A raíz de la plena aplicación del Reglamento General de Protección de Datos, el pasado 25 de mayo, la Agencia Española de Protección de Datos ha visto la necesidad de publicar distintos materiales para dar a conocer el abasto de la nueva normativa en todos sus contextos. En este sentido, a finales de junio salieron a la luz dos nuevas guías, una referente a la notificación de las brechas de seguridad y otra relacionada con el uso de las videocámaras. Te contamos el contenido de ambas guías en este post de Conversia.
Guía sobre el uso de videocámaras para seguridad y otras finalidades
La Guía sobre el uso de videocámaras para seguridad y otras finalidades se divide, básicamente, en dos grandes partes: la primera, dedicada al tratamiento de imágenes con fines de seguridad, y la segunda, que habla sobre el tratamiento de imágenes con fines diferentes a la seguridad.
Por lo que se refiere a la primera parte, la guía empieza explicando la legitimidad del uso de las cámaras de videovigilancia en el marco del RGPD. En su artículo 6, el Reglamento establece los supuestos en los que el tratamiento de datos personales es legítimo y entre estos se encuentra el cumplimiento de una misión de interés público. Teniendo en cuenta que la finalidad de la videovigilancia es garantizar la seguridad de las personas, los bienes y las instalaciones, el interés público acaba legitimando el uso de las videocámaras de seguridad.
El texto sigue detallando las medidas de responsabilidad proactiva que deben tenerse en cuenta para no infringir la normativa, también en el campo de la videovigilancia: la necesidad de incorporar un Delegado de Protección de Datos, el registro de actividades de tratamiento, la notificación de las brechas de seguridad o la privacidad desde el diseño y por defecto, entre otras. Entre estas medidas hay algunas que toman una especial relevancia en el campo de la video seguridad, como el Derecho de la información, por el cual se debe exhibir en un lugar visible y en cada uno de los accesos al recinto un distintivo que indique que es una zona videovigilada. Otra medida destacada es la necesidad de firmar un contrato si se decide tomar los servicios ofrecidos por un tercero para el tratamiento de las imágenes, que lo convertiría en Encargado de Tratamiento. Este contrato debe establecer el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
Este apartado también hace hincapié en distintos supuestos específicos de tratamiento de imágenes con fines de seguridad como, por ejemplo, las Fuerzas y Cuerpos de Seguridad, los espectáculos deportivos, las entidades financieras, joyerías, platerías, galerías de arte y tiendas de antigüedades, las grabaciones realizadas por detectives privados, las cámaras instaladas en comunidades de propietarios y viviendas, la videovigilancia en entornes escolares y las grabaciones en zonas de baño, entre otros.
En el segundo bloque, la Guía habla sobre el uso de videocámaras con fines diferentes a la seguridad. Dentro de este ámbito se encuentra el uso de cámaras para el control de tráfico o de acceso a zonas restringidas, la grabación y toma de fotografías en eventos escolares, así como la grabación de reuniones que celebren los órganos colegiados de las Administraciones Públicas, entre otros. También dedica un apartado para explicar el tratamiento de imágenes a través de tecnologías emergentes, como las cámaras on board y los drones, de los cuáles hemos hablado en otras ocasiones en este blog de Conversia.
Para acabar, el documento repasa aquellos supuestos en los cuales no se aplica la normativa de protección de datos que son, básicamente, el ámbito personal y doméstico, el realizado por los medios de comunicación, el uso de cámaras simuladas o la promoción turística y otras finalidades relacionadas.
Guía para la gestión y notificación de brechas de seguridad
Otro documento presentado por la AEPD a finales de junio fue la Guía para la gestión y notificación de brechas de seguridad un texto que ofrece a las organizaciones recomendaciones preventivas y un plan de actuación para evitar las brechas de seguridad y cómo deben notificarse en caso de que se acaben produciendo. El documento ha sido realizado por la AEPD junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE.
La guía se estructura en cuatro grandes bloques. El primero de ellos hace referencia a la detección, identificación y clasificación de las brechas de seguridad. Estas pueden ser detectadas gracias a fuentes internas o externas. Una vez identificadas debe hacerse un seguimiento del incidente, anotando todos los aspectos importantes en el registro de incidencias y se debe clasificar según el tipo de brecha (confidencialidad, integridad o disponibilidad), así como hacerse una valoración del alcance del incidente. El segundo apartado habla del Plan de actuación y en este se recuerda qué figuras deberán estar implicadas en el procedimiento, como se realiza el análisis y la clasificación, cómo se debe actuar durante el proceso de respuesta y cómo se debe realizar el proceso de notificación, de seguimiento y de cierre. La tercera parte realiza un desarrollo meticuloso de lo que implica el proceso de respuesta al confirmarse una brecha de seguridad con incidencia en los datos personales, proceso que cuenta con varias fases como la contención del incidente, la solución/erradicación de este, la recuperación, la recolección y custodia de evidencias y la comunicación e informe de resolución. Finalmente, el último capítulo hace referencia a la notificación de las brechas de seguridad, explicando el proceso de notificación a la autoridad de control, como identificar la autoridad de control y el proceso de comunicación al afectado.
Descubre más noticias relacionadas con el RGPD en nuestro blog de Conversia.
COMENTARIOS RECIENTES