Data protection, come cambia la sicurezza

Proteggere un sito in cui viene esercitata un’attività produttiva o la propria abitazione è sempre più necessario a causa dei cambiamenti sociali che stanno caratterizzando la società occidentale ma a questa esigenza si contrappone, almeno nei paesi europei, una disciplina dei dati personali che è da sempre orientata alla limitazione dei trattamenti, anche ove le finalità siano assolutamente condivisibili e giustificate.

I provvedimenti del Garante, pur manifestando ampia apertura ai dispositivi di protezione, hanno reso più stringente l’adozione di sistemi d’allarme e videosorveglianza c.d. “intelligenti”, cioè in grado di interpretare i comportamenti degli utenti ed operare il riconoscimento automatico degli individui.

Se all’interno dell’abitazione l’utilizzo di un sistema di allarme combinato con un sistema di videosorveglianza incontra solo il divieto di comunicare e diffondere le immagini registrate (Parere del’Autorità Garante n. 113990 del 7.3.2017), configurandosi un utilizzo per fini esclusivamente personali (resta però l’obbligo di garantire l’adeguata sicurezza delle registrazioni), nelle aree soggette a pubblico passaggio o nei siti destinati ad attività produttive, soprattutto se in presenza di dipendenti al lavoro, la disciplina è decisamente complessa e l’installazione ha bisogno di essere adeguatamente valutata per non incorrere in sanzioni e risarcimenti. 

Fino a quando non sarà entrato in vigore il nuovo Regolamento Europeo 679/2016 si continueranno ad osservare regole poste dal Provvedimento Generale sulla Videosorveglianza dell’8 aprile 2010 e le indicazioni del Garante desumibili dai successivi interventi (newsletter, pareri, provvedimenti specifici). Dal 25 maggio 2018, invece, cambieranno molte cose, come ad esempio l’obbligo di inserire la videosorveglianza nel registro dei trattamenti operati dal titolare, di procedere all’analisi dei rischi e all’adozione delle contromisure necessarie a garantire l’adeguata protezione dei dati, di comunicare entro 72 ore all’Autorità Garante la violazione dell’archivio contenente le immagini registrate dagli impianti. Le cose si complicano non solo per installatori e fruitori degli impianti, che dovranno garantire, in base al principio della “data protection by default”, che gli apparati sono stati configurati per ridurre al minimo la quantità dei dati trattati e i rischi connessi al trattamento, in relazione alle finalità perseguite (operazione di valutazione e di documentazione della valutazione che appare decisamente complessa), ma anche per i produttori, ora soggetti all’obbligo di garantire che i prodotti sono stati progettati e realizzati per ridurre al minimo i rischi connessi al trattamento (data protection by design). 

A ciò si aggiunge la necessità di osservare le norme sul rapporto di lavoro, che fanno dipendere dalla valutazione della Direzione Territoriale del Lavoro l’installazione degli impianti di videosorveglianza, e di bilanciare comunque la finalità del trattamento (che solitamente si individua nella tutela del patrimonio e delle persone) con le soluzioni tecnologiche in concreto adottate.

Per il controllo degli accessi ad una centrale operativa di un istituto di vigilanza, ad esempio, potrebbe risultare giustificato sia il riconoscimento biometrico tramite lettore di impronte digitali, sia l’utilizzo di un sistema di videosorveglianza interno, associato ad un software di registrazione degli eventi e delle attività degli operatori, individuati anche tramite credenziali univoche di accesso ai sistemi e profili di autorizzazione nell’accesso ai dati. L’uso di software di analisi comportamentale potrebbe risultare idoneo per la sorveglianza di un Istituto di Credito, essendo in grado di distinguere l’occasionale sollevamento del braccio da parte di un cliente che deve attirare l’attenzione di un cassiere, dalla condotta di chi alza le mani al cielo durante una rapina, mentre l’uso del lettore di impronte digitali, determinando un trattamento su larga scala dei dati biometrici dei clienti, è già stato escluso dal Garante, in quanto ritenuto sproporzionato rispetto alle finalità perseguite.

Per l’uso di videocamere digitali collegate in rete è ormai indispensabile garantire la sicurezza dei dati, tramite la cifratura delle immagini, fin dal momento dell’acquisizione, e la trasmissione delle stesse tramite canali sicuri di comunicazione (VPN e protocollo HTTPS). La conservazione dei filmati dev’essere ugualmente assistita da un sistema di cifratura che consenta solo ai soggetti autorizzati di accedere ai dati, in base agli incarichi affidati, con tempi e poteri limitati, ad esempio, in caso di accesso per manutenzione.

La diffusione di DVR che implementano web server, per permettere la gestione dei dati anche dall’esterno della struttura sorvegliata, aumenta il fattore di rischio relativo all’accesso non autorizzato e alla sottrazione, e deve essere compensato con misure di sicurezza adeguate, oltre che giustificato in relazione alle esigenze del trattamento. Le informative e la modulistica aziendale dovranno essere adeguate alla nuova disciplina e il Data Protection Officer, obbligatorio per le aziende che eseguono trattamenti su larga scala e per la Pubblica Amministrazione, dovrà ponderare e documentare, assieme al titolare, ogni scelta operata (e quindi anche quelle relative ai sistemi di allarme e videosorveglianza), per poter far fronte ad eventuali incidenti e, soprattutto, ai controlli che inevitabilmente si intensificheranno con l’entrata in vigore del Regolamento Europeo 679/2016.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *