Appendice: Valutazione dell'impatto sulla protezione dei dati

Ai sensi dell'articolo 35 del GDPR è richiesta una valutazione dell'impatto sulla protezione dei dati se la sorveglianza

probabilmente determinerà un alto rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento, prima del trattamento, eseguirà una valutazione dell'impatto delle operazioni previste sulla protezione dei dati personali.

Il titolare del trattamento deve consultare l'autorità di controllo prima del trattamento dove una valutazione dell'impatto sulla protezione dei dati ai sensi dell'articolo 35 indica che il trattamento comporterebbe un alto rischio in assenza di misure adottate dal titolare del trattamento per mitigare il rischio (consultazione preventiva, articolo 36 del GDPR).

Creare e gestire una valutazione dell'impatto sulla protezione dei dati, un'informativa agli individui interessati. Il presente documento:

  • Descrive la finalità della sorveglianza
  • È conservata dal titolare del trattamento o dal responsabile del trattamento
  • Definisce la politica di conservazione

Occorre condurre una valutazione dell'impatto sulla protezione dei dati prima di installare e implementare sistemi di video sorveglianza ogniqualvolta ciò aggiunge valore agli sforzi in materia di conformità dell'organizzazione. La finalità della valutazione dell'impatto sulla protezione dei dati è determinare l'impatto del sistema proposto sulla privacy degli individui e altri diritti fondamentali e individuare modi per mitigare o evitare eventuali effetti avversi.

Come requisito minimo, ai sensi dell'articolo 35 (7) del GDPR, la valutazione deve contenere almeno:

  • Una descrizione sistematica delle operazioni di trattamento previste e le finalità del trattamento, incluso, laddove applicabile, il legittimo interesse perseguito dal titolare del trattamento

  • Una valutazione della necessità e della proporzionalità delle operazioni di trattamento in relazione alle finalità

  • Una valutazione dei rischi per i diritti e le libertà degli interessati indicati nell'articolo 35 (1) del GDPR:

    Laddove un tipo di trattamento che in particolare utilizza nuove tecnologie e tiene conto della natura, dell'ambito, del contesto e delle finalità del trattamento stesso, probabilmente determinerà un alto rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento, prima del trattamento, eseguirà una valutazione dell'impatto delle operazioni previste sulla protezione dei dati personali. Una singola valutazione potrebbe riguardare una serie di operazioni di trattamento simili che presentano alti rischi simili.

  • Le misure previste per gestire questi rischi, inclusi misure di salvaguardia, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e la conformità al GDPR tenendo conto dei diritti e degli interessi legittimi degli interessati e di altre persone coinvolte

Lo sforzo che sia appropriato per investire in una valutazione dell'impatto sulla protezione dei dati dipende dalle circostanze. Un sistema di video sorveglianza con rischi inerenti elevati o uno che pone problemi nuovi o complessi richiede un maggiore sforzo in termini di investimenti rispetto a uno con un impatto proporzionalmente limitato sulla privacy e altri diritti fondamentali, come un sistema CCTV statico convenzionale utilizzato per tipiche finalità di sicurezza.

In ogni caso, in una valutazione dell'impatto sulla protezione dei dati formale o altrimenti, le organizzazioni devono valutare e giustificare se ricorrere alla video sorveglianza, come collocare, selezionare e configurare i loro sistemi e come implementare misure di salvaguardia volte alla protezione dei dati.

Inoltre, ci possono essere dei casi in cui un'organizzazione propone un sistema non standard. In questo caso, l'organizzazione deve valutare attentamente le differenze pianificate dalla pratica e dai consigli, discuterli con il responsabile della protezione dei dati e con altre parti interessate e documentarne la valutazione per iscritto, in una valutazione dell'impatto sulla protezione dei dati formale o altrimenti. Anche la verifica del sistema dell'organizzazione deve rispettare la legittimità della personalizzazione del sistema stesso.

