Protección de datos personales en videovigilancia: ISO 27001

La videovigilancia se ha convertido en una herramienta muy útil para mejorar la seguridad en diversos ámbitos, desde espacios públicos hasta empresas y hogares. Sin embargo, su uso también plantea retos en cuanto a la protección de la privacidad y los datos personales. La norma ISO 27001 se presenta como una buena opción para lograrlo. ¿Qué opinas al respecto? Michel James Navarro-Consultor en Ciberseguridad | Co-Auditor en Sistemas de Gestión 27001
Follow by Email
Facebook
Twitter
LinkedIn
Share
WhatsApp
Publicado el 09/03/2023

La protección y la seguridad son temas que preocupan a muchas personas, y las cámaras de vigilancia se han convertido en una herramienta para reforzarlos. No obstante, es fundamental tener presente que su empleo también puede tener consecuencias en relación a la privacidad y la salvaguarda de datos personales.

En muchos lugares, es legal instalar cámaras de vigilancia para mejorar la seguridad, siempre y cuando se respeten ciertas reglas. Por ejemplo, en algunos países es obligatorio informar a los empleados o residentes sobre la presencia de cámaras de vigilancia y obtener su consentimiento para su uso. Es importante recordar que estos dispositivos pueden recopilar datos personales sensibles, como imágenes de personas, que pueden ser utilizados para identificar a alguien o para vigilar sus movimientos. Por lo tanto, es esencial tomar medidas para proteger la información recopilada.

La norma ISO 27001 es una herramienta útil para ayudar a las organizaciones a proteger los datos personales y cumplir con las obligaciones legales y reglamentarias relacionadas con la privacidad. La implementación de un Sistema de Gestión de Seguridad de la Información o la certificación de una empresa según el estándar, ayuda a garantizar que la organización tenga en cuenta los riesgos relacionados con la seguridad de la información y que implemente las medidas de seguridad adecuadas para proteger los datos personales. En su nueva versión de 2022, la norma establece la necesidad de documentar y demostrar el cumplimiento de las leyes y regulaciones aplicables, incluyendo las leyes de protección de datos personales.

La URCDP (Unidad Reguladora y de Control de Datos Personales) es la autoridad nacional de protección de datos personales de Uruguay. Fue creada en 2008 con el objetivo de regular y controlar la protección de los datos personales en el país, incluyendo la supervisión del cumplimiento de la Ley.

La entidad ha emitido las siguientes regulaciones:

Dictamen N° 10/010, de 16 de abril de 2010:

  • Regula con carácter general algunos aspectos de la videovigilancia.

Resolución N° 989/010, de 30 de julio de 2010:

  • Aprueba los logos de videovigilancia que deben emplear los responsables de tratamiento públicos y privados.

Resolución N° 58/021 de 21 de diciembre de 2021:

  • El tratamiento de la información obtenida de cámaras de videovigilancia debe realizarse como criterio general, en la forma dispuesta por Dictamen N° 10/010, de 16 de abril de 2010 y la Resolución N° 989/010, de 30 de julio de 2010.
  • El tratamiento de la información obtenida de cámaras de videovigilancia deberá efectuarse, además y para las situaciones expresamente previstas, de diferentes maneras según el ámbito en que se utilicen.

Dentro de los distintos ámbitos abarcados en esta última Resolución, compete mayormente a la ISO 27001, las cámaras utilizadas en el ámbito laboral. En estos espacios, el empleador puede adoptar medidas que permitan controlar el desempeño de las tareas laborales de sus dependientes, con las siguientes condiciones:

  • El empleador debe designar los representantes que realizarán el trámite de inscripción y determinar quiénes son las personas autorizadas para acceder a las imágenes y grabaciones y quiénes deberán dar trámite a las solicitudes de ejercicio de derechos que se realicen.
  • El empleador debe informar a los empleados que se instalarán cámaras, los lugares donde estarán localizadas, si captan imagen y voz, el tiempo de conservación de las imágenes y cómo ejercer sus derechos.
  • En estos casos no se requiere el consentimiento de las personas, porque se considera que la instalación de las cámaras es necesaria para el desarrollo de la relación laboral, no eximiéndose del deber de informar previamente acerca de dicha instalación.
  • Las cámaras que se utilicen podrán instalarse dentro de los recintos de trabajo.
  • No se pueden instalar cámaras en baños, vestuarios, espacios de descanso, lugares destinados a la alimentación o con finalidades sindicales y cualquier otro sitio que pueda invadir la intimidad de los empleados.
  • No se registrarán conversaciones privadas.
  • No se pueden captar imágenes de la vía pública, a excepción de una franja mínima e imprescindible de acceso al lugar.
  • El sistema de grabación debe estar ubicado en un lugar de acceso restringido y solo accesible al personal autorizado.
  • Si se contrata un servicio de vigilancia que incluye videovigilancia, es recomendable suscribir un contrato entre la empresa y el empleador en el que se establezca quiénes son los encargados de acceder a la información y todas las condiciones de prestación del servicio.

Además, la Resolución incluye orientaciones generales sobre la videovigilancia que abarcan aspectos como los derechos de las personas, el acceso a las imágenes y grabaciones, la conservación de los registros, la seguridad en su manipulación y otras consideraciones relevantes. Estas recomendaciones son de vital importancia para asegurar la protección de los derechos y la privacidad de las personas, y prevenir posibles vulneraciones a su intimidad.

En resumen, las cámaras de vigilancia pueden ser una herramienta útil para mejorar la seguridad, pero es importante recordar que también pueden tener implicaciones para la privacidad y la protección de datos personales. Las empresas deben tomar medidas para proteger los datos recopilados y asegurarse de que se respeten las reglas y las políticas adecuadas para su uso.