Le aziende o gli artigiani che installano sistemi di videosorveglianza hanno un triplo ruolo in ambito privacy:
1) rispettare la normativa per sé;
2) guidare la clientela ai suoi adempimenti;
3) eventualmente svolgere il servizio di accesso e controllo delle immagini.
È bene ricordare che il cliente assume il ruolo di Titolare del Trattamento, mentre vedremo in seguito che l’installatore avrà il ruolo di Responsabile del Trattamento.
Gli adempimenti base dell’installatore
La figura giuridica che effettua l’attività di progettazione e installazione di impianti di videosorveglianza deve adempiere alla normativa come tutti: si tratta quindi, come minimo, di redigere il proprio Registro dei Trattamenti per quanto riguarda clienti e fornitori, dipendenti; nominare i propri addetti ed i propri Responsabili del Trattamento; redigere le proprie informative; etc.
Oltre agli adempimenti formali, in fase di progettazione e poi di installazione deve anche rispettare il principio di minima invasività degli spazi pubblici per quanto riguarda il campo visivo delle camere: esse dovrebbero evitare del tutto, o al massimo, di riprendere spazi pubblici, ossia dove chiunque può legittimamente trovarsi a transitare. Sempre in questa fase, bisogna che sia individuato il luogo ove porre il registratore delle immagini e le relative misure di sicurezza sia fisiche (inaccessibilità) che logiche (autenticazione degli incaricati).
Gli adempimenti del cliente
Nel caso il cliente sia un privato (e in questa dicitura non è compreso il condominio), quest’ultimo non deve eseguire adempimenti se non l’affissione dei cartelli informativi, quanto meno visibili dal di fuori del raggio d’azione delle videocamere.
Quando invece il cliente è figura giuridica (incluso quindi il condominio), esso ha una serie di adempimenti da eseguire, ed è naturale che l’installatore faccia da guida o da supporto per essi, all’interno dei servizi offerti.
Gli adempimenti basilari sono l’aggiornamento del Registro dei Trattamenti (aggiunta del trattamento “videosorveglianza” o simile) e la redazione dell’informativa completa; essi devono contenere ovviamente tutte le informazioni necessarie. Tra queste, da sottolienarne per importanza la finalità della sorveglianza video, ed il tempo di conservazione, che deve essere limitato a 24 ore, a meno che non esistano motivazioni valide per il suo allungamento (che comunque non può superare la settimana, nei casi più complessi).
L’informativa completa deve essere accompagnata da quella breve, ossia il cartello con l’icona della videocamera. Esso deve come minimo riportare l’indicazione del Titolare del Trattamento (quindi la ragione sociale dell’azienda cliente) e la motivazione per cui è effettuata la sorveglianza (come prevedeva il Provvedimento del Garante italiano dell’8 aprile 2010); tuttavia, le recenti Linee Guida del Comitato Europeo per la Protezione dei Dati prevedono anche l’indicazione dei contatti del Titolare e dell’eventuale DPO, l’indicazione dei diritti riconosciuti ed un collegamento alla versione digitale dell’informativa completa.
Nel caso che la videosorveglianza avvenga anche nei locali e negli orari di lavoro, e quindi ci sia possibilità di controllo a distanza dell’attività dei lavoratori, è necessario tenere presente di quanto previsto dall’art. 4 dello Statuto dei lavoratori (Legge 300/1970): la liceità è limitata a finalità per esigenze organizzative e produttive, per la sicurezza del lavoro o per la tutela del patrimonio aziendale; inoltre è necessario raggiungere un accordo collettivo con le rappresentanze sindacali o, in mancanza di questo, richiedere l’autorizzazione dell’Ispettorato del Lavoro (in quest’ultimo caso, la compilazione della richiesta e soprattutto la redazione della relazione tecnica da allegare sono sicuramente attività di supporto utili al cliente). Infine, si deve dare adeguata comunicazione ai lavoratori delle modalità d’uso degli strumenti e di effettuazione dei controlli.
Inoltre, a parte i casi più banali, è necessaria anche la Valutazione di Impatto (DPIA). Come indicazione di massima, essa è sicuramente necessaria in caso di allungamento dei tempi di conservazione delle immagini oltre le 24 ore, nel caso che vengano coperte aree particolarmente frequentate, nel caso di sorveglianza (anche solo potenziale) dei lavoratori, nel caso le immagini vengano sistematicamente controllate.
Servizi di accesso e controllo
Dopo l’installazione e tutti gli adempimenti sopra ricordati, l’installatore dovrà sicuramente occuparsi della manutenzione (almeno per il periodo minimo di garanzia); quest’attività lo pone potenzialmente in grado di accedere alle immagini, registrate o in diretta, delle videocamere, motivo per il quale è sempre opportuna la nomina a Responsabile del Trattamento, che può essere tranquillamente inserita nel contratto o nel preventivo/offerta che viene accetttato. Gli eventuali lavoratori del RdT devono essere a loro volta nominati da esso come addetti.
A parte questo compito basilare, l’installatore può assumersi l’onere, per conto del cliente, di effettuare le attività di verifica delle immagini, avvenga ciò su richiesta o sistematicamente. Ovviamente ciò deve essere riportato nella nomina a RdT, e la nomina dei lavoratori deve contenere anche questa attività all’interno delle mansioni assegnate. In caso che tale servizio sia reso a diverse aziende, per il cui il numero di potenziali interessati diventa significativo, è bene valutare la nomina di un DPO.
Se la verifica delle immagini venisse invece affidata ad agenzie di sorveglianza, deve essere presente per questa la nomina a Responsabile del Trattamento. L’accesso e/o trasferimento delle immagini alle forze dell’ordine è un obbligo di legge e non richiede ulteriori adempimenti.
Misure di sicurezza dell’impianto
Indicativamente, le misure di sicurezza di un impianto di videosorveglianza devono essere queste:
- Il registratore deve essere inaccessibile dai non autorizzati, o perché protetto adeguatamente (locale blindato, allarmi, etc) o perché posto in altro luogo;
- Se il collegamento delle videocamere è su rete IP, la rete deve essere isolata da internet, e le eventuali password di accesso alle singole camere essere impostate esplicitamente (non lasciate quelle preimpostate);
- Ogni autorizzato alla visione delle immagini deve avere un suo account personale per l’accesso, e deve impostare esplicitamente la relativa password; il sistema deve registrare gli accessi e le azione degli autorizzati;
- Se l’accesso al registratore può avvenire su rete pubblica (internet), la connessione deve essere crittografata (meglio se si utilizza una VPN).
C’è anche un ulteriore misura, che diventa anche un possibile ulteiore servizio dell’installatore: l’accesso al registro degli accessi dell’autorizzato può essere effettuato da una sola persona (attraverso credenziali dedicate), ed essa può eventualmente essere l’installatore stesso, che conservi le credenziali amministrative (tutto ciò deve ovviamente riflettersi nella nomina).
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.