Sono tantissime le aziende che, per proteggere i locali della propria sede da eventualità spiacevoli come le intrusioni da parte di soggetti esterni, utilizzano impianti di videosorveglianza. Il ricorso a questi ultimi porta a riflettere sulla necessità o meno di mettere in atto un processo di valutazione impatto privacy. Se ti stai facendo domande in merito, non devi fare altro che proseguire nella lettura di questo articolo.
DPIA: come muoversi in caso di impianto di videosorveglianza
Quando si parla di DPIA (Data Protection Impact Assessment) e del suo rapporto con la presenza di impianti di videosorveglianza in azienda, è doveroso rammentare che spetta al titolare del trattamento dei dati fare il punto della situazione in merito alle conseguenze derivanti dalla gestione dei dati stessi. Questo è il primo step. Subito dopo, arriva il focus sull’impatto che la procedura sopra ricordata potrebbe avere sulle libertà e i diritti degli interessati. Fondamentale è rammentare che il titolare non opera da solo. Il ruolo del DPO è infatti cruciale: questa figura – che ricordiamo bene non essere obbligatoria per tutte le aziende – fornisce infatti le indicazioni tecniche giuste per la gestione dei dati.
Da queste righe, è chiaro che la valutazione di impatto privacy in caso di videosorveglianza è obbligatoria per via del principio di accountability. Come mai? Perché, dal momento che vengono applicate nuove tecnologie, si può avere a che fare con rischi legati alla libertà e ai diritti degli interessati.
Nel momento in cui la si chiama in causa, è doveroso citare i cosiddetti parametri RID. Cosa sono? L’acronimo sopra citato si può sciogliere con le seguenti parole: riservatezza, integrità, disponibilità. Entrando nel vivo dei vari aspetti, facciamo presente che, nel caso del trattamento a cui stiamo dedicando queste righe, la perdita di riservatezza è un parametro che ha un impatto molto basso. Come mai? Perché il disagio pratico – che può essere, per esempio, legato alla rilevazione della presenza, presso la sede aziendale, di un soggetto non autorizzato – è davvero limitato.
Lo stesso ragionamento si può fare in merito alla perdita di integrità e disponibilità. Nel primo dei due casi, parliamo di un’eventualità davvero remota. Alla base, infatti, dovrebbe esserci una manipolazione delle immagini e dei video catturati dalle telecamere. Anche l’impatto relativo alla disponibilità è basso. In questo caso specifico, è bene ricordare che una temporanea perdita dei contenuti sopra citati potrebbe rivelarsi problematica più che altro per la realtà che effettua la procedura di videosorveglianza.
Per dovere di precisione, facciamo presente che quello appena esplicitato è uno schema di base. Da non dimenticare, infatti, è il ruolo del luogo in cui vengono effettuate le riprese. Esistono infatti situazioni in cui, a seguito della visione delle foto o dei filmati, si possono ricavare informazioni relative, per esempio, all’orientamento sessuale delle persone riprese, così come alle loro condizioni di salute. In tali frangenti, il titolare, sempre consigliato dal DPO, dovrà chiaramente mettere in atto una procedura di valutazione differente.
Uno step essenziale da chiamare in causa è anche quello relativo alla possibilità di avere a che fare con il concretizzarsi di una minaccia al sopra citato trattamento dei dati. Come muoversi da questo punto di vista? Tenendo presente innanzitutto la possibilità di una minaccia relativa alle risorse tecniche (senza dimenticare quelle di rete). In questo caso, si ragiona nell’ottica del seguente status quo:
- Sistema di videosorveglianza non collegato a internet;
- Definizione chiara dei ruoli delle persone che gestiscono il trattamento di videosorveglianza;
- Tracciamento delle attività di elaborazione su file di log ad hoc.
Concludiamo rammentando che, da parte dei dipendenti, la possibilità di avere a che fare con minacce è molto bassa. Il motivo è legato alla loro impossibilità di concretizzare trasferimenti o archiviazione dei dati delle telecamere.