instala una
cámara en una tienda por razones de seguridad. El dueño de la tienda cree que
ha registrado algo sospechoso en sus imágenes y decide enviar el material a
la policía (sin ninguna indicación de que haya una investigación en curso de
algún tipo). En este caso, el dueño de la tienda tiene que evaluar si se
cumplen las condiciones bajo, en la mayoría de los casos, el Artículo 6 (1)
(f). Este suele ser el caso si el dueño de la tienda tiene una sospecha
razonable de que se ha cometido un delito.
|
61. El procesamiento
de los datos personales por parte de los propios organismos encargados de hacer
cumplir la ley no sigue el RGPD (Véase el Artículo 2 (2) (d)), sino que sigue
la Directiva de aplicación de la ley (EU 2016/680).
5
TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS
62. Los sistemas de vídeovigilancia
generalmente recopilan cantidades masivas de datos personales que pueden
revelar datos de una naturaleza altamente personal e incluso categorías
especiales de datos. De hecho, datos aparentemente no significativos originalmente
recopilado a través del video se puede utilizar para inferir otra información
para lograr un propósito diferente (por ejemplo, para mapear los hábitos de un
individuo). Sin embargo, la vídeovigilancia no siempre se considera procesamiento
de categorías especiales de datos personales.
63.
Ejemplo: Las imágenes de
video que muestran a un sujeto de datos usando anteojos o usando una silla de
ruedas no son per se considera categorías especiales de datos personales.
|
64. Sin embargo, si
el video se procesa para deducir categorías especiales de datos, se aplica el
Artículo 9.
65.
Ejemplo: Las opiniones
políticas podrían deducirse, por ejemplo, de imágenes que muestran datos de
los interesados que participan en un evento, participan en una huelga, etc.
Esto se incluiría en el Artículo 9.
Ejemplo: Un hospital que
instala una cámara de video para controlar el estado de salud de un paciente se
consideraría como el procesamiento de categorías especiales de datos
personales (artículo 9).
|
66. En general, como
principio, siempre que se instale un sistema de vídeovigilancia se debe
considerar cuidadosamente ser dado al principio de minimización de
datos. Por lo tanto, incluso en los casos en que el Artículo 9 (1) no se
aplica, el controlador de datos siempre debe tratar de minimizar el riesgo de
capturar imágenes que revelen otras datos (más allá del artículo 9),
independientemente del objetivo.
67.
Ejemplo: La vídeovigilancia
que captura la imagen de una iglesia no está per se bajo el Artículo 9. Sin
embargo, el controlador debe realizar una evaluación especialmente cuidadosa
de conformidad con el Artículo 6 (1) (f) tomando en cuenta tener en cuenta la
naturaleza de los datos, así como el riesgo de capturar otros datos
confidenciales (más allá de Artículo 9) al evaluar los intereses del
interesado.
|
68. Si se utiliza un
sistema de vídeovigilancia para procesar categorías especiales de datos, el
controlador de datos debe identificar tanto una excepción para el procesamiento
de categorías especiales de datos en virtud del Artículo 9 (es decir, un exención
de la regla general de que no se deben procesar categorías especiales de datos)
como la base legal en virtud del artículo 6.
69. Por ejemplo, el
Artículo 9 (2) (c) (“[...] el procesamiento es necesario para proteger
los intereses vitales de los interesados o de otra persona física [...]
") podría, en teoría y excepcionalmente, ser utilizado, pero el
controlador tendría que justificar los datos como una necesidad absoluta para
salvaguardar los intereses vitales de una persona y demostrar que este
"[...] sujeto de datos es física o legalmente incapaz de dar su
consentimiento". Además, el controlador de datos no podrá utilizar el
sistema por ningún otro motivo.
70. Es importante
señalar aquí que no es probable que todas las exenciones enumeradas en el
Artículo 9 sean utilizables para justificar el procesamiento de categorías
especiales de datos a través de la vídeovigilancia. Más específicamente, los
controladores de datos que procesan esos datos en el contexto de la vídeovigilancia
no pueden basarse en el Artículo 9 (2) (e), que permite el procesamiento
relacionado con datos personales que el interesado hace públicos de manera
manifiesta. El mero hecho de entrar en el alcance de la cámara no implica que
el interesado tenga la intención de hacer públicas categorías especiales de
datos relacionados con él o ella.
71. Además, el
procesamiento de categorías especiales de datos requiere una vigilancia mayor y
continúa a ciertas obligaciones; por ejemplo, alto nivel de seguridad y
evaluación de impacto de protección de datos donde sea necesario.
72.
Ejemplo: Un empleador no
debe usar grabaciones de vídeovigilancia que muestren una manifestación para identificar a los huelguistas.
|
5.1
Consideraciones generales en el procesamiento
de datos biométricos
73. El uso de datos
biométricos y, en particular, el reconocimiento facial implican mayores riesgos
para los derechos de los interesados. Es crucial que el recurso a tales
tecnologías se realice con el debido respeto a los principios de legalidad,
necesidad, proporcionalidad y minimización de datos según lo establecido en el RGPD. Mientras
que el uso de estas tecnologías pueden ser percibidos como particularmente
efectivos, los controladores primero deben evaluar el impacto en los derechos y
libertades fundamentales y considerar medios menos intrusivos para lograr su propósito
legítimo del procesamiento.
74. Para calificar
como datos biométricos como lo define el RGPD, el procesamiento de datos en
bruto, como las características físicas, fisiológicas o de comportamiento de
una persona física, debe implicar una medición de estas características. Dado
que los datos biométricos son el resultado de tales mediciones, el RGPD
establece en su Artículo 4.14 que este es " [...] resultante de un
procesamiento técnico específico relacionado con las características físicas,
fisiológicas o comportamentales de una persona física, que permite o
confirma la identificación única de esa persona natural […]". Sin
embargo, el video de un individuo no puede considerarse en sí mismo como datos
biométricos en virtud del Artículo 9, si no se han procesado técnicamente
específicamente para contribuir a la identificación de un individuo.[20]
75. Para que pueda
considerarse como procesamiento de categorías especiales de datos personales
(artículo 9), se requiere que los datos biométricos se procesen "con el
fin de identificar de manera única a una persona física".
76. En resumen, a la
luz de los artículos 4.14 y 9, deben considerarse tres criterios:
- Naturaleza
de los datos: datos relacionados con las características físicas,
fisiológicas o de comportamiento de una persona natural,
- Medios y
forma de procesamiento: datos "resultantes de un procesamiento técnico
específico",
- Propósito
del procesamiento: los datos
deben usarse con el fin de identificar de forma única a una persona.
77. El uso de vídeovigilancia,
incluida la funcionalidad de reconocimiento biométrico instalada por entidades
privadas para sus propios fines (por ejemplo, marketing, estadística o incluso
seguridad), en la mayoría de los casos, requerirá explícitamente consentimiento
de todos los interesados (Artículo 9 (2) (a)), sin embargo, otra excepción
adecuada en el Artículo 9 podría También ser aplicable.
