Post Image
12 Giu, 2022
Posted by Elios Impianti
0 comment

SICUREZZA NELLA VIDEOSORVEGLIANZA

Diverse videocamere vittime degli hacker. L’importanza del rispetto delle norme GDPR (e in quali paesi sono prodotte).

In questi giorni, in cui dilaga sui notiziari la scoperta di una rete criminale dedita all’hackeraggio dei sistemi di videosorveglianza, è opportuno ricordare che una corretta applicazione del GDPR avrebbe potuto prevenire quanto accaduto.

Grazie alla Polizia Postale, coordinata dalla Procura di Milano, è stata sgominata la banda criminale, che hackerava sistemi di videosorveglianza di cittadini (compresi bambini) ed enti privati, per poi rivendere le relative chiavi di accesso “al pubblico” per poche decine di euro.

Queste condotte avrebbero potuto essere prevenute con una corretta applicazione degli strumenti previsti dal Regolamento UE 679/2016 (il cd. GDPR).

In questo caso, gli indagati sono partiti da una ricerca in rete degli impianti di videosorveglianza connessi ad internet e, una volta individuati, li hanno attaccati riuscendo in alcuni casi a scoprire le relative password.

Il primo istituto che viene in mente parlando di GDPR, è sicuramente il tema delle cosiddette TOMs, ovvero le misure di sicurezza tecniche e organizzative.

Chi installa una rete di videosorveglianza aziendale, dal quale transitano necessariamente dati personali (immagini) a volte anche particolari e relativi a soggetti vulnerabili (basti pensare ad immagini di disabili e minori), è chiamato a garantire la sicurezza anche degli apparati utilizzati per tale trattamento.

È quindi importante l’aspetto progettuale delle misure di sicurezza in tutela della privacy dei dati, partendo da rete, telecamere, collegamenti e server.
SOGGETTI AUTORIZZATI AL TRATTAMENTO

È necessario identificare i soggetti autorizzati al trattamento, da vincolare con un apposito atto di nomina coordinato con il modello organizzativo privacy aziendale (solo determinati dipendenti saranno autorizzati ad accedere alle immagini delle telecamere nell’esercizio delle proprie funzioni).

LA SCELTA DEI FORNITORI DI SERVIZI DI SICUREZZA

Altro punto fondamentale è la scelta dei fornitori esterni dei servizi di sicurezza. Spesso, vengono stipulati contratti con società autorizzate ad accedere alle telecamere da remoto (a volte, per il tramite di app di terze parti).

È evidente che questo collegamento “a distanza” rappresenti uno dei punti vulnerabili di questi sistemi, dove gli hacker potrebbero intrufolarsi.
La vulnerabilità è potenzialmente insita sia nel collegamento che nei sistemi dei provider (ad esempio, i loro server o le APP fornite direttamente o indirettamente).

Ecco che allora occorre scegliere un fornitore che presenti adeguate garanzie, che dovranno essere riassunte in un apposito atto di nomina a responsabile del trattamento (il cd DPA – Data Protection Agreement).

Inoltre, devono essere concordate le misure di sicurezza che il committente dovrà adottare a protezione dei dati trasmessi, i soggetti coinvolti nel trattamento, la destinazione delle immagini e la durata della loro conservazione.

DPIA: COS’È E QUANDO È NECESSARIO SVOLGERLO

La valutazione di impatto del trattamento (D.P.I.A., cioè Data Protection Impact Assessment) è un processo volto a descrivere il trattamento, valutarne la necessità e la proporzionalità e a gestire gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento.

 

GDPR COME PREVENZIONE

Il GDPR contiene in sé molteplici prescrizioni che, se correttamente implementate, potrebbero aiutare a proteggere le immagini acquisite tramite i sistemi di videosorveglianza. Per questo è un valido strumento di prevenzione.

In tutto questo, giocherà un ruolo fondamentale l’attività ispettiva del Garante della Privacy; l’erogazione di adeguate sanzioni spingerà necessariamente gli operatori ad adeguarsi alla normativa, contribuendo a ridurre i rischi di cui stiamo parlando.

L’Authority potrebbe poi agire in coordinamento con i diversi Ispettorati del Lavoro, chiamati anch’essi a vigilare sulla legittimità delle telecamere (ovviamente, per il contesto di loro competenza).

 

Un’idea potrebbe essere quella di integrare anche una DPIA sull’impianto, nella documentazione da produrre nelle istanze autorizzative da presentare all’Ispettorato. In questo modo, i diversi datori di lavoro (nonché titolari del trattamento) sarebbero costretti a porre attenzione “a monte” anche sulle misure di sicurezza lato privacy.

Se si acquista un impianto di videosorveglianza progettato e prodotto nel territorio Europeo, dovrà per legge, essere a norma con il GDPR.

Elios Impianti è un’azienda italiana che realizza ed installa impianti e sistemi di sicurezza, inoltre, utilizza tecnologie esclusivamente Italiane, dalla progettazione alla produzione.

Gli accordi con le centrali di controllo? anch’esse italiane.

Elios Impianti sicuri al 100%, compresa la vostra privacy.

Calendario

Ottobre 2022
L M M G V S D
 12
3456789
10111213141516
17181920212223
24252627282930
31