Existem câmeras / dispositivos de vigilância compatíveis com o Regulamento Geral de Proteção de Dados da UE (GDPR)?

7

Recentemente, deparei-me com o Regulamento Geral de Proteção de Dados da UE (GDPR), destinado à regulamentação de privacidade de dados. A versão final do GDPR foi lançada em dezembro / 2015.

Alguma câmera ou dispositivos de vigilância que se sabe serem totalmente compatíveis com GDPR? Existem programas de conformidade / certificação derivados das diretrizes da EUGDPR?

Não consigo entender como a UE pode estar planejando garantir / fazer cumprir o GDPR para os dispositivos que estão sendo vendidos?

soluço
fonte
2
Os dispositivos não são compatíveis. Controladores de dados - ou seja, humanos - são.
Pjc50

Respostas:

10

Adicionando à resposta de Simon, o GDPR é mais sobre processos do que sistemas de TI, se você o examinar com mais detalhes. Claro, existem algumas coisas técnicas (principalmente criptografia e pseudonimização), mas, na maior parte, determina o que você pode fazer com os dados. Lembre-se de tudo o que se segue, que eu não sou advogado - apenas alguém com alguma experiência em preparar suas coisas para o GDPR.


TL; DR: os próprios dispositivos não podem ser compatíveis ou não com eles mesmos. As câmeras podem ser complicadas. Em relação à sua pergunta sobre certificação, a resposta parece não ser ainda .


Algumas coisas gerais sobre o RGPD

Antes de tudo, define um mecanismo de aceitação específico para os dados do cliente. Isso significa que, como entidade legal de processamento de dados, você precisará manter um registro do cliente que concede esse consentimento e esse consentimento deve especificar quais dados serão usados ​​e para quais finalidades eles serão utilizados. Consulte as seções 2.4 e 2.5 do Wiki .

Em segundo lugar, concede ao usuário o direito expresso de obter todos os dados que a empresa armazenou sobre ele. Isso significa que todos os dados em todos os sistemas que podem ser vinculados ao usuário específico devem ser fornecidos. Você pode imaginar que em empresas maiores, onde todos os tipos de sistemas mantêm dados que de alguma forma estão conectados a um usuário que é meio aborrecido. Eu acho que a Netflix se diverte com isso, se você olhar para os sistemas deles:

Serviços Netflix Fonte (Slide 12)

Os artigos a seguir dão o direito de retificar dados incorretos e apagá- los completamente - é claro, apenas se nenhuma outra lei exigir que você mantenha os dados (por exemplo, leis tributárias ou de auditoria de contas).

É claro que há muitas armadilhas nos outros quarenta e poucos artigos dos primeiros cinquenta que definem suas responsabilidades e direitos do consumidor que eu nem mencionei. Como não poder colocar os dados em nenhum lugar onde os padrões da UE não sejam atendidos - que, se você ler, a coisa parece estar em toda parte, certamente não nos EUA .

Considerações sobre a câmera

Outra coisa interessante que pode afetar um dispositivo é o artigo 32 - "segurança do processamento" - que é um pouco confuso, mas se sua câmera estiver na frente de um edifício médico, pode-se argumentar que você precisa de criptografia de ponta a ponta com a criptografia de todos os dados em repouso na câmera também.

Tendo em conta o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento, bem como o risco de probabilidade e severidade variáveis ​​dos direitos e liberdades das pessoas físicas, o controlador e o processador devem implementar Medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, entre outros, conforme apropriado:

(a) pseudonimização e criptografia de dados pessoais;

(b) a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento;

(c) a capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico;

(d) um processo para testar regularmente, avaliar e avaliar a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

Como após a legislação da UE a imagem de uma pessoa é (felizmente) considerada como dados pessoais, você provavelmente precisará pseudonimizar ou criptografar as fotos ou o vídeo.

Em certificações

Não consegui encontrar nenhum baseado no próprio regulamento. É claro que existem muitas pessoas que vendem a você "certificações" que parecem GDPR, mas nenhuma (que eu pude encontrar) parece atender aos requisitos do regulamento até hoje.

Helmar
fonte
Taking into account the ...... ... ... .. ... (sic)Os advogados vão ter um dia de campo. Pelo menos os caras da minha empresa que estão fazendo consultoria interna sobre o GDPR para os desenvolvedores etc. estão olhando os próximos meses com interesse e estão de mãos dadas. Dito isto, para as câmeras, certamente colocar a câmera em uma caixa trancada juntamente com seu roteador atuando como um ponto final de VPN ou usar uma câmera WIFI / celular com VPN integrada deve ser bastante fácil e suficiente.
AnoE
11

Não é possível tornar nenhum dispositivo compatível com o GDPR, pois o restante do sistema é responsável pelo cumprimento do GDPR.

Uma câmera poderia, ou não, comercializada como compatível com GDPR, mas faz pouca diferença de qualquer maneira. Uma câmera pode ser conectada a um sistema que exclui dados em segundos (como pode ser usado para a contagem de pessoas) e, portanto, é bastante simples de ser compatível com GDPR. A mesma câmera poderia ser usada em um sistema que faz reconhecimento facial e compartilha os dados com outros sistemas, que talvez nunca sejam compatíveis com GDPR.

Um fabricante de PC, como a Dell, diria que um laptop é compatível com GDPR? Se você usar esse laptop para acessar o Facebook, o GDPR é um problema do Facebook, não da Dell.

Você precisa olhar para todo o sistema, o GDPR não é apenas um problema de dispositivos.

Convém que um fornecedor de dispositivos ateste que eles não estão enviando dados para outro local, pois eles podem enviar dados para seus próprios serviços para diagnóstico ou registro. Provavelmente isso é importante no RGPD, mas também é importante e necessário para a segurança e a privacidade em geral.

Não faça nenhuma suposição e tenha cuidado com conselhos de estranhos na Internet. Se for crítico, procure aconselhamento jurídico profissional. Por exemplo, embora eu promova agressivamente a segurança do dispositivo, a criptografia de ponta a ponta pode não ser necessária no GDPR. As 'medidas técnicas apropriadas' podem não se estender ao fornecimento dispendioso (em termos de processadores, bateria, etc.) da criptografia de ponta a ponta em uma rede privada. Para sites, sim, adicione SSL, mesmo que não seja necessário, o custo é insignificante. Os dispositivos são mais complexos. Como você sugere, dispositivos certificados podem não existir, então é apropriado criar um dispositivo personalizado, apenas para satisfazer um requisito GDPR pouco claro?

Simon Munro
fonte