RGPD y su impacto en la seguridad electrónica: Desafíos y oportunidades para América Latina

• ¿Qué es el RGPD?
• Enfoque de cumplimiento: Usuarios finales
• RGPD y Videovigilancia
• Razones para las multas
• Directrices de mejores prácticas adoptadas
• Requisitos RGPD de señalización pública
• Mejores prácticas de almacenamiento
• Uso del reconocimiento facial y listas negras
• Los actores clave en el tratamiento de datos 
• La influencia de RGDP en la región
• El panorama de la protección de datos en América Latina 
   

¿Qué es el RGPD?

Fuente: protecciondedatos.com.ar

El Reglamento General de Protección de Datos (RGPD) es una normativa europea que regula el tratamiento de datos personales y su libre circulación, aplicándose no solo en la Unión Europea (UE), sino también a empresas fuera de la UE que manejan datos de ciudadanos europeos. En el contexto de la seguridad electrónica, la inteligencia artificial y, en especial, la videovigilancia, el RGPD plantea desafíos específicos relacionados con la recopilación, el tratamiento y el almacenamiento de datos sensibles, como imágenes de video, así como la aplicación de tecnologías avanzadas como la inteligencia artificial.

El RGPD, que ya lleva cerca de seis años en vigor, se ha convertido en un elemento fundamental para el uso que se hace de la videovigilancia en la Unión Europea. Antes de que se promulgara el RGPD, había temores significativos en el campo de la videovigilancia de que los integradores, los usuarios finales y los fabricantes se verían perjudicados por regulaciones estrictas y grandes multas, y que las nuevas tecnologías podrían ser prohibidas.

Sin embargo, seis años después, estos temores, aunque no se han materializado, hacen que cada vez crezcan más las iniciativas por el control y la protección de datos personales. Aunque se han establecido multas o sanciones, estas se pueden evitar con medidas básicas, como colocar carteles y evitar grabaciones de video en áreas públicas sin demostrar que las personas hayan sido informadas. Si bien el cumplimiento del RGPD es importante, la aplicación de la normativa recae mayoritariamente sobre los usuarios finales de la tecnología de seguridad, y en pocas ocasiones sobre las empresas de seguridad, fabricantes e integradores.

En la mayoría de los países que aplican el RGPD, se ha permitido la proliferación de tecnologías más nuevas, como el reconocimiento facial, la detección de elementos de protección personal y el análisis de video enfocado en personas, aunque con algunas restricciones. Las autoridades europeas también han publicado recomendaciones detalladas sobre las mejores prácticas para quienes buscan más claridad.

Aplicación centrada en los usuarios finales

Hasta el momento, no hemos tenido conocimiento de algún caso de fabricantes de videovigilancia o proveedores de nube/vSaaS que hayan sido multados por violaciones del RGPD. La atención de los reguladores se ha centrado de forma importante en los usuarios finales que adquieren bienes o servicios de videovigilancia, por ejemplo, tiendas, restaurantes, hoteles y propietarios de viviendas.

Lo mismo ocurre con los integradores; en algunos casos particulares, se han conocido eventos de sanciones a integradores por compartir ilegalmente imágenes de cámaras de clientes en las redes sociales y, en otros, por la ausencia de un Delegado de Protección de Datos en empresas de seguridad, aunque no es lo común.

Razones para las multas o sanciones según el RGPD

Las razones más comunes para recibir una multa son el registro de video en áreas públicas, el monitoreo constante de los empleados, la falta de colocación de carteles y el registro de áreas privadas, como el jardín de un vecino, baños públicos, etc. Otras razones menos comunes, pero igualmente importantes, incluyen compartir imágenes de cámaras de seguridad de clientes sin consentimiento y no cumplir con las solicitudes de datos de los interesados.

RGPD y Videovigilancia

Fuente: pixabay.com

La videovigilancia es una herramienta común en seguridad electrónica, pero la grabación y almacenamiento de imágenes de personas se considera tratamiento de datos personales bajo el RGPD. Para cumplir con la normativa, se deben tener en cuenta cuatro aspectos importantes:

• Base legal: Debe existir una justificación clara para la videovigilancia, como garantizar la seguridad pública o proteger activos.
• Transparencia: Las personas deben ser informadas de la existencia de cámaras mediante avisos visibles, indicando quién es el responsable del tratamiento de los datos y los derechos de los ciudadanos.
• Minimización de datos: Solo se deben captar y almacenar las imágenes necesarias para cumplir con el propósito legítimo. El tiempo de retención de las imágenes debe ser limitado.
• Evaluación de impacto: Si el sistema de videovigilancia implica un alto riesgo para los derechos de los interesados (como en el caso de reconocimiento facial), es necesario realizar una Evaluación de Impacto de Protección de Datos (EIPD).

