Regolamento GDPR per la videosorveglianza

20/09/2018 18.31.12
Condividi:
Regolamento GDPR per la videosorveglianza

Le implicazioni del GDPR (Regolamento generale europeo sulla protezione dei dati) per la videosorveglianza.

Il Regolamento generale sulla protezione dei dati (GDPR) è un insieme di regole che disciplina tutti i dati personali conservati da un’organizzazione. Lo scopo del GDPR è quello di garantire ad ogni individuo la proprietà dei suoi dati personali. Ed impone quindi a tutte le organizzazioni che li detengono, una responsabilizzazione in tutte le fasi del trattamento e della conservazione dei dati. Il GDPR concede quindi vari diritti alle persone ed impone obblighi corrispondenti a tutte le organizzazioni che trattano i loro dati.

Cosa sono i “dati personali”?

I dati personali sono tutte le informazioni relative ad una persona identificata o identificabile. Una persona identificabile è qualunque soggetto che possa essere identificato direttamente o indirettamente, facendo riferimento a elementi come nome, cognome, dati geografici, indirizzi IP o cookie, oppure ad uno o più fattori specifici di identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale.

Ambito geografico del GDPR

Il GDPR si applica sempre al trattamento dei dati personali da parte di un’azienda che ha sede nell’Unione Europea. Ma si applica anche se l’azienda non ha sede nella UE, ma i dati trattati riguardano persone che vivono nell’Unione. Dunque, il regolamento europeo ha un’evidente portata globale.

Le varie responsabilità per le organizzazioni.

Tutte le organizzazioni che trattano o conservano dati personali devono assumersi la responsabilità di garantire la conformità delle loro operazioni al GDPR.

Il GDPR classifica le organizzazioni in due categorie: titolari del trattamento dei dati e responsabili del trattamento dei dati.

Il titolare del trattamento è chi determina lo scopo e le modalità di trattamento dei dati personali. Ad esempio, può essere il proprietario di un punto vendita che utilizza un sistema TVCC per finalità di sorveglianza. 

Il responsabile del trattamento è chi tratta i dati personali per conto del titolare del trattamento e secondo le sue istruzioni. Un responsabile del trattamento può essere un'azienda che gestisce i dati raccolti da un sistema TVCC per conto e secondo le istruzioni di una persona che possiede il sistema di sorveglianza, ad esempio il titolare di un punto vendita.

Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

Secondo il GDPR, il titolare del trattamento ha l'obbligo di adottare misure tecniche od organizzative specifiche per implementare i principi di tutela dei dati definiti dal documento. Il GDPR definisce questo concetto protezione dei dati fin dalla progettazione. Nel caso di una telecamera, un esempio rilevante di protezione dei dati fin dalla progettazione potrebbe essere una funzione che consenta digitalmente all'utente di limitare l'acquisizione delle immagini a un certo perimetro, impedendo alla telecamera di acquisire immagini esterne ad esso.

Il titolare del trattamento ha anche l'obbligo di adottare misure tecniche od organizzative che, per default, garantiscano il trattamento meno intrusivo possibile dei dati personali ai fini della privacy: il GDPR definisce questo concetto protezione per impostazione predefinita. Nel caso di una telecamera, un esempio rilevante di protezione per impostazione predefinita potrebbe essere una funzionalità che inviti automaticamente un utente a impostare il perimetro esatto di acquisizione dell'immagine, come nell'esempio riportato sopra.

Il regolamento concede anche alle persone il diritto di essere informate della raccolta dei dati in ogni punto di acquisizione e delle modalità di utilizzo dei dati. Nel caso della videosorveglianza, ad esempio, questo significa esporre opportuni cartelli nell'area monitorata e in quelle circostanti.

Come incide sulla videosorveglianza il GDPR?

Nella misura in cui contenga dati personali, la videosorveglianza è soggetta alle disposizioni del GDPR.

Effetti del GDPR sull'uso delle apparecchiature di sorveglianza (telecamere e soluzioni).

Per quanto riguarda i prodotti e le soluzioni commercializzate da noi della Security Leader, è l'utente (in quanto titolare del trattamento) ad avere la responsabilità di garantire che qualsiasi utilizzo che preveda il trattamento dei dati personali sia conforme al GDPR. Questo significa che, nel caso dei prodotti e delle soluzioni, la conformità o eventuali infrazioni del GDPR dipendono in genere dall'uso che ne fa il cliente.

