«Quali adempimenti sono necessari per trasferire le immagini di un impianto di videosorveglianza su cloud anziché su un DVR/NVR installato localmente? Ci sono preclusioni?», chiede un lettore di Sicurezza.
Nell’ipotesi di trasferimento dei dati della videosorveglianza su uno spazio disponibile in cloud anziché a un server installato localmente, non cambia la struttura del rapporto, al quale va aggiunta la figura del fornitore di servizi. Il titolare del trattamento resta il soggetto che decide di dotarsi di un sistema di videosorveglianza e, se l’installazione avviene tramite un fornitore di tecnologia che, oltre alle telecamere, fornisce anche lo spazio sul cloud, quest’ultimo dovrà necessariamente essere nominato responsabile del trattamento ai sensi dell’art. 28 del GDPR, poiché avrà materialmente la disponibilità dei dati, indipendentemente dalle regole per l’accesso ai filmati.
Il fornitore dovrà dare garanzie di affidabilità e, considerata l’importanza della connessione rispetto a un sistema interamente in locale, sarà opportuno prevedere la ridondanza della linea dati, per evitare che un eventuale blocco del servizio possa ripercuotersi sulla registrazione delle immagini. La comunicazione dovrà, inoltre, essere cifrata, per impedire che, in caso di violazione della rete, le immagini possano essere visionate da soggetti non autorizzati.
Di particolare importanza sarà quindi la stesura di un accordo contrattuale con il fornitore di servizi cloud, che definisca i rispettivi ruoli e responsabilità in materia di protezione dei dati personali. L’accordo deve includere clausole specifiche sui trattamenti effettuati, sulle misure di sicurezza, sui diritti degli interessati e sul trasferimento dei dati in Paesi terzi (se applicabile). Se il fornitore di servizi cloud ha sede in un Paese extra UE, il trasferimento dei dati dovrà essere vincolato dagli accordi internazionali con quel Paese o dalle clausole contrattuali standard della Commissione Europea, affinché si possa garantire comunque ai dati un livello di protezione conforme al GDPR.
Non cambiano i termini di conservazione dei dati, che dovranno essere comunque limitati alle 24 ore, come suggerito dall’autorità Garante, ove non siano rinvenibili giustificate ragioni per prolungare il trattamento.
Più complessa sarà la gestione dei diritti degli interessati, che dovranno essere informati dalla presenza dell’operatore, soprattutto se straniero, per poter esercitare le facoltà previste dagli art. 15-22 del GDPR, tra cui quelle di accesso, rettifica, cancellazione, limitazione del trattamento, opposizione al trattamento e portabilità dei dati.
Sarà quindi opportuno integrare adeguatamente l’informativa e specificare anche in quella sintetica, solitamente un cartello, che viene operato un trasferimento all’esterno dell’UE. Trattandosi di una situazione più delicata di quelle ordinarie, con maggiore esposizione dei dati ai rischi informatici, sarebbe opportuna - anche se non obbligatoria - la nomina di un responsabile della protezione dei dati da parte del titolare.
