Imagen: Milestone Systems – 2020
Juan Carlos George, gerente de ventas de Milestone Systems para América
Latina, escribió un artículo que en Tecnogus transcribimos en su totalidad, a
continuación:
“La capacitación continua es esencial para comprender cómo se
aplican reglamentaciones complejas sobre confidencialidad, tal como la
normativa de protección de datos (GDPR por sus siglas en inglés) en un entorno
de videovigilancia. Los empleados encargados del tratamiento de datos,
incluyendo los operarios, los funcionarios de seguridad y los administradores
de los sistemas, deben aprender a identificar y proteger los datos personales
utilizando herramientas como las máscaras de privacidad, y así mismo tomando
medidas de protección cuando se exporta evidencia.
Sin embargo, la responsabilidad no recae solo sobre quién recibe los
datos y los atesora de la forma más precavida; también son responsables las
personas y las instituciones que entregan los datos, pues son los principales
interesados en que los mismos no caigan en manos de delincuentes cibernéticos
que todo el tiempo están al acecho, esperando la más mínima oportunidad para
pedir datos a las personas.
Las diferentes políticas de confidencialidad de datos en todo el
mundo exigen a las organizaciones que utilizan sistemas de gestión de video
(VMS por sus siglas en inglés) que sean proactivas en la protección de los
datos personales en todas las etapas del procesamiento y almacenamiento de
datos. La educación continua es una de las formas más efectivas de ayudar a los
encargados del tratamiento de datos a identificar la información confidencial y
a procesarla de forma segura.
Nuevas leyes internacionales
Las nuevas leyes internacionales sobre protección de la
confidencialidad, promulgadas recientemente en Australia, Brasil, Japón y la
Unión Europea, son muy diversas en cuanto a políticas y sanciones. La GDPR,
considerada la modificación más importante en la reglamentación de la confidencialidad
de la información que se ha realizado en los últimos 20 años, es un excelente
ejemplo de una política estricta que plantea cuestiones de cumplimiento
difíciles para muchas compañías con operaciones en la Unión Europea.
La Ley de Protección de Datos (LGPD por sus siglas en portugués),
aprobada en Brasil, ya tiene en movimiento a la industria que deberá realizar
modificaciones; no solo a entidades representativas del sector de tecnología de
la información (TI) o empresarios del segmento, sino también a todas aquellas
compañías que manipulan datos personales de empleados, clientes, entre otros.
Colombia tiene una de las legislaciones sobre protección de datos
más desarrollada en América Latina, con leyes que están vigentes desde 2012.
Estas fueron actualizadas y, hoy en día, contienen información sobre cómo
almacenar y tratar datos personales, cómo utilizarlos, enmendarlos o
eliminarlos, y también establecen diferentes medidas con base al tipo y tamaño
de la compañía. Se necesita un permiso de los usuarios para utilizar la
información.
México ha promulgado leyes sobre la protección de datos hace ya
algunos años. En 2017 se emitió la Ley General de Protección de Datos
Personales en Posesión de Sujetos Obligados, con la cual se terminó de
armonizar la normativa en la materia. Así, se tienen 9’dos legislaciones
específicas que dictan obligaciones, deberes, procedimientos, sanciones y
recursos en la materia, tanto para el sector público como privado.
En Chile, a pesar de la existencia de la tan cuestionada Ley sobre
Protección de la Vida Privada (Ley 19.628), sólo desde el 16 de junio de 2018
la protección de los datos personales tiene indudable rango constitucional en
virtud de la publicación de la Ley 21.096, que lo consagra como un derecho
autónomo, aunque relacionado al derecho a la intimidad contemplado en el
artículo 19 N° 4.
Identificación de datos personales
El asunto de la privacidad ha cobrado una importancia cada vez mayor
en los últimos años debido a que muchas tecnologías recopilan datos personales.
Se consideran como dato personal cualquier tipo de información que, directa o
indirectamente, se puede utilizar para identificar a una persona, tal como el
nombre, el número de identificación, los datos de su ubicación, y en ella se
incluyen los videos y las imágenes fijas, así como otros identificadores.
Algunos datos personales no necesariamente sirven para identificar a
alguien, sino que son más delicados, como la orientación sexual, las creencias
religiosas, el estado de salud, el origen étnico o la raza. Por ejemplo, un VMS
instalado en un hospital puede recopilar datos personales relacionados con el
estado de salud de una persona. Cuando dicha información se combina con
identificadores directos como su nombre, imagen o identificación nacional,
dicha información deja de ser confidencial.
Con un VMS, la cantidad de datos personales recopilados varía según
el tipo de tecnologías utilizadas. Mediante el uso de cámaras de video, las
compañías solo capturan detalles visuales. Sin embargo, cuando estos detalles
se combinan con micrófonos, control de acceso, reconocimiento facial,
reconocimiento de matrículas u otros tipos de sistemas, la compañía tendrá más
acceso a los datos personales. Tal combinación de información detallada hace
que la información sea aún más confidencial. Por eso es importante proteger
todo tipo de datos privados.
Evaluación del impacto de la protección de datos
Antes de instalar e implementar sistemas de videovigilancia, tanto
los diseñadores de sistemas como los usuarios finales deben realizar juntos una
evaluación del impacto de la confidencialidad y protección de la información.
Esta evaluación permite, por un lado, establecer el impacto que tendrá el
sistema propuesto en la confidencialidad de las personas y en otros derechos
fundamentales, y por el otro, identificar posibles formas de proteger la
confidencialidad.
La evaluación del impacto debe analizar todas las áreas de una
instalación y documentar por qué es necesaria la grabación y cómo se protegerá
la privacidad de las personas. Una posible solución es usar máscaras de
privacidad, una función que oculta partes de un determinado campo de visión,
por ejemplo, cuando se alcanzan a visualizar ventanas y otras áreas de las
instalaciones o las casas que están alrededor. La opción de enmascaramiento
brinda al operario una adecuada visualización de un área, pero sin comprometer
la confidencialidad.
Los usuarios finales deben trabajar de la mano de los profesionales
de la seguridad para realizar la evaluación y establecer una política detallada
de videovigilancia que ofrezca una visión general del VMS y su propósito. Es
aconsejable que la política describa cómo opera el sistema, cómo se usan los
datos personales y qué medidas de protección de los datos existen.
Manejo de la exportación de evidencia
Cuando se comparte evidencia luego de un incidente delictivo, la
privacidad se pone en riesgo en el momento en que los datos exportados
abandonan el sistema de vigilancia y se transfieren a un almacenamiento
extraíble, como una unidad USB o un disco óptico. Si esos datos caen en manos
equivocadas, se perdería la confidencialidad de los sujetos vinculados a la
evidencia.
Los usuarios del VMS deben recibir capacitación para realizar un
procedimiento transparente con el fin de exportar evidencia que contenga pautas
sobre el personal autorizado a ello, el almacenamiento y acceso a evidencia,
los formatos y el cifrado de exportación, y los plazos para destruir evidencia.
Las herramientas de software VMS también se pueden usar para proteger
los datos exportados; entre otras, la protección con contraseña y las firmas
digitales que verifican que la evidencia no haya sido manipulada.
Mitigue el riesgo, manténgase informado
Mientras sigan en aumento los desafíos que enfrentan las compañías
de diseño de sistemas y de los usuarios finales ante la complejidad que
representa el cumplimiento de las normas de confidencialidad, seguirá creciendo
la tendencia de destinar más dinero del presupuesto a la educación en estas
áreas, a fin de mitigar los riesgos.
La capacitación continua, las estrategias de autoaprendizaje y la
concientización son componentes esenciales para crear una cultura de la
responsabilidad hacia la protección de datos. Los profesionales de la seguridad
de todas las disciplinas deben conocer bien las reglamentaciones locales,
regionales y nacionales, y trabajar para aprovechar las tecnologías disponibles
en el mercado, las prácticas de manejo de datos idóneas y la valiosa
orientación de los consultores para garantizar el cumplimiento normativo, y así
evitar problemas de confidencialidad bochornosos y que pueden resultar
dispendiosos”.
0 Comentarios