Vademecum per impianti GDPR-compliant

videosorveglianza

A seconda della tipologia di videosorveglianza, è possibile ipotizzare una specifica regolamentazione del trattamento dei dati personali dei soggetti esterni. Il tema torna sotto i riflettori perché il parlamento italiano ha recentemente approvato la proroga della sospensione all’uso dell’identificazione biometrica del volto nei sistemi di sicurezza.  

L’evoluzione che ha caratterizzato il mondo digitale negli ultimi dieci anni ha profondamente cambiato il ruolo degli impianti di videosorveglianza: da sistemi con immagini registrate e trasmesse su circuito chiuso, che garantivano una sicurezza di tipo passivo e avevano principalmente una funzione di deterrenza, sono diventati sistemi aperti e dotati di capacità di reazione alle situazioni in essere - assimilabili nel complesso a elaboratori autonomi, le cui funzioni possono essere ulteriormente integrate da server di rete e software di intelligenza artificiale.

In conseguenza di tali innovazioni, si è resa necessaria anche una rielaborazione della disciplina dei sistemi di videosorveglianza, il cui impatto sulla riservatezza dei cittadini è cresciuto in modo esponenziale proprio per le molteplici possibilità di gestione e analisi dei dati. Procedendo per gradi, è possibile oggi suddividere gli impianti nelle seguenti macrocategorie, alle quali ricondurre diverse ipotesi di regolamentazione del trattamento dei dati personali e dei rapporti con i soggetti esterni.

Videosorveglianza pura

Si tratta di un sistema basato su telecamere digitali ad alta risoluzione, collegate in rete locale a un DVR e solitamente accessibili anche dall’esterno, tramite web-server integrato o, di recente, tramite app per tablet e smartphone. L’eventuale ostacolo derivante dall’assenza di un indirizzo IP statico viene superato grazie a server esterni che ricalcolano automaticamente l’indirizzo IP pubblico del DVR, consentendo l’accesso a chi è dotato delle credenziali.

Questa tipologia di impianto deve osservare le regole tradizionali ed essere oggetto di autorizzazione (da parte della Direzione Territoriale del Lavoro o mediante accordo sindacale con la RSA) in caso di possibilità di controllo a distanza del personale dipendente - per esempio, perché sono sorvegliate aree comuni come i corridoi, le zone di carico e scarico delle merci, i magazzini, le postazioni a rischio (come casse contanti e ambienti in cui sono conservati valori).

La presenza delle telecamere dev’essere anticipata tramite cartelli segnalatori, visibili anche nelle ore notturne, posizionati in modo da essere evidenti prima di entrare nel raggio d’azione delle riprese e conformi al modello individuato dal Comitato europeo per la protezione dei dati personali con le linee guida del mese di luglio 2019. Si ricorda che, trattandosi di linee guida, non sono vincolanti, ma suggeriscono semplicemente un percorso, con esempi pratici, utile per adeguarsi alla normativa.

Informazioni utili

Ecco alcune condizioni indispensabili per una configurazione adeguata dell’impianto di videosorveglianza:

  • le immagini devono essere accessibili in tempo reale solo agli operatori addetti al controllo e, in differita, solo ai soggetti espressamente autorizzati dal titolare;
  • l’accesso dev’essere regolamentato con credenziali univoche, come per qualsiasi altro sistema informatico, e i manutentori devono avere attribuzioni diverse rispetto agli utenti autorizzati al prelievo delle immagini (nello specifico, non devono poter vedere le registrazioni integrali, ma solo quanto necessario a verificare il funzionamento del sistema);
  • la conservazione delle immagini, secondo le indicazioni dell’autorità Garante per la protezione dei dati personali, dovrebbe essere limitata a un massimo di 24 ore, salvo che il titolare non sia in grado di giustificare tempi di conservazione maggiori (per esempio, per la sorveglianza delle aree esterne non coperte da allarme e, durante il fine settimana, per la ricostruzione di eventuali sinistri nelle aree di carico e scarico, dove i danni possono essere rilevati o denunciati anche a distanza di qualche giorno).
  • Il web-server dovrebbe essere disattivato durante la presenza in servizio dei dipendenti ed essere accessibile solo nelle ore notturne, per impedire che al titolare possa venire la tentazione di controllare l’attività dei dipendenti durante il giorno. In ogni caso, il dirigente delle risorse umane, il direttore generale, l’amministratore, il proprietario dell’azienda non dovrebbero avere accesso alle immagini. Per questi stessi motivi, è consigliabile affidare all’esterno la gestione dell’impianto, per quanto riguarda sia la manutenzione sia l’eventuale prelievo dei filmati.

