ABIRT - Advisor Board Italiano dei Responsabili del Trattamento dei dati personali

Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player

I NOSTRI REFERENTI

Forum aderenti

Username:
Password:

Video

FORUMPA 2013: intervento dell'avv. Garrisi (Vice Coordinatore ABIRT)


Sanità digitale: la recente Direttiva 2012/52/UE e la posizione di ANORC


Intervista avv. Andrea Lisi ICT Security 17/10/2012


Giovanni Buttarelli, intervento in merito al nuovo Regolamento Europeo sulla protezione dei dati


Tavola rotonda IDSecurity 2012 - "Furto dell'identità digitale e diritto all'oblio"



Archivio video
  • ANORC

Videosorveglianza, IT e sicurezza informatica allo stato dell'arte

News 10/01/2013

di Avv. Valentina Frediani - Coordinatore nazionale ABIRT
pubblicato su Information Security - Anno 3 - Numero 16 - Dic 2012

La sicurezza è una delle esigenze più sentite dai cittadini sia nella sfera pubblica che privata. L'aumento degli episodi di criminalità a danno di persone e proprietà ha dato una svolta decisiva alla diffusione dei sistemi di videosorveglianza, autentici occhi artificiali a supporto del cittadino e delle Autorità. Installati per prevenire, scoraggiare e – in caso di necessità – reprimere eventuali reati o infrazioni a danni di persone o cose questi "guardiani" elettronici rappresentano soprattutto preziosi strumenti per tutelare il bene privato e la sicurezza pubblica, utilizzati per incrementare la protezione e l'incolumità degli individui e della proprietà. 

La proliferazione dei sistemi di ripresa ha dato vita, negli anni, ad un'accesa dialettica sul rapporto fra sicurezza e tutela della riservatezza dei cittadini. L'impiego di impianti di videosorveglianza trova infatti limiti alla sua diffusione soprattutto in relazione all'uso distorto che se ne potrebbe fare, in particolare nell'ambito dell'ambiente di lavoro, attraverso un utilizzo indiscriminato di telecamere che, in assenza delle necessarie precauzioni, possono violare il diritto di ognuno alla privacy, trasformandosi in uno strumento invasivo e illegale.

Preme sottolineare che la definizione di dato personale fa riferimento a qualsiasi informazione in grado di identificare la persona, compresi le immagini e i suoni. Il Decreto Legislativo 196/2003 (Codice privacy),  pertanto risulta applicabile anche ai trattamenti di immagini effettuati attraverso la videosorveglianza.
Per tale ragione il Garante si è pronunciato più volte sulla questione, nell'ottica di disciplinare la spinosa questione e dar vita ad una normativa in grado di intervenire su eventuali interferenze illecite nella vita privata del cittadino, compresa la sfera lavorativa.

Le cautele da osservare ogni qual volta si decide di video-filmare un determinato spazio sono numerose e talvolta di non semplice applicazione. Prima di scendere nel merito degli aspetti inerenti la sicurezza, preme ricordare  che grazie al provvedimento emanato dal Garante in materia di protezione dati personali, possono essere riassunti  i principali punti da osservare e le precise modalità operative a cui attenersi, tenendo sempre ben presente i principi esposti dalle norme vigenti in materia di privacy. Il primo aspetto da considerare riguarda il posizionamento delle telecamere e il loro livello di risoluzione, vale a dire la capacità di rendere riconoscibili i soggetti ripresi: esse infatti dovrebbero essere disposte e impostate in modo tale da poter registrare soltanto le immagini indispensabili per perseguire lo scopo dichiarato.

Altro elemento fondamentale da non trascurare sono i termini di conservazione delle immagini: i termini di conservazione previsti non devono superare le 24 ore successive alla rilevazione, fatte salve esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici ed esercizi. Solo in alcuni casi, per peculiari esigenze tecniche – vedi i mezzi di trasporto - o per la particolare rischiosità dell'attività svolta dal titolare del trattamento - ad esempio, per alcuni luoghi come le banche - può risultare giustificata una conservazione che superi i termini delle 24, potendo per alcune attività arrivare a conservare le immagini per 7 giorni. Oltre tale termine occorre richiedere una specifica autorizzazione all'Autorità Garante. Ciò comporta decisamente alcune riflessioni in merito alla tipologia di impianto da selezionare. È essenziale affidarsi a sistemi che prevedano misure tecniche ed organizzative per la cancellazione – anche in forma automatica – delle registrazioni allo scadere del termine previsto per la registrazione