78.
Ejemplo: Para mejorar su servicio,
una empresa privada reemplaza la verificación de identificación de pasajeros
verifica dentro de un aeropuerto (entrega de equipaje, embarque) con sistemas
de vídeovigilancia que utilizan técnicas de reconocimiento facial para
verificar la identidad de los pasajeros que han optado por consentir a tal
procedimiento. Dado que el procesamiento cae bajo el Artículo 9, los
pasajeros, que previamente han dado su consentimiento explícito e informado,
tendrán que inscribirse, por ejemplo, en un terminal automático para crear y
registrar su plantilla facial asociada con su tarjeta de embarque e
identidad. Los puntos de control con reconocimiento facial deben estar
claramente separados, por ejemplo, el sistema debe instalarse dentro de un
pórtico para que las plantillas biométricas de la persona que no consienta no
sean capturadas. Solo los pasajeros, que habrán previamente dado su
consentimiento y procedido a la inscripción, utilizará el pórtico equipado
con el sistema biométrico
Ejemplo: Un controlador gestiona
el acceso a su edificio utilizando un método de reconocimiento facial. Determinadas
personas solo pueden usar esta forma de acceso si han dado su consentimiento
explícitamente informado (según al Artículo 9 (2) (a)) de antemano. Sin
embargo, para garantizar que no se capture a nadie que no haya dado
previamente su consentimiento, el propio interesado debe activar el método de
reconocimiento facial, por ejemplo, presionando un botón. Para garantizar la
legalidad del procesamiento, el controlador siempre debe ofrecer una forma
alternativa de acceder al edificio, sin procesamiento biométrico, como badges (insignias) o llaves.
|
79. En este tipo de
casos, donde se generan plantillas biométricas, los controladores deben
asegurarse de que una vez que se hayan obtenido resultados de coincidencia o no
coincidencia, Todas las plantillas intermedias hechas sobre la marcha (con el
consentimiento explícito e informado del interesado) para compararlas con las
creadas por los interesados en el momento del registro, se eliminan de forma
inmediata y segura. Las plantillas creadas para el registro solo deben
conservarse para la realización del propósito del procesamiento y no deben guardarse
ni archivarse.
80. Sin embargo,
cuando el propósito del procesamiento es, por ejemplo, distinguir una categoría
de personas de otra, pero no para identificar de manera exclusiva a nadie, el
procesamiento no cae bajo el Artículo 9.
81.
Ejemplo: Al propietario de
una tienda le gustaría personalizar su anuncio según las características del
cliente por género y edad capturados por un sistema de vídeovigilancia. Si
ese sistema no genera plantillas biométricas para identificar únicamente a
las personas, sino solo detecta esas características físicas para clasificar
a estas personas, entonces el procesamiento no caería bajo el Artículo 9
(siempre que no se procesen otros tipos de categorías especiales de datos).
|
82. Sin embargo, el
Artículo 9 se aplica si el controlador almacena datos biométricos (más
comúnmente a través de plantillas creadas por la extracción de características
claves de forma bruta de datos biométricos (por ejemplo, mediciones faciales de
una imagen)) para identificar de manera única a una persona. Si un controlador
desea detectar que un interesado vuelva a ingresar al área o ingrese a otra
área (por ejemplo, para proyectar un anuncio personalizado continuo), el
propósito sería identificar de manera única a una persona física lo
que significa que, desde el principio, la operación se incluiría en el artículo
9. Este podría ser el caso si un controlador almacena plantillas generadas para
proporcionar más publicidad personalizada en varios carteles en diferentes
ubicaciones dentro de la tienda. Dado que el sistema está utilizando
características físicas para detectar individuos específicos que retornan al
alcance de la cámara (como los visitantes de un centro comercial) rastrearlos,
constituiría un método de identificación biométrica porque tiene como objetivo
el reconocimiento mediante el uso de procesamiento técnico.
83.
Ejemplo: El dueño de una
tienda ha instalado un sistema de reconocimiento facial dentro de su tienda
para personalizar su publicidad dirigida a las personas. El controlador de
datos tiene que obtener el consentimiento explícito e informado de todos los
interesados antes de usar este sistema biométrico y entregar publicidad
personalizada. El sistema sería ilegal si captura a visitantes o transeúntes
que no han dado su consentimiento para la creación de su plantilla
biométrica, incluso si su plantilla se elimina en el menor tiempo posible. De
hecho, estas plantillas temporales constituyen datos biométricos procesados
con el fin de identificar de manera única a una persona que puede no querer
recibir publicidad dirigida.
|
84. El Comité Europeo de
Protección de Datos, EDPB observa que algunos sistemas biométricos están
instalados en entornos no controlados[21],
lo que significa que el sistema es capaz de capturar instantáneamente las caras
de cualquier individuo que pase en el alcance de la cámara, incluidas las
personas que no han dado su consentimiento para el dispositivo biométrico y,
por lo tanto, registran plantillas biométricas. Estas plantillas se
comparan con las creadas por los interesados que han dado su consentimiento
previo durante un proceso de registro (es decir, un usuario de dispositivos
biométricos) para que el controlador de datos pueda reconocer si la persona es
un usuario de dispositivos biométricos o no. En este caso, el sistema es a
menudo diseñado para discriminar a los individuos que quiere reconocer de una
base de datos de aquellos que no están registrados. Dado que el propósito
es identificar de manera única a las personas físicas, se necesita una
excepción todavía en virtud del artículo 9 (2) RGPD para cualquier
persona capturada por la cámara.
85.
Ejemplo: Un hotel utiliza vídeovigilancia
para alertar automáticamente al gerente del hotel de que un personaje VIP
llegó cuando se reconoce la cara del invitado. Estos VIP han dado
previamente su explícito consentimiento para el uso del reconocimiento facial
antes de ser registrado en una base de datos establecida para ese propósito. Estos
sistemas de procesamiento de datos biométricos serían ilegales a menos que
todos los demás invitados monitoreados (para identificar a los VIP) hayan
dado su consentimiento para el procesamiento de acuerdo con el artículo 9 (2)
(a) RGPD.
Ejemplo: Un controlador
instala un sistema de vídeovigilancia con reconocimiento facial en la entrada
de la sala de conciertos que maneja. El controlador debe configurar
entradas claramente separadas; uno con un sistema biométrico y uno sin
(donde, por ejemplo, escanea un ticket). Las entradas equipadas con
dispositivos biométricos deben instalarse y ser accesibles de manera que
evite que el sistema capture plantillas biométricas de espectadores que no
han consentido.
|
86. Finalmente,
cuando el Artículo 9 RGPD requiere el consentimiento, el controlador de datos
no condicionará el acceso a sus servicios a la aceptación del procesamiento biométrico. En
otras palabras y notablemente cuando el procesamiento biométrico se utiliza
para fines de autenticación, el controlador de datos debe ofrecer un solución
alternativa que no implica procesamiento biométrico, sin restricciones ni costo
adicional para el interesado. Esta solución alternativa también es
necesaria para las personas que no cumplen con el restricciones del dispositivo
biométrico (inscripción o lectura de los datos biométricos imposibles, situación
de discapacidad que haga difícil de usar, etc.) y anticipándose a la falta de
disponibilidad del dispositivo biométrico (como un mal funcionamiento del
dispositivo), se debe implementar una "solución de respaldo" para
garantizar la continuidad del servicio propuesto, limitado sin embargo a un uso
excepcional. En casos excepcionales, puede haber un situación en la que el
procesamiento de datos biométricos es la actividad principal de un servicio
prestado por contrato, por ejemplo, un museo que organiza una exposición para
demostrar el uso de un dispositivo de reconocimiento facial, en cuyo caso el
interesado no podrá rechazar el procesamiento de datos biométricos si desea participar
en la exposición En tal caso, el consentimiento requerido en virtud del
Artículo 9 sigue siendo válido si se cumplen los requisitos del artículo 7.
5.2
Medidas sugeridas para minimizar los riesgos al procesar datos biométricos
87. En cumplimiento
del principio de minimización de datos, los controladores de datos deben
garantizar que los datos extraídos desde una imagen digital para construir una
plantilla no será excesiva y solo contendrá la información requerido para el
propósito especificado, evitando así cualquier posible procesamiento
posterior. Las medidas deberían implementarse para garantizar que las
plantillas no puedan transferirse a través de sistemas biométricos.
88. Es probable que
la identificación y la autenticación/verificación requieran el almacenamiento
de la plantilla para su uso en una comparación posterior. El controlador
de datos debe considerar la ubicación más adecuada para el almacenamiento de los
datos. En un entorno bajo control (pasillos delimitados o puntos de
control), las plantillas deben ser almacenadas en un dispositivo individual
mantenido por el usuario y bajo su control exclusivo (en un teléfono
inteligente o tarjeta de identificación) o, cuando sea necesario para fines
específicos y en presencia de necesidades objetivas, almacenadas en un base de
datos centralizada en forma encriptada con una clave/secreta únicamente en
manos de la persona para evitar el acceso no autorizado a la plantilla o
ubicación de almacenamiento. Si el controlador de datos no puede evitar tener
acceso a las plantillas, debe tomar las medidas adecuadas para garantizar la
seguridad de los datos almacenados, esto puede incluir encriptar la plantilla
usando un algoritmo criptográfico.
89. En cualquier
caso, el controlador tomará todas las precauciones necesarias para preservar la
disponibilidad, integridad y confidencialidad de los datos
procesados. Para este fin, el controlador tomará en particular las
siguientes medidas: compartimentar los datos durante la transmisión y el
almacenamiento, almacenar plantillas biométricas y datos sin procesar o datos
de identidad en bases de datos distintas, cifrar datos biométricos,
especialmente plantillas biométricas, y definir una política de encriptación y
gestión de claves, integrar una medida organizativa y técnica para la detección
de fraude, asociar un código de integridad con los datos (por ejemplo, firma o hash) y prohibir cualquier acceso
externo a los datos biométricos. Dichas medidas deberán evolucionar con el
avance de las tecnologías.
90. Además, los
controladores de datos deben proceder a la eliminación de datos sin procesar
(imágenes de la cara, señales de voz, movimientos para andar, etc.) y asegurar
la efectividad de esta eliminación. Si no hay una base legal para el
procesamiento, los datos sin procesar deben eliminarse. De hecho, en la medida
en que las plantillas biométricas se derivan de dichos datos, se puede
considerar que la constitución de bases de datos podría representar una amenaza
igual, incluso mayor (porque no siempre es fácil leer una plantilla biométrica
sin el conocimiento de cómo se programó, mientras que los datos sin procesar
serán los componentes básicos de cualquier plantilla). En caso de que el
controlador de datos necesite conservar dichos datos, se deben explorar métodos
aditivos de ruido (como la marca de agua), lo que haría que la creación de la
plantilla sea ineficaz. El controlador también debe eliminar los datos
biométricos y las plantillas en caso de acceso no autorizado al terminal de
comparación de lectura o al servidor de almacenamiento y eliminar cualquier
dato que no sea útil para su posterior procesamiento al final de la vida útil
del dispositivo biométrico.
6
DERECHOS SOBRE LOS DATOS DEL INTERESADO
91. Debido al
carácter del procesamiento de datos cuando se usa la vídeovigilancia, algunos
de los derechos del interesado bajo el RGPD brindan más aclaraciones. Sin
embargo, este capítulo no es exhaustivo, todos los derechos bajo el RGPD se
aplican al procesamiento de datos personales a través de vídeovigilancia.
6.1
Derecho de acceso
92. Un interesado
tiene derecho a obtener la confirmación del controlador sobre si sus datos
personales están siendo procesados. Para la vídeovigilancia, esto
significa que si no se almacenan ni transfieren datos de ninguna manera, una
vez que haya pasado el momento de monitoreo en tiempo real, el controlador solo
podría proporcionar la información de que ya no se procesan datos personales
(además de las obligaciones de información general según el Artículo 13, ver
sección 7 - Obligaciones de transparencia e información). Sin embargo, si los
datos todavía se están procesando en el momento de la solicitud (es
decir, si los datos se almacenan o se procesan continuamente de cualquier otra forma),
el interesado debería aceptar el acceso e información de conformidad con el
Artículo 15.
93. Sin embargo, hay
una serie de limitaciones que en algunos casos pueden aplicarse en relación con
el derecho a acceso.
• El artículo 15 (4) del RGPD
afecta negativamente los derechos de los demás.
94. Dado que un
cierto número de interesados pueden ser grabados en la misma secuencia de
video, la vigilancia de una evaluación causaría entonces un procesamiento
adicional de los datos personales de otros interesados. Si el interesado desea
recibir una copia del material (artículo 15 (3)), esto podría afectar
negativamente los derechos y libertades de otro interesado. Para evitar ese
efecto, el controlador debe tener en cuenta que, debido a la naturaleza
intrusiva de las imágenes de video, el controlador no debe, en algunos casos,
entregar imágenes de video donde se puedan identificar otros interesados. Sin
embargo, la protección de los derechos de terceros no debe usarse como una
excusa para evitar reclamos legítimos de acceso por parte de algunos
interesados, el controlador debe en esos casos implementar medidas técnicas
para cumplir con la solicitud de acceso (por ejemplo, edición de imágenes
enmascaradas o codificadas), Sin embargo los controladores no están obligados a
implementar tales medidas técnicas si pueden asegurarse de que pueden
reaccionar ante una tal solicitud en virtud del Artículo 15 dentro del plazo
estipulado por el Artículo 12 (3)
• Artículo 11 (2) RGPD, el
controlador no puede identificar al interesado
95. Si en el video no
pueden buscarse datos personales (por ejemplo, es probable que el controlador
deba ir a través de una gran cantidad de material almacenado para encontrar el
interesado en cuestión) Es posible que el controlador no pueda identificar al
interesado.
