Repercusiones del RGPD en los contenidos digitales

December 04, 2024 | 8 minutes read
Repercusiones del RGPD en los contenidos digitales

En nuestro último artículo analizamos el impacto general del RGPD en las empresas. En este artículo nos centraremos en el impacto sobre los contenidos y activos digitales en poder de las empresas que, en última instancia, estarán sujetas al nuevo reglamento.

La “persona física” y las solicitudes de purga

El RGPD define a las personas físicas como aquellos ciudadanos que tienen inquietudes en materia de datos y privacidad, que superan a las inquietudes en materia de datos y privacidad de empresas, gobiernos y otras organizaciones. En resumen, si el ciudadano no quiere que una entidad tenga datos que se asocian personalmente a él, puede solicitar a esa entidad que los elimine. Aunque las políticas internas para atender esas solicitudes siguen estando (en cierto modo) bajo el control de las empresas, existe una metodología de cumplimiento que deben seguir para demostrar que han atendido la solicitud.

Con arreglo a la Ley de Protección de Datos, a la que sustituye el RGPD, las personas presentaban una solicitud de acceso del sujeto (SAR) en la que se pedían los distintos datos que una empresa determinada tenía sobre esa persona, qué hacía con ellos, cuándo y cómo se había accedido a ellos, etcétera. La misma solicitud forma parte del GDPR, pero también exige a las empresas que divulguen si han enviado datos a terceros y ha eximido de las tasas que tradicionalmente se cobraban a los ciudadanos, con excepciones relativas a “solicitudes amplias, vagas y prolongadas”.

Esto significa que el coste de producir resultados para los ciudadanos es ahora responsabilidad de las empresas, y también significa que tienen que exponer potencialmente cualquier relación que tengan con otras organizaciones, empresariales o no, que les soliciten datos que puedan ser identificables con una persona concreta. Un ejemplo obvio serían las agencias de cobro, pero otro menos obvio podría ser que una empresa tenga un pequeño contrato con una agencia gubernamental que recopila datos sobre clientes financieros en general, como los típicos solicitantes de crédito, y que parte de ese proceso de encuesta implique la transmisión de algunos datos de identificación personal a la agencia gubernamental, que a su vez los sanea antes de la recopilación estadística.

El GDPR concede una excepción a este tipo de intercambio de datos en el Artículo 1, Párrafo 62, donde se establece que los fines históricos y estadísticos (entre otros) es una razón válida para procesar datos y parece abarcar el intercambio legal de esos datos.

Como ya se ha dicho, los verdaderos quebraderos de cabeza no serán necesariamente los datos de identificación personal u otros datos documentales. En su lugar, se centrará en el contenido digital, en forma de archivos de audio, imagen y vídeo que poseen las empresas y que proceden de sistemas de seguridad, tecnologías de grabación de salas y sistemas de acceso. Aquí es donde el RGPD realmente dejará huella.

Cómo procesan las empresas los contenidos digitales

La mayoría de las empresas tienen un sistema de videovigilancia en sus instalaciones, y el objetivo es identificar a las personas que intentan robar o perjudicar a la empresa. Todo, desde las pintadas hasta el espionaje empresarial, se graba en vídeo y se utiliza posteriormente para exigir responsabilidades.

La mayoría de los contenidos de vídeo no se conservan durante mucho tiempo. De hecho, la mayoría de los sistemas están diseñados para purgar los contenidos no solicitados al cabo de varios días, con el fin de mantener espacio de almacenamiento para los contenidos actuales en el sistema. Esto en sí mismo puede aliviar la gestión de grandes cantidades de contenido para satisfacer un SAR. Sin embargo, algunas empresas tienen que conservar estos contenidos durante períodos más largos. Puede ser por muchas razones, como que el contenido implique un incidente grave no relacionado con los que aparecen en el fotograma. Y el GDPR garantiza que todas las personas que aparecen en el encuadre tienen derecho a no ser identificadas en el contenido, incluso si la empresa tiene motivos legítimos para conservar el contenido.

Los sistemas de vídeo no vienen con herramientas de posproducción, aparte de una función básica de descarga/grabación, que suele dirigirse a un disco físico de algún tipo. Si vamos a trabajar con contenidos y normativas digitales en el siglo XXI, necesitamos herramientas que reflejen esa realidad.

Herramientas para contenidos digitales

Software de reconocimiento: teniendo en cuenta que un SAR puede diseñarse para abarcar intervalos de fechas completos, se necesita la capacidad de escanear contenidos de audio, imagen y vídeo de forma automatizada, probablemente mediante un algoritmo que funcione a partir de principios de correspondencia. En un SAR, el ciudadano tendrá que proporcionar los medios adecuados para identificarse en el contenido que le preocupa. Las muestras de audio, las imágenes fijas e incluso los vídeos grabados desde distintos ángulos pueden utilizarse en el software de reconocimiento para examinar todo el contenido que tenga en su infraestructura de almacenamiento y, a medida que se vayan acumulando coincidencias, podrá identificar manualmente al ciudadano, verificar su existencia en el contenido y comenzar a preparar todo el contenido aplicable para su siguiente herramienta, el software de redacción.

Software de redacción: este es el software que hará que su eficacia sea mayor o menor que cualquier otra cosa. Hay muchos programas de redacción a la venta. Muchos de ellos utilizan la tecnología fotograma a fotograma, lo que significa que para este tipo de trabajo tendrá que gastar mucho dinero en mano de obra o servicios profesionales para conseguir que el contenido cumpla con la RAE del ciudadano. En cambio, en estas situaciones es muy importante utilizar software de redacción con algoritmos automatizados. Es muy posible que se trate de un único RAS que incluya más de 40 archivos, 15 de los cuales son archivos de vídeo con más de 10.000 fotogramas, y que todos ellos necesiten algún tipo de redacción. Las cifras nos indican que no será un trabajo de un día. Pero la redacción basada en algoritmos significa que el trabajo de redacción de vídeo podría hacerse ese mismo día, lo que probablemente dejaría mucho tiempo para completar los archivos de audio.

Cuanto más pueda hacer el software el trabajo por usted, más fácil le resultará gestionar las solicitudes. Esto libera de tensión a su personal, de sus preocupaciones por el cumplimiento de la normativa, y reduce el tiempo de respuesta necesario para lograr el resultado de atender la petición del ciudadano. Sin embargo, el trabajo no termina sólo con cumplir con la retirada del ciudadano en cuestión. Como siempre, hay que documentar lo ocurrido. Y si su software no crea informes que estipulen los resultados de la búsqueda y las verificaciones (del software de reconocimiento), y el trabajo de mejora completado (del software de redacción), entonces no estará cumpliendo la segunda mitad del GDPR, que requiere que se registre que este trabajo se ha realizado, de conformidad con la normativa, y que su metodología para cumplir la solicitud es sólida.

Los informes tienen que capturar automáticamente lo que su software está haciendo, colocar esas actividades en un orden lógico (línea de tiempo), y luego darle la capacidad de archivar esos informes en ubicaciones separadas en su infraestructura de almacenamiento. Porque el GDPR crea protocolos de auditoría a los que las empresas deben adherirse, y esos informes son los que le salvarán de una multa importante (¡hasta el cuatro por ciento de los beneficios de su empresa!) y demostrarán que ha reunido las mejores prácticas cuando se trata de dar servicio a los SAR del GDPR.

Estos informes tienen que reflejar la fecha y hora en que se localizó el contenido, dónde se localizó, la fecha y hora en que se creó, quién lo localizó, dónde estaba cuando lo localizó (dirección IP) y cómo lo gestionó para el procesamiento de SAR. A continuación, tiene que informar de la parte de cotejo manual, indicando por qué se seleccionó el contenido para el SAR, frente a por qué otros contenidos pueden no haber sido seleccionados (no cumplían los criterios, etc.), y por el lado de la redacción tiene que registrar toda la misma información, pero en el contexto de dónde se redactó, plazos de redacción, marcos totales, por quién, y qué se hizo finalmente con el contenido terminado en ese punto.

Una vez finalizado este contenido, el GDPR exigirá que se elimine el archivo original. Si usted como empresa tiene una necesidad pruriginosa de conservar el original, o la copia redactada, asegúrese de que está documentando esas razones en un informe separado, y en qué parte del GDPR se puede encontrar su excepción.

Conclusiones

Puede que este artículo haga fácil la idea de procesar contenidos digitales para el cumplimiento del GDPR, pero es cualquier cosa menos eso. El cumplimiento del GDPR va a convertirse en última instancia en un proceso evolutivo. Pero puede estar seguro de que si tiene grandes cantidades de contenido digital, necesitará un software de reconocimiento y redacción. Con suerte, te adelantarás a la normativa y conseguirás un software que hará que este proceso sea lo menos doloroso posible.

Cuídate.

Related Reads

what-is-the-colorado-privacy-act
December 04, 2024 | 7 minutes read
La Ley de Privacidad de Colorado y sus nuevos requisitos

La Ley de Privacidad de Colorado protege la privacidad y los datos personales de los residentes del estado al regular su uso en Internet.

Conozca Más »
hb-3746-an-update-to-data-breach-notifications-in-the-state-of-texas
December 04, 2024 | 5 minutes read
Uuna actualización de la ley de violación de datos en Texas

El proyecto de ley HB 3746 modifica y actualiza las leyes de notificación de violación de datos en el estado para mejorar la transparencia y la protección.

Conozca Más »
what-is-the-childrens-internet-protection-act
December 04, 2024 | 4 minutes read
La Ley de Protección de la Infancia en Internet

La Ley de Protección de Menores en Internet (CIPA), aprobada en 2000, regula el acceso de menores a contenidos nocivos u ofensivos en Internet.

Conozca Más »
traditional-video-editing-software-vs-machine-learning-software
December 04, 2024 | 8 minutes read
Evoluciones en software de edición y soluciones geniales

La edición de vídeo es el proceso de manipular secuencias grabadas para crear contenido coherente, generalmente para su difusión al público a través de medios.

Conozca Más »
female-real-estate-agent-and-a-senior-couple-discu-NUECSFV
December 04, 2024 | 8 minutes read
Lo que el OCR puede hacer por su empresa

Las empresas de todo el mundo buscan mejores formas de automatizar o acelerar el procesamiento de documentos, y la tecnología OCR ofrece una solución.

Conozca Más »
Doctor checking medical records
December 04, 2024 | 9 minutes read
Intervención y redacción de los centros de crisis

El Departamento Federal de Salud y Servicios Humanos (HHS) aprobó la normativa HIPAA en 1996 para proteger la información médica privada de los pacientes.

Conozca Más »