Vediamo ora che cosa invece è previsto in materia di sicurezza. All'argomento certamente occorre applicare gli articoli del Codice privacy, 31 e ss, che prevedono espressamente che i  dati raccolti mediante sistemi di videosorveglianza debbano essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini. Anzitutto, l'impianto deve essere concepito affinché sia possibile adottare  specifiche misure tecniche ed organizzative che consentano al titolare di verificare l'attività espletata da parte di chi accede alle immagini o controlla i sistemi di ripresa. Al momento dell'installazione dell'impianto, devono essere individuati i ruoli di ciascun operatore, con attribuzione di credenziali di autenticazione differenziate a seconda delle competenze: da chi amministra il sistema, a chi può effettuare estrapolazione delle immagini o sola visualizzazione. Questo aspetto della sicurezza si ripercuote anche sull'aspetto documentale, dove le nomine di ciascun incaricato dovranno corrispondere nei contenuti, alle autorizzazioni attribuite a ciascun profilo. Resta inteso che le credenziali di accesso dei profili dovranno essere conformi alle norme in materia di credenziali di autenticazione, e quindi essere composte da minimo otto caratteri ed essere modificate per lo meno ogni tre mesi (per il semplice principio secondo cui anche la videosorveglianza può comportare il trattamento di dati sensibili in caso di ripresa di persone diversamente abili). La sicurezza sarà da ricercarsi indubbiamente anche nell'obbligo da imporre agli incaricati di non comunicare le proprie credenziali né utilizzarle indistintamente tra di loro (la sicurezza effettiva passa banalmente dalla sussistenza della cultura sulla sicurezza!). 
 
In merito agli amministratori di sistema, benché poco vi si faccia riferimento in ambito di videosorveglianza, il provvedimento emanato il 27 novembre 2008 è tutt'ora in vigore, e ciò comporta una necessaria adozione delle misure ivi stabilite. In particolare, gli amministratori di sistema saranno soggetti alla raccolta log in merito agli accessi al sistema, con storicizzazione minimo sino a sei mesi dei log stessi. Così come annualmente il Responsabile dovrà provvedere ad effettuare la verifica tecnica, organizzativa e di sicurezza in merito alle attribuzioni dei ruoli ed alla conservazione dei log stessi.

Tornando ai principi generali in materia di sicurezza, occorre certamente sottolineare come le misure non possano che essere proporzionate – e quindi esposte a variabilità – a seconda del trattamento posto in essere e della risoluzione sussistente (una bassa risoluzione che non consente riconoscibilità comportando un trattamento anonimo consente di evitare una serie di misure). Ci sono però delle misure minime ed imprescindibili cui qualsiasi titolare di un trattamento di immagini, deve attenersi.

Secondo quanto previsto dal Provvedimento, laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione. Questo principio trae origine in modo evidente dalla volontà del Garante di limitare un abuso o un uso eccessivo delle registrazioni in considerazione delle finalità per cui viene adottato un sistema di videosorveglianza. Il concetto sostanzialmente è ridurre allo strettamente necessario sia la visione che il reperimento delle immagini registrate, per evitare che vi siano violazioni connesse o ai diritti dei lavoratori, o ai diritti degli interessati in generale con abuso del mezzo di ripresa. Per raggiungere questo fine, gli enti pubblici adottano generalmente il Regolamento di videosorveglianza che contiene anche i riferimenti alle modalità ed alle ipotesi di visualizzazione ed accesso, spesso collegate a violazioni specifiche o prevenzione di condotte illecite. Per le aziende la questione cambia. Se da un lato il Regolamento non è uno strumento cui ricorrono volentieri (visto spesso come una auto-limitazione a svantaggio dell'investimento effettuato con l'adozione del sistema) dall'altro sono certamente destinatarie di una serie di prescrizioni molto precise da parte delle singole Direzioni Provinciali del Lavoro (DPL), spesso chiamate alla verifica preventiva dell'impianto in assenza della Rappresentanza Sindacale o in caso di dissenso della medesima, al fine di ottemperare alle prescrizioni di cui all'art. 4 dello Statuto dei Lavoratori. Attualmente sembra non essere condivisa dalle DPL, la pratica dell'accesso da remoto in orario di lavoro. Sono invece promosse attività di inserimento di credenziali "a combinazione" in caso di estrapolazione immagini registrate che abbiano ad oggetto lavoratori, per cui al fine di consentire tecnicamente tale operazione, devono presenziare sia un rappresentante datoriale che un rappresentante sindacale. Misura quest'ultima contenuta sempre più nelle prescrizioni dettate dalle DPL ma che sul piano pratico risulta spesso ingestibile, in particolare in presenza di situazioni di urgenza (violazioni aventi ad oggetto il  patrimonio o intervento delle Forze di Polizia che richiedono l'estrapolazione delle immagini).

