Adicionando à resposta de Simon, o GDPR é mais sobre processos do que sistemas de TI, se você o examinar com mais detalhes. Claro, existem algumas coisas técnicas (principalmente criptografia e pseudonimização), mas, na maior parte, determina o que você pode fazer com os dados. Lembre-se de tudo o que se segue, que eu não sou advogado - apenas alguém com alguma experiência em preparar suas coisas para o GDPR.
TL; DR: os próprios dispositivos não podem ser compatíveis ou não com eles mesmos. As câmeras podem ser complicadas. Em relação à sua pergunta sobre certificação, a resposta parece não ser ainda .
Algumas coisas gerais sobre o RGPD
Antes de tudo, define um mecanismo de aceitação específico para os dados do cliente. Isso significa que, como entidade legal de processamento de dados, você precisará manter um registro do cliente que concede esse consentimento e esse consentimento deve especificar quais dados serão usados e para quais finalidades eles serão utilizados. Consulte as seções 2.4 e 2.5 do Wiki .
Em segundo lugar, concede ao usuário o direito expresso de obter todos os dados que a empresa armazenou sobre ele. Isso significa que todos os dados em todos os sistemas que podem ser vinculados ao usuário específico devem ser fornecidos. Você pode imaginar que em empresas maiores, onde todos os tipos de sistemas mantêm dados que de alguma forma estão conectados a um usuário que é meio aborrecido. Eu acho que a Netflix se diverte com isso, se você olhar para os sistemas deles:
Fonte (Slide 12)
Os artigos a seguir dão o direito de retificar dados incorretos e apagá- los completamente - é claro, apenas se nenhuma outra lei exigir que você mantenha os dados (por exemplo, leis tributárias ou de auditoria de contas).
É claro que há muitas armadilhas nos outros quarenta e poucos artigos dos primeiros cinquenta que definem suas responsabilidades e direitos do consumidor que eu nem mencionei. Como não poder colocar os dados em nenhum lugar onde os padrões da UE não sejam atendidos - que, se você ler, a coisa parece estar em toda parte, certamente não nos EUA .
Considerações sobre a câmera
Outra coisa interessante que pode afetar um dispositivo é o artigo 32 - "segurança do processamento" - que é um pouco confuso, mas se sua câmera estiver na frente de um edifício médico, pode-se argumentar que você precisa de criptografia de ponta a ponta com a criptografia de todos os dados em repouso na câmera também.
Tendo em conta o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento, bem como o risco de probabilidade e severidade variáveis dos direitos e liberdades das pessoas físicas, o controlador e o processador devem implementar Medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, entre outros, conforme apropriado:
(a) pseudonimização e criptografia de dados pessoais;
(b) a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento;
(c) a capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico;
(d) um processo para testar regularmente, avaliar e avaliar a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
Como após a legislação da UE a imagem de uma pessoa é (felizmente) considerada como dados pessoais, você provavelmente precisará pseudonimizar ou criptografar as fotos ou o vídeo.
Em certificações
Não consegui encontrar nenhum baseado no próprio regulamento. É claro que existem muitas pessoas que vendem a você "certificações" que parecem GDPR, mas nenhuma (que eu pude encontrar) parece atender aos requisitos do regulamento até hoje.