Riepilogo

Il GDPR è un regolamento che sta già influenzando il modo in cui le organizzazioni gestiscono i dati, inclusi i dati video.

Come requisito minimo, ciascuna organizzazione che tratta i dati personali deve avere una o più persone designate, responsabili di garantire che i dati personali vengano gestiti in linea con il GDPR e la politica aziendale (il numero di ore-uomo allocate per questo scopo dipenderà dalla dimensione dell'organizzazione e dalla quantità di dati personali raccolti e trattati). Inoltre, per alcune organizzazioni, il GDPR richiederà la nomina di un responsabile della protezione dei dati (RPD) formale per lo svolgimento di questi compiti.

Verranno anche apportate modifiche nella procedura amministrativa. In base al GDPR, le organizzazioni devono conservare un registro delle attività di trattamento dettagliato e accurato. Per un modello di esempio di un Registro delle attività di trattamento, consultare il modello di Registro delle attività di trattamento. C'è un'ampia varietà di dettagli che devono essere registrati, inclusi tra gli altri:

• A quale categoria di individui sono correlati i dati personali trattati (ad esempio, clienti, dipendenti, visitatori di negozi e così via)
• Per quali finalità vengono utilizzati i dati personali
• Se i dati personali verranno trasferiti, ad altre aziende e/o al di fuori dell'UE
• Per quanto tempo i dati personali verranno conservati
• Misure adottate dall'organizzazione, in relazione a ciascun attività di trattamento dei dati separata, per garantire la conformità al GDPR

Tutto questo è pertinente quando si tratta dei video di sorveglianza memorizzati e definito nella Politica di video sorveglianza (consultare Appendice: Finalità e criteri della video sorveglianza).

Le organizzazioni sono obbligate a spiegare perché una videocamera si trova in un punto specifico, cosa viene ripreso e perché. Nel caso di video sorveglianza, occorre utilizzare un'adeguata segnaletica all'interno e intorno all'area dove il sistema stesso viene impiegato al fine di fornire informazioni in merito.

Il titolare del trattamento può essere obbligato a eseguire una valutazione dell'impatto sulla protezione dei dati (Appendice: Valutazione dell'impatto sulla protezione dei dati) quando si tratta di configurare una telecamera in un luogo pubblico. Una valutazione dell'impatto deve includere:

• Una descrizione sistematica delle finalità e delle operazioni di trattamento previste
• Una valutazione della necessità e della proporzionalità delle operazioni di trattamento in termini di finalità (può richiedere assistenza esterna)
• Valutazione del rischio per i diritti e le libertà degli individui
• Misure pianificate per gestire questi rischi, inclusi misure di salvaguardia e meccanismi per garantire la protezione dei dati personali e la conformità al GDPR (si dovrebbero considerare i diritti e gli interessi legittimi di individui e altre persone interessate)

Una delle funzioni chiave del GDPR è che coloro che vengono monitorati devono essere completamente informati riguardo a quali dati vengono conservati su di essi e come vengono utilizzati. L'informativa sul diritto all'informazione informa gli individui interessati dalla finalità della sorveglianza, che gestiscono i dati raccolti (titolare del trattamento/responsabile del trattamento) e la politica di conservazione. Per un modello di esempio di un avviso sul posto, vedere il modello di Milestoneavviso sul posto.

Le organizzazioni che memorizzano i video hanno chiare responsabilità quando si tratta di memorizzare i dati personali e devono adottare misure efficienti per impedire l'accesso non autorizzato. Ciò significa che è importante definire, per iscritto, chi avrà accesso a telecamere e registrazioni.

Le organizzazioni devono anche applicare una procedura per quando un individuo sceglie di esercitare il suo diritto di accedere ai dati personali o richiederne l'eliminazione. In questo modo possono restare nella finestra prescritta di un mese entro cui devono conformarsi a queste richieste ai sensi del GDPR. Nel presentare tale richiesta, è ragionevole aspettarsi che il richiedente fornisca informazioni adeguate per individuare questi dati, ad esempio un intervallo di tempo approssimativo e l'ubicazione dove il video è stato acquisito. Ossia, il soggetto deve esibire documenti di riconoscimento ufficiali come prova della sua identità e l'organizzazione deve tenere traccia delle registrazioni mostrate o fornite all'individuo. Inoltre, nel video devono essere escluse tramite mascheratura altre persone, utilizzando strumenti di terze parti.

Le organizzazioni devono utilizzare misure efficaci per impedire l'accesso non autorizzato ai dati personali memorizzati. La tattica utilizzata da ciascuna organizzazione sarà specifica per le sfide che affronta. Tuttavia, in tutti i casi, le organizzazioni devono impiegare controlli di sicurezza efficienti, restare aggiornate con le best practice per la sicurezza informatica e assicurarsi di lavorare con partner fidati che forniscono hardware e software protetti e servizi di post-assistenza completi.

Gestione dei dati personali

Nella gestione dei dati personali, aderire a questi principi:

• Valutare: Sapere quali informazioni personali sono presenti nei file e sui computer.
• Ridurre: Conservare solo ciò che è necessario per l'azienda.
• Proteggere: Proteggere le informazioni conservate.
• Eliminare: Smaltire correttamente ciò che non è più necessario.
• Rispondere: Riferire immediatamente tutte le violazioni della sicurezza effettive e sospette.