Impianti di videosorveglianza aziendale, quando è necessaria la valutazione d’impatto - Riskmanagement

Normative europee

Impianti di videosorveglianza aziendale, quando è necessaria la valutazione d’impatto

In base al principio dell’accountability, la valutazione di impatto privacy rappresenta un valido strumento a supporto dell’articolo 35 del GDPR al fine di poter usare le immagini nel pieno rispetto dei diritti degli interessati

28 Gen 2021

Alberto Stefani

data protection officer, consulente cybersecurity

Attraverso la Data Protection Impact Assessment DPIA, altrimenti detta valutazione d’impatto, il titolare del trattamento effettua l’analisi dei rischi dei trattamenti posti in essere all’interno della propria organizzazione. In questo caso ci riferiamo a un ipotetico impianto di videosorveglianza aziendale finalizzato alla protezione del proprio patrimonio da possibili accessi illeciti, furti e danni a cose o persone.

Il titolare quindi, prima di iniziare il trattamento, deve obbligatoriamente analizzare le possibili conseguenze derivanti dalla gestione dei dati e se questa, in qualche modo, possa compromettere le libertà e i diritti degli interessati. Esistono tante tipologie di trattamenti che per caratteristiche e tipologie devono subire una DPIA perché la loro gestione può comportare un rischio per i diritti e le libertà degli interessati.

Naturalmente in tale processo gioca un ruolo fondamentale il DPO che deve assistere il titolare del trattamento fornendogli tutte le informazioni necessarie a gestire una valutazione puntuale e precisa.

La valutazione del rischio, da realizzare per ogni singolo trattamento, dovrà portare il titolare a decidere in autonomia se sussistono rischi elevati relativi al trattamento, in assenza dei quali potrà procedere oltre.

Nel caso in cui il titolare del trattamento ritenesse che sussistono rischi per le libertà e i diritti degli interessati, dovrà necessariamente individuare misure specifiche per eliminare o quantomeno attenuare il più possibile tali rischi. Il titolare dovrà determinare tali rischi e indicare le proprie valutazioni nel registro dei trattamenti ossia in uno dei documenti cardine di tutto l’impianto normativo imposto dal GDPR. Il titolare, oltre a farsi affiancare dal DPO nello svolgimento di compiti così complessi e tecnici può, in riferimento al paragrafo 9 dell’art. 35, prevedere la possibilità di consultare gli interessati coinvolti, per le valutazioni sull’eventuale invasività del trattamento.

Dando per assodata la conformità legale del trattamento da porre in essere, occorre ricordare che questa deve essere obbligatoriamente rispettosa del GDPR, delle indicazioni riguardanti la protezione dei dati, dei limiti imposti dalle norme in materia di tutela dei lavoratori e di tutta la disciplina di cui l’INL (Ispettorato Nazionale del Lavoro) ne è garante e controllare al fine di tutelare tutti i lavoratori da possibili abusi operati dai sistemi di controllo durante l’attività lavorativa.

Come funziona un sistema di videosorveglianza aziendale

Un sistema di videosorveglianza comprende l’insieme delle telecamere installate all’interno o all’esterno di uno spazio e il sistema di gestione che registra le immagini, le mostra ai responsabili della sicurezza e traccia qualsiasi attività di elaborazione non-real time.

WHITEPAPER
Quali sono le minacce digitali che mettono in pericolo le vendite al dettaglio?
Retail
Sicurezza

Il dato (le immagini) rimane salvato per il tempo indicato dalla normativa in vigore (24 ore) ma può essere esteso fino a una settimana per la protezione dei dati personali per poi essere successivamente eliminato in modo sicuro automaticamente al termine del periodo impostato, a meno che l’operatore non lo estragga manualmente per i casi che richiedono un esame approfondito (ad esempio un allarme di sicurezza durante le ore non lavorative, ecc.).

Anche l’accesso alle immagini registrate segue una ferrea disciplina in materia codificata da opportuni provvedimenti del Garante della Protezione dei Dati al fine di garantire la tutela delle informazioni e rispetto della privacy di tutti gli interessati.

Le caratteristiche del trattamento

Ricordiamo anche che tutto il personale della sicurezza che opera sulla piattaforma deve aver ricevuto una formazione specifica sulle funzioni della stessa e sugli obblighi derivanti dalla posizione ricoperta. Si presume che vengano utilizzate le migliori precauzioni al fine di evitare l’accesso, la modifica o la cancellazione non autorizzata ai dati in essa contenuti.

Sarà quindi necessario installare un sistema che possa registrare i log di accesso al sistema di registrazione e impostare una doppia password di cui una parte detenuta dalla proprietà dell’azienda e conseguentemente dell’impianto di registrazione e una parte da un rappresentante dei lavoratori eletto dagli stessi.

Considerata quindi la base legale su cui poggiare le azioni di ripresa delle immagini è possibile passare all’analisi del rischio che ha come passo iniziale, l’individuazione del trattamento in essere andando a completare un elenco delle caratteristiche del trattamento stesso che possano nel modo più preciso possibile identificare le seguenti caratteristiche:

  • Dati personali oggetto del trattamento: immagini e video di persone fisiche (dipendenti e visitatori)
  • Finalità del trattamento: sicurezza fisica del personale, di visitatori o del patrimonio aziendale
  • Soggetti interessati: dipendenti, visitatori
  • Mezzi impiegati per il trattamento: sistema di videosorveglianza, NVR, ecc.
  • Destinatari dei dati: titolare del trattamento e suoi incaricati

La valutazione d’impatto di un sistema di videosorveglianza

La valutazione d’impatto sulla protezione dei dati è un processo che il titolare del trattamento deve effettuare quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie (come i sistemi di videosorveglianza), considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 GDPR). In questa fase è necessario considerare i parametri RID (riservatezza, integrità e disponibilità) relativi ad un’eventuale compromissione del dato.

Perdita di riservatezza

Nell’ambito dell’operazione di trattamento specifica, l’impatto della perdita di riservatezza è considerato basso, in quanto in alcuni casi, come ad esempio l’indesiderato rilevamento della presenza di un particolare visitatore, può comportare solo limitati disagi.

Perdita di integrità e disponibilità

La perdita di integrità è piuttosto difficile che possa verificarsi (da un punto di vista tecnico) in questo caso particolare, poiché richiederebbe la manipolazione delle immagini video che abbiamo visto avere una protezione elevata per legge. L’impatto anche in questo caso è considerato basso.

Perdita di disponibilità

La perdita di disponibilità si riferisce alla indisponibilità (totale o temporale) delle riprese video. L’impatto è considerato basso e si potrebbe anche affermare che non vi sia alcun impatto per le persone (poiché la perdita di filmati potrebbe essere un problema per l’organizzazione che effettua le riprese ma non per le persone che vengono registrate.

Il risultato complessivo della valutazione di impatto del sistema di videosorveglianza risulta quindi essere basso.

Oltre alle ipotesi formulate in questo esempio, potrebbero esserci casi in cui l’impatto complessivo potrebbe essere diverso, sensibilmente superiore da quello calcolato sopra.

A titolo puramente dimostrativo possiamo ipotizzare un contesto in cui la ripresa delle immagini in determinate zone potrebbe rivelare o dedurre informazioni sensibili, come ad esempio esplicitare alcuni dati personali di tipo particolare così come definiti secondo l’articolo 9 del GDPR in relazione allo stato di salute, alle credenze religiose, alle preferenze politiche o sessuali. In tale caso la valutazione precedentemente data dovrebbe subire una differente valutazione.

Probabilità di occorrenza di una minaccia

Dovendo a questo punto dare un valore coerente alla probabilità del verificarsi di una minaccia relativamente al trattamento dei dati considerato, è possibile formulare le seguenti valutazioni:

  • Risorse tecniche e di rete: la probabilità di occorrenza della minaccia è bassa, poiché si presume che il sistema non sia connesso ad Internet e che vengano utilizzate le migliori precauzioni per impedire l’accesso non autorizzato.
  • Procedure relative al trattamento dei dati personali: la probabilità di occorrenza della minaccia è bassa, poiché si presuppone che siano chiaramente definiti i ruoli e le responsabilità del responsabile della sicurezza uniti ad a una politica di utilizzo accettabile e che qualsiasi attività di elaborazione eseguita venga tracciata su appositi file di log.
  • Persone coinvolte nel trattamento dei dati personali: la probabilità del verificarsi delle minacce è bassa poiché i dipendenti non possono trasferire, archiviare o elaborare i dati provenienti da telecamere all’esterno delle sedi dell’organizzazione, mentre risulta chiaramente accettabile l’utilizzo della rete e del sistema di ripresa
  • Settore di operatività e scala/dimensione del trattamento: la probabilità di occorrenza della minaccia è bassa sia perché ad esempio il settore di mercato dell’organizzazione considerata non è generalmente soggetto ad attacchi ti tipo informatico, sia perché in passato non è stata registrata alcuna violazione di dati personali e sia perché il trattamento non riguarda un numero elevato di individui.

Valutazione del rischio di un sistema di videosorveglianza

Tenuto conto dei risultati della valutazione di impatto e della probabilità di occorrenza delle minacce, il rischio viene calcolato sulla base delle tecniche conosciute e attualmente in uso per tale obiettivo.

È necessario notare che il rischio potrebbe essere diverso (medio o alto) in condizioni direttamente correlate ad uno specifico trattamento di dati e influire sull’impatto o sulla probabilità di occorrenza della minaccia.

Come ultima considerazione è d’obbligo notare che nel provvedimento generale del Garante emanato l’8 aprile 2010 si prevedeva una serie di casistiche che andavano sottoposte a verifica preliminare e queste, considerate alla luce del GDPR, sono direttamente riconducibili all’articolo 35 GDPR.

• Sistemi di videosorveglianza abbinati a dati biometrici;

• Impianti dotati di software, che consentono il riconoscimento delle persone;

• Sistemi di tipologia “intelligente” ossia che non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli ed eventualmente registrarli;

• Eventuali necessità di allungamento dei tempi di conservazione delle immagini oltre il previsto termine massimo di sette giorni;

Conclusioni

Concludiamo affermando che in base al principio dell’accountability relativo al dovere del titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per riuscire a dimostrare che il trattamento è effettuato conformemente al Regolamento, la valutazione di impatto privacy rappresenta un valido strumento a supporto dell’articolo 35 dello stesso al fine di poter usare le immagini del sistema di videosorveglianza nel pieno rispetto dei diritti degli interessati.

WHITEPAPER
Rete, sicurezza e digital workplace: un nuovo modello per il lavoro agile
Networking
Network Security
@RIPRODUZIONE RISERVATA
S
Alberto Stefani
data protection officer, consulente cybersecurity
Argomenti trattati

Approfondimenti

D
data protection
G
GDPR

Articolo 1 di 5