Appendice: Conformità al GDPR

Conduzione di una valutazione dell'impatto

Prima di installare e implementare sistemi di video sorveglianza, occorre condurre una valutazione della privacy e una valutazione dell'impatto sulla protezione dei dati.

La finalità di una valutazione dell'impatto è determinare l'impatto del sistema proposto sulla privacy degli individui e altri diritti fondamentali e individuare modi per mitigare o evitare effetti avversi.

Quanto sforzo deve richiedere una valutazione dell'impatto? Dipende dalle circostanze. Un sistema di video sorveglianza con un alto rischio di violare la privacy garantisce un maggiore investimento rispetto a un sistema di video sorveglianza con impatto limitato sulla privacy, ad esempio, un sistema CCTV statico convenzionale.

Come requisito minimo, ai sensi dell'articolo 35 (7) del GDPR, la valutazione deve contenere almeno:

• Una descrizione sistematica delle operazioni di trattamento previste e le finalità del trattamento, incluso, laddove applicabile, il legittimo interesse perseguito dal titolare del trattamento

• Una valutazione della necessità e della proporzionalità delle operazioni di trattamento in relazione alle finalità

• Una valutazione dei rischi per i diritti e le libertà degli interessati indicati nell'articolo 35 (1) del GDPR:

  Laddove un tipo di trattamento che in particolare utilizza nuove tecnologie e tiene conto della natura, dell'ambito, del contesto e delle finalità del trattamento stesso, probabilmente determinerà un alto rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento, prima del trattamento, eseguirà una valutazione dell'impatto delle operazioni previste sulla protezione dei dati personali. Una singola valutazione potrebbe riguardare una serie di operazioni di trattamento simili che presentano alti rischi simili.

• Le misure previste per gestire questi rischi, inclusi misure di salvaguardia, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e la conformità al GDPR tenendo conto dei diritti e degli interessi legittimi degli interessati e di altre persone coinvolte

In ogni caso, è necessario valutare e giustificare se ricorrere alla video sorveglianza, come collocare le telecamere, selezionare e configurare i sistemi e come implementare le misura di salvaguardia per la protezione dei dati richieste. Per informazioni su come proteggere le installazioni XProtect VMS, consultare la Guida al rafforzamento e la Guida ai certificati.

Diritto di accesso

Ai sensi dell'articolo 15, il GDPR fornisce agli individui il controllo dei loro dati personali, incluso il diritto di vederli. Particolarmente importante è il diritto per cui gli interessati possono ottenere una copia dei loro dati e terze persone sono mascherate (utilizzando strumenti di terze parti).

Su richiesta, le organizzazioni devono fornire all'interessato tutti i dati personali raccolti nei suoi confronti, incluso il video raccolto da un sistema di video sorveglianza.

Assicurarsi di stabilire procedure e politiche formali per la gestione delle richieste del diritto di accesso, descritte in Registro di trasferimenti e divulgazioni.

Trasferimenti e divulgazioni

Esistono tre regole principali del GDPR che disciplinano i trasferimenti, a seconda del fatto che le registrazioni siano state trasferite:

• A un destinatario all'interno dell'organizzazione o in un'altra organizzazione

  In questo caso, il GDPR afferma che le registrazioni possono essere trasferite ad altri all'interno dell'organizzazione o in un'altra organizzazione se ciò è necessario per il legittimo espletamento di compiti di competenza del destinatario.

• Verso altri all'interno dell'Unione europea

  In questo caso (i trasferimenti al di fuori delle organizzazioni ma all'interno dell'Unione europea), sono possibili se ciò è necessario per l'espletamento di un compito nel pubblico interesse o rientrano nell'esercizio della pubblica autorità o se il destinatario dimostra altrimenti la necessità del trasferimento e non sussistono ragioni per presumere che possano subire pregiudizio gli interessi legittimi di quelli le cui immagini sono oggetto di trasferimento.

• O all'esterno dell'Unione europea

  In questo caso, i trasferimenti al di fuori dell'Unione europea possono avvenire: (i) se eseguiti solamente per consentire l'espletamento dei compiti dell'organizzazione e (ii) solo soggetti a requisiti aggiuntivi, principalmente per garantire che i dati verranno adeguatamente protetti all'estero.

Registro di trasferimenti e divulgazioni

Le organizzazioni devono conservare un registro, se possibile in formato elettronico, di trasferimenti e divulgazioni. In esso, deve essere registrato ciascun trasferimento a una terza parte. Le terze parti includono anche chiunque all'interno dell'organizzazione per cui venga eseguito un trasferimento da parte di coloro che hanno accesso alle registrazioni in primo luogo. Di solito include qualsiasi trasferimento al di fuori dell'unità di sicurezza. Il registro, inoltre, deve contenere tutte le istanze dove, sebbene non sia stata trasferita la copia della registrazione di video sorveglianza, alle terze parti sono state mostrate le registrazioni o quando il contenuto delle registrazioni è stato altrimenti divulgato a terze parti.

Il registro deve includere almeno quanto segue:

• Data delle registrazioni
• Parte richiedente (nome, titolo e organizzazione)
• Nome e titolo della persona che autorizza il trasferimento
• Breve descrizione del contenuto delle registrazioni
• Motivo della richiesta e motivo della concessione
• Se è stata trasferita una copia della registrazione, è stata mostrata la registrazione o sono state fornite informazioni verbali

Diritto all'oblio (diritto alla cancellazione)

Ai sensi dell'articolo 17, il GDPR fornisce agli individui il controllo dei loro dati personali, incluso il diritto di cancellarli se non sono più necessari per la finalità prevista del sistema.

