Centro de confianza

La privacidad forma parte del ADN de nuestros productos.Desde nuestra fundación, nos hemos esforzado por diseñar y crear nuestros productos y servicios teniendo en cuenta la privacidad.Lo hacemos para que nuestras plataformas puedan proporcionar a nuestros clientes la seguridad y función que desean, y de una forma que respete la privacidad de las personas que interactúan con su organización.Nuestro compromiso permanente con la privacidad se basa en estos principios:

• Propiedad y control
  Los datos de los clientes y los datos generados al usar nuestros productos (como las grabaciones de las cámaras) son propiedad de nuestros clientes y están bajo su control. Por ello, nuestros clientes pueden hacer lo siguiente:

  • • decidir durante cuánto tiempo se procesan y almacenan las grabaciones de las cámaras en sus dispositivos
    • decidir qué videos se archivan y con quién se comparten
    • decidir cuándo los empleados autorizados de Verkada pueden ver sus grabaciones únicamente con fines de resolución de problemas y desarrollo de software.

  . . . y mucho más. Queremos que nuestros clientes sean dueños de sus datos.

  Los clientes también controlan cuándo y cómo se accede a sus datos o se comparten.Por ejemplo:

  • • Los administradores de una organización deciden quién tiene acceso a su sistema y qué pueden hacer con ese acceso utilizando el control de acceso basado en roles de Command.
    • Los administradores ven el uso de sus sistemas con fines de cumplimiento, controles internos o cadena de custodia mediante registros de auditoría mantenidos tanto en dispositivos como en la organización.
    • No mezclamos ni agregamos datos de clientes, como grabaciones de cámaras, con datos de otros clientes sin autorización expresa previa.
    • No utilizamos los datos de los clientes para mejorar nuestros productos y servicios sin antes solicitar y obtener el consentimiento de nuestros clientes.
  • En Verkada, no vendemos los datos que los clientes generan utilizando nuestros productos: no queremos hacerlo ni lo necesitamos.
• Privacidad predeterminada
  Creamos nuestros productos y servicios teniendo en cuenta la privacidad, para que nuestra plataforma proporcione a nuestros clientes la seguridad y función que desean, de forma que se respete la privacidad de las personas que interactúan con su organización.Los productos de Verkada se envían sin la configuración de privacidad habilitada de manera predeterminada.De este modo, los clientes no tienen que preocuparse de la configuración de fábrica y pueden habilitar estas funciones cuando lo deseen.Por ejemplo:

  • • De manera predeterminada, las grabaciones de la cámara se almacenan en el dispositivo, bajo control y propiedad de nuestro cliente.
    • Nuestros productos solo monitorean los movimientos de las personas donde hay cámaras instaladas.
    • La función Análisis de personas está desactivada de manera predeterminada, lo que brinda al cliente el control para decidir si la habilita y cuándo.
• Transparencia
  Nos comprometemos a proporcionar a nuestros clientes visibilidad de su sistema y su configuración a fin de que puedan tomar medidas para cumplir sus propios estándares y proporcionar a los visitantes visibilidad de sus prácticas. Por ejemplo:

  • • Muchas de las funciones relacionadas con temas de privacidad están inhabilitadas de manera predeterminada y, cuando un usuario las habilita, proporcionamos notificaciones en el producto para asegurarnos de que los usuarios estén informados.
    • Los clientes pueden ver qué acciones se han realizado en la plataforma Verkada Command, quién ha accedido a los datos (incluido el acceso del equipo de soporte de Verkada) y quién más está accediendo activamente a las grabaciones a través de los Registros de auditoría.
    • Los clientes pueden compartir enlaces a transmisiones en vivo y, con la función de espectadores activos, los administradores pueden consultar quién está viendo transmisiones tanto dentro como fuera de su organización.
    • Si Verkada recibe una solicitud de autoridades legales en relación con datos generados por un cliente, informaremos al cliente (a menos que la ley no nos lo permita) para que tenga la oportunidad de ser escuchado antes de entregar sus datos.
    • Los clientes pueden mostrar a quienes interactúan con su sistema una lista de los tipos específicos de dispositivos instalados y qué funciones están habilitadas en esos dispositivos en un sitio concreto con las Divulgaciones Públicas de Seguridad y Privacidad de Verkada.

  También nos comprometemos a ser transparentes en relación con qué datos recopilamos, qué hacemos con ellos y cómo funcionan nuestros productos.Esta información se facilita en nuestro Centro de ayuda y fichas técnicas y se incluye en nuestra Declaración de Privacidad y en el Acuerdo de Usuario Final.
• Minimización de datos
  La misión de Verkada es crear productos que protejan a las personas y los lugares teniendo en cuenta la privacidad.Para ello, ofrecemos funciones que recopilan, presentan o mantienen datos en cantidades proporcionales al caso de uso concreto.Por ejemplo,

  • • La configuración de las Regiones de privacidad permite a los clientes impedir que se graben zonas específicas dentro de la vista de una cámara.
    • Las funciones que pueden capturar datos más sensibles, como el Análisis de personas, están desactivadas de manera predeterminada, lo que permite a los clientes usarlas cuando quieran y elegir los datos que se recopilarán en el proceso.
    • La función Difuminado de rostros ofrece a los clientes la opción de difuminar los rostros al compartir con terceros grabaciones archivadas.
• Solicitudes de interesados
  Consulte nuestro Portal de Solicitud de interesados para saber cómo enviar solicitudes de interesados a Verkada.
• Canadá
  Los productos y las soluciones de Verkada —cámaras, controles de acceso, intercomunicadores y sensores— están diseñados para ayudar a los clientes a recopilar y procesar información personal de manera que se respete la privacidad. Estas preguntas frecuentes de Canadá ofrecen información general de los requisitos de la legislación canadiense en materia de privacidad y están diseñadas para ayudar a nuestros clientes canadienses a cumplir con sus obligaciones en materia de privacidad al utilizar los productos y los servicios de Verkada.

  ¿Qué leyes canadienses de privacidad se aplican?

  En Canadá, existen leyes de privacidad federales, provinciales, públicas, privadas y del sector de la salud que regulan la recopilación, el uso, la divulgación y otros procesamientos de “información personal”, que generalmente se define en Canadá como información sobre una persona identificable. Esto incluye elementos como nombres, información de contacto, geolocalización, información biométrica, imágenes fijas, grabaciones de audio y video, registros de acceso u otros registros de visitas al sitio. Si bien la legislación canadiense sobre privacidad no la define expresamente, cierta información, como los datos biométricos, se considera confidencial y requiere un mayor grado de protección (más información a continuación).

  La ley federal de privacidad del sector privado de Canadá, la Ley de Protección de Información Personal y Documentos Electrónicos (“PIPEDA”), se aplica a las organizaciones de todo el país que recopilan información personal en el desarrollo de las actividades comerciales. Algunas provincias, como Alberta, Quebec y Columbia Británica, han promulgado leyes provinciales que pueden aplicarse en lugar de la ley PIPEDA cuando la información personal se recopila, utiliza o divulga dentro de la provincia correspondiente; no obstante, estas leyes coinciden ampliamente con ella.

  ¿Qué debo saber sobre la PIPEDA?

  La Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) se fundamenta en 10 principios de información objetiva que regulan la manera en que las organizaciones pueden recopilar, utilizar o divulgar información personal. Las funciones principales de la PIPEDA incluyen las siguientes:

  • • un concepto amplio de “información personal”, que incluye no solo información objetiva, como información de contacto, números de identificación personal, origen étnico o tipo de sangre, sino también información subjetiva, como opiniones, evaluaciones y comentarios, o información sobre condición social;

    • por lo general, se requiere el consentimiento antes de la recopilación, el uso o la divulgación de información personal, pero puede ser implícito mediante el uso de carteles en el caso de la videoseguridad evidente en el sector privado (más información a continuación);

    • sin embargo, los datos confidenciales, como los biométricos, pueden requerir consentimiento expreso en determinadas circunstancias y en algunos lugares, como Quebec;

    • una organización puede recopilar, utilizar o divulgar información personal solo con fines que una persona razonable consideraría apropiados en función de las circunstancias;

    • la información personal debe protegerse mediante medidas de seguridad adecuadas en relación con la confidencialidad de la información. Las autoridades reguladoras canadienses exigirán mayores medidas de seguridad en el tratamiento de información confidencial, como la biométrica.

  ¿La PIPEDA impide la transferencia de datos personales fuera de Canadá?

  NO. La legislación canadiense sobre privacidad no prohíbe a las organizaciones tratar información personal fuera de Canadá, incluidos los Estados Unidos, pero las organizaciones deben asegurarse de que toda información personal a la que se acceda, transfiera o almacene fuera del país esté debidamente protegida.

  ¿Cuáles son las principales consideraciones que hay que tener en cuenta al utilizar la videoseguridad en Canadá?