Per la sicurezza logica, è preferibile che l’impianto non sia collegato alla rete principale aziendale, ma a una sottorete dedicata, anche per filtrare e loggare opportunamente gli accessi e lasciare aperte solo le porte di comunicazione effettivamente necessarie per il funzionamento.

Tutti gli accessi al DVR e le operazioni eseguite devono essere registrati su un file di log, per garantire il principio di accountability previsto dal GDPR 679/2016. È inoltre opportuno redigere una valutazione dell’impatto del trattamento sui diritti e sulle libertà degli interessati, se le attività sottoposte a controllo riguardano soggetti deboli o ambienti da cui si potrebbero desumere i dati particolari segnalati all’art. 9 del Regolamento UE (per esempio, i corridoi di una residenza sanitaria, dove gli anziani si muovono anche in pigiama o in abbigliamento leggero; le strutture, come i reparti oncologici, in cui si entra solo se affetti da specifiche malattie, i corridoi dei laboratori di diagnostica ecc.).

Videosorveglianza attiva

Alle precauzioni suggerite per gli impianti di videosorveglianza comuni vanno aggiunte ulteriori regole per i casi in cui il sistema sia supportato da un software di rilevazione degli eventi mediante collegamento a impianto d’allarme e sensori. Le telecamere di tipo dome possono essere infatti configurate non solo per eseguire ronde programmate, ma anche per muoversi automaticamente se uno dei sensori rileva un evento - come, per esempio, presenza di fumo (che potrebbe segnalare un principio d’incendio) o la rottura di un vetro, l’apertura di una porta, il superamento di un’area delimitata (in caso di effrazione).

Si tratta di funzionalità che, ovviamente, accrescono la possibilità di controllo a distanza del cittadino o del dipendente, perché consentono all’impianto di “reagire” alle sollecitazioni provenienti dai sensori, allertando l’operatore del telecontrollo, o di svolgere determinati compiti autonomamente (chiamare le forze dell’ordine, inviare le immagini a un numero o indirizzo programmato, chiudere gli accessi, isolare gli ambienti ecc.).

Di conseguenza, anche la mole di dati trattati aumenta in modo vertiginoso: con questi stessi criteri, infatti, si può stabilire per quanto tempo una persona ha sostato in un ambiente, vedere cos’ha fatto, individuare un veicolo che entra in un’area o segue un percorso, rilevare quante volte viene azionato un determinato dispositivo e da chi ecc. Il software, in sostanza, riceve impulsi da sensori esterni (dell’impianto d’allarme, dell’impianto antincendio, della cella frigorifera ecc.) e reagisce secondo le istruzioni impartite se riconosce uno degli eventi classificati (incendio, furto, vandalismo ecc.).

Videosorveglianza assistita da intelligenza artificiale e analisi comportamentale

Se il software che gestisce le telecamere appartiene alla categoria delle intelligenze artificiali, sono possibili anche attività come l’analisi comportamentale, il rilevamento biometrico e l’acquisizione di metadati, che elevano il livello del controllo a distanza e sono ancora più invasive nei confronti del cittadino e del lavoratore dipendente.

