Por Juan Carlos George, Gerente de Ventas de Milestone Systems para América Latina.
La capacitación continua es esencial para comprender cómo se aplican reglamentaciones complejas sobre confidencialidad, tal como la normativa de protección de datos (GDPR por sus siglas en inglés) en un entorno de videovigilancia. Los empleados encargados del tratamiento de datos, incluyendo los operarios, los funcionarios de seguridad y los administradores de los sistemas, deben aprender a identificar y proteger los datos personales utilizando herramientas como las máscaras de privacidad, y así mismo tomando medidas de protección cuando se exporta evidencia.
Sin embargo, la responsabilidad no recae solo sobre quién recibe los datos y los atesora de la forma más precavida; también son responsables las personas y las instituciones que entregan los datos, pues son los principales interesados en que los mismos no caigan en manos de delincuentes cibernéticos que todo el tiempo están al acecho, esperando la más mínima oportunidad para pedir datos a las personas.
Las diferentes políticas de confidencialidad de datos en todo el mundo exigen a las organizaciones que utilizan sistemas de gestión de video (VMS por sus siglas en inglés) que sean proactivas en la protección de los datos personales en todas las etapas del procesamiento y almacenamiento de datos. La educación continua es una de las formas más efectivas de ayudar a los encargados del tratamiento de datos a identificar la información confidencial y a procesarla de forma segura.
Nuevas leyes internacionales
Las nuevas leyes internacionales sobre protección de la confidencialidad, promulgadas recientemente en Australia, Brasil, Japón y la Unión Europea, son muy diversas en cuanto a políticas y sanciones. La GDPR, considerada la modificación más importante en la reglamentación de la confidencialidad de la información que se ha realizado en los últimos 20 años, es un excelente ejemplo de una política estricta que plantea cuestiones de cumplimiento difíciles para muchas compañías con operaciones en la Unión Europea.
La Ley de Protección de Datos (LGPD por sus siglas en portugués), aprobada en Brasil, ya tiene en movimiento a la industria que deberá realizar modificaciones; no solo a entidades representativas del sector de tecnología de la información (TI) o empresarios del segmento, sino también a todas aquellas compañías que manipulan datos personales de empleados, clientes, entre otros.
Colombia tiene una de las legislaciones sobre protección de datos más desarrollada en América Latina, con leyes que están vigentes desde 2012. Estas fueron actualizadas y, hoy en día, contienen información sobre cómo almacenar y tratar datos personales, cómo utilizarlos, enmendarlos o eliminarlos, y también establecen diferentes medidas con base al tipo y tamaño de la compañía. Se necesita un permiso de los usuarios para utilizar la información.
México ha promulgado leyes sobre la protección de datos hace ya algunos años. En 2017 se emitió la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados,con la cual se terminó de armonizar la normativa en la materia. Así, se tienen 9’dos legislaciones específicas que dictan obligaciones, deberes, procedimientos, sanciones y recursos en la materia, tanto para el sector público como privado.
En Chile, a pesar de la existencia de la tan cuestionada Ley sobre Protección de la Vida Privada (Ley 19.628), sólo desde el 16 de junio de 2018 la protección de los datos personales tiene indudable rango constitucional en virtud de la publicación de la Ley 21.096, que lo consagra como un derecho autónomo, aunque relacionado al derecho a la intimidad contemplado en el artículo 19 N° 4.
Identificación de datos personales
El asunto de la privacidad ha cobrado una importancia cada vez mayor en los últimos años debido a que muchas tecnologías recopilan datos personales. Se consideran como dato personal cualquier tipo de información que, directa o indirectamente, se puede utilizar para identificar a una persona, tal como el nombre, el número de identificación, los datos de su ubicación, y en ella se incluyenlos videos y las imágenes fijas, así como otros identificadores.
Algunos datos personales no necesariamente sirven para identificar a alguien, sino que son más delicados, como la orientación sexual, las creencias religiosas, el estado de salud, el origen étnico o la raza. Por ejemplo, un VMS instalado en un hospital puede recopilar datos personales relacionados con el estado de salud de una persona. Cuando dicha información se combina con identificadores directos como su nombre, imagen o identificación nacional, dicha información deja de ser confidencial.
Con un VMS, la cantidad de datos personales recopilados varía según el tipo de tecnologías utilizadas. Mediante el uso de cámaras de video, las compañías solo capturan detalles visuales. Sin embargo, cuando estos detalles se combinan con micrófonos, control de acceso, reconocimiento facial, reconocimiento de matrículas u otros tipos de sistemas, la compañía tendrá más acceso a los datos personales. Tal combinación de información detallada hace que la información sea aún más confidencial. Por eso es importante proteger todo tipo de datos privados.
Evaluación del impacto de la protección de datos
Antes de instalar e implementar sistemas de videovigilancia, tanto los diseñadores de sistemas como los usuarios finales deben realizar juntos una evaluación del impacto de la confidencialidad y protección de la información. Esta evaluación permite, por un lado, establecer el impacto que tendrá el sistema propuesto en la confidencialidad de las personas y en otros derechos fundamentales, y por el otro, identificar posibles formas de proteger la confidencialidad.
La evaluación del impacto debe analizar todas las áreas de una instalación y documentar por qué es necesaria la grabación y cómo se protegerá la privacidad de las personas. Una posible solución es usar máscaras de privacidad, una función que oculta partes de un determinado campo de visión, por ejemplo, cuando se alcanzan a visualizar ventanas y otras áreas de las instalaciones o las casas que están alrededor. La opción de enmascaramiento brinda al operario una adecuada visualización de un área, pero sin comprometer la confidencialidad.
Los usuarios finales deben trabajar de la mano de los profesionales de la seguridad para realizar la evaluación y establecer una política detallada de videovigilancia que ofrezca una visión general del VMS y su propósito. Es aconsejable que la política describa cómo opera el sistema, cómo se usan los datos personales y qué medidas de protección de los datos existen.
Manejo de la exportación de evidencia
Cuando se comparte evidencia luego de un incidente delictivo, la privacidad se pone en riesgo en el momento en que los datos exportados abandonan el sistema de vigilancia y se transfieren a un almacenamiento extraíble, como una unidad USB o un disco óptico. Si esos datos caen en manos equivocadas, se perdería la confidencialidad de los sujetos vinculados a la evidencia.
Los usuarios del VMS deben recibir capacitación para realizar un procedimiento transparente con el fin de exportar evidencia que contenga pautas sobre el personal autorizado a ello, el almacenamiento y acceso a evidencia, los formatos y el cifrado de exportación, y los plazos para destruir evidencia.
Las herramientas de software VMS también se pueden usar para proteger los datos exportados; entre otras, la protección con contraseña y las firmas digitales que verifican que la evidencia no haya sido manipulada.
Mitigue el riesgo, manténgase informado
Mientras sigan en aumento los desafíos que enfrentan las compañías de diseño de sistemas y de los usuarios finales ante la complejidad que representa el cumplimiento de las normas de confidencialidad, seguirá creciendo la tendencia de destinar más dinero del presupuesto a la educación en estas áreas, a fin de mitigar los riesgos.
La capacitación continua, las estrategias de autoaprendizaje y la concientización son componentes esenciales para crear una cultura de la responsabilidad hacia la protección de datos. Los profesionales de la seguridad de todas las disciplinas deben conocer bien las reglamentaciones locales, regionales y nacionales, y trabajar para aprovechar las tecnologías disponibles en el mercado, las prácticas de manejo de datos idóneas y la valiosa orientación de los consultores para garantizar el cumplimiento normativo, y así evitar problemas de confidencialidad bochornosos y que pueden resultar dispendiosos.
|