  Las siguientes prácticas deben tenerse en cuenta al implementar un producto Verkada que permita la videoseguridad:

  • • Razonabilidad: por lo general, las tecnologías de videoseguridad deben implementarse de manera razonable y adecuada según las circunstancias, teniendo en cuenta lo siguiente: - una necesidad comprobada (por ejemplo, antecedentes de robo, vandalismo, consumo de drogas, agresión); - la determinación del modo en que las cámaras contribuirán a satisfacer esa necesidad; - evaluación de la pérdida de privacidad en relación con el beneficio que se obtiene; - consideración de formas menos invasivas para la intimidad que satisfagan esa necesidad. - Aviso: antes de recopilar información personal a través de la videoseguridad, se debe notificar a las personas, lo que incluye información de contacto en caso de que la persona tenga preguntas o solicite acceso a sus imágenes (por ejemplo, señalización antes de que las personas entren en la tienda o las instalaciones).

    • Transparencia y apertura: incluya referencias apropiadas a la videoseguridad (incluidos los fines de su uso) en las políticas de privacidad internas y externas correspondientes (puede ser útil publicarlas utilizando la función de Divulgación de privacidad y seguridad de Verkada).

    • Minimización de datos: cuando sea posible, limite la recopilación de videoseguridad a lo que sea realmente necesario para satisfacer sus necesidades (por ejemplo, considere el rango de visión de las cámaras o la cantidad de tiempo que las cámaras están grabando).

    • Limitaciones de uso: utilice la videoseguridad que recopile únicamente por los motivos que incluya en sus avisos o las políticas o según lo permita la ley (las funciones de registro de auditoría y uso compartido de video de Verkada pueden ser útiles).

    • Medidas de seguridad: almacene todas las imágenes o grabaciones de seguridad en un lugar protegido con acceso limitado y destruya de forma segura las imágenes o grabaciones de videoseguridad cuando ya no sean necesarias para los fines para los que se obtuvieron (las funciones de seguridad de Verkada proporcionan estas importantes medidas de protección, véase más abajo).

    • Políticas o prácticas: implemente políticas, prácticas y procedimientos internos relacionados con las herramientas de videoseguridad.

    • Solicitudes de acceso de interesados (DSAR, por sus siglas en inglés): proporcione a las personas acceso a sus imágenes o grabaciones de videoseguridad cuando lo permita la legislación canadiense en materia de privacidad (los registros de auditoría de Verkada y los mecanismos para compartir videos pueden ser útiles).

  ¿Cómo puede ayudar Verkada a los clientes canadienses a cumplir sus obligaciones en materia de privacidad?

  Los productos y las soluciones de Verkada incluyen las siguientes funciones de privacidad y seguridad:

  • • Segregación de datos: las instancias de los clientes se segregan de forma lógica en la plataforma Command (limitaciones de uso; medidas de seguridad).

    • El acceso de los usuarios se puede gestionar a escala: los clientes conceden acceso mediante controles basados en funciones y pueden limitar aún más el acceso a usuarios específicos según sea necesario (Limitaciones de uso).

    • Se monitorea el acceso: se generan registros de auditoría detallados tanto para los dispositivos físicos como para las cuentas de usuario (Medidas de seguridad).

    • Encriptado: los datos y otra información generada a través de los productos y las soluciones de Verkada se encriptan en reposo y en tránsito (Medidas de seguridad).

    • Autenticación sólida: se admiten métodos de autenticación multifactor y de inicio de sesión único para lograr el acceso a Command (Medidas de seguridad).

    • Actualizaciones automáticas del sistema: las actualizaciones del sistema se lanzan automáticamente en los dispositivos y en la plataforma Command, lo que garantiza la implementación rápida de parches y actualizaciones sin la intervención del usuario (Medidas de seguridad).

    • Evaluaciones periódicas: las prácticas de seguridad en la nube de Verkada se someten a evaluaciones periódicas por parte de terceros independientes, incluso a través de pruebas de penetración. Verkada mantiene las certificaciones SOC2 de tipo2, ISO 27001/27017/y 27018. Los informes de auditoría están disponibles para los clientes que los soliciten (Medidas de seguridad).

    • Gestión de proveedores: Verkada realiza evaluaciones de sus proveedores externos para ayudar a garantizar que mantengan los controles adecuados de seguridad de la información (Medidas de seguridad).

  Para obtener más información sobre las prácticas y los procedimientos de seguridad de la información de Verkada, consulte aquí.

  • • Ubicaciones: los clientes de Verkada pueden elegir entre varias ubicaciones en la nube donde almacenar sus datos, incluidos Estados Unidos, Canadá, Australia e Irlanda. Además, Verkada tiene centros de datos en la nube en la UE, Australia y EE. UU. donde están disponibles tanto el procesamiento como el almacenamiento de datos.

    • Retención: los clientes configuran los períodos de retención para satisfacer sus necesidades legales o comerciales, desde 30 hasta 365 días (o más) en la nube.

