È di questi giorni la notizia secondo cui la Polizia Postale, coordinata dalla Procura di Milano, ha fatto emergere una rete criminale che, partendo dall’hackeraggio dei sistemi di videosorveglianza di cittadini ed enti privati, rivendeva poi le relative chiavi di accesso “al pubblico” per poche decine di euro.
Il risultato? Agghiacciante: ignari cittadini – compresi bambini – spiati a propria insaputa nella vita quotidiana (privata e lavorativa) da estranei malintenzionati.
Sulla stampa ci si è per lo più soffermati sugli aspetti penali della vicenda; tuttavia, la fattispecie ha delle implicazioni molto rilevanti anche lato data protection.
Analizziamo quindi nel dettaglio la modalità di azione della “banda”, per capire se – potenzialmente – queste condotte avrebbero potuto essere prevenute con una corretta applicazione degli strumenti previsti dal Regolamento UE 679/2016 (il cd. GDPR).
Videosorveglianza in azienda: guida pratica per disegnare un processo aziendale compliant
Indice degli argomenti
Progettare by design le misure di sicurezza
Ai fini del presente articolo, ci limiteremo ad analizzare gli adempimenti che potrebbero essere posti in essere con riferimento ad un sistema di videosorveglianza aziendale, non quindi installato in un’abitazione privata.
Nella vicenda in esame, gli indagati sono partiti da una ricerca in rete degli impianti di videosorveglianza connessi ad internet e, una volta individuati, li hanno attaccati riuscendo in alcuni casi a scoprire le password dei DVR.
Il primo istituto che viene in mente parlando di GDPR, è sicuramente il tema delle cosiddette TOMs, ovvero le misure di sicurezza tecniche e organizzative.
Spesso si è portati erroneamente a pensare che la sicurezza informatica sia limitata alla sola infrastruttura coinvolta nella produttività aziendale (PC, smartphones, server ecc.). Tuttavia, chi installa una rete di videosorveglianza aziendale, dal quale transitano necessariamente dati personali (immagini) a volte anche particolari e relativi a soggetti vulnerabili (basti pensare ad immagini di disabili e minori), è chiamato a garantire la sicurezza anche degli apparati utilizzati per tale trattamento.
Ecco che allora viene in luce la necessità di progettare by design le misure di sicurezza a protezione di tutto il flusso di acquisizione del dato, partendo da rete, telecamere, collegamenti e server.
Individuare i soggetti autorizzati al trattamento
A livello organizzativo, non può poi mancare l’individuazione dei soggetti autorizzati al trattamento, da vincolare con un apposito atto di nomina coordinato con il modello organizzativo privacy aziendale (solo determinati dipendenti saranno autorizzati ad accedere alle immagini delle telecamere nell’esercizio delle proprie funzioni).
La scelta dei fornitori di servizi di sicurezza
Un ulteriore aspetto da tenere in considerazione è l’attenta scelta dei fornitori esterni di eventuali servizi di sicurezza.
è sempre più frequente la stipula di contratti con società autorizzate ad accedere alle telecamere da remoto (a volte, per il tramite di app di terze parti).
È evidente che questo collegamento “a distanza” rappresenti uno dei punti vulnerabili di questi sistemi, dove gli hacker potrebbero intrufolarsi.
La vulnerabilità è potenzialmente insita sia nel collegamento che nei sistemi dei provider (ad esempio, i loro server o le APP fornite direttamente o indirettamente).
Ecco che allora diventa fondamentale la scelta di un fornitore che presenti adeguate garanzie, che necessariamente dovranno essere riassunte in un apposito atto di nomina a responsabile del trattamento (il cd DPA – Data Protection Agreement) nel quale concordare le misure di sicurezza che l’outsourcer dovrà adottare a protezione dei dati trasmessi, i soggetti coinvolti nel trattamento, la destinazione delle immagini e la durata della loro conservazione.
Quando è necessario svolgere una DPIA
Da valutare poi lo svolgimento di una DPIA – Data Protection Impact Assessment su un trattamento (quello della videosorveglianza) che, per sua natura, potrebbe prevedere l’uso di nuove tecnologie e comportare un rischio per i diritti e le libertà delle persone.
Videosorveglianza hackerata: il GDPR come strumento di prevenzione
Il GDPR contiene quindi già in sé molteplici prescrizioni che, se correttamente implementate, potrebbero aiutare a proteggere le immagini acquisite tramite i sistemi di videosorveglianza.
In questo senso, il Regolamento potrà quindi essere visto come un valido strumento per prevenire tristi vicende come quella da cui prende spunto questo articolo.
Ovviamente, in tutto questo rappresenterà un ruolo fondamentale l’attività ispettiva del Garante della Privacy; l’erogazione di adeguate sanzioni spingerà necessariamente gli operatori ad adeguarsi alla normativa, contribuendo a ridurre i rischi di cui stiamo parlando.
L’Authority potrebbe poi agire in coordinamento con i diversi Ispettorati del Lavoro, chiamati anch’essi a vigilare sulla liceità delle telecamere (ovviamente, per il contesto di loro competenza).
Un’idea potrebbe essere quella di integrare nella documentazione da produrre nelle istanze autorizzative da presentare all’Ispettorato anche una DPIA sull’impianto.
In questo modo, i diversi datori di lavoro (nonché titolari del trattamento) sarebbero costretti a porre attenzione “a monte” anche sulle misure di sicurezza lato privacy.
Come dire: gli strumenti ci sono, basta applicarli.