Preme anche ricordare che gli apparati digitali connessi alle reti informatiche devono essere predisposti in modo tale da garantire la massima protezione contro i rischi di accesso abusivo di cui all'art. 615 – ter del Codice Penale. Tecnologie crittografiche devono invece essere applicate alle connessioni wireless nell'ottica di garantire la completa riservatezza delle informazioni all'interno del sistema.

Altro aspetto di particolare rilievo, riguarda i rapporti con i Fornitori. Ricordiamo anzitutto che come previsto nell'Allegato B del Codice privacy, il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. Questa ipotesi si ha in particolare quando oltre all'installazione, il Fornitore debba provvedere a mettere in sicurezza l'impianto adottando le misure di protezione prescritte sia nell'Allegato B per quanto di competenza, che nel Provvedimento che stiamo trattando. Oltre a ciò, sugli interventi di manutenzione (che siano effettuati dal Fornitore o avvengano con risorse interne alla struttura del Titolare), occorre adottare specifiche cautele; in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò sia reso indispensabile al fin di verifiche di natura tecnica e purché siano presenti  soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini. Quest'ultima prescrizione fa ben comprendere come tale presenza debba costituire garanzia in merito alle operazioni che saranno svolte da chi effettua l'intervento di manutenzione, riportando sul soggetto assegnatario del profilo di autorizzazione una responsabilità in vigilando del manutentore.

Allo stato attuale la normativa in materia di videosorveglianza è in attesa di una seconda "vita", essendo una delle tematiche centrali che affronterà il nuovo Regolamento Europeo. Grande è il fermento per l'entrata in vigore delle nuove disposizioni, immediatamente esecutive. Ad una prima analisi della bozza appare chiaro che il Regolamento punterà ancor più della presente normativa sugli aspetti sostanziali della sicurezza dei dati raccolti, rendendo obbligatorie misure atte a garantire l'integrità e l'inaccessibilità agli stessi. Tra queste vi sarà ad esempio l'obbligo da parte di alcune tipologie di titolari di individuare un privacy officer, incaricato di adempiere correttamente alla redazione di nuova documentazione e alla definizione dei rapporti con incaricati e fornitori che gestiranno le immagini materialmente. Una delle maggiori rivoluzioni rispetto alla situazione attuale sarà l'onere di notificazione dell'eventuale violazione dei dati avvenuta sul sistema di cui si è responsabile all'Autorità preposta. Dovrà infatti essere oggetto di denuncia immediata – entro le 24 ore decorrenti dall'avvenuta violazione - sia una perdita di dati di registrazione che una violazione dei profili di autorizzazione o un accesso abusivo al sistema, e ciò ovviamente comporterà un monitoraggio delle vulnerabilità alquanto impegnativo sotto il profilo tecnologico. Non di meno impatto, il passaggio attualmente presente nella bozza, che prevede espressamente la valutazione d'impatto sulla protezione dei dati in caso di adozione di un sistema di videosorveglianza. Benché il regolamento non sia ancora vigente è importante che sia per lo meno conosciuto a grandi linee dai soggetti che operano in materia di videosorveglianza, siano questi titolari o responsabili del trattamento o siano fornitori, in quanto l'allineamento che certamente richiederà il Regolamento dovrà essere affrontato con ampio anticipo in particolare tenendo conto, in caso di adozione di un sistema o ampliamento di quello preesistente, proprio delle prescrizioni in materia di sicurezza che in fase di approvazione del Regolamento non potranno che essere confermate o rafforzate visto l'orientamento della Commissione competente.

 

Tag: videosorveglianza, sicurezza informatica, dato personale, Garante Privacy, conservazione immagini, amministratore di sistema, responsabile privacy, titolare del trattamento, regolamento di videosorveglianza, accesso abusivo, Regolamento Europeo, privacy officer, valutazione di impatto

 






Segnala ad un amico

ABIRT - Advisor Board Italiano dei Responsabili del Trattamento dei dati personali
Progetto ideato dall'avv. Andrea Lisi (Presidente ANORC)
Sede Legale: via Mario Stampacchia 21 - 73100 Lecce - P.I: 04367590751 - C.F: 09747511005 - E-mail: abirt@anorc.it
© copyright 2024 - Tutti i diritti riservati - Note legali