  ¿Qué sucede con las Evaluaciones de impacto sobre la privacidad en Quebec? ¿Cómo ayuda Verkada?

  En la provincia de Quebec (y en otros lugares de Canadá donde se utilicen tecnologías que tengan en cuenta la privacidad, como la biometría, o para organizaciones del sector público en determinadas jurisdicciones) es posible que los clientes tengan que completar primero una evaluación del impacto sobre la privacidad (PIA) antes de implementar la videoseguridad u otras tecnologías que afecten a la privacidad. Los clientes son responsables de completar sus PIA, que suelen incluir preguntas sobre cuestiones como la elección de la ubicación de la cámara, el apoyo a las políticas internas, el equilibrio entre los intereses relativos a la privacidad y las necesidades comerciales, etcétera. Solo nuestros clientes pueden responder este tipo de preguntas, pero la información sobre las prácticas y los procedimientos de seguridad de Verkada que se encuentra aquí puede ser útil.

  Más información

  Para obtener más información sobre el uso de herramientas de videoseguridad o la recopilación de información biométrica en Canadá, consulte los siguientes recursos que han publicado las autoridades canadienses de regulación de la privacidad:

  • Videoseguridad

    • Directrices para la videoseguridad visible en el sector privado (Oficina del Comisionado de Privacidad de Canadá, marzo de 2008) - Guía para el uso de la videoseguridad visible (Oficina del Comisionado de Información y Privacidad de Columbia Británica, octubre de 2017) - Directrices de videoseguridad para organismos públicos (Oficina del Comisionado de Información y Privacidad de Saskatchewan, enero de 2018) - Directrices para el uso de la videoseguridad (Oficina del Comisionado de Información y Privacidad de Ontario, octubre de 2015) - Videoseguridad: hoja informativa (Oficina del Comisionado de Información y Privacidad de Ontario, noviembre de 2016) - Directrices de la videoseguridad (Oficina del Comisionado de Información y Privacidad de Nueva Escocia, diciembre de 2019) - Directrices para el uso de sistemas de videoseguridad en escuelas (Oficina del Comisionado de Información y Privacidad de Terranova y Labrador de febrero de 2013) - Directrices para la videoseguridad por parte de organismos públicos en Terranova y Labrador (Oficina del Comisionado de Información y Privacidad de Terranova y Labrador, junio de 2015)

    Biometría

    • Datos al alcance de su mano La biometría y los desafíos a la privacidad (Oficina del Comisionado de Privacidad de Canadá, febrero de 2011) - Directrices para la identificación y la autenticación (Oficina del Comisionado de Privacidad de Canadá, junio de 2016) - Borrador de la guía para el procesamiento de datos biométricos para organizaciones (Oficina del Comisionado de Privacidad de Canadá, 2023) - Borrador de guía para el procesamiento de datos biométricos para instituciones públicas (Oficina del Comisionado de Privacidad de Canadá, 2023) - Biométrie (solo en francés) (Commission d’accès à l’information du Québec, septiembre de 2022) - Biométrie : principes à respecter et Obligaciones legales de las organizaciones (solo en francés) (Comisión de Acceso a la Información de Québec, septiembre de 2022)
• Leyes y directrices regulatorias clave por país
  Si bien el Reglamento General de Protección de Datos (RGPD) se aplica ampliamente en toda la UE, varios países tienen otras leyes sobre cámaras o biometría que afectan el uso de la videoseguridad con o sin biometría. Del mismo modo, los reguladores locales de la privacidad tienen diferentes perspectivas en toda la UE sobre cómo puede realizarse la videoseguridad conforme al RGPD. A continuación, examinamos algunas leyes y directrices reguladoras principales específicas de cada país para ayudar a nuestros clientes a cumplir con sus obligaciones en materia de privacidad en la UE.
• Bélgica

  Cámaras

  La Ley de Cámaras de Seguridad regula el uso de cámaras en Bélgica. Se aplica a las empresas (públicas o privadas) que instalan cámaras con el fin de proteger instalaciones. Al colocar cámaras en el lugar de trabajo, también pueden aplicarse otras leyes, como las laborales. Los clientes sujetos a la Ley deben hacer lo siguiente:

  • registrar las cámaras ante la policía antes de que comience el servicio y todos los años a partir de entonces; - llevar un registro del procesamiento de imágenes según lo exige el RGPD (con algunas adiciones para las cámaras);
  • colocar letreros y adhesivos en la cámara que incluyan avisos;
  • comunicar una política de cámaras de videoseguridad.

  Pueden aplicarse limitaciones al uso de cámaras por parte del sector privado en espacios abiertos (cualquier espacio no cerrado y de libre acceso al público, incluidas las vías públicas). Por lo general, las autoridades públicas permiten la vigilancia en espacios abiertos.

  Datos biométricos

  El tratamiento de datos biométricos debe cumplir las condiciones de “necesidad” y “proporcionalidad” del RGPD. Por ejemplo, el acceso de un empleado a una zona muy sensible solo con una tarjeta de identificación, sin un segundo factor de identificación, sería inadecuado. Además, los reguladores belgas también pueden requerir el consentimiento explícito de las personas cuya información biométrica se recopila y procesa, un desafío en el lugar de trabajo privado dado el desequilibrio de poder entre el empleador y el empleado. Cuando un empleador permite a los empleados elegir entre una serie de métodos de autenticación (tarjeta de identificación física, PassApp o PassApp con integración biométrica) y el empleado selecciona por sí mismo un método biométrico, puede ser más fácil cumplir la norma.

  Requisitos técnicos que deben tenerse en cuenta

  colocación de la cámara con cuidado de modo que no se dirija a una ubicación para la cual no se procesan los datos (por ejemplo, en la vía pública);

  • restricción del acceso a las personas obligadas a mantener la confidencialidad y solo cuando sea necesario;
  • restricciones para compartir imágenes con terceros, salvo por exigencia política o legal;
  • eliminación de imágenes después de 1 mes, a menos que se requieran como prueba de un delito o daño.
• Finlandia

  Finlandia tiene dos leyes que regulan la vigilancia con cámaras: la Ley de Protección de la Intimidad en la Vida Laboral (2004/79) y el Código Penal de Finlandia (1889/39). La primera permite el uso de cámaras de vigilancia con los siguientes fines:

  • proteger a los empleados y otras personas en el lugar de trabajo; - supervisar el correcto funcionamiento de los procesos de producción, o
  • prevenir o investigar situaciones que puedan ponerlos en peligro.

  Las limitaciones a la vigilancia con cámaras pueden aplicarse a la vigilancia de un empleado o empleados determinados en el lugar de trabajo o en lugares donde se prevé que haya intimidad: baños, vestuarios u otros lugares similares.

  En general, los empleadores pueden utilizar la vigilancia en el lugar de trabajo cuando sea fundamental para lo siguiente:

  • prevenir una clara amenaza de daño o peligro para un empleado;
  • prevenir o investigar delitos contra la propiedad si el trabajo del empleado es manejar dinero, valores u objetos de valor, o
  • proteger a un empleado que será objeto de vigilancia.

  El Código Penal de Finlandia prohíbe la observación ilícita, es decir, mirar o grabar ilegalmente a una persona con una cámara, en un lugar privado (por ejemplo, el baño, el vestidor u otro lugar similar protegido por normas de privacidad doméstica) o que esté cerrado al público. La protección no se extiende a los lugares públicos a los que el público tiene libre acceso. Las áreas protegidas por la privacidad doméstica incluyen un departamento residencial y una habitación de hotel donde se aloja una persona, eventos privados, otras reuniones cerradas al público y una estancia en un hospital.

• Francia

  En Francia, no existen leyes específicas sobre las cámaras, pero existen directrices reguladoras sobre la biometría. Los organismos reguladores franceses pueden considerar si existen soluciones menos invasivas para los interesados, como una tarjeta de identificación física o una llave de entrada, como primer paso para determinar si la recopilación de datos biométricos es apropiada.

  En el contexto laboral, pueden aplicarse restricciones (o requisitos) al uso de la cámara, como las siguientes: - grabación o transmisión de una imagen en un lugar privado sin consentimiento - por lo general, no está permitido filmar en los siguientes lugares: - los puestos de trabajo, salvo cuando los empleados manipulen dinero u objetos de valor - áreas de descanso de los empleados - baños - oficinas sindicales o de representantes del personal

  • se debe notificar antes de utilizar la videoseguridad (por ejemplo, a través de una política de privacidad de RR. HH.)
  • cuando las cámaras se utilicen para controlar la actividad de los empleados, es posible que sea necesario consultar al comité de empresa Si las cámaras están destinadas a grabar un lugar abierto al público (áreas de entrada y salida públicas, zonas comerciales), podrían aplicarse disposiciones del Código de Seguridad Interna de Francia, en particular, que su uso está sujeto a autorización previa
• Alemania

  En Alemania, además de las leyes de privacidad, también pueden ser aplicables otras leyes locales, como la Ley de Derechos de Autor Artísticos, el Derecho Penal, la Ley de Policía y la Ley de Asambleas. Estas leyes restringen lo siguiente:

  • la distribución o la exhibición pública de imágenes sin el consentimiento de la persona captada, excepto en casos de interés público (por ejemplo, imágenes de un acto delictivo);
  • la grabación de áreas privadas (por ejemplo, dormitorios y baños), de personas vulnerables (víctimas de violencia) o de tal manera que dañe la reputación (en ausencia de un interés público primordial; por ejemplo, las artes, la ciencia, la investigación o la enseñanza);
  • el uso por parte de la policía de grabaciones de video para detectar patrones de comportamiento (que se borrarán a las 72 horas), y vigilancia de protestas y reuniones.
• Países Bajos
  El tratamiento de datos biométricos debe cumplir las condiciones de “necesidad” y “proporcionalidad” del RGPD. Por ejemplo, el acceso de un empleado a una zona muy sensible solo con una tarjeta de identificación, sin un segundo factor de identificación, sería inadecuado. Además, los organismos reguladores neerlandeses también pueden exigir el consentimiento explícito de las personas cuya información biométrica se recopila y procesa, lo que supone una complicación en el lugar de trabajo privado dado el desequilibrio de poder entre el empresario y el empleado. Cuando un empleador permite a los empleados elegir entre una serie de métodos de autenticación (tarjeta de identificación física, PassApp o PassApp con integración biométrica) y el empleado selecciona por sí mismo un método biométrico, puede ser más fácil cumplir la norma.
• Suecia

  Además del RGPD, la Ley sueca de Vigilancia con Cámaras (Sw. Kamerabevakningslagen) impone obligaciones adicionales y requiere que los clientes obtengan autorizaciones en algunas circunstancias. Se aplica a las cámaras instaladas en Suecia (tanto si la empresa que explota las cámaras está en Suecia como si no e independientemente de si se utilizan datos biométricos). Se requiere autorización previa si la vigilancia se llevará a cabo en el desempeño de tareas de interés público y dependerá de la ubicación de las cámaras. Por ejemplo, la vigilancia del patio y las entradas de una escuela puede requerir autorización previa, pero la vigilancia de las aulas o los pasillos normalmente no.

  Si se requiere una autorización, la empresa (cliente de Verkada) debe completar un formulario específico. El formulario está disponible (solo) en sueco aquí. El formulario debe incluir lo siguiente:

  • identidad de la empresa que llevará a cabo la vigilancia o indicar si será gestionada por un tercero (lo determina el cliente);
  • objetivo de la vigilancia (lo determina el cliente);
  • descripción de la vigilancia, en particular, el equipo, el lugar, la zona y el tiempo (lo determina el cliente);
  • evaluación de la necesidad de la vigilancia y de la proporcionalidad de la vigilancia en relación con su propósito (lo determina el cliente)
  • evaluación de los riesgos para la privacidad y la descripción de las medidas de mitigación (algunas de las prácticas de Verkada ayudarán a los clientes a demostrar cómo se mitigan los riesgos para la privacidad, por ejemplo, la eliminación de grabaciones de video);
  • si no lo hace una autoridad pública, qué ley u otra normativa, convenio colectivo o decisión proporciona una base jurídica para la vigilancia con cámaras:
  • si se aplica en el contexto laboral, debe presentarse al mismo tiempo un dictamen de un representante de seguridad, un comité de seguridad o una organización que represente a los trabajadores en el lugar de trabajo;
  • los clientes pueden verse beneficiados si inician un diálogo con la autoridad antes de solicitar la autorización y mantienen una comunicación periódica durante todo el proceso.
• Reino Unido

  Las cámaras y la biometría

  El organismo regulador de la privacidad en el Reino Unido, la ICO, ha publicado directrices específicas para las organizaciones que utilizan la videoseguridad, incluidos CCTV, el reconocimiento automático de matrículas (ANPR), la tecnología de reconocimiento facial y los datos biométricos. La guía es exhaustiva y proporciona, por ejemplo:

  • Es probable que siempre se necesite la Evaluación de impacto de la protección de datos (DPIA), incluso si no se utiliza la biometría, debido a los riesgos de privacidad inherentes a los sistemas de vigilancia
  • El procesamiento de datos confidenciales, como datos biométricos, requiere un “documento de política apropiado” separado en el que se expliquen los procedimientos para cumplir con los principios del RGPD y la política de retención y borrado (que se actualizará periódicamente hasta seis meses después de que finalice el procesamiento)
  • Se mantengan registros de los documentos de procesamiento (requisito de documentación del RGPD)
  • en el lugar de trabajo:
  • puede ser necesaria la consulta con los empleados, especialmente durante el proceso de EIPD
  • las cámaras deben estar dirigidas a áreas particulares de riesgo
  • debe justificarse el monitoreo continuo
  • deben ofrecerse alternativas al reconocimiento biométrico
  • el uso de CCTV para la prevención del delito también requiere una tarifa de protección de datos a la ICO; el registro y el pago se pueden realizar en línea (consulte aquí para

  obtener más información).

  Requisitos técnicos a tener en cuenta

  • el audio debe estar desactivado de forma predeterminada; solo se pueden usar en circunstancias excepcionales
  • las medidas de seguridad deben incluir:
  • acceso restringido y capacidad de hacer copias
  • protecciones suficientes cuando los sistemas están conectados a una red
  • controles de divulgación a terceros
  • capacitación de los empleados
  • aviso de que el uso indebido de los sistemas de vigilancia podría equivaler a un delito penal
  • Al utilizar ANPR, las bases de datos deben mantenerse actualizadas, precisas y de calidad suficiente para evitar discrepancias
  • las cámaras (y cualquier algoritmo utilizado) deben tener calidad suficiente para evitar la identificación errónea de una marca de matrícula de vehículo
  • Relacionado con la DPIA al reconocimiento facial debe explicar las medidas antisesgo
  • cuando se utilizan tecnologías de reconocimiento facial u otros usos de los datos biométricos, los clientes deben poder proporcionar:
  • una explicación de "fundamento legal" de por qué el uso es necesario o de interés público
  • por qué se han descartado opciones menos invasivas
  • una evaluación de la probabilidad de que se cumplan los objetivos del uso de tecnologías de reconocimiento facial y
  • una explicación de cómo se medirá su eficacia.
• Corea del Sur

  La Ley de Protección de Información Personal (PIPA) de Corea del Sur impone normas sobre la recopilación y el uso de información personal, en particular la “información biométrica” confidencial, como la geometría facial utilizada para realizar el reconocimiento facial.

  Sector privado:

  • Requisito de consentimiento: se requiere un consentimiento explícito y específico para que las entidades del sector privado recopilen o procesen datos biométricos.
  • Aviso: se debe informar claramente a las personas sobre los datos que se recopilan y la finalidad de estos.

  Sector público:

  • Excepciones limitadas: la ley PIPA proporciona excepciones limitadas para el uso de datos biométricos por parte del sector público (por ejemplo, fuerzas del orden, salud pública, seguridad nacional).
  • Evaluaciones de privacidad: antes de implementar el reconocimiento facial, es fundamental realizar una evaluación del impacto o el riesgo de privacidad para demostrar la necesidad, el uso proporcional y la gobernanza adecuada.

  Lugar de trabajo:

  • Consentimiento documentado: los empleadores que utilizan el reconocimiento facial deben obtener un consentimiento específico, claramente documentado.
  • Prácticas recomendadas: los métodos recomendados incluyen el consentimiento firmado o los reconocimientos interactivos en línea.
  • Acceso alternativo: se deben ofrecer opciones de tarjeta de acceso u otras alternativas si no se concede el consentimiento.
  • Consentimiento del visitante: en el caso de los visitantes, se debe obtener el consentimiento explícito y por separado al registrarse antes de utilizar el reconocimiento facial.

  Para obtener más información sobre las medidas de seguridad, la retención de datos y las evaluaciones de impacto en la privacidad (PIA) para implementaciones a gran escala o de alto riesgo en Corea del Sur, consulte las Directrices de la Comisión de Protección de Información Personal sobre la Protección de Información Biométrica (versión en coreano disponible aquí).

• Nueva Zelanda

  La Ley de Privacidad de Nueva Zelanda de 2020 (Ley) rige la recopilación y el uso de información personal a través de 13 principios de privacidad de la información. Estos principios establecen cómo se deben procesar los datos personales y otorgan a las personas el derecho a acceder a su información y revisarla.

  Si bien la Ley no clasifica específicamente la información biométrica, el Comisionado de Privacidad ha lanzado un Código de privacidad del procesamiento de datos biométricos (el Código). El Código, que aborda las actividades de procesamiento de datos biométricos, entrará en vigor para los nuevos sistemas biométricos el 3 de noviembre de 2025. Los sistemas de procesamiento existentes tienen hasta el 3 de agosto de 2026 para cumplir con la normativa. Se aplican exclusiones limitadas al Código, incluidas las agencias de salud (como se define en el Código de privacidad de la información de salud), agencias específicas de inteligencia/seguridad y dispositivos de consumidores utilizados para fines personales.

  El Código no exige el consentimiento explícito para recopilar información biométrica de una persona. En su lugar, se basa en los principios de notificación, transparencia y uso justo para informar a las personas sobre la recopilación de sus datos biométricos y para regir su uso. En particular, la guía del Comisionado de Privacidad (que se detalla a continuación) indica que, en general, se permite el uso de datos biométricos para gestionar listas de vigilancia (listas de personas cuya información se registra en un sistema biométrico para alertas) en entornos minoristas, siempre que se cumplan todas las demás condiciones. Entre ellas, se incluyen aspectos como los siguientes:

  • Demostrar necesidad y proporcionalidad: justificar que los beneficios de usar los datos biométricos superan los riesgos de privacidad a través de una “Evaluación de privacidad”.
  • Finalidad de implementación y limitaciones de conservación: usar los datos biométricos solo para los fines establecidos y conservarlos solo durante el tiempo que sea razonablemente necesario.
  • Garantizar el aviso y la transparencia: proporcionar un aviso claro y transparente del procesamiento antes del punto de recolección o en este, e informar si hay alguna alternativa al procesamiento biométrico disponible.
  • Implementar medidas de seguridad de privacidad para las listas de vigilancia biométricas: antes de implementar una lista de vigilancia, considere implementar la conservación cero para los datos que no coincidan, informar las personas de su inscripción en la lista de vigilancia si es seguro hacerlo (o publicar sobre la existencia de una lista de vigilancia en su sitio web si no lo es), proporcionar un mecanismo público para impugnar su inclusión en la lista de vigilancia y recurrir a la supervisión humana para ayudar a garantizar la precisión antes de tomar medidas.
  • Capacitación y gobernanza: tomar medidas para garantizar que sus operadores estén debidamente capacitados, que se cuente con supervisión humana y que los sistemas biométricos se prueben y auditen periódicamente.
  • Medidas de seguridad: implementar medidas de seguridad adecuadas para la información biométrica recopilada y asegurarse de que estas medidas estén documentadas en los acuerdos con los proveedores.

  También se recomiendan los programas piloto de prueba para reunir la evidencia que falta para demostrar que su programa es eficaz y cumple con los requisitos de necesidad y proporcionalidad.

  Para obtener recursos útiles de la Oficina del Comisionado de Privacidad, consulte la Guía sobre el cumplimiento del Código.

• Australia

  La Ley de Privacidad de 1988 (Ley), basada en 13 Principios de Privacidad de Australia (APP), rige la recopilación y el uso de información personal. Describe cómo se deben tratar los datos personales y otorga a las personas el derecho a acceder a su información y revisarla. Según la Ley, la información biométrica se clasifica como “información confidencial”, sujeta a obligaciones más estrictas para su recopilación y uso. El procesamiento de datos biométricos requiere el consentimiento individual explícito previo a su recopilación, excepto en casos de riesgo inminente y grave para la vida, la salud o la seguridad, o la realización de actividades ilícitas.

  Para acogerse a esta excepción, los usuarios deben cumplir los siguientes requisitos:

  • Aviso y transparencia: La captura de datos biométricos se debe divulgar públicamente, y se debe indicar con claridad cuándo y dónde se produce el procesamiento. Esto incluye información sobre la naturaleza y el alcance del procesamiento, los períodos de conservación de los datos biométricos y los datos de contacto para el seguimiento.
  • Proporcionalidad: La recopilación de datos biométricos debe ser “razonablemente necesaria” y proporcionada, con el objetivo de evitar el procesamiento indiscriminado.
  • Evaluación de privacidad: Se requiere una evaluación de impacto que documente la necesidad del procesamiento de datos biométricos para abordar riesgos graves para la vida o la propiedad, o para prevenir actividades ilegales graves.
  • Gobernanza: Deben existir políticas claras para guiar a los usuarios del sistema, que deben estar debidamente capacitados en el uso de la tecnología.
  • Auditoría: La actividad de los usuarios debe estar sujeta a supervisión y monitoreo para garantizar el cumplimiento de la política.

La información que aparece en este sitio web se ofrece únicamente con fines informativos y no constituye, ni pretende constituir, asesoramiento legal sobre ningún asunto. Al consultar esta información, el lector entiende que no existe ninguna relación del tipo abogado-cliente entre el lector y el editor, y que no debe utilizarse como reemplazo del asesoramiento legal de un abogado profesional autorizado. Es posible que la información de este sitio web no sea la más actualizada desde el punto de vista legal o de otro tipo. Este sitio web contiene enlaces a otros sitios web de terceros. Dichos enlaces se incluyen únicamente para facilitar la consulta del lector, usuario o navegador. Verkada no recomienda ni avala el contenido de los sitios de terceros. Se sugiere a los lectores que consulten a sus propios asesores jurídicos para obtener orientación legal con respecto a asuntos legales particulares.