Directrices RGPD de mejores prácticas adoptadas

En 2020, el Comité Europeo de Protección de Datos (CEPD), un organismo de la UE destinado a fomentar el cumplimiento del RGPD, adoptó oficialmente directrices detalladas sobre el RGPD y la videovigilancia.

Si bien las directrices del CEPD no son obligatorias, ofrecen buenos ejemplos de mejores prácticas y claridad regulatoria.

• Reconocimiento facial VIP en un hotel: El uso de reconocimiento facial por parte de un hotel para reconocimiento "VIP" es ilegal si se implementa en huéspedes que no hayan dado su consentimiento explícito.
• Monitoreo de jardines privados: El RGPD no regula que un propietario filme su propio jardín privado cercado, siempre que no se capturen espacios públicos y vecinos.
• Uso indebido de material de archivo: El material de archivo destinado a la resolución de daños en un estacionamiento viola el RGPD si se publica sin consentimiento; por ejemplo, compartir un video de pelea en Facebook con fines de entretenimiento.
• Identificación de huelguistas/manifestantes: Que un empleador utilice cámaras para identificar a los empleados que participan en una huelga o protesta es ilegal según el RGPD, ya que la afiliación sindical y las opiniones políticas son categorías de datos protegidos.

Requisitos RGPD de señalización pública

Dado que el RGPD refuerza las leyes de privacidad existentes de la UE en lo que respecta a las directrices de transparencia, principalmente en los artículos 12 y 13, es más importante que las empresas de videovigilancia informen al público si están grabando videos de ellos. La falta de señalización adecuada ha sido una de las principales razones para la imposición de multas establecidas por el RGPD. En el artículo 13 del RGPD se establece que en la señalización se deben incluir los siguientes datos:

• La identidad y los datos de contacto del responsable del tratamiento de datos.
• Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento.
• El plazo durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar dicho plazo.
• Informar a los interesados ​​de su derecho a presentar una reclamación ante una autoridad de control.
• La existencia del derecho a solicitar el acceso, rectificación y supresión de los datos.

Y, según el caso, indicar también:

• Los datos de contacto del DPD, si lo tiene.
• Si los datos se van a transferir a otro país, se deben tomar las medidas de seguridad pertinentes.
• Destinatarios de los datos personales (si son distintos del usuario final).
• La existencia de una toma de decisiones automatizada, incluida la elaboración de perfiles y, al menos en esos casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho procesamiento para el interesado (esto se aplica a aspectos como el reconocimiento facial u otras técnicas biométricas).

Los usuarios finales también deben asegurarse de que todo esto esté claramente visible y escrito de forma sencilla.

Ejemplo de señalización pública RGPD

Las directrices de videovigilancia del CEPD incluyen un claro ejemplo de buena señalización pública:

Fuente: delegadodeprotecciondedatoscastellonhorns.com

Mejores prácticas en cuanto a almacenamiento de video con personas 

El RGPD no establece límites sobre el tiempo durante el cual se deben almacenar los datos, pero establece que no se deben conservar más tiempo del necesario para sus fines originales. El RGPD solo permite períodos de almacenamiento más largos para “fines de interés público, científicos o de investigación histórica” (artículo 5). Es probable que un usuario final que almacene indefinidamente sus grabaciones de video esté infringiendo el RGPD, a menos que pueda demostrar que actúa de acuerdo con estos motivos.

Mejores prácticas de almacenamiento según RGPD

Las directrices de videovigilancia del CEPD establecen que 24 horas es un tiempo de almacenamiento "suficiente" para una tienda pequeña, pero este tiempo puede ser más largo siempre que la tienda lo justifique con un motivo claro, como, por ejemplo, robos recientes, vacaciones, etc. Las directrices, nuevamente, no imponen ninguna duración de almacenamiento definida.

Uso de datos biométricos prohibido, con excepciones

El artículo 9 prohíbe el tratamiento de datos biométricos, así como de datos que revelen el origen racial o étnico, y datos relacionados con la salud, la afiliación política y los sindicatos:

Se prohíbe el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, o datos relativos a la vida sexual o la orientación sexual de una persona física.

Los datos biométricos son cualquier información que “identifique de forma única a una persona física”, es decir, técnicas como el reconocimiento facial.

Artículo 9 Excepción: Interés público sustancial

Sin embargo, el RGPD reconoce un gran número de excepciones a estas prohibiciones del artículo 9. "Razones de interés público sustancial", que el RGPD enfoca para la videovigilancia, y normalmente se utiliza para fines relacionados con la delincuencia y la aplicación de la ley.