Infine, per la sua complessità, novità, specificità o rischi inerenti, si consiglia di eseguire una valutazione dell'impatto sulla protezione dei dati nei seguenti casi:

  • Video sorveglianza per finalità diverse dalla sicurezza (tra cui per scopi di indagine)
  • Video sorveglianza di spazi pubblici
  • Monitoraggio dei dipendenti
  • Monitoraggio sul territorio dello Stato membro o di paesi terzi
  • Categorie speciali di dati
  • Aree incluse in aspettative elevate di privacy
  • Video sorveglianza high-tech e/o intelligente
  • Sistemi interconnessi
  • Registrazione audio

La valutazione dell'impatto sulla protezione dei dati può essere eseguita internamente o da un appaltatore indipendente. La valutazione deve essere condotta nella fase iniziale del progetto. In base ai risultati della valutazione dell'impatto sulla protezione dei dati un'organizzazione può decidere:

  • Di astenersi da o modificare il monitoraggio pianificato e/o
  • Di implementare misure di salvaguardia aggiuntive

Rischi inerenti con l'uso del VMS

Durante la gestione della valutazione dell'impatto sulla protezione dei dati occorre essere al corrente in merito ai rischi inerenti con l'uso del VMS.

La valutazione dell'impatto sulla protezione dei dati deve essere adeguatamente documentata. In linea di principio, un report di valutazione dell'impatto sulla protezione dei dati deve chiaramente specificare i rischi per la privacy e/o altri diritti fondamentali che l'organizzazione ha identificato, nonché le misure di salvaguardia aggiuntive proposte. Tenere presente i seguenti rischi di violazione dei diritti personali:

  • Azienda/Datore di lavoro, utilizzando feed video, allarmi o registri attività utente per:
    • Monitorare gli orari di lavoro dei dipendenti nel sito oggetto di indagine, ad esempio, l'ora di arrivo e di partenza
    • Monitorare l'efficienza dei dipendenti controllando dove trascorrono il loro tempo, la quantità di tempo passata presso la macchinetta del caffè, il tempo impiegato nei bagni, purché lavorino in maniera efficiente per qualsiasi compito loro abbiano
    • Monitorare ciò che il dipendente osserva sugli schermi dei computer
    • Monitorare se i dipendenti rispettano i requisiti di lavoro o di sicurezza, ad esempio nei cantieri
    • Mostrare registrazioni video di dipendenti ad altri dipendenti o manager per bullizzare il dipendente o minacciare altri dipendenti di fare la stessa cosa
    • Controllare se addetti alla sicurezza/operatori svolgono le loro mansioni in modo efficiente, ad esempio verificando se utilizzando in maniera attiva i client, selezionando le telecamere, eseguendo le riproduzioni, ecc.
  • Azienda/Proprietario/Operatore/Guardie, utilizzando feed video per:
    • Condividere registrazioni video di persone (dipendenti aziendali o il pubblico in generale) in situazioni imbarazzanti o sensibili sui social media
    • Utilizzare le telecamere PTZ per lo zoom avanti delle persone e ottenere registrazioni ravvicinate intime/inappropriate a loro insaputa.
  • Società/Proprietario/Operatore/Guardie
    • Esportare video o fornire l'accesso al video registrato in maniera non critica a chiunque lo richieda

Fonti aggiuntive per identificare il rischio sono:

  • La Guida di rafforzamento di Milestone fornisce Cyber Risk Management Framework, che descrive i sei passaggi consigliati di categorizzazione, selezione, implementazione, valutazione, autorizzazione e monitoraggio dei rischi. La Guida di rafforzamento di Milestone fornisce una serie di rischi tecnici e implementazioni consigliate per mitigare i rischi. Includono, tra le altre cose, la protezione della privacy del VMS in termini di una serie di violazioni dei dati e rischi di accesso non autorizzato dovuti a operazioni non efficienti di manutenzione, progettazioni e configurazione tecnica. Per ulteriori informazioni su come proteggere le installazioni XProtect VMS dagli attacchi informatici, consultare la Guida al rafforzamento.
  • La Guida alla privacy di Milestone (il presente documento) fornisce consigli sulla gestione dei rischi operativi non tecnici, inclusa la gestione di diritti e richieste dell'interessato, ruoli e responsabilità di un VMS, modelli per l'avviso sul posto, Politica di video sorveglianza e contratti del responsabile del trattamento.
  • Il corso di e-learning sulla privacy dell'utente finale di Milestone fornisce una formazione di sensibilizzazione per operazioni e supervisori del VMS su come, nel funzionamento quotidiano, gestire i rischi per la privacy correlati al VMS. Per ulteriori informazioni, vedere il sito web conforme al GDPR di Milestone.