Video e Privacy: cosa cambia da maggio 2018?
Privacy e trattamento dati personali. Sentiamo parlare molto di privacy e trattamento dei dati personali, ma forse in pochi sanno che il prossimo 25 maggio entrerà in vigore il nuovo Regolamento Europeo 679/2016 in materia di protezione dei dati personali. In termini di privacy, per le abitazioni private l’utilizzo di un sistema di videosorveglianza rimarrà consentito, ed […]
Privacy e trattamento dati personali.
Sentiamo parlare molto di privacy e trattamento dei dati personali, ma forse in pochi sanno che il prossimo 25 maggio entrerà in vigore il nuovo Regolamento Europeo 679/2016 in materia di protezione dei dati personali.
In termini di privacy, per le abitazioni private l’utilizzo di un sistema di videosorveglianza rimarrà consentito, ed invariato nel divieto di diffondere esternamente le immagini registrate (vedi parere dell’Autorità Garante n. 113990 del 7.3.2017).
Ma per le aree pubbliche e per i luoghi destinati ad attività produttiva o commerciale?
Fino al 25 maggio 2018 continueremo ad osservare le regole definite dal Provvedimento Generale sulla Videosorveglianza dell’8 aprile 2010 e le indicazioni del Garante rilevabili dai successivi interventi, ma le cose cambieranno sensibilmente.
E’ possibile scaricare la guida all’applicazione del nuovo Regolamento direttamente sul sito del Garante per la Privacy: Nuovo Regolamento Europeo.
Cosa cambia con il nuovo Regolamento?
Le novità sono molte, ma c’è un punto che è sicuramente determinante, leggiamolo insieme: Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità ma è compito dello stesso titolare.
Si tratta di un’introduzione che modifica sensibilmente l’approccio alla “responsabilità”, spostandola totalmente sul titolare che deve ponderare l’uso della tecnologia in funzione di necessità, privacy e finalità d’uso.
Le complicazioni quindi arriveranno soprattutto per le riprese video di dipendenti a lavoro, clienti o semplici passanti. L’installazione di videocamere o controllo accessi dovranno essere meditate e ben gestite (in totale sicurezza) per evitare di incorrere in sanzioni penali e risarcimenti.
Sia gli installatori che i fruitori degli impianti (aziende, negozi, attività commerciali, ecc.) dovranno garantire che gli apparati siano configurati per ridurre al minimo la quantità dei dati trattati e i rischi connessi, in relazione alle finalità perseguite.
Inoltre, anche i produttori saranno soggetti all’obbligo di garantire che i prodotti vengano progettati per ridurre al minimo i rischi connessi al trattamento (data protection by design).
A tutto questo si aggiunge l’obbligo di osservare le norme sul rapporto di lavoro; il che significa che l’installazione degli impianti di videosorveglianza potranno dipendere dalla valutazione della Direzione Territoriale del Lavoro, a cui viene richiesto di valutare se le tecnologie adottate siano bilanciate tra tutela del patrimonio e tutela delle persone (privacy).
Alcuni esempi.
Controllo accessi con credenziali univoche o profili differenziati di autorizzazione; riconoscimento biometrico tramite impronta digitale o l’utilizzo di videosorveglianza interna risulterebbero sicuramente ancora giustificati per l’accesso ad un Istituto di vigilanza, un Datacentre o un caveau aziendale (anche in presenza di un software che registra in tempo reale eventi e attività dei diversi operatori).
Mentre l’utilizzo di un lettore di impronta digitale installato all’entrata di un’azienda o di alcune aree interne potrebbero essere ritenuti sproporzionati rispetto all’utilità e alle finalità perseguite.
Videocamere in rete.
La nuova normativa non esclude l’utilizzo di videocamere anche in rete. Sarà indispensabile, fin dal momento dell’installazione, pensare e garantire un’estrema sicurezza dei dati.
Possibile ad esempio tramite la cifratura delle immagini (visualizzabili solo possedendo il codice di cifratura) e la trasmissione delle immagini tramite canali di comunicazione sicuri, come VPN e protocollo HTTPS.
Inoltre, anche la conservazione dei filmati dovrà essere protetta da un sistema di cifratura; rendendo impossibile l’accesso ai dati da parte di soggetti non autorizzati, magari inserendo anche un sistema di accesso differenziato in base al ruolo.
Non dobbiamo dimenticare che il fattore rischio aumenta sensibilmente per tutte le videoriprese che transitano all’esterno dell’azienda, cioè implementate tramite Web server. Queste possono essere attaccate più facilmente e soggette ad azioni volontarie di sottrazione/rapina dei dati.
In questo caso, la protezione dovrà essere estremamente oculata, compensata al pericolo con misure di sicurezza adeguate, senza però rivelarsi sproporzionate rispetto all’utilità.
Informative.
L’entrata in vigore del nuovo Regolamento Privacy 679/2016 (www.garanteprivacy.it) porterà ad una rivisitazione anche delle informative e della modulistica privacy aziendale, che dovranno essere adeguate alla nuova disciplina.
Il Data Protection Officer (obbligatorio per le aziende che eseguono trattamenti su larga scala e per la Pubblica Amministrazione) sarà responsabile insieme al titolare di ogni scelta adottata, quindi, anche di quelle relative ai sistemi di allarme e videosorveglianza.
Sia DPO che titolare dovranno ponderare e adottare soluzioni per evitare o risolvere eventuali incidenti o rapina dei dati; rimanendo sempre a disposizione di possibili controlli che potrebbero intensificarsi da giugno 2018.
Leggi anche: Diritto all’oblio nell’era digitale
No Comment! Be the first one.