Videosorveglianza: IoT e violazione dei dati


Le aziende che utilizzano sistemi di videosorveglianza devono rispettare specifiche norme sia di natura giuslavoristica che relativamente alla protezione dei dati.

Dal punto di vista giuslavoristico è ormai noto che tali strumenti, per poter essere installati, devono essere preventivamente approvati dalle rappresentanze sindacali presenti in azienda o, in caso di mancata approvazione o qualora non fossero presenti rappresentanze sindacali, dall’Ispettorato Territoriale del Lavoro.

Tale iter è espressamente previsto dalla Legge 300 del 1970 meglio conosciuta come Statuto dei Lavoratori.

Le basi secondo cui possono essere autorizzati sistemi di videosorveglianza sono:

  • Sicurezza del lavoro
  • Tutela del patrimonio aziendale
  • Esigenze organizzative e produttive

Videosorveglianza: privacy e data protection

Dal punto di vista privacy e data protection, la presenza dell’impianto di videosorveglianza deve essere portata a conoscenza degli interessati tramite le vignette informative poste prima del raggio di azione delle telecamere e in prossimità dell’ubicazione delle stesse. A tale informativa “breve” deve far seguito l’informativa estesa ai sensi del GDPR. Generalmente come base giuridica viene utilizzato il legittimo interesse del titolare del trattamento ma bisogna fare attenzione a tutti quei settori in cui la presenza dell’impianto di videosorveglianza rappresenta un obbligo legale.

Accanto alle tematiche giuslavoristiche e privacy bisogna tenere in considerazione l’aspetto tecnologico di tali sistemi. Con l’avanzare della tecnologia anche i sistemi di videosorveglianza stanno subendo delle modifiche. Infatti, i sistemi a circuito chiuso o sistemi basati su telecamere analogiche e registrazioni sul DVR stanno lasciando il passo a sistemi tecnologicamente più avanzati che prevedono telecamere wireless, comunicazione delle immagini tramite il protocollo IP e conservazione delle stesse in cloud.

I rischi “privacy” delle nuove tecnologie

Tali sistemi benché possano risultare più “smart” presentano delle insidie che possono portare a vere e proprie violazioni dei dati.

Il primo pericolo per tali sistemi è rappresentato dagli attacchi hacker che riescono ad eludere le misure di sicurezza impostate di default dal produttore oppure utilizzano bug resi pubblici ed a cui i produttori stessi non hanno fatto fronte rilasciando appositi aggiornamenti (“patch”).

Tali attacchi non sono così remoti a tal punto che la rete di hacker Anonymous Italia ha lanciato nel maggio 2020 il progetto #OpBigBrother per portare all’attenzione del grande pubblico il pericolo derivante da questi dispositivi. Infatti, è possibile riscontrare in rete (e non solo nel deep web) molti siti che mostrano le immagini di telecamere hackerate anche all’interno delle mura domestiche. Fra tali telecamere hackerate risultano essere presenti molte telecamere di aziende che “inviano” le proprie immagini in chiaro su Internet a disposizione potenzialmente di tutti.

Secondo pericolo rappresentato dall’uso delle telecamere IoT è il costo. Infatti, dietro a costi molto “concorrenziali” si nascondono alcune insidie: la prima è il mancato rispetto delle normative europee tra cui il GDPR; la seconda è l’utilizzo di server farm ubicate in Paesi extra UE. Si ricorda che il trasferimento dei dati personali all’esterno dell’Unione Europea può essere effettuato solo nel rispetto di quanto previsto dal GDPR. In molti casi tali aspetti non sono tenuti in considerazione da parte dei titolari del trattamento che vedono nel risparmio economico un valore aggiunto nella scelta di soluzioni poco inclini al rispetto delle normative europee e al rispetto della privacy degli interessati.

Terzo pericolo da tenere in considerazione è la possibilità per i produttori di tali dispositivi di utilizzare “porte” (backdoors) più o meno nascoste che gli consentono di accedere agli stessi ad insaputa dei titolari del trattamento. In questo caso, per il costruttore/fornitore si configurerebbe la fattispecie di accesso abusivo a sistema informatico, mentre per il titolare del trattamento si configurerebbero diverse violazioni del GDPR.

I tre pericoli sopra riportati si configurano a tutti gli effetti come violazioni dei dati personali e dovrebbero essere gestite sulla base delle procedure aziendali elaborate in virtù delle disposizioni contenute nel GDPR.

Tali violazioni, come nel caso della diffusione su siti web delle immagini, potrebbero essere protratte per un lungo periodo di tempo o comportare la violazione di dati personali di moltissimi interessati (si pensi ad esempio di telecamere poste in centri commerciali, stazioni, aeroporti, ecc.).

Rischi privacy: come fare per proteggersi

Ma qui si pone un grande problema: quante aziende sono a conoscenza che i propri sistemi IoT siano stati compromessi?

Per evitare di incorrere in violazioni delle normativa privacy a causa dell’utilizzo di sistemi di videosorveglianza basata sull’IoT bisogna intraprendere alcune azioni:

  • Accertarsi che tali sistemi non presentino vulnerabilità note nel mondo informatico e che i fornitori rilascino aggiornamenti sulla sicurezza con regolarità
  • Verificare che il costruttore rispetti le normative privacy europee e nazionali
  • Ottenere dal fornitore/costruttore la documentazione relativa alla privacy by design
  • Porre in essere tutte le misure di sicurezza informatiche in merito ai dispositivi (dal sostituire le password inserite di default dal produttore fino ad effettuare test sulla sicurezza anche attraverso penetration test o vulnerability assessment
  • Sottoscrivere apposito accordo con la rappresentanza sindacale presente in azienda o in alternativa presentare istanza all’Ispettorato Territoriale del Lavoro
  • Verificare che lo storage dei dati sia effettuato in Europa o, in caso di trasferimento in Paesi extra europei, esso venga posto in essere rispettando il GDPR
  • Installare le vignette informative prima del raggio di azione delle telecamere
  • Predisporre idonee informative da fornire ai dipendenti ed agli eventuali soggetti esterni che hanno la possibilità di accedere in azienda
  • Nominare eventuali soggetti esterni (produttori / fornitori) che hanno la possibilità di accedere ai dati presenti sui dispositivi
  • Nominare i soggetti interni che hanno la possibilità di vedere le immagini in tempo reale e/o in registrato
  • Verificare la corretta tempistica della cancellazione dei dati
  • Effettuare la valutazione del rischio sul trattamento
  • Elaborare le dovute DPIA

Articolo a cura di Angelo Algieri | Data Protection Consultant, Labor Project

Se ti è piaciuto l'articolo condividi: