Controllo accessi (fisici) E il GDPR fa un passo avanti

della Redazione

Il 25 Maggio è entrato pienamente in vigore il GDPR (General Data Protection Regulation), nuovo Regolamento Europeo sulla Privacy. Il titolare e il responsabile del trattamento dei dati personali devono mettere in atto una serie di «misure tecniche ed organizzative» per garantire un livello di sicurezza adeguato al rischio. Nell’ambito di un’azienda o di una qualsiasi altra organizzazione, le potenziali minacce non riguardano solo i dati veri e propri, ma anche le relative infrastrutture (locali, impianti, macchine ecc.). Oltre ai sistemi antintrusione, antifurto e videosorveglianza, il controllo elettronico degli accessi fisici costituisce un’efficace misura di contrasto alle minacce fisiche e permette di rispettare il nuovo regolamento.

Il GDPR è un corpus normativo molto articolato e complesso, destinato a modificare l’attuale status in materia di protezione dei dati personali nelle aziende pubbliche e private. L’art. 32 del regolamento (sicurezza del trattamento), purtroppo, non indica le misure tassative da adottare. Dice, però, che il titolare e il responsabile del trattamento devono mettere in atto «misure tecniche e organizzative» tali da garantire un livello di sicurezza adeguato al rischio. Un’arma a doppio taglio. Le misure devono tener conto «dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche». Ma da quali rischi occorre proteggere i dati? Il comma 2 dello stesso articolo parla chiaro: «dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale».

LE MINACCE FISICHE

In vista del GDPR, l’attenzione dei responsabili della privacy si è soprattutto concentrata (e si può capire il perché) nell’attuare difese di tipo “logico” quali la protezione degli accessi, la cifratura dei dati e simili. Nell’ambito di un’azienda o di una qualsiasi altra organizzazione, tuttavia, il rischio di alterazione, sottrazione o distruzione dei dati, non è solo costituito dai ben noti attacchi che si verificano quotidianamente, dall’interno o dall’esterno dell’impresa, ma anche da potenziali minacce fisiche contro le infrastrutture che custodiscono e veicolano le informazioni. Tra le varie minacce figurano, infatti, le intrusioni o gli accessi non autorizzati ai luoghi ove tali infrastrutture sono installate e operano. E ancora: atti vandalici, furti, sabotaggi. Tutte queste azioni offensive, se non impedite o quanto meno ostacolate, possono provocare danni gravi e irreparabili.

IL CONTROLLO ACCESSI

Una delle misure più efficaci per proteggere le aree dove sono installate le “macchine” e operano gli addetti – oltre agli impianti convenzionali di antintrusione, antifurto e videosorveglianza – è rappresentata dal controllo elettronico degli accessi. L’adozione di un tale sistema costituisce una contromisura importante per proteggersi dalle eventuali intrusioni e nel contempo soddisfare le prescrizioni del GDPR. Non bisogna dimenticare, infatti, che in caso di incidenti o verifiche da parte delle autorità preposte, occorre dimostrare di aver messo in pratica tutte le misure tecniche ed organizzative necessarie per rendere i processi aziendali compatibili con il nuovo regolamento. Le sanzioni sono molto salate.

DOVE CONTROLLARE GLI ACCESSI

Prima di adottare un sistema di controllo accessi è opportuno fare qualche riflessione su: i luoghi in cui si effettua il trattamento, i varchi disposti lungo il perimetro dei locali stessi, gli utenti che frequentano abitualmente o possono frequentare tali zone a rischio e le modalità di accesso. Visti nell’ottica del GDPR, i locali che più di altri possono essere interessati sono: CED, server room, archivi (anche di documenti cartacei), amministrazione, uffici ecc. Il contrasto è tanto più efficace se il controllo degli accessi viene esteso anche agli ingressi perimetrali esterni dell’edificio (pedonali e veicolari), alle zone comuni interne (hall, reception ecc.), ai piani del fabbricato e ad altre eventuali aree. I varchi, ossia le “barriere” fisiche – quali porte, bussole ecc. – devono impedire il libero transito ed essere gestite in modo da consentire l’accesso solo alle persone autorizzate. Il livello di sicurezza è tanto più elevato se nel controllo sono incluse le uscite di emergenza, se i varchi regolari consentono il transito di una persona alla volta e se i movimenti sono controllati in entrambe le direzioni (entrata/uscita). Gli utenti autorizzati ad accedere sono sia dipendenti, in particolare quelli coinvolti nel trattamento dei dati, sia personale di imprese esterne (fornitori di servizi, visitatori ecc.). Le modalità e le procedure di accesso dipendono dalle policy aziendali in materia di sicurezza.

SISTEMI DI CONTROLLO ACCESSI

Un sistema elettronico di controllo accessi consente di identificare in modo automatico le persone che chiedono di entrare e uscire, di verificare i relativi diritti di accesso, concedere o negare il transito, seguire i movimenti passo-passo e registrare tutto ciò che accade. Ciascun utente interessato viene dotato di una “credenziale” tipo PIN, card, transponder, smartphone e simili, oppure utilizza una propria caratteristica biometrica quali le impronte digitali, la geometria della mano, il volto e così via. Ogni varco che delimita il perimetro delle aree interessate ed è destinato al transito viene equipaggiato con dispositivi di monitoraggio (contatto magnetico), apertura (serratura elettromeccanica), comando (pulsanti) e segnalazione (avvisatore ottico-acustico). A ciascun utente o gruppo di utenza (chi può entrare) vengono associati i “diritti di accesso” su base spaziale (dove può accedere), temporale (quando) e logica (può entrare e uscire a condizione che). Tutti i transiti effettuati attraverso i varchi vengono seguiti passo-passo. L’utente è autorizzato ad accedere solo se l’esito delle verifiche è positivo. Gli eventi (transiti, tentativi, anomalie, allerte, allarmi ecc.) sono tracciati in tempo reale, presentati all’operatore e archiviati. In qualunque momento è possibile localizzare un utente, conoscere chi è presente all’interno dell’azienda o di una zona, verificare i movimenti compiuti, eseguire ricerche ed elaborazioni su dati storicizzati.

CONSENSO O NO?

Il GDPR ha introdotto diverse novità e alcuni aspetti non sono ancora del tutto chiari. Gran parte della nuova legge interessa, in qualche modo, anche il controllo elettronico degli accessi. Impossibile esaminarla nel suo complesso: facciamo quindi il punto su alcune questioni pratiche. Un primo aspetto riguarda il trattamento dei dati che il sistema esegue in modo automatico e con l’ausilio di uno o più operatori (security manager, receptionist ecc.). Un sistema elettronico di controllo accessi, non vi è dubbio, contiene e tratta dati personali e in questa veste deve essere anch’esso GDPR compliant. Nel suo database, infatti, sono presenti informazioni anagrafiche (a volte anche sensibili), dati biometrici e criteri di abilitazione che possono essere erroneamente interpretati come una sorta di “profilazione”, aspetto particolarmente delicato preso di mira dal Garante UE. Ma c’è di più. L’impianto di controllo accessi è spesso parte integrante di un sistema più ampio, in grado di rilevare le presenze al lavoro, se non di gestire il personale nella sua interezza. Nella gestione del personale (anche solo delle presenze/assenze), alcuni dati oggetto del trattamento sono di tipo “sensibile” in quanto attengono alla sfera privata di ciascuno (sesso, stato civile, etnia, malattie, infortuni ecc.). La prima domanda è: in questi casi (sicurezza degli accessi e gestione del personale) è necessario ottenere il consenso da parte dei lavoratori dipendenti? La risposta è contenuta nell’art. 6, il quale stabilisce che il trattamento è lecito solo se l’interessato ha espresso il consenso per una o più specifiche finalità (c. 1, lett. a) a meno che non sia necessario «all’esecuzione di un contratto di cui l’interessato è parte» (c.1 lett. b) oppure «per il perseguimento del legittimo interesse del titolare del trattamento o di terzi», purché vengano rispettate determinate condizioni (c. 1 lett. f). Entrambe le eccezioni, salvo smentite, indicano che nel caso degli accessi non è necessario ottenere il consenso da parte dei lavoratori dipendenti in quanto il trattamento dei loro dati avviene nell’ambito del rapporto di lavoro e per il perseguimento dei legittimi interessi dell’impresa. Il GDPR dedica l’intero art. 88 al trattamento dei dati nell’ambito del rapporto di lavoro sebbene rinvii la materia agli Stati membri. Il comma 1 elenca quali possono essere le finalità di trattamento dei dati personali dei dipendenti e tra queste, in particolare, quelle connesse alla «salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro». L’esenzione vale, ovviamente, solo in ambito aziendale e con i lavoratori subordinati. Per gli altri soggetti occorre ottenere il consenso e le regole da rispettare sono decisamente più stringenti.

IL NODO BIOMETRIA

A volte i sistemi di controllo accessi sfruttano la biometria per identificare il personale, molto più spesso contengono fotografie per consentire la produzione e il rilascio di badge o l’identificazione delle persone da parte della sorveglianza. La domanda è: possono tali dati, così come altri di natura sensibile, essere oggetto di trattamento? La risposta è contenuta nell’art. 9 del DGPR il quale disciplina il «trattamento di categorie particolari di dati personali». Il comma 1 asserisce che «è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica…». Questo divieto, tuttavia, viene meno se il trattamento è necessario «per assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale» (art. 9 c. 2 lett. b). É, quindi, consentito l’uso della biometria per controllare gli accessi di sicurezza secondo le prescrizioni impartite dal Garante della privacy (opportunità, proporzionalità, assenza di banche dati biometriche, riconoscimento tramite confronto fra le impronte registrate su card e quelle rilevate all’instante ecc.). Resta per ora vietata, senza se e senza ma, la rilevazione delle presenze al lavoro tramite le impronte digitali (salvo che in alcuni casi eccezionali consentiti dal Garante stesso in ambito PA).

LA CONSERVAZIONE DEI DATI

In caso di richiesta da parte del dipendente in merito alla sicurezza dei suoi dati presenti nel sistema di controllo accessi, l’azienda deve rispondere nel modo più esaustivo e immediato, compresa l’eventuale richiesta di cancellazione (diritto all’oblio) nel momento in cui le informazioni raccolte non fossero più necessarie. Nel caso specifico si tratta sia di dati personali veri e propri residenti nell’anagrafica del sistema, sia di quelli ben più consistenti che riguardano tutti gli eventi occorsi. Fra le varie prescrizioni del GDPR, una riguarda la conservazione. L’art. 5 c. 1 lett. e) specifica che i dati devono essere conservati «per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati». Se ne deduce che, in ambito aziendale, dati anagrafici e profili di accesso possono rimanere per tutto il tempo in cui l’utente risulta alle dipendenze dell’azienda (ovvero interessato al controllo), mentre gli altri (ad esempio i movimenti) devono essere cancellati in modo sistematico, per via manuale o in automatico. Uno dei benefici offerti dal controllo accessi è la possibilità di analizzare a posteriori gli eventi nel caso in cui si sia verificato un “incidente” (furto, sabotaggio ecc.). L’impresa, anche sulla base della sua organizzazione interna, deve decidere qual è il tempo massimo di conservazione degli eventi dal momento in cui gli stessi si sono verificati. In genere la conservazione non supera la settimana, salvo diversi obblighi di legge che prescrivano l’archiviazione per un periodo più breve o più lungo.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.