Nel caso in cui un’azienda intenda prevedere l’attivazione di un proprio sistema di videosorveglianza, quest’ultima è chiamata a effettuare valutazioni anche sotto il profilo della sicurezza del sistema e, di riflesso, dei dati personali trattati.
Indice degli argomenti
Videosorveglianza aziendale, come gestirla
Un numero sempre maggiore di aziende, oggi giorno, ricorre a un sistema di videosorveglianza al fine di tutelare il patrimonio o monitorare i suoi processi produttivi a fini organizzativi.
Come già approfondito in altra sede2, l’installazione di un sistema di videosorveglianza sul luogo di lavoro presuppone il preliminare rispetto di specifici obblighi sia in ambito giuslavoristico, sia in materia di protezione dei dati personali. Adempimenti posti a tutela non soltanto dei lavoratori ma di tutti i soggetti ripresi dall’impianto di videosorveglianza, se consideriamo, ad esempio, la cartellonistica che informa della presenza di un’area videosorvegliata.
La fase di progettazione dell’impianto
Già nella fase di preliminare di progettazione dell’impianto, ovvero prima che quest’ultimo sia reso operativo, l’azienda è chiamata a rispettare i due importanti principi di privacy by design e di privacy by default3 di cui all’art. 25 del Regolamento (UE) 2016/679 (noto anche come GDPR).
Nello specifico, per privacy by design ci si riferisce all’esigenza di garantire che la protezione del dato avvenga “fin dalla progettazione”, ovvero che già nelle fasi che precedono l’avvio del trattamento (in questo caso la raccolta delle immagini) il titolare metta in atto misure di sicurezza tecniche e organizzative adeguate al rischio. La privacy by default, invece, si sostanzia nella garanzia che i dati trattati, per impostazione predefinita, siano solo quelli necessari per ogni specifica finalità del trattamento.
Pertanto, prima dell’installazione e dell’attivazione del sistema, l’azienda deve aver cura di effettuare le opportune verifiche al fine di valutare la presenza di adeguate misure di sicurezza (art. 32 GDPR), che dovranno essere presenti in tutte le fasi del trattamento.
Inoltre, in ottica “by default” e, pertanto, del principio di minimizzazione (art. 5 GDPR), occorrerà far ricadere la scelta di opzioni e impostazioni predefinite per il trattamento in modo da garantire l’effettuazione solo di quanto strettamente necessario al conseguimento della specifica finalità di raccolta per tramite del sistema di videosorveglianza.
Misure tecniche di sicurezza
Parlare di misure di sicurezza nell’ottica del GDPR significa considerare non un insieme finito, ma al contrario un elenco aperto, dato che il criterio di “adeguatezza” di cui all’art. 32 GDPR permette all’azienda (titolare del trattamento) di individuare tutte le misure che ritiene opportuno implementare nel proprio contesto.
In proposito, le Linee guida 3/2019 del Comitato europeo per la protezione dei dati (EDPB – European Data Protection Board) sulla videosorveglianza, forniscono un utile insieme di esempi concreti di “misure pertinenti” che possono essere utilizzate per la sicurezza dei trattamenti effettuati mediante un sistema di videosorveglianza, compreso quello inserito nel contesto aziendale.
In primo luogo, sotto il profilo informatico, il documento ricorda come nel caso in cui il sistema sfrutti componenti digitali e software (circostanza molto verosimile nei sistemi attuali), le misure saranno pressoché coincidenti con quelle adottate negli altri sistemi informatici (ad esempio il sistema informatico e di rete aziendale).
Ad ogni modo, a prescindere dalla soluzione prescelta, resta fermo il principio per cui tutti i componenti del sistema e i dati da esso acquisiti devono essere protetti in tutte le fasi, ossia “la conservazione (dati a riposo), la trasmissione (dati transito) e il trattamento (dati in uso)”4.
La sicurezza fisica
Dal punto di vista fisico, appare condivisibile – ad avviso di chi scrive – l’affermazione rinvenibile all’interno delle linee guida per cui “la sicurezza fisica è una parte fondamentale della protezione dei dati e costituisce la prima linea di difesa, perché protegge le apparecchiature […] da furti, atti vandalici, calamità naturali, catastrofi provocate dall’uomo e danni accidentali (ad esempio, sovratensioni elettriche, temperature estreme e riversamento di caffè). Nel caso di sistemi analogici, la sicurezza fisica è la più importante per la loro protezione” .
Protezione da interferenze: i consigli dell’EDPB
L’EDPB si spinge poi a fornire indicazioni di dettaglio riguardo alla protezione da interferenza volontarie e involontarie, tra cui:
- Protezione dell’intera infrastruttura del sistema di videosorveglianza (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti;
- Protezione della trasmissione di filmati attraverso canali di comunicazione sicuri a prova di intercettazione;
- Cifratura dei dati;
- Utilizzo di soluzioni basate su hardware e software quali firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici;
- Rilevamento di guasti di componenti, software e interconnessioni;
- Strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici.
Misure organizzative di sicurezza
Oltre a quelle tecniche, anche le misure organizzative di sicurezza costituiscono un tassello fondamentale per la tutela delle informazioni raccolte dal sistema di videosorveglianza.
In primo luogo occorre prevedere un meccanismo di controllo degli accessi, al fine di consentire la consultazione delle immagini e/o delle registrazioni ai soli soggetti designati/autorizzati o, in caso di soggetti esterni (es. tecnico manutentore) responsabili, che sono stati formalmente nominati e nei confronti dei quali sia stata svolta apposita attività formativa (così come richiesto ex artt. 29 e 32, comma 4, GDPR).
In questa prospettiva, l’EDPB fornisce un elenco di misure7 che supportano il controllo fisico e logico degli accessi, ossia:
- La garanzia che tutti i locali in cui viene effettuato il monitoraggio mediante videosorveglianza e in cui vengono conservate le riprese video siano protetti contro l’accesso non supervisionato da parte di terzi;
- Il posizionamento dei monitor (soprattutto quando si trovano in zone aperte, come una reception) in modo tale che solo gli operatori autorizzati possano visualizzarli;
- La definizione e l’applicazione delle procedure per la concessione, la modifica e la revoca dell’accesso;
- L’attuazione di metodi e mezzi di autenticazione e autorizzazione dell’utente, tra cui ad esempio la lunghezza delle password e la frequenza della loro modifica;
- La registrazione e la revisione periodica delle azioni eseguite dagli utenti (con riguardo sia al sistema sia ai dati);
- L’esecuzione del monitoraggio e l’individuazione di guasti agli accessi in modo continuativo e la risoluzione in tempi brevi delle carenze individuate.
In entrambi i casi, che si tratti di misure tecniche (fisiche o informatiche) od organizzative, come detto, il titolare può individuare ulteriori o più stringenti misure di sicurezza, qualora lo ritenga opportuno alla luce del proprio contesto operativo.
Posizionamento delle telecamere
Anche il corretto posizionamento delle telecamere assume un ruolo importante, da tenere in forte considerazione nelle fasi di installazione del sistema. Oltre al divieto di installazione in luoghi come bagni o spogliatoi, a tutela del personale, più in generale l’impianto non dovrà riprendere altrui proprietà private per non incorrere nel reato di interferenze illecite nella vita privata di cui all’art. 615-bis c.p..
Inoltre, se da un lato vi è una parte della giurisprudenza favorevole in talune circostanze (cfr. Corte di cassazione, Sez. V Penale – sentenza 13 maggio 2019, n. 20527), con recente pronuncia il TAR del Lazio (sentenza n. 3316/2020) ha chiarito come i privati non possono installare telecamere di
videosorveglianza rivolte verso aree transitabili al pubblico senza accordo con l’ente locale, che può ordinare la rimozione immediata dell’impianto segnalando l’abuso direttamente all’Autorità Garante8.
Tempi di conservazione
Infine, altrettanto importante in ottica di privacy by design è la necessità di fissare specifici tempi di conservazione per le immagini eventualmente registrate dal sistema, secondo un criterio connesso al principio di minimizzazione e nel rispetto della richiamata privacy by default.
Le tempistiche per la cancellazione, già oggetto del provvedimento sulla videosorveglianza del Garante privacy dell’8 aprile 20109, nelle recenti FAQ della medesima Autorità vengono individuate in pochi giorni e l’eliminazione è preferibile che abbia luogo per tramite di meccanismi automatici (sovrascrittura, ad esempio).
Resta ferma la possibilità di prevedere anche tempi più lunghi da parte dell’azienda, seppur nella necessità di motivare la propria scelta in ottica di accountability ex art. 24 GDPR.
