El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos, RGPD, conocido también por su abreviatura en inglés GDPR, basado en el Reglamento (UE) 2016/679 y que deroga la Directiva 95/46/CE.
La mayoría de países de la UE crearon normativas siguiendo dicha Directiva de 1995 y en particular España promulgó la Ley Orgánica de Protección de Datos 15/1999, conocida como LOPD.
La LOPD desarrolló y amplió en sus artículos gran parte de las obligaciones que las instalaciones de CCTV tienen que cumplir. El RGPD introduce una serie de novedades, algunos cambios y amplía la normativa previa. Así, aparecen las figuras de los responsables y del delegado de Protección de Datos, DPO que establece el propósito o finalidad del tratamiento y protección de datos relacionada.
En los dispositivos físicos (grabadores, cámaras) el responsable es el usuario final, es decir la empresa, el centro comercial, la comunidad de propietarios. De ciertas funciones en la nube, como el alta de cuentas en la nube o las notificaciones, la responsabilidad puede ser del fabricante o del proveedor de servicios en la nube.
Surge también la obligación de informar del responsable, de la finalidad de la instalación y del tratamiento de los datos. También establece la necesitad de disponer de un registro -documento interno- de actividades de tratamiento de datos por parte de los responsables.
Como ocurría con la LOPD, la GDPR mantiene la obligación de informar de si una zona está videovigilada, identificando quién es el responsable y dónde se pueden ejercer los derechos por parte de los ciudadanos. Siendo válido el cartel actual con la mención a la Ley Orgánica 15/1999 y dónde poder ejercer los derechos.
La Agencia Española de Protección de Datos (AEPD) ha actualizado la sección dedicada a la videovigilancia de su página web, adaptándola a la GDPR, facilitando guías, informes jurídicos, así como el ejemplo del cartel de aviso de videovigilancia.
Otro punto muy importante de la RGPD es la obligación de garantizar que los datos captados y almacenados sean privados y sólo puedan ser accedidos por el personal autorizado y de la privacidad al respecto, haciendo necesario que los sistemas de grabación se ubiquen en un lugar vigilado o de acceso restringido, además de que las pantallas de visualización no puedan ser visibles o transmitidas públicamente.
Esto último hace necesario que los dispositivos, cámaras y videograbadores dispongan de las medidas necesarias para garantizar dicha privacidad, ya que su incumplimiento puede dar lugar a importantes sanciones.
Los fabricantes de dispositivos de CCTV, como Hikvision, Dahua, X-Security o Safire, han adaptado sus servicios en la nube para garantizar el cumplimiento de las nuevas exigencias de privacidad. Así mismo, con objeto de ayudar al cumplimiento de la nueva legislación a los distribuidores, instaladores y al cliente final, las marcas distribuidas por Visiotech, como Safire, X-Security o Nivian han incorporado y mejorado las medidas de seguridad y privacidad en las cámaras IP y videograbadores.
De esta forma, se incluyen funciones que obligan a establecer una contraseña segura, eliminando las "por defecto", flujos de vídeo cifrados, bloqueo ante acceso incorrectos, seguridad granular por nivel de acceso, máscaras de privacidad dinámicas, vistas por defecto con canales ocultos configurables, filtros por IP, funciones menos seguras como SSH, SNMP o UPNP deshabilitadas por defecto, incluso acceso a ciertos canales que requieren una segunda contraseña, específica para esas funciones..
Con todo esto podemos asegurar que, gracias a la implantación de la RGPD en el sector del CCTV, más que nunca las instalaciones de videovigilancia serán más seguras y sobre todo cumpliendo la legislación, lo que garantiza la mejor confianza por parte de los clientes.