COME PROGETTARE UN SISTEMA DI VIDEOSORVEGLIANZA CONFORME AL GDPR?
Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676- 1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videsorveglianza, definendone i requisiti minimi di prestazione: l’ambiente video; la funzione di gestione del sistema; La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema.
Un sistema di videosorveglianza, osservano i Garanti Europei, prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati.
Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione, la trasmissione e l’utilizzo.
In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati, nell’elaborare le proprie politiche e procedure di videosorveglianza titolari del trattamento dovranno definire:
– A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza;
– La finalità e l’ambito di applicazione del progetto di videosorveglianza;
– Gli utilizzi consentiti e quelli vietati;
– Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata;
– La durata delle registrazioni video;
– Le modalità di conservazione delle videoregistrazioni;
– La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza;
– Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa;
– Le procedure in caso di data breach;
– Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi;
– Le procedure per la manutenzione del sistema di videosorveglianza; Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza, l’integrità e la disponibilità.
Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare:
– La protezione dell’intera infrastruttura del sistema TVCC contro manomissioni fisiche e furti;
– La protezione dei canali di trasmissione;
– La cifratura dei dati;
– L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici;
– Il rilevamento di guasti di componenti, software e interconnessioni;
– L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici.
Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability).
Fonte: Federprivacy – Articolo di Marco Soffientini, Data Protection Officer di Federprivacy.