Recentemente, deparei-me com o Regulamento Geral de Proteção de Dados da UE (GDPR), destinado à regulamentação de privacidade de dados. A versão final do GDPR foi lançada em dezembro / 2015.
Alguma câmera ou dispositivos de vigilância que se sabe serem totalmente compatíveis com GDPR? Existem programas de conformidade / certificação derivados das diretrizes da EUGDPR?
Não consigo entender como a UE pode estar planejando garantir / fazer cumprir o GDPR para os dispositivos que estão sendo vendidos?
security
surveillance-cameras
soluço
fonte
fonte
Respostas:
Adicionando à resposta de Simon, o GDPR é mais sobre processos do que sistemas de TI, se você o examinar com mais detalhes. Claro, existem algumas coisas técnicas (principalmente criptografia e pseudonimização), mas, na maior parte, determina o que você pode fazer com os dados. Lembre-se de tudo o que se segue, que eu não sou advogado - apenas alguém com alguma experiência em preparar suas coisas para o GDPR.
TL; DR: os próprios dispositivos não podem ser compatíveis ou não com eles mesmos. As câmeras podem ser complicadas. Em relação à sua pergunta sobre certificação, a resposta parece não ser ainda .
Algumas coisas gerais sobre o RGPD
Antes de tudo, define um mecanismo de aceitação específico para os dados do cliente. Isso significa que, como entidade legal de processamento de dados, você precisará manter um registro do cliente que concede esse consentimento e esse consentimento deve especificar quais dados serão usados e para quais finalidades eles serão utilizados. Consulte as seções 2.4 e 2.5 do Wiki .
Em segundo lugar, concede ao usuário o direito expresso de obter todos os dados que a empresa armazenou sobre ele. Isso significa que todos os dados em todos os sistemas que podem ser vinculados ao usuário específico devem ser fornecidos. Você pode imaginar que em empresas maiores, onde todos os tipos de sistemas mantêm dados que de alguma forma estão conectados a um usuário que é meio aborrecido. Eu acho que a Netflix se diverte com isso, se você olhar para os sistemas deles:
Os artigos a seguir dão o direito de retificar dados incorretos e apagá- los completamente - é claro, apenas se nenhuma outra lei exigir que você mantenha os dados (por exemplo, leis tributárias ou de auditoria de contas).
É claro que há muitas armadilhas nos outros quarenta e poucos artigos dos primeiros cinquenta que definem suas responsabilidades e direitos do consumidor que eu nem mencionei. Como não poder colocar os dados em nenhum lugar onde os padrões da UE não sejam atendidos - que, se você ler, a coisa parece estar em toda parte, certamente não nos EUA .
Considerações sobre a câmera
Outra coisa interessante que pode afetar um dispositivo é o artigo 32 - "segurança do processamento" - que é um pouco confuso, mas se sua câmera estiver na frente de um edifício médico, pode-se argumentar que você precisa de criptografia de ponta a ponta com a criptografia de todos os dados em repouso na câmera também.
Como após a legislação da UE a imagem de uma pessoa é (felizmente) considerada como dados pessoais, você provavelmente precisará pseudonimizar ou criptografar as fotos ou o vídeo.
Em certificações
Não consegui encontrar nenhum baseado no próprio regulamento. É claro que existem muitas pessoas que vendem a você "certificações" que parecem GDPR, mas nenhuma (que eu pude encontrar) parece atender aos requisitos do regulamento até hoje.
fonte
Taking into account the ...... ... ... .. ... (sic)Os advogados vão ter um dia de campo. Pelo menos os caras da minha empresa que estão fazendo consultoria interna sobre o GDPR para os desenvolvedores etc. estão olhando os próximos meses com interesse e estão de mãos dadas. Dito isto, para as câmeras, certamente colocar a câmera em uma caixa trancada juntamente com seu roteador atuando como um ponto final de VPN ou usar uma câmera WIFI / celular com VPN integrada deve ser bastante fácil e suficiente.Não é possível tornar nenhum dispositivo compatível com o GDPR, pois o restante do sistema é responsável pelo cumprimento do GDPR.
Uma câmera poderia, ou não, comercializada como compatível com GDPR, mas faz pouca diferença de qualquer maneira. Uma câmera pode ser conectada a um sistema que exclui dados em segundos (como pode ser usado para a contagem de pessoas) e, portanto, é bastante simples de ser compatível com GDPR. A mesma câmera poderia ser usada em um sistema que faz reconhecimento facial e compartilha os dados com outros sistemas, que talvez nunca sejam compatíveis com GDPR.
Um fabricante de PC, como a Dell, diria que um laptop é compatível com GDPR? Se você usar esse laptop para acessar o Facebook, o GDPR é um problema do Facebook, não da Dell.
Você precisa olhar para todo o sistema, o GDPR não é apenas um problema de dispositivos.
Convém que um fornecedor de dispositivos ateste que eles não estão enviando dados para outro local, pois eles podem enviar dados para seus próprios serviços para diagnóstico ou registro. Provavelmente isso é importante no RGPD, mas também é importante e necessário para a segurança e a privacidade em geral.
Não faça nenhuma suposição e tenha cuidado com conselhos de estranhos na Internet. Se for crítico, procure aconselhamento jurídico profissional. Por exemplo, embora eu promova agressivamente a segurança do dispositivo, a criptografia de ponta a ponta pode não ser necessária no GDPR. As 'medidas técnicas apropriadas' podem não se estender ao fornecimento dispendioso (em termos de processadores, bateria, etc.) da criptografia de ponta a ponta em uma rede privada. Para sites, sim, adicione SSL, mesmo que não seja necessário, o custo é insignificante. Os dispositivos são mais complexos. Como você sugere, dispositivos certificados podem não existir, então é apropriado criar um dispositivo personalizado, apenas para satisfazer um requisito GDPR pouco claro?
fonte