Come requisito minimo, ogni organizzazione che tratta dati personali dovrà designare uno o più responsabili per verificare che siano gestiti in conformità al GDPR e alla politica dell'azienda (il numero di incaricati dipende dalle dimensioni dell'impresa e dalla quantità di dati personali raccolti e trattati). Inoltre, per alcune organizzazioni il GDPR richiede la nomina formale di un responsabile della protezione dei dati (DPO, Data Protection Officer) per tali attività.

Sono inoltre previsti cambiamenti nel processo amministrativo. Ai sensi del GDPR, le organizzazioni devono tenere registri dettagliati e accurati delle attività di trattamento dei dati. È obbligatorio registrare una serie di dati tra cui (a titolo esemplificativo):

  • la categoria di persone alla quale si riferiscono i dati personali trattati (es. clienti, dipendenti, visitatori in negozio, ecc.);
  • Le finalità per le quali si utilizzano i dati personali;
  • L'eventuale trasferimento dei dati personali ad altre aziende e/o fuori dall'Unione europea;
  • Il periodo di conservazione dei dati personali;
  • Le misure adottate dall'organizzazione per ogni singola attività di trattamento dei dati per garantire la conformità al GDPR

Quanto elencato sopra è rilevante per la videosorveglianza archiviata.

Le organizzazioni sono obbligate a spiegare perché una telecamera si trovi in un particolare punto, che cosa viene ripreso e perché. Nel caso della videosorveglianza, è necessario esporre opportuni cartelli nell'area monitorata e in quelle circostanti.

Il titolare del trattamento può essere obbligato a condurre una valutazione d'impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment) prima di installare una telecamera in un luogo pubblico. La valutazione deve includere (voci da stabilire specificamente a seconda dei casi):

> Descrizione sistematica delle operazioni di trattamento previste e delle finalità del trattamento

> Valutazione della necessità e della proporzionalità delle operazioni di trattamento in rapporto alle finalità

 > Valutazione dei rischi per i diritti e la libertà delle persone

 > Misure previste per contrastare tali rischi, compresi meccanismi e garanzie per assicurare la protezione dei dati personali e la conformità al GDPR (tenendo in considerazione i diritti e gli interessi legittimi delle persone e di altre figure coinvolte)

Uno dei punti fermi del nuovo regolamento è che le persone monitorate devono essere pienamente informate sul tipo di dati conservati e sulle modalità di utilizzo.

Il regolamento definisce chiaramente alcune regole basilari sulla crittografia e sulle modalità di protezione dei dati. Il fatto che i dati siano disponibili sotto forma di video non altera questo requisito.

Le aziende che archiviano i video, dunque, hanno responsabilità chiare per quanto riguarda la custodia dei dati personali e devono adottare misure efficaci per prevenire gli accessi non autorizzati. Questo significa che è importante definire per iscritto chi avrà accesso alle telecamere e alle registrazioni.

Le organizzazioni devono anche prevedere un'apposita procedura se una persona sceglie di esercitare il suo diritto ad accedere ai dati personali o ne richiede la cancellazione. In tal modo, possono rispettare la scadenza di un mese entro la quale devono soddisfare queste richieste, come previsto dal GDPR. In questi casi è ragionevole aspettarsi che il richiedente fornisca informazioni accurate per individuare i dati, indicando ad esempio un intervallo temporale preciso e il luogo in cui sono state acquisite le riprese.

Le aziende devono adottare misure efficaci per prevenire gli accessi non autorizzati ai dati personali che custodiscono. Le strategie utilizzate da ogni azienda varieranno in base alle singole criticità; tuttavia, in tutti i casi le aziende dovranno svolgere controlli di sicurezza efficaci, adottare prassi ottimali e aggiornate per la cyber security e lavorare con partner affidabili che forniscano hardware/software sicuri e un'assistenza completa.

 

Conclusioni

In ultima battuta, è l'utente delle apparecchiature, delle soluzioni e dei servizi di sorveglianza a essere responsabile della conformità al GDPR e della salvaguardia dei diritti delle persone di cui tratta i dati. Le organizzazioni che in questo senso hanno fatto poco o niente dovranno adeguarsi al più presto. Quelle che invece hanno agito preventivamente e prestato attenzione alle responsabilità definite dal regolamento hanno meno da preoccuparsi.

Per gli utenti di apparecchiature, soluzioni e servizi di sorveglianza, è dunque importante collaborare con fornitori e rivenditori che si impegnino a rispettare e salvaguardare la privacy e a tutelare i dati personali. Inoltre, occorre anche poter contare sull'aiuto e sull'assistenza tecnica di fornitori e rivenditori per agevolare la conformità al GDPR.