96. Por estas
razones, el interesado debe (además de identificarse, incluso con documento de
identificación o personalmente) en su solicitud al controlador, especificar
cuándo - dentro de un plazo razonable en proporción a la cantidad de interesados
registrados - ingresó en el área monitoreada. El controlador debe
notificar de antemano al interesado sobre qué información se necesita para que
el controlador cumpla con la solicitud. Si el controlador puede demostrar que
no está en condiciones de identificar al interesado, el controlador debe
informarlo. En tal situación, en su respuesta al interesado, el controlador
debe informar sobre el área exacta para el monitoreo, verificación de las
cámaras que estaban en uso, etc., de modo que el sujeto de datos tenga la plena
comprensión de qué datos personales de éste pueden haber sido procesados.
97.
Ejemplo: Si un interesado
solicita una copia de sus datos personales procesados a través de vídeovigilancia
en la entrada de un centro comercial con 30 000 visitantes por día, los datos
el sujeto debe especificar cuándo pasó el área monitoreada dentro de
aproximadamente un rango horario. Si el controlador aún procesa el
material, una copia del video debería serle proporcionada. Si se pueden
identificar otros sujetos de datos en el mismo material, entonces esa parte
del el material debe ser anonimizada (por ejemplo, difuminando la copia o
partes de la misma) antes de entregar la copia al interesado que presentó la
solicitud.
Ejemplo: Si el controlador
borra automáticamente todo el material de archivo, por ejemplo, dentro de 2
días, el controlador no puede suministrar imágenes al interesado después de
esos 2 días. Si el controlador recibe una solicitud después de esos 2
días, el interesado debe ser informado en consecuencia.
|
• Artículo 12 del RGPD,
solicitudes excesivas.
98. En caso de
solicitudes excesivas o manifiestamente infundadas de un interesado, el
controlador puede cobrar una tarifa razonable de conformidad con el Artículo 12
(5) (a) del RGPD o negarse a responder a esa solicitud (Artículo 12 (5) (b) RGPD). El
controlador debe poder demostrar el manifiesto carácter infundado o excesivo de
la solicitud.
6.2
Derecho a borrar y derecho de oposición
6.2.1
Derecho a borrar (derecho a ser olvidado)
99. Si el controlador
continúa procesando datos personales más allá del monitoreo en tiempo real (por
ejemplo, almacenando) el interesado puede solicitar que los datos personales se
borren en virtud del artículo 17 del RGPD.
100. Previa a la solicitud,
el controlador está obligado a borrar los datos personales sin demora indebida
si una de las circunstancias enumeradas en el Artículo 17 (1) RGPD se aplica (y
ninguna de las excepciones enumeradas en el Artículo 17 (3) RGPD lo
hace). Eso incluye la obligación de borrar datos personales cuando ya no
son necesarios para el propósito para el cual fueron almacenados inicialmente,
o cuando el procesamiento es ilegal (ver también Sección 8 - Períodos de
almacenamiento y obligación de borrar). Además, dependiendo de la base
legal de procesamiento, los datos personales deben borrarse:
- por consentimiento cada
vez que se retira el consentimiento (y no hay otra base legal para el procesamiento)
- por interés legítimo:
.- cada vez que el interesado
ejerza su derecho de oposición (ver Sección 6.2.2) y allí no hay
motivos legítimos imperativos para el procesamiento, o
.- en caso de marketing directo (incluida
la creación de perfiles) siempre que el interesado se oponga a el
procesamiento.
101. Si el
controlador ha hecho público el video (por ejemplo, transmitiendo o
transmitiendo en línea), se deben tomar medidas razonables para informar a
otros controladores (que ahora están procesando los datos personales en
cuestión) de la solicitud, conforme con
el Artículo 17 (2) RGPD. Los pasos razonables deben incluir medidas
técnicas, teniendo en cuenta la tecnología disponible y el costo de
implementación. En la medida de lo posible, el controlador debe notificar
- tras el borrado de los datos personales - a toda persona a la que se hayan
divulgado previamente los datos personales, conforme con el artículo 19 del
RGPD.
102. Además de la
obligación del controlador de borrar los datos personales a solicitud del
interesado, el controlador está obligado bajo los principios generales del RGPD
a limitar los datos personales almacenados (ver Sección 8).
103. Para la vídeovigilancia
vale la pena notar que, por ejemplo, difumina la imagen sin retroactividad capacidad
de recuperar los datos personales que la imagen contenía anteriormente, los
datos personales son considerado borrado de acuerdo con RGPD.
104.
Ejemplo: Una tienda de
conveniencia está teniendo problemas con el vandalismo en particular en su
exterior y, por lo tanto, está utilizando videovigilancia fuera de su entrada
en directa conexión con los muros. Un transeúnte solicita que se borren sus
datos personales desde ese mismo momento. El controlador está obligado a
responder a la solicitud sin demora y, a más tardar, dentro de un mes. Dado
que el metraje en cuestión ya no cumple con el propósito para el que se
almacenó inicialmente (no se produjo vandalismo durante el tiempo que transitó
el interesado), no hay al momento de la solicitud interés legítimo para
almacenar los datos que anularían los intereses de los interesados. El
controlador necesita borrar los datos personales.
|
6.2.2
Derecho de oposición
105. Para la vídeovigilancia
basada en intereses legítimos (Artículo 6 (1) (f) RGPD) o por
la necesidad de llevar a cabo una tarea de interés público (artículo
6 (1) (e) RGPD) el interesado tiene el derecho, en todo
momento - de oponerse, por motivos relacionados con su situación particular, al
procesamiento de conformidad con el artículo 21 del RGPD. A menos que el
controlador demuestre motivos legítimos convincentes que anulen los derechos e
intereses del interesado, el procesamiento de los datos de la persona que se
opuso debe detenerse. El controlador debe estar obligado a responder a las
solicitudes del interesado sin retraso indebido y, a más tardar, dentro de un
mes.
106. En el contexto
de la vídeovigilancia, esta objeción puede hacerse al entrar, durante el tiempo
dentro o después de salir del área monitoreada. En la práctica, esto
significa que a menos que el controlador tenga motivos legítimos, monitorear un
área donde se puedan identificar personas físicas solo es legal si:
(1) el controlador puede detener
inmediatamente que la cámara procese datos personales cuando se le solicita, o
(2) el área monitoreada está
restringida con tanto detalle para que el controlador pueda asegurar la
aprobación del sujeto de datos antes de ingresar al área y no es un área que el
interesado como ciudadano tiene derecho de acceso.
107. Estas
directrices no tienen por objeto identificar lo que se considera un interés legítimo convincente (artículo
21 RGPD).
108. Cuando se
utiliza la vídeovigilancia con fines de marketing directo, el interesado tiene
derecho a oponerse al procesamiento de forma discrecional, ya que el derecho de
oposición es absoluto en ese contexto (artículo 21 (2) y (3) RGPD).
109.
Ejemplo: Una empresa está
experimentando dificultades con infracciones de seguridad en su entrada
pública y está utilizando la vídeovigilancia por motivos de interés legítimo,
con el fin de atrapar a quienes ingresan ilegalmente. Un visitante se opone
al procesamiento de sus datos a través del sistema de vídeovigilancia por
motivos relacionados con su situación particular. Sin embargo, la compañía en
este caso rechaza la solicitud con la explicación de que el material de
archivo almacenado es necesario debido a una investigación interna en curso,
por lo que tiene motivos legítimos convincentes para continuar procesando los
datos personales.
|
7
OBLIGACIONES DE TRANSPARENCIA E INFORMACIÓN[22]
110. Durante mucho
tiempo ha sido inherente a la ley europea de protección de datos que los
interesados deben conocer el hecho de que la vídeovigilancia está en
funcionamiento. Ellos deben ser informados de manera detallada sobre los
lugares monitoreados[23]. Según
el RGPD, se establecen las obligaciones generales de transparencia e
información en el artículo 12 del RGPD y siguientes. "Directrices
sobre transparencia del Grupo de Trabajo del Artículo 29 bajo Reglamento
2016/679 (WP260)” que fueron aprobadas por el Comité Europeo de Protección de
Datos, EDPB
el 25 de mayo de 2018 proporcionan más detalles. En línea con el WP260
par. 26, es el artículo 13 del RGPD, que es aplicable si los datos
personales son recogidos "[...] de un interesado por observación (por
ejemplo, utilizando dispositivos o datos de captura de datos automatizados software de captura como cámaras [...]".
111. A la luz del
volumen de información, que debe proporcionarse al interesado, los
controladores de datos pueden seguir un enfoque por capas optando por utilizar
una combinación de métodos para garantizar la transparencia (WP260, par. 35;
WP89, par. 22). En cuanto a la vídeovigilancia, lo más importante la
información debe mostrarse en la señal de advertencia en sí (primera capa)
mientras que la otra obligatoria, los detalles pueden proporcionarse por otros
medios (segunda capa).
7.1
Información de la primera capa (señal de advertencia)
112. La primera capa
se refiere a la forma principal en que el controlador se involucra por primera
vez con el interesado. En esta etapa, los controladores pueden usar una
señal de advertencia que muestre la información relevante. La información exhibida
puede proporcionarse en combinación con un icono para pulsar, de manera
fácilmente visible, manera inteligible y claramente legible, una descripción
significativa del procesamiento previsto (Artículo 12 (7) RGPD). El
formato de la información debe ajustarse a la ubicación individual (WP89 par.
22).
7.1.1
Posicionamiento de la señal de advertencia
113. La información
debe posicionarse de tal manera que el interesado pueda reconocer fácilmente las
circunstancias de la vigilancia antes de ingresar al área monitoreada
(aproximadamente al nivel de los ojos). No es necesario revelar la
posición de la cámara siempre que no haya dudas sobre qué áreas están sujetas a
monitoreo y el contexto de vigilancia se aclara sin ambigüedades (WP 89, par.
22). Los interesados deben poder estimar qué área es capturada por una
cámara para que él o ella puedan evitar la vigilancia o adapte su
comportamiento si fuera necesario.
7.1.2
Contenido de la primera capa
114. La información
de la primera capa (señal de advertencia) generalmente debe transmitir la
información más importante, p. Ej. Los detalles de los propósitos del
procesamiento, la identidad del controlador y la existencia de los derechos del
interesado, junto con información sobre los mayores impactos del procesamiento.[24] Esto
puede incluir, por ejemplo, los intereses legítimos perseguidos por el
controlador (o por un tercero) y detalles de contacto del oficial de protección
de datos (si corresponde). También tiene que referirse a la segunda capa de
información más detallada y dónde y cómo encontrarla.
115. Además, la señal
también debe contener cualquier información que pueda sorprender al interesado
(WP260, par. 38) Eso podría ser, por ejemplo, transmisiones a
terceros, especialmente si están localizadas fuera de la UE, y el período de
almacenamiento. Si no se indica esta información, el interesado debería
ser capaz de confiar en que solo hay un monitoreo en vivo (sin ningún registro
de datos o transmisión a terceros).
116.
7.2
Información de la segunda capa
117. La información
de la segunda capa también debe estar disponible en un lugar fácilmente
accesible para los interesados, por ejemplo, como una hoja de información
completa disponible en una ubicación central (por ejemplo, información en un escritorio,
recepción o cajero) o en un póster de fácil acceso. Como se mencionó
anteriormente, la primera capa de señal de advertencia debe referirse
claramente a la información de la segunda capa. Además, es mejor si la primera capa
de información se refiere a una fuente digital (por ejemplo, código QR o
dirección de un sitio web) de la segunda capa. Sin embargo, la información
también debe estar fácilmente disponible de forma no digital. Debería ser
posible accederse a la información de la segunda capa sin entrar en el área
encuestada, especialmente si la información es proporcionada digitalmente (esto
se puede lograr, por ejemplo, mediante un enlace). Otros medios apropiados
podrían ser un número de teléfono al que se puede llamar. Sin embargo, la
información proporcionada, debe contener todo lo que es obligatorio según el
artículo 13 del RGPD.
118. Además de estas
opciones, y también para hacerlas más efectivas, el Comité Europeo de Protección de
Datos, EDPB
promueve el uso de medios tecnológicos para proporcionar información a los
interesados. Esto puede incluir, por ejemplo; geo-localización de
cámaras e incluir información en aplicaciones de mapas o sitios web para que
las personas puedan fácilmente, por un lado, identificar y especificar las
fuentes de video relacionadas con el ejercicio de sus derechos, y en por otro
lado, obtener información más detallada sobre la operación de procesamiento.
119.
Ejemplo: El dueño de una
tienda está monitorea su tienda. Para cumplir con el Artículo 13 es
suficiente colocar una señal de advertencia en un punto visible fácil en la
entrada de su tienda, que contiene la primera capa de información. Además,
debe proporcionar una hoja de información que contenga la segunda capa de información
en el cajero o en cualquier otra ubicación central y de fácil acceso en su
tienda.
|
8
PERÍODOS DE ALMACENAMIENTO Y OBLIGACIÓN DE BORRADO
120. Los datos
personales no pueden almacenarse más tiempo del necesario para los fines para
los cuales se procesan (Artículo 5 (1) (c) y (e) RGPD). En algunos Estados
miembros, puede haber disposiciones específicas para períodos de almacenamiento
con respecto a la vídeovigilancia de conformidad con el Artículo 6 (2) RGPD.
