NEWS

I criteri per progettare un sistema di Videosorveglianza conforme ai princìpi di privacy by design e by default

Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board.

La norma CEI EN 62676-1-1  fornisce riferimenti per progettare un impianto di videosorveglianza conforme al Gdpr


La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono:

- L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.;

- La funzione di gestione del sistema, riferito a tutte quelle attività di collegamento con l’operatore e con altri sistemi, che comprendono, ad esempio, i comandi dell’operatore o le procedure di allarme generate dal sistema.

- La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema, segnala gli eventuali guasti e protegge il sistema di videosorveglianza dalle manomissioni volute e/o involontarie.

Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati.

Avv. Marco Soffientini, Data Protection Officer di Federprivacy

(Nella foto: l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy, e docente dei corsi promossi da Federprivacy in materia di videosorveglianza)

Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”).

In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati (art.35 Reg. UE 679/2016), nell’elaborare le proprie politiche e procedure di videosorveglianza i titolari del trattamento dovranno definire:

- A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza;

- La finalità e l’ambito di applicazione del progetto di videosorveglianza;

- Gli utilizzi consentiti e quelli vietati (ad esempio, stabilire se la captazione audio è ammessa o meno);

- Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata;

- La durata delle registrazioni video;

- Le modalità di conservazione delle videoregistrazioni;

- La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza;

- Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa;

- Le procedure in caso di data breach;

- Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi (definendo in quali casi accogliere le richieste e in quali rigettarle);

- Le procedure per la manutenzione del sistema di videosorveglianza (aggiornamento telecamere, software, ecc.);

Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), l’integrità (prevenzione dalla perdita o dalla manipolazione dei dati) e la disponibilità (i dati possono essere consultati ogniqualvolta sia necessario).

Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare:

- La protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti;

- La protezione dei canali di trasmissione;

- La cifratura dei dati;

- L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici;

- Il rilevamento di guasti di componenti, software e interconnessioni;

- L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici.

Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability).

Articolo di Marco Soffientini, docente del "Corso La videosorveglianza con le Linee Guida EDPB 3/2019" e del corso "Corso Specialistico per Privacy Officer nel settore Videosorveglianza"

Note sull'Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev Controllo della navigazione internet, non basta l'accordo sindacale: il lavoratore deve essere adeguatamente informato
Next Droni e Privacy in ambito pubblico: cosa prevede la normativa

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy