Recomendaciones para la evaluación de impacto de los sistemas de videovigilancia sobre la protección de datos 

El 22-10-2018, el Surveillance Camera Commissioner (SCC), en colaboración con la Information Commissioner’s Office (ICO), responsables en Reino Unido de la gestión de la videovigilancia y de la protección de datos, respectivamente, publicó una plantilla que contiene recomendaciones para la realización de evaluaciones de impacto en la protección de datos (PIA, por sus siglas en inglés) sobre los equipos de videovigilancia.

Aunque los destinatarios de dicha publicación son las propias autoridades, su uso está recomendado para cualquier entidad con independencia del sector al que pertenezca.

Tal y como se indica en dicha publicación, antes de analizar los riesgos generados por un sistema de videovigilancia, será necesario preguntarse sobre la legalidad de su uso. Para ello, el SCC recomienda que las entidades se planteen las siguientes preguntas:

• ¿Cuál es la base legitimadora del tratamiento?
• ¿Es realmente necesaria y adecuada la videovigilancia para la pretensión de mitigación de la amenaza que se pretende conseguir?

En el caso de que de la respuesta a las preguntas se deduzca que el uso de la videovigilancia no es adecuado, dicho tratamiento no puede tener lugar por contravenir la normativa.

En caso contrario, se proseguirá con el PIA y, dado que no es solo una evaluación inicial sino repetida en el tiempo, se deberá realizar (i) antes de instalar cualquier sistema, (ii) cada vez que se añada una nueva tecnología o prestación a un sistema existente y (iii) siempre que vayan a tratar datos más sensibles o recabar imágenes desde una ubicación diferente.

Además, se han identificado los siguientes pasos necesarios para desarrollar la evaluación, que siguen la línea del Reglamento General de Protección de Datos:

• identificar la necesidad de la evaluación,
• describir los flujos de información y el ciclo de vida del tratamiento,
• sí la evaluación es necesaria y proporcional, habrá que identificar y evaluar los riesgos, identificar las medidas para mitigarlos, documentar los resultados, integrar los resultados en un plan y realizar revisiones continuas.

Por último, para llevar a cabo correctamente la evaluación, el documento distingue dos fases:

1. Fase 1: evaluar de manera general la actividad de tratamiento de videovigilancia (base legitimadora, datos recabados, medidas de seguridad de almacenamiento de imágenes, comunicación de las grabaciones, los posibles afectados por dicho tratamiento, etc.) y mitigar el riesgo inherente al tratamiento general (por ejemplo, de ciberataque).
2. Fase 2: valorar de manera más específica cada dispositivo de grabación (modelo de la cámara, opciones que ofrece, su ubicación, etc.) para mejor identificar el riesgo de cada dispositivo y así mitigarlo.

En los documentos vinculados se tiene acceso al informe y plantilla.