Ai sensi dell'articolo 17 (1)(c) del GDPR, il titolare del trattamento deve gestire le obiezioni degli interessati. Poiché l'eliminazione di un soggetto specifico dal video non è pratica, i responsabili del trattamento devono limitare rigorosamente il periodo di conservazione del video secondo la finalità documentata del sistema.

Come occorre procedere?

Esaminare il periodo di conservazione per tutte le telecamere e assicurarsi che sia stato impostato in base alla finalità del sistema documentata.

Il diritto all'oblio non si applica spesso alla video sorveglianza, poiché il periodo di conservazione è di solito breve e altri fondamenti giuridici prevalgono su interessi tecnici e legali "ragionevoli" come obbligo legale (legge sul lavoro), interesse pubblico (prevenzione del crimine, salute e sicurezza pubbliche), interessi vitali (dati critici su vita e salute, ambienti rischiosi e pericolosi), interessi legittimi (rilevamento di frodi, occupazione, sviluppo di prodotti) o persino adempimento contrattuale (occupazione, abbonamenti e licenze). Un esempio di interesse legittimo è che le registrazioni di video sorveglianza devono essere una fonte attendibile di prove in qualsiasi momento specificato, pertanto, il VMS protegge principalmente le prove video impedendo che vengano manomesse e garantendone l'autenticazione, rendendo secondario il diritto all'oblio.

Esistono di solito due motivi per cui gli interessati si oppongono alla memorizzazione delle registrazioni video:

• Sugli interessi del titolare del trattamento nel memorizzare i dati prevalgono gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali (articolo 17 (1)(c), GDPR).
• I dati personali sono stati trattati illecitamente, ad esempio per la sorveglianza di una scuola materna o uno spogliatoio (articolo 17 (1)(d), GDPR).

Pertanto, ogni richiesta deve essere esaminata attentamente.

Per quanto tempo le registrazioni devono essere conservate?

Il principio generale è che le registrazioni non devono essere conservate più del necessario per le finalità specifiche per cui sono state eseguite. Occorre anche considerare se innanzitutto è necessaria la registrazione e se il monitoraggio live senza registrazione sarebbe sufficiente.

Se un'organizzazione opta per la registrazione, deve specificare il periodo in cui le registrazioni verranno conservate. Alla scadenza di questo periodo, le registrazioni devono essere cancellate. Milestone XProtect VMS automatizza il processo di cancellazione, eliminando automaticamente le registrazioni precedenti al periodo di conservazione impostato.

Quando i file contenenti i dati video registrati vengono eliminati dal VMS, i file e il relativo contenuto non vengono effettivamente cancellati dai blocchi di dati nel sistema di memorizzazione ma semplicemente contrassegnati come liberi nel file system, consentendo la scrittura di altri file in questa ubicazione del sistema stesso. Finché i blocchi di dati non vengono effettivamente sovrascritti con dati nuovi, i dati video eliminati precedenti potrebbero potenzialmente essere ripristinati, fornendo l'accesso a registrazioni meno recenti rispetto al periodo di conservazione impostato.

Per questo motivo, si consiglia di non sovradimensionare il sistema di memorizzazione, poiché il rischio diventa maggiore con la dimensione del sovraccarico.

Ad esempio, se il sistema di memorizzazione allocato è grande il doppio della quantità di dati video memorizzati per il periodo di conservazione impostato, diciamo sette giorni, i blocchi di dati eliminati contenenti i dati video eliminati precedenti possono comparire statisticamente nel sistema di memorizzazione per altri sette giorni prima di essere sovrascritti.

Per ridurre ulteriormente il rischio di accesso ai dati video precedenti che sono stati eliminati, e per la sicurezza in generale, si consiglia di abilitare la crittografia dei database di supporti. Quando la crittografia è abilitata, oltre a consentire il ripristino dei file eliminati, i database di supporti indicano anche quando sono stati manomessi.

Indipendentemente dal fatto che i dati video siano strati crittografati o meno, una volta che i dischi nel sistema di memorizzazione non sono più utilizzabili, è importante bonificare o distruggere fisicamente i dischi rigidi utilizzati per memorizzare i database di supporti prima di smaltirli (ad esempio, tramite shredding o altri mezzi equivalenti).

Per informazioni su come configurare questa impostazione in Milestone XProtect, vedere Informazioni su memoria e archiviazione (spiegazione) nel Manuale dell'amministratore per il sistema VMS XProtect.

Se la finalità della video sorveglianza è la sicurezza, si verifica un incidente di sicurezza e viene stabilito che le registrazioni sono necessarie per fare ulteriori indagini sull'incidente o utilizzare le registrazioni come prova, la registrazione pertinente potrebbe essere conservata oltre i normali periodi di conservazione purché sia necessaria per queste finalità. Successivamente, deve essere tuttavia cancellata.

Periodo di conservazione per tipiche finalità di sicurezza: da una settimana a un mese

Quando le telecamere sono state installate per finalità di sicurezza, da una settimana a un mese dovrebbe essere un periodo di tempo sufficiente per consentire al personale addetto alla sicurezza di prendere una decisione consapevole in merito a se conservare una registrazione per un periodo più lungo al fine di esaminare ulteriormente un incidente di sicurezza o utilizzarlo come prova.

Un esempio di legge locale: secondo alcune autorità tedesche competenti per la protezione dei dati personali e la maggior parte della letteratura in materia di