I software moderni, attraverso l’analisi delle variazioni dell’ambiente monitorato, possono comprendere se lo stato di un oggetto o di un’area è cambiato dopo il passaggio di una persona (perché sono in grado di riconoscere la sagoma di un individuo rispetto a quella di un cane o di un gatto) e vanno quindi a generare un segnale d’allarme in caso di abbandono di un oggetto (come succede spesso negli aeroporti e nelle stazioni ferroviarie) o modifica dell’area sotto controllo (per esempio nel caso di un atto di vandalismo nei confronti di un quadro o di un muro).

Anche dal comportamento umano è possibile desumere il verificarsi di un evento che necessita di essere segnalato: è sintomatica di una rapina, per esempio, la condotta consistente nell’alzare tutti le mani o sdraiarsi tutti a terra all’interno di un ambiente - a eccezione ovviamente dei criminali, che in questo modo possono essere immediatamente riconosciuti dal software. Perfino l’andamento barcollante di un pedone o la guida incerta di un veicolo su un tratto rettilineo possono indicare uno stato di ebbrezza, cui può seguire l’invio di una richiesta di intervento alla centrale operativa delle forze dell’ordine.

Un’interessante evoluzione dei software di analisi delle immagini della videosorveglianza è senz’altro la classificazione dei metadati dell’individuo (un elemento di potenziale discriminazione, se usati in senso negativo), grazie a cui è possibile riconoscere tipologia e colore dei vestiti e degli accessori indossati, età e sesso presumibili del soggetto, colore degli occhi, della pelle e dei capelli, segni o condotte particolari (come il ritmo dei passi originato da un problema ortopedico, l’uso di stampelle o protesi, l’uso di carrozzine o deambulatori); si tratta di dati che possono essere utilizzati per procedere ad analisi e profilazione dell’individuo, per finalità di marketing ma anche per decidere se erogare un servizio o procedere alla vendita di un bene.

Alle ordinarie cautele per l’accesso alle immagini e la gestione dei dati personali, dunque, è necessario aggiungere un’adeguata valutazione dell’impatto che l’attività di trattamento potrebbe avere sui diritti e sulle libertà degli interessati, propendendo per una consultazione preventiva con l’autorità Garante qualora il rischio di nocumento per il cittadino dovesse restare elevato.

Focus on – Videosorveglianza biometrica

Il legislatore italiano ha prorogato la sospensione dell’uso dell’identificazione biometrica del volto almeno fino al 31 dicembre 2025, per le implicazioni che può comportare in ambito privato (è invece consentita nei limiti delle attività pubbliche di sicurezza, ordine pubblico, accertamento e repressione dei reati).

Poter individuare con certezza un individuo sulla base dell’impronta biometrica del volto consente infatti di elevare il controllo a livelli che potrebbero facilmente aprire la strada a una sorveglianza di massa - non necessariamente di stampo dittatoriale, ma proprio per questo ancor più subdola, perché volta a incidere sugli aspetti più comuni della vita quotidiana come l’accesso ai servizi o l’acquisto di beni, anche di prima necessità.

Si tratta di un’attività che il cittadino potrebbe essere portato ad accogliere come servizio utile nella quotidianità, ma è in realtà molto più invasiva rispetto, per esempio, alla lettura delle impronte digitali: non necessita infatti di un’azione cosciente e volontaria da parte del cittadino ed è addirittura indipendente dalla sua consapevolezza, dato che le moderne telecamere possono rilevare un volto dettagliato da centinaia di metri di distanza (quando il cittadino non è neppure in grado di vedere il cartello di segnalazione della videosorveglianza, ammesso che sia stato apposto).

È quindi prevedibile che i sistemi di identificazione biometrica del volto saranno autorizzati solo in ambiti specifici e ben definiti - e probabilmente solo previa verifica da parte dell’autorità Garante - in modo da evitare impatti rilevanti sulla vita degli interessati.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome