Lo que las empresas constructoras necesitan saber sobre el RGPD y las leyes de privacidad: anonimización de fotografías y vídeos

Łukasz Bonczol
1/2/2023
Toda empresa constructora europea debe cumplir con los requisitos de protección de datos descritos en el RGPD. Esta pregunta es especialmente importante hoy en día, cuando las obras de construcción están llenas de vigilancia y vigilancia por vídeo que aumentan la seguridad de los trabajadores y de la obra. Además, siempre hay una extensa documentación fotográfica para los fines del proyecto (por ejemplo, la obtención de los permisos necesarios). ¿Cómo pueden las empresas que operan en este sector cumplir todos los requisitos de protección de datos impuestos por el RGPD?

Hasta hace poco, las empresas constructoras tenían las mismas obligaciones que cualquier otra entidad según el RGPD. Tenían que proteger los datos personales de sus empleados, proveedores y contratistas. En muchos casos, soluciones relativamente sencillas, como la transmisión de datos cifrada, copias de seguridad periódicas y bases de datos protegidas por contraseña, fueron suficientes. Por supuesto, también tenía que haber un DPO (delegado de protección de datos) responsable de adaptar los procedimientos de la empresa a los requisitos legales.

Pero eso es sólo el comienzo de la protección de datos en las empresas de construcción, especialmente teniendo en cuenta el hecho de que ahora necesitan recopilar y procesar gigabytes de datos visuales, que a menudo contienen imágenes de invitados, funcionarios, trabajadores, otros empleados e incluso personas al azar y matrículas de automóviles.

Datos fotográficos recopilados por empresas constructoras.

Hoy en día, las cosas son más complicadas, ya que las empresas constructoras procesan enormes cantidades de datos visuales (tanto vídeos como fotografías). Estos materiales se utilizan para:

  • Elaborar planos, planos y diseños.
  • Aumentar la seguridad de los trabajadores y garantizar que sigan las normas de seguridad.
  • Vigilar a las personas que entran y salen del local.
  • Proteja el equipo de construcción (el letrero de monitoreo 24 horas al día, 7 días a la semana puede desalentar muchos robos potenciales)
  • Documentar el progreso del trabajo, los materiales usados y las soluciones aplicadas.

Esto es especialmente crucial cuando se trata de grandes proyectos de infraestructura, como:

  • Carreteras y autopistas
  • Ferrocarriles
  • Parques eólicos
  • Tuberías
  • Depósitos de agua artificiales
  • Proyectos agrícolas y de transformación del suelo.

Algunas de estas imágenes son fotografías muy especializadas (por ejemplo, fotografías panorámicas y fotografías de 360 grados). Con frecuencia se toman utilizando equipos especializados montados en vehículos, similares a los utilizados en la cartografía móvil. En otras situaciones, el proceso de documentación de la obra es mucho más sencillo. Quizás algunas fotografías incluso sean tomadas por el personal con sus cámaras digitales o incluso con sus teléfonos inteligentes. Y, por supuesto, en teoría, se puede instruir a los trabajadores para que eviten tomar fotografías que contengan personas o vehículos con matrículas visibles, pero eso no siempre es posible.

Es muy probable que al menos en algunas de las fotografías que procesa una empresa constructora aparezcan personas o vehículos. Las empresas constructoras deben ser conscientes de que todas estas imágenes están sujetas a las normas de protección de datos descritas en el RGPD. Incluso si la empresa opera fuera de la Unión Europea, lo más probable es que exista una regulación similar en un país determinado con disposiciones similares.

¿Cómo pueden las empresas constructoras cumplir con estas normas?



Protección de datos personales: Retos y obligaciones

Toda empresa constructora europea está obligada a operar en pleno cumplimiento del RGPD. ¿Qué significa en la práctica?

EL DERECHO DE ACCESO A LOS DATOS PERSONALES

En este caso, una de las cuestiones que las empresas constructoras deben recordar es el derecho de acceso del interesado (art. 15). No hace falta decir que literalmente cualquiera puede ser el sujeto de los datos, ya que las cámaras de CCTV pueden "captar" incluso a los transeúntes que miran el nuevo edificio en construcción. Dedicamos una de nuestras últimas publicaciones a la cuestión de los derechos de acceso a los datos en el blog Gallio.PRO: Artículo 15 del RGPD y monitorización de vídeo: obligación de compartir las grabaciones.

ALMACENAMIENTO DE DATOS DE MANERA SEGURA

Los materiales de vídeo y fotografías que contengan datos personales no se pueden almacenar de ninguna forma ni en ningún lugar. Estos activos deben protegerse para que no caigan en manos equivocadas. Seguramente nadie quiere tener problemas porque se han filtrado imágenes con las caras visibles de trabajadores, transeúntes y funcionarios locales o gubernamentales. Por lo tanto, las empresas constructoras deben asegurarse de que:

  1. Todos los datos visuales se almacenan en una ubicación segura protegida por control de acceso.
  2. Existe una política de acceso y protección de datos específica y adaptada a las necesidades de cada empresa.
  3. Todos los datos visuales (y no visuales) que contienen personas y vehículos están protegidos con contraseñas y otras medidas de ciberseguridad relevantes (por ejemplo, firewall).
  4. Los datos personales no se almacenan más tiempo del necesario y hay alguien responsable de los cronogramas y procedimientos de retención de datos (en general, una vez que los materiales que contienen datos personales logran ciertos objetivos comerciales, o después de un “tiempo razonable”, deben eliminarse).

THE PROPORTIONALITY RULE

Es importante destacar que las grandes empresas que recopilan datos visuales con regularidad y a gran escala deben garantizar procedimientos y soluciones de seguridad aún más rígidos. Esto se debe a la llamada regla de proporcionalidad.

Cuantos más datos personales almacene una determinada empresa, más medidas de seguridad deberán implementarse.

Considere este ejemplo: hay dos empresas de comercio electrónico. Una es una pequeña tienda con una base de datos de unos pocos miles de clientes y la otra es un líder del mercado con cientos de miles de clientes y suscriptores de boletines. El reglamento GDPR (principalmente su principio de proporcionalidad) implica que cada entidad grande tiene que protegerse mejor, establecer más procedimientos, emplear especialistas en protección de datos y pagar por medidas de seguridad más avanzadas. Además, estas empresas necesitan normas más estrictas para informar de incidentes y, en caso de incidente, están sujetas a sanciones mucho más altas, incluso por negligencia menor.

Además, la regla de proporcionalidad ordena que solo se recopilen y procesen datos personales que sean adecuados y relevantes para los fines del procesamiento.

SHARING PERSONAL DATACOMPARTIR DATOS PERSONALES

Las empresas constructoras normalmente quieren o incluso necesitan compartir los datos visuales recopilados con otras entidades, incluidas:

  • Clientela
  • Contratistas
  • Autoridades
  • e incluso los medios

En teoría, cada una de estas situaciones requiere la firma de acuerdos de encomienda de datos separados, que establezcan claramente qué tipo de datos personales se transfieren a un tercero, por qué y bajo qué condiciones. Según dicho acuerdo, la parte receptora tiene las mismas obligaciones que la parte proveedora, especialmente en lo que respecta a garantizar la total seguridad de los datos recibidos.

Cómo evitar estos problemas

Todos estos desafíos y obligaciones enumerados anteriormente desaparecen casi por completo cuando existe la opción de eliminar personas y matrículas de fotografías y grabaciones. ¿Significa esto, sin embargo, que es necesario deshacerse por completo de dichos materiales? Afortunadamente, no. Existe una solución más segura y eficaz: la anonimización de los datos

Una vez que los datos visuales se anonimizan, la empresa no necesita preocuparse por cuestiones de privacidad relacionadas con estos materiales. Esto se debe a que todos los datos personales incluidos en el material fotográfico o de vídeo han sido "neutralizados" y, por lo tanto, ya no están sujetos al RGPD.


ANONIMIZACIÓN DE DATOS VISUALES - POSIBLES OPCIONES

De la forma más sencilla, las empresas constructoras pueden anonimizar sus imágenes manualmente. Incluso un sencillo software gráfico puede ser suficiente. Sin embargo, esta solución se vuelve ineficaz, costosa y requiere mucho tiempo cuando es necesario anonimizar cientos o incluso miles de archivos.

Afortunadamente, existe una segunda opción, más eficaz: el software automatizado de anonimización de datos. Los algoritmos de inteligencia artificial generalmente impulsan dicho software, por lo que estas herramientas son muy efectivas para detectar datos personales (rostros, matrículas) y anonimizarlos aplicando un filtro de desenfoque permanente en la imagen/grabación.

Por supuesto, ningún software de anonimización es 100% preciso (aunque el nivel de precisión suele ser cercano al 100%), pero incluso si la herramienta no logra anonimizar una cara de, por ejemplo, 10.000 caras anonimizadas, el procesador de datos puede al menos al menos afirmar que han tomado todas las medidas adecuadas para proteger los datos personales en sus materiales visuales. Y esta podría ser una línea de defensa eficaz que mitigue la gravedad de posibles multas y sanciones.

DOS TIPOS DE SOFTWARE DE ANONIMIZACIÓN DE DATOS

Hay dos opciones principales para las empresas constructoras que buscan anonimizar sus materiales visuales de forma eficaz:

  • Soluciones basadas en la nube: La principal desventaja de estas herramientas es que la empresa aún necesita firmar el acuerdo de transferencia de datos (el usuario debe enviar imágenes y videos a servidores de terceros) con el proveedor para poder utilizar estas herramientas de manera legal. El uso de plataformas basadas en la nube sin acuerdos de suministro de datos adecuados sigue violando el RGPD.
  • Soluciones locales: son más lentas que las herramientas en la nube, pero como funcionan sin conexión, no hay riesgo de fuga de datos personales y, por lo tanto, no es necesario firmar ningún acuerdo adicional. Los datos permanecen dentro de la empresa durante todo el proceso. En este escenario, la empresa cumple al 100% con el RGPD en lo que respecta a la anonimización de datos.

SOLUCIONES DE ANONIMIZACIÓN A MEDIDA

Además, algunas soluciones locales de nivel industrial requieren implementaciones dedicadas en los servidores de la empresa constructora, mientras que otras se entregan como un "contenedor" que se puede ejecutar dentro del servidor del cliente. Esta configuración normalmente requiere personal de TI capacitado e implica costos adicionales de implementación/servicio. Este tipo de soluciones de anonimización son razonables casi exclusivamente para flujos de trabajo industriales continuos y a gran escala (más bien no para empresas de construcción que necesitan anonimizar materiales en lotes asociados con proyectos específicos), especialmente cuando ocurre solo de vez en cuando cuando se entrega material a terceros (contratistas o clientes).

La facilidad de uso es otro factor vital aquí. Para algunas aplicaciones, el uso de una solución de servidor dedicado implica procesos complejos de implementación y configuración. Aquí es donde una solución de escritorio sencilla tiene una clara ventaja. Cualquier usuario, incluso los menos expertos en tecnología, puede instalar dicho software de escritorio en cualquier computadora con Windows/Mac.

Sin embargo, los algoritmos de IA que impulsan estas aplicaciones de escritorio suelen ser tan potentes como los de las soluciones personalizadas.

DIFERENTES OPCIONES DE PRECIOS

El precio también es algo que se debe tener en cuenta. Cuando se trata de software de anonimización, existen varios modelos de precios. Los más populares son los siguientes:

  • Pagar para usar
  • Tarifa plana combinada con una licencia por tiempo limitado

Los propietarios de empresas deben asegurarse de elegir el modelo de precios adecuado a las necesidades de su empresa para poder anonimizar todos los archivos relevantes y no pagar de más por el acceso a una herramienta seleccionada.

Resumen: Las empresas constructoras deben cuidar la anonimización de los datos

En el entorno legal actual, todas las empresas constructoras europeas deben tomar las medidas necesarias para minimizar los datos y, cuando corresponda, anonimizarlos. Esto implica eliminar/difuminar caras y matrículas en todas las fotos y vídeos. Anonimizar los datos visuales ayuda a evitar costos organizacionales adicionales, posibles riesgos y problemas legales causados por malas prácticas en la protección de datos.

Si, después de leer esta publicación, todavía hay algunas preguntas, generalmente es mejor ponerse en contacto con el asesor de cumplimiento de privacidad local o la institución de protección de datos local.