Además de la respuesta de Simon, el RGPD se trata más de procesos que de sistemas de TI si lo observa con más detalle. Claro, hay algunas cosas técnicas allí (principalmente cifrado y seudonimización), pero en su mayor parte dicta lo que se le permite hacer con los datos. Tenga en cuenta para todo lo que sigue, que no soy un abogado, solo alguien que tiene algo de experiencia preparando su GDPR.
TL; DR: los dispositivos en sí mismos no pueden ser conformes o no con ellos mismos. Sin embargo, las cámaras pueden ser complicadas. Con respecto a su pregunta de certificación, la respuesta parece no ser todavía .
Algunas cosas generales sobre GDPR
En primer lugar, define un mecanismo de suscripción específico para los datos del cliente. Esto significa que, como entidad legal de procesamiento de datos, deberá mantener un registro del cliente que otorga ese consentimiento y ese consentimiento debe especificar qué datos usará y para qué fines lo está utilizando. Ver Wiki secciones 2.4 y 2.5 .
En segundo lugar, le da al usuario el derecho expreso de obtener todos los datos que la compañía ha almacenado sobre él o ella. Eso significa que se deben proporcionar todos los datos en cada sistema que puedan vincularse al usuario específico. Se puede imaginar que en compañías más grandes donde todo tipo de sistemas contienen datos que de alguna manera están conectados a un usuario que es una molestia. Supongo que Netflix se divierte con eso si miras sus sistemas:
Fuente (Diapositiva 12)
Los siguientes artículos continúan para otorgar el derecho de rectificar datos incorrectos y borrarlos por completo, por supuesto, solo si ninguna otra ley requiere que conserve los datos (por ejemplo, leyes fiscales o de auditoría de facturas).
Por supuesto, hay toneladas de trampas en los otros cuarenta y tantos artículos de los primeros cincuenta que definen sus responsabilidades y derechos del consumidor que ni siquiera he mencionado. Como no poder poner los datos en ningún lugar donde no se cumplan los estándares de la UE, que si lees la cosa parece estar en todas partes, ciertamente no en los EE . UU .
Consideraciones de cámara
Otra cosa interesante que podría afectar a un dispositivo es el artículo 32, "seguridad de procesamiento", que es un poco confuso, pero si su cámara está frente a un edificio médico, se podría argumentar que necesita cifrado de extremo a extremo con cifrado de todos los datos en reposo en la cámara también.
Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de una probabilidad y severidad variables para los derechos y libertades de las personas físicas, el controlador y el procesador deberán implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas, entre otras, según corresponda:
(a) la seudonimización y el cifrado de datos personales;
(b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de procesamiento;
(c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico;
(d) un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.
Dado que, después de la legislación de la UE, la imagen de una persona se considera (afortunadamente) datos personales, es probable que deba seudonimizar o cifrar las imágenes o el video.
En certificaciones
No he podido encontrar ninguno que se base en la propia regulación. Por supuesto, hay un montón de personas que le venden "certificaciones" con sonido GDPR, pero ninguna (que pude encontrar) parece cumplir con los requisitos de la regulación a partir de hoy.