Quali misure per la sicurezza dei sistemi di videosorveglianza?

di Roberta Rapicavoli - Avvocato esperto in Information Technology e privacy e Docente Ethos Academy

Quando si decide di utilizzare un sistema di videosorveglianza che consente di rilevare e/o registrare immagini di persone fisiche (e dunque di trattare dati personali), occorre prestare attenzione al profilo della sicurezza fin dalla fase di pianificazione e, dunque, fin dalla fase di scelta del sistema, di sua progettazione, installazione e configurazione.

Le immagini di un sistema di videosorveglianza, infatti, al pari di qualsiasi dato personale, devono essere protette con specifiche misure di sicurezza, da individuare e adottare in modo da assicurare un’adeguata protezione dei dati in tutte le fasi di trattamento (dall’acquisizione delle immagini attraverso le telecamere, alla loro trasmissione ai mezzi di visualizzazione e/o dispositivi di registrazione fino alla loro elaborazione e cancellazione definitiva).

Quali misure di sicurezza adottare?

Secondo la vigente normativa, non esiste un elenco di misure di sicurezza obbligatorie, ma spetta al titolare e al responsabile del trattamento valutare concretamente quali misure - tecniche e organizzative – adottare, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Linee guida 3/2019 

La maggior parte delle misure da impiegare, specialmente quando si utilizzano apparecchiature e software digitali, non sono diverse da quelle impiegate per altri sistemi informatici per cui, come indicato nelle Linee guida 3/2019 sulla videosorveglianza del Comitato europeo per la protezione dei dati, è utile considerare, nella definizione delle misure, gli standard internazionali e le specifiche tecniche sulla sicurezza fisica dei sistemi multimediali e la sicurezza dei sistemi informatici in generale. Secondo le indicazioni contenute nelle richiamate Linee guida, al fine di garantire la sicurezza del sistema e dei dati, dovrebbero essere attivate misure di protezione fisica dell’intera infrastruttura (comprese telecamere, cablaggio e alimentazione) contro manomissioni fisiche e furti, misure di protezione della trasmissione delle riprese con canali di comunicazione sicuri contro l’intercettazione e la cifratura dei dati, soluzioni basate su hardware e software come firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici, nonché misure che consentono di rilevare guasti di componenti, software e interconnessioni e di ripristinare la disponibilità e l’accesso ai dati in caso di problemi fisici o tecnici.

Controllo degli accessi

Nelle Linee guida vengono poi indicate le misure di controllo (fisico e logico) degli accessi al sistema e ai dati, che includono la protezione contro l’accesso non autorizzato a tutti i locali in cui viene effettuato il trattamento (come la control room o la sala tecnica in cui è collocato il DVR), il corretto posizionamento dei monitor (in modo tale che solo gli operatori autorizzati possano visualizzarli), l’esecuzione del monitoraggio e l’individuazione di guasti agli accessi in modo continuativo e la risoluzione in tempi brevi delle carenze individuate, la definizione e l’applicazione delle procedure per la concessione, la modifica e la revoca dell’accesso, l’attuazione di metodi e mezzi di autenticazione e autorizzazione dell’utente (tra cui ad esempio la lunghezza delle password e la frequenza della loro modifica), la registrazione e la revisione periodica delle azioni eseguite dagli utenti (con riguardo sia al sistema sia ai dati). 

Accesso ai dati

In ordine agli accessi al sistema e ai dati, può inoltre essere utile richiamare quanto indicato già nel provvedimento del Garante privacy in materia di videosorveglianza del 2010, in base al quale, in presenza di differenti competenze specificatamente attribuite ai singoli operatori, devono essere configurati diversi livelli di visibilità e trattamento delle immagini e, laddove tecnicamente possibile, in base alle caratteristiche dei sistemi utilizzati, i predetti soggetti devono essere in possesso di credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza. Si precisa poi che la definizione di coloro che possono accedere ai sistemi e ai dati rileva, evidentemente, non solo per i profili tecnici, ma anche per quelli – altrettanto importanti - di tipo organizzativo. Coloro che sono coinvolti nel trattamento, quali persone autorizzate o responsabili del trattamento, infatti, devono ricevere le specifiche istruzioni da osservare nello svolgimento delle attività e conoscere le procedure relative alla gestione del sistema di videosorveglianza (quali, ad esempio, le procedure per le richieste di accesso alle immagini e per le modalità di gestione di eventuali data breach), che rientrano tra le misure organizzative, la cui adozione, come detto, rileva al pari delle misure tecniche.

Ruolo degli installatori

L’individuazione delle misure adeguate a garantire la protezione dei dati spetta al cliente e a coloro di cui lo stesso si avvale per la scelta e implementazione delle misure o per lo svolgimento di attività che incidono sui profili legati alla sicurezza dei dati trattati. Tra tali soggetti rientrano sicuramente gli installatori di sistemi di videosorveglianza, sia nel caso in cui siano chiamati ad effettuare le sole operazioni di installazione, sia nel caso in cui siano coinvolti nella scelta del sistema da installare e/o nelle attività di verifica e aggiornamento delle misure di sicurezza.

Le diverse attività comportano, evidentemente,diversi compiti e responsabilità circa le misure di sicurezza, ma si tratta di tema rispetto al quale gli installatori rivestono comunque un ruolo di rilievo.