Reconocimiento facial y el RGPD

Debido a la prohibición del artículo 9 sobre la biometría (con excepciones), la implementación del reconocimiento facial puede ser riesgosa. Por ejemplo, implementar el reconocimiento facial en un restaurante contra todos los transeúntes, sin ningún propósito claro, sería ilegal en los países que aplican el RGPD. Sin embargo, es cierto que ningún país ha prohibido el reconocimiento facial con fines de aplicación de la ley, y esto sigue estando permitido en virtud de las excepciones de aplicación de la ley del RGPD.

Uso del reconocimiento facial y listas negras

Diferentes países han permitido o prohibido el uso del reconocimiento facial para atrapar a los ladrones, delincuentes o terroristas, basándose en sus interpretaciones de "Interés público sustancial":

• Bélgica prohibió a todas las empresas privadas utilizar reconocimiento facial.
• El Reino Unido legalizó que empresas privadas utilicen reconocimiento facial para atrapar a los ladrones.
• Los reguladores franceses promulgan que el reconocimiento facial para atrapar ladrones de tiendas sería ilegal en Francia.

Esto demuestra el margen de maniobra que tiene el regulador de cada país a la hora de interpretar el mismo RGPD, lo cual no resulta altamente interpretativo,  ya que el RGPD como toda norma puede ser impreciso en aspectos puntuales.

Análisis de género y edad que no tienen en cuenta la biometría

El CEPD ha aclarado que los análisis de edad y género no se consideran biometría a menos que puedan identificar a una persona específica. Las directrices de videovigilancia del CEPD establecen que los análisis de género y edad no se consideran biometría siempre que no identifiquen de forma única a las personas (por ejemplo, mediante reconocimiento facial).

Los actores clave en el tratamiento de datos 

El RGPD regula a todas las empresas que procesan datos personales de personas que residen en la UE y el Reino Unido. Dado que las grabaciones de video de una persona se consideran sus datos, la industria de la videovigilancia se ve directamente afectada por el RGPD. Es importante destacar que el RGPD solo se aplica al procesamiento de datos personales de personas que se encuentran físicamente en la UE.  Los actores clave en el tratamiento de datos según el RGPD, los actores clave son:

• Responsables del tratamiento de datos: Son usuarios finales como tiendas, restaurantes, centros comerciales o propietarios de viviendas que implementan videovigilancia, entidades que "determinan los fines y medios del procesamiento de datos personales".
• Encargados del tratamiento de datos: Cualquier integrador que acceda a las grabaciones de los clientes. Esto también afecta a los fabricantes que alojan grabaciones de clientes en la nube o a través de vSaaS. Un fabricante que no almacene ni procese grabaciones de video de usuarios finales no sería considerado un encargado del tratamiento en virtud del RGPD.
• Interesados: Son las personas que aparecen grabadas en una cámara.

En general, el RGPD otorga a los interesados ​​en Europa nuevos derechos importantes para acceder a sus datos y eliminarlos, al tiempo que impone restricciones sobre cómo se pueden recopilar dichos datos. Sin embargo, el RGPD en sí no hace referencia directa a la videovigilancia.

Cómo afrontar la ciberseguridad y las vulnerabilidades

El RGPD regula estrictamente las violaciones de datos. Las violaciones deben notificarse si "representan un riesgo para los derechos y libertades de una persona". No importa si esas libertades se violan o no; el riesgo simplemente debe existir.

Según el RGPD, los responsables del tratamiento de datos tienen 72 horas para informar a la autoridad de protección de datos de su país sobre la vulneración de la seguridad de sus datos personales y, si la vulneración afecta directamente a determinados interesados, también deben informarles. Sin embargo, si el responsable del tratamiento de datos dispone de medidas de cifrado eficaces o garantiza que ya no es probable que se materialice el riesgo, no está obligado a informar a los interesados de ningún riesgo para sus datos personales. Si informar a todos los interesados de una vulneración de la seguridad de sus datos personales resulta logísticamente difícil, el RGPD también permite que se emita “una comunicación pública o medida similar”.

Las compañías procesadoras de datos también deben informar las violaciones de datos a sus controladores de datos, aunque el RGPD no especifica un límite de tiempo en esos casos.

La influencia de RGDP en América Latina 

El RGPD de la Unión Europea ha tenido un impacto significativo en la legislación de protección de datos en América Latina, influyendo en cómo los países de la región diseñan y actualizan sus normativas locales de privacidad. 

Varios países de América Latina han adaptado o alineado sus leyes de protección de datos con principios clave del RGPD, buscando lograr una armonización global en la protección de los derechos de los individuos respecto a sus datos personales. Esto también facilita el comercio y la transferencia de datos con la Unión Europea, que exige que las empresas extranjeras cumplan con normativas similares.

Tanto el RGPD como las leyes en América Latina buscan proteger los derechos de los usuarios sobre sus datos personales, aunque los niveles de protección varían. Entre los derechos más comunes están:

• Derecho de acceso a los datos personales.
• Derecho a la rectificación de información incorrecta.
• Derecho al olvido, o la posibilidad de solicitar la eliminación de datos personales.
• Derecho a la portabilidad de los datos en algunos casos.

Ejemplos de adopción similar al RGDP en la región:

• Brasil: La Ley General de Protección de Datos (LGPD) se considera una de las leyes más parecidas al RGPD en América Latina. Al igual que el RGPD, la LGPD establece principios de transparencia, derecho de acceso, corrección y eliminación de datos personales, así como sanciones para incumplimientos.
• México: Su Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) ya existía antes del RGPD, pero ha sido revisada y comparada con este reglamento para asegurar que sea compatible con las normativas internacionales.
• Argentina: La Ley de Protección de Datos Personales de Argentina fue una de las primeras en ser considerada adecuada por la UE, facilitando el intercambio de datos con países europeos. Sin embargo, se han propuesto reformas para modernizarla y alinearla aún más con el RGPD.

Una de las áreas clave del RGPD es la restricción de transferencias internacionales de datos personales a países fuera de la UE que no garantizan niveles de protección adecuados. Esto ha llevado a muchos países latinoamericanos a revisar y mejorar sus normativas para asegurar que las transferencias de datos hacia la UE sean permitidas.

El RGPD tiene un alcance extraterritorial, lo que significa que las empresas latinoamericanas que ofrecen bienes o servicios a ciudadanos de la UE o procesan sus datos están obligadas a cumplir con el RGPD, independientemente de su ubicación. Esto ha impulsado a muchas compañías en América Latina a adaptar sus prácticas de manejo de datos para cumplir con las exigencias del reglamento europeo.

El panorama de la protección de datos en América Latina

El panorama de la protección de datos en América Latina en los próximos años está marcado por la tendencia hacia la adopción de normativas más estrictas, similares al RGPD de la Unión Europea. 

Con el aumento de las empresas multinacionales y la creciente interconectividad, los países de América Latina estarán bajo mayor presión para adoptar regulaciones de protección de datos robustas que faciliten las transferencias internacionales de datos de manera segura. Las empresas que operan en mercados globales buscan entornos legales compatibles con normativas internacionales como el RGPD para facilitar el comercio y la colaboración digital.

A medida que la economía digital crece en la región, con la expansión del comercio electrónico, fintech, y otros servicios basados en datos, los gobiernos necesitarán garantizar que las normas de protección de datos estén alineadas con el crecimiento tecnológico. La implementación de normas más estrictas también aumentará la confianza de los consumidores y usuarios en estos servicios.

Países como Brasil y México ya están actualizando sus legislaciones para alinearse más estrechamente con el RGPD, y es probable que más países latinoamericanos sigan este camino. Esto puede incluir la creación de organismos reguladores más fuertes y mecanismos de control para hacer cumplir estas leyes.

El aumento en la cantidad de datos generados y procesados implica también mayores riesgos de ciberataques y violaciones de datos. La región necesitará fortalecer sus capacidades en ciberseguridad y protección de datos para evitar sanciones y mejorar la confianza de los consumidores y de los socios comerciales internacionales.

Impacto de la Inteligencia Artificial 

La expansión del uso de IA en sectores como la videovigilancia, la seguridad electrónica y otros servicios tecnológicos también obligará a los países a regular mejor el tratamiento de datos personales, sobre todo en temas sensibles como el reconocimiento facial y la automatización de decisiones. El RGPD ya establece pautas claras sobre el uso de datos para IA, y la región tendrá que adaptarse a estas tendencias.

Presión por sanciones más severas y mayor sensibilización 

Las sanciones que el RGPD impone en Europa por incumplimientos graves han motivado a varios países latinoamericanos a considerar penas más duras por la violación de las leyes de protección de datos. En los próximos años podemos esperar un incremento en la cantidad y el alcance de las sanciones para las empresas que no cumplan con las regulaciones locales.

La sensibilización sobre el derecho a la privacidad y el control sobre los datos personales está creciendo. A medida que los ciudadanos y consumidores sean más conscientes de estos derechos, también aumentará la presión sobre los gobiernos y las empresas para cumplir con normativas rigurosas.

El derecho de la privacidad y de los datos está en evolución

El futuro de la protección de datos en América Latina puede estar marcado por una progresiva adaptación a los estándares internacionales como el RGPD, lo que ayudará a armonizar las leyes de la región con las mejores prácticas globales, aumentando la seguridad, transparencia y el control sobre los datos personales. De este modo el RGPD ha servido como un marco de referencia para la legislación de protección de datos en América Latina, donde países como Brasil, Argentina y México han adaptado sus normativas para estar en línea con los estándares internacionales. Esta alineación facilita la transferencia de datos y mejora la protección de los derechos de los ciudadanos en la era digital.