121. Si los datos
personales son necesarios para almacenar o no deben controlarse dentro de un
plazo limitado. En general, los propósitos legítimos para la vídeovigilancia
son a menudo la protección de la propiedad o la preservación de la evidencia.
Por lo general, los daños ocurridos se pueden reconocer dentro de uno o dos
días. Para facilitar la demostración del cumplimiento del marco de protección
de datos, es de interés del controlador hacer arreglos organizativos por
adelantado (por ejemplo, nominar, si es necesario, un representante para la
detección y protección del material de video). Teniendo en cuenta los
principios del Artículo 5 (1) (c) y (e) del RGPD, a saber, la minimización de
datos y la limitación de almacenamiento, los datos personales deben borrarse en
la mayoría de los casos (por ejemplo, con el fin de detectar vandalismo),
idealmente automáticamente, después de unos pocos días. Cuanto más largo sea el
período de almacenamiento establecido (especialmente cuando supere las 72
horas), se deberá proveer más argumentos para la legitimidad del propósito y la
necesidad de almacenamiento. Si el controlador utiliza la vídeovigilancia no
solo para monitorear sus instalaciones, sino que también tiene la intención de
almacenar los datos, el controlador debe asegurarse de que el almacenamiento
sea realmente necesario para lograr el propósito. Si es así, el período de
almacenamiento debe definirse claramente y establecerse individualmente para
cada propósito particular. Es responsabilidad del controlador definir el
período de retención de acuerdo con los principios de necesidad y
proporcionalidad y demostrar el cumplimiento de las disposiciones del RGPD.
122.
Ejemplo: El propietario de
una tienda pequeña normalmente se daría cuenta de cualquier vandalismo el
mismo día. En consecuencia, un período de almacenamiento regular de 24 horas
es suficiente. Sin embargo, los fines de semana cerrados o días feriados
más largos pueden ser razones para un período de almacenamiento más largo. Si
se detecta un daño, es posible que también deba almacenarse el video durante
un período más prolongado para emprender acciones legales contra el
delincuente.
|
9
MEDIDAS TÉCNICAS Y ORGANIZATIVAS
123. Como se
establece en el artículo 32 (1) del RGPD, el procesamiento de datos personales
durante la vídeovigilancia no solo debe ser legalmente permisible, sino los
controladores y procesadores también deben garantizarlos
adecuadamente. Implementar las medidas organizativas y técnicas deben
ser proporcionales a los riesgos para los derechos y libertades de personas
físicas, como resultado de la destrucción accidental o ilegal, pérdida,
alteración, divulgación no autorizada o acceso a datos de vídeovigilancia. De
acuerdo con los artículos 24 y 25 del RGPD, los controladores necesitan implementar
medidas técnicas y organizativas también para salvaguardar toda la protección
de datos principios durante el procesamiento y establecer medios para que los
interesados ejerzan sus derechos según lo definido en los artículos 15-22 del
RGPD. Los controladores de datos deben adoptar un marco interno y
políticas que garanticen esta implementación tanto en el momento de la
determinación de los medios para el procesamiento como en el momento del
procesamiento en sí, incluido el desempeño de las evaluaciones de impacto de
protección de datos cuando sean necesarias.
9.1
Descripción general del sistema de vídeovigilancia
124. Un sistema de vídeovigilancia
(VSS)[1] consta
de dispositivos analógicos y digitales, así como de software para propósito de capturar imágenes de una escena, manejar
las imágenes y mostrarlas a un operador. Sus componentes se agrupan en las
siguientes categorías:
• Entorno de video:
captura de imágenes, interconexiones y manejo de imágenes:
o el propósito de la
captura de imágenes es la generación de una imagen del mundo real en un formato
tal que puede ser utilizado por el resto del sistema,
o las interconexiones
describen toda la transmisión de datos dentro del entorno de video, es decir conexiones
y comunicaciones. Ejemplos de conexiones son cables, redes digitales y transmisiones
inalámbricas. Las comunicaciones describen todas las señales de datos de
video y control, que pueden ser digitales o analógicas, Las comunicaciones
describen todo el video y el control de señales de datos,
o el manejo de imágenes
incluye análisis, almacenamiento y presentación de una imagen o secuencia de
imágenes
• Desde la
perspectiva de la administración del sistema, un VSS tiene las siguientes
funciones lógicas:
o gestión de datos y
gestión de actividades, que incluye el manejo del operador de comandos y
actividades generadas por el sistema (procedimientos de alarma, alertas de
operadores),
o las interfaces a
otros sistemas pueden incluir conexión a otro sistemas (control de acceso, alarma
contra incendios) de seguridad y de no seguridad (sistemas de gestión de
edificios, licencias automáticas de reconocimiento).
• La seguridad VSS
consiste en la confidencialidad, integridad y disponibilidad del sistema y de los
datos:
o seguridad del sistema
incluye la seguridad física de todos los componentes del sistema y el control
de acceso al VSS,
o seguridad de los
datos incluye la prevención de pérdida o manipulación de datos.
125.Figura 1- Sistema de vídeovigilancia
9.2
Protección de datos por diseño y por defecto
126. Como se indica
en el artículo 25 del RGPD, los controladores deben implementar técnicas de
protección de datos y medidas organizativas tan pronto como planifiquen la vídeovigilancia,
antes de comenzar la recopilación y procesamiento de secuencias de
video. Estos principios enfatizan la necesidad de mejorar la privacidad
incorporada a las tecnologías, configuraciones predeterminadas que minimizan el
procesamiento de datos y la provisión de las herramientas necesarias que
permitan la mayor protección posible de los datos personales[1] .
127. Los
controladores deben construir protección de datos y salvaguardas de privacidad
no solo en las especificaciones de diseño de la tecnología sino también en
prácticas organizacionales. Cuando se trata de prácticas organizacionales,
el controlador debe adoptar un marco de gestión apropiado, establecer y hacer
cumplir políticas y procedimientos relacionados con vídeovigilancia. Desde
el punto de vista técnico, la especificación del sistema y el diseño debe
incluir los requisitos para el procesamiento de datos personales de acuerdo con
los principios establecidos en el Artículo 5 RGPD (legalidad del procesamiento,
propósito y limitación de datos, minimización de datos por defecto en el
sentido del Artículo 25 (2) RGPD, integridad y confidencialidad,
responsabilidad, etc.). En caso de que un controlador planee adquirir un
sistema de vídeovigilancia comercial, el controlador debe incluir estos requisitos
en la especificación de compra. El controlador debe garantizar que el
cumplimiento de estos requisitos sean aplicables a todos los componentes del
sistema y a todos los datos procesados por él, durante todo su ciclo de vida.
9.3
Ejemplos concretos de medidas relevantes
128. La mayoría de
las medidas que se pueden usar para asegurar la vídeovigilancia, especialmente
cuando se usan equipos y software digitales, no diferirán de las que se usan en
otros sistemas de TI. Sin embargo, independientemente de la solución
seleccionada, el controlador debe proteger adecuadamente todos los componentes
de un sistema de vídeovigilancia y los datos en todas las etapas, es decir,
durante el almacenamiento (datos en reposo), transmisión (datos en tránsito) y en
procesamiento (datos en uso). Para esto, es necesario que los
controladores y procesadores combinen la organización y las medidas técnicas.
129. Al seleccionar
soluciones técnicas, el controlador también debe considerar tecnologías
amigables con la privacidad porque mejoran la seguridad. Ejemplos de tales
tecnologías son los sistemas que permiten enmascarar o codificar áreas que no
son relevantes para la vigilancia o la edición de imágenes de terceros personas,
al proporcionar secuencias de video a los interesados.[2] Por
otro lado, las soluciones seleccionadas no debe proporcionar funciones que no
son necesarias (p. ej., movimiento ilimitado de cámaras, capacidad de zoom,
transmisión de radio, análisis y grabaciones de audio). Funciones provistas,
pero no necesarias, deben ser desactivadas.
130. Existe mucha literatura
disponible sobre este tema, incluidas normas internacionales y especificaciones
técnicas sobre la seguridad física de los sistemas multimedia[3] y
la seguridad general de los sistemas de TI[4] . Por
lo tanto, esta sección proporciona solo una descripción general de alto nivel
de este tema.
9.3.1
Medidas organizativas
131. Además de las posibles
Evaluaciones de Impacto de Protección de Datos, DPIA necesarias (ver Sección
10), los controladores deben considerar los siguientes temas cuando creen
sus propias políticas y procedimientos de vídeovigilancia:
• Quién es
responsable de la administración y operación del sistema de vídeovigilancia.
• Propósito y alcance
del proyecto de vídeovigilancia.
• Uso apropiado y
prohibido (dónde y cuándo se permite la vídeovigilancia y dónde y cuando no lo
es; por ejemplo, uso de cámaras ocultas y audio además de la grabación de
video)[5] .
• Medidas de
transparencia a las que se hace referencia en la Sección 7 (Obligaciones
de transparencia e información).
• Cómo se graba el
video y por qué duración, incluido el almacenamiento de archivo de grabaciones
de video relacionados con incidentes de seguridad.
• Quién debe recibir
capacitación relevante y cuándo.
• Quién tiene acceso
a las grabaciones de video y con qué fines.
• Procedimientos
operativos (por ejemplo, por quién y desde dónde se monitorea la vídeovigilancia,
qué hacer en caso de un incidente de violación de datos).
• Qué procedimientos
deben seguir las partes externas para solicitar grabaciones de video, y procedimientos
para negar u otorgar tales solicitudes.
• Procedimientos para
la adquisición, instalación y mantenimiento de VSS.
• Gestión de
incidentes y procedimientos de recuperación.
9.3.2
Medidas técnicas
132. La
seguridad del sistema significa seguridad física de
todos los componentes del sistema, e integridad del sistema, es decir, protección
contra y resiliencia bajo interferencia intencional y no intencional con sus
operaciones normales y control de acceso. La seguridad de
los datos significa confidencialidad (los datos son accesibles
solo para aquellos a quienes se les concede acceso), integridad (prevención
contra la pérdida o manipulación de datos) y disponibilidad (los
datos pueden ser accedido cuando se les requiere)
133. La
seguridad física es una parte vital de la protección de datos y la
primera línea de defensa, ya que protege los equipos de VSS de robo,
vandalismo, desastres naturales, catástrofes provocadas por el hombre y daños
accidentales. (Por ejemplo, por sobretensiones, temperaturas extremas y café
derramado). En el caso de un sistema analógico, la seguridad física juega un
papel principal en su protección.
134. Sistema
y seguridad de datos, es decir, la protección contra
interferencia intencional y no intencional con su las operaciones normales
pueden incluir:
• Protección de toda la
infraestructura VSS (incluidas cámaras remotas, cableado y suministro de alimentación)
contra la manipulación física y el robo.
• Protección de la transmisión de
imágenes con canales de comunicación seguros contra intercepciones.
• Cifrado de datos.
• Uso de soluciones basadas en
hardware y software como firewalls,
antivirus o intrusión, sistemas de detección contra cíberataques.
• Detección de fallas de
componentes, software e interconexiones.
• Medios para restaurar la
disponibilidad y el acceso al sistema en caso de un problema físico o incidente
técnico.
135. El
control de acceso garantiza que solo las personas autorizadas puedan
acceder al sistema y a los datos, mientras que otros están impedidos de
hacerlo. Las medidas que admiten el control de acceso físico y lógico
incluyen:
• Asegurar que todas las
instalaciones donde se realiza el monitoreo por vídeovigilancia y donde se
almacenan las imágenes de video estén protegidas contra el acceso no supervisado
por terceros.
• Posicionar los monitores de tal
manera (especialmente cuando están en áreas abiertas, como una recepción) para
que solo los operadores autorizados puedan verlos.
• Los procedimientos para
otorgar, cambiar y revocar el acceso físico y lógico están definidos y se
apliquen
• Métodos y medios de
autenticación y autorización del usuario, incluida, por ejemplo, la longitud de
las contraseñas y se implemente la frecuencia de cambio.
• Las acciones realizadas por el
usuario (tanto para el sistema como para los datos) se registren y revisen
periódicamente.
• El monitoreo y la detección de
fallas de acceso se realizan de manera continua y las debilidades identificadas
se abordan lo antes posible.
10
EVALUACIÓN DE IMPACTO DE PROTECCIÓN DE DATOS
136. De acuerdo con
el Artículo 35 (1), los controladores RGPD deben realizar una evaluación de impacto
en la protección de datos (DPIA) cuando es probable que un tipo de
procesamiento de datos genere un alto riesgo para los derechos y libertades de
las personas físicas. El artículo 35 (3) (c) del RGPD estipula que los
controladores deben llevar a cabo evaluaciones de impacto de protección de
datos si el procesamiento constituye un monitoreo sistemático de un área de
acceso público a gran escala. Además, de acuerdo con el artículo 35 (3)
(b) RGPD. La evaluación del impacto de la protección a datos también se
requiere cuando el controlador tiene la intención de procesar especiales categorías
de datos a gran escala.
137. Las Directrices
sobre la Evaluación de Impacto de la Protección de Datos[6]
proporcionan más consejos y más detalles de ejemplos relevantes para la vídeovigilancia
(por ejemplo, en relación con el "uso de un sistema de cámara para
monitorear el comportamiento de conducción en carreteras "). El
artículo 35 (4) del RGPD exige que cada autoridad de supervisión publique una
lista del tipo de operaciones de procesamiento que están sujetas a DPIA
obligatorio dentro de su país. Estas listas generalmente se pueden encontrar en
los sitios web de las autoridades. Dados los propósitos típicos del vídeovigilancia
(protección de personas y bienes, detección, prevención y control de delitos, recopilación
de pruebas e identificación biométrica de sospechosos), es razonable suponer
que muchos casos de vídeovigilancia requerirán de un DPIA. Por lo tanto,
los controladores de datos deben consultar cuidadosamente estos documentos para
determinar si se requiere dicha evaluación y realizarla si fuera necesario. El
resultado del DPIA realizado debe determinar la elección del controlador de implementar
medidas de protección de datos.
138. También es
importante tener en cuenta que si los resultados de la DPIA indican que el
procesamiento daría lugar a un alto riesgo a pesar de las medidas de seguridad
planificadas por el controlador, entonces será necesario consultar a la autoridad
de supervisión relevante antes del procesamiento. Los detalles sobre
consultas previas se pueden encontrar en Artículo 36.
Por la Junta Europea
de Protección de Datos.
La cátedra.
(Andrea Jelinek)
[1] WP 168, Opinión
sobre "El Futuro de la Privacidad", contribución conjunta del Grupo
de Trabajo de Protección de Datos del Artículo 29 y el Grupo de Trabajo sobre
Policía y Justicia a la Consulta de la Comisión Europea sobre el marco legal
para el derecho fundamental a la protección personal datos (adoptado el 01 de
diciembre de 2009).
[2] El uso de tales
tecnologías puede ser incluso obligatorias en algunos casos para cumplir con el
Artículo 5 (1) (c). En cualquier caso, pueden servir como ejemplos de mejores
prácticas.
[3] IEC TS 62045 - Seguridad multimedia - Guía para la
protección de la privacidad de equipos y sistemas de entrada y salidas de uso.
[6] WP248 rev.01,
Directrices sobre Evaluación de Impacto de Protección de Datos (DPIA) y
determinar si el procesamiento "es probable que genere un alto
riesgo" para los efectos del Reglamento 2016/679. - avalado por la EDPB
[1] El RGPD no
proporciona una definición, se puede encontrar una descripción técnica, por
ejemplo, en EN 62676-1-1:
2014 Sistemas de videovigilancia para su uso en aplicaciones de seguridad.
Parte 1-1: Requisitos del sistema de video.
[1] El Comité
Europeo de Protección de Datos, EDPB señala que cuando el RGPD lo permita, podrían aplicarse requisitos
específicos en la legislación nacional.
[2] Podrían aplicarse requisitos específicos en la legislación nacional.
[3] Las referencias
a los "Estados miembros" realizadas a lo largo de este dictamen deben
entenderse como referencias a los "Estados miembros del Espacio Económico
Europeo, EEE".
[4] Artículo 12 Transparencia
de la información, comunicación y modalidades de ejercicio de los derechos del interesado
[5] Artículo 22 Decisiones
individuales automatizadas, incluida la elaboración de perfiles
[6] El Comité
Europeo de Protección de Datos, EDPB señala que cuando el RGPD lo permita, podrían aplicarse requisitos
específicos en la legislación nacional.
[8] Tribunal de Justicia de las Comunidades Europeas,
Sentencia en el asunto C-101/01, caso Bodil Lindqvist, 6 de
noviembre de 2003, párr. 47.
[9] Tribunal de
Justicia de las Comunidades Europeas, Sentencia en el asunto C-212/13,
František Ryneš contra Úřad pro ochranu osobních údajů, 11 de diciembre de
2014, párr. 33)
[10] Las normas sobre
la colecta de evidencias para demandas civiles varían en los Estados miembros.
[11] Estas
directrices no analizan ni detallan la legislación nacional que puede diferir
entre los Estados miembros.
[12] Tribunal de
Justicia de las Comunidades Europeas, sentencia en el asunto C-13/16, caso
Rīgas satiksme, 4 de mayo de 2017
[14] Véase WP217, Grupo de trabajo del artículo 29,
p. 24 seq. Véase también el asunto del TJCE C-708/18 p.44
[16] Véase también: Grupo
de Trabajo del Artículo 29, Opinión 2/2017 sobre procesamiento de datos en el
trabajo, WP249, adoptado el 8 de junio de 2017.
[17] La base para el tratamiento mencionado se establecerá
por la legislación de la Unión o la legislación de los Estados miembros »y«
será necesario para el desempeño de una tarea realizada para el interés público
o para el ejercicio de una autoridad oficial conferido al controlador (artículo
6 (3)).
Ejemplo: en los inodoros, los sujetos de los datos
esperan no ser monitoreados. Video vigilancia por ejemplo para prevenir
accidentes no es proporcional.
[18] Grupo de Trabajo del Artículo 29 (Art. 29 WP)
"Directrices sobre el consentimiento en virtud del Reglamento 2016/679“
(WP 259 rev. 01). - avalado por la EDPB
[19] Grupo de Trabajo del Artículo 29 (Art. 29 WP)
"Directrices sobre el consentimiento en virtud del Reglamento 2016/679“
(WP 259) - avalado por el EDPB, que debe tenerse en cuenta
[20] El considerando 51 del RGPD respalda este
análisis, afirmando que “ [...] El procesamiento de fotografías no debe
considerarse sistemáticamente como procesamiento de categorías especiales de
datos personales, ya que están cubiertos por la definición de datos
biométricos solo cuando se procesan a través de un medio técnico específico que
permite la identificación o autenticación de una persona
física. [...] ".
[21] Significa que el dispositivo biométrico está ubicado
en un espacio abierto al público y puede funcionar sobre cualquier pasante, a
diferencia de los sistemas biométricos en entornos controlados que ellos solo
pueden ser utilizados con la partícipe consentimiento de la persona.
[22] Podrían aplicarse requisitos específicos en la legislación nacional.
[23] Véase WP859,
Dictamen 4/2004 sobre el procesamiento de datos personales mediante
videovigilancia por el Grupo de trabajo del artículo 29
[25] El RGPD no
proporciona una definición, se puede encontrar una descripción técnica, por
ejemplo, en EN 62676-1-1:
2014 Sistemas de videovigilancia para su uso en aplicaciones de seguridad.
Parte 1-1: Requisitos del sistema de video.
[26] WP 168, Opinión
sobre "El Futuro de la Privacidad", contribución conjunta del Grupo
de Trabajo de Protección de Datos del Artículo 29 y el Grupo de Trabajo sobre
Policía y Justicia a la Consulta de la Comisión Europea sobre el marco legal
para el derecho fundamental a la protección personal datos (adoptado el 01 de
diciembre de 2009).
[27] El uso de tales
tecnologías puede ser incluso obligatorias en algunos casos para cumplir con el
Artículo 5 (1) (c). En cualquier caso, pueden servir como ejemplos de mejores
prácticas.
[28] IEC TS 62045 - Seguridad multimedia - Guía para la
protección de la privacidad de equipos y sistemas de entrada y salidas de uso.
[29] ISO / IEC 27000
- Serie de sistemas de gestión de seguridad de la información.
[30] Esto puede depender de las leyes nacionales y las
regulaciones del sector.
No hay comentarios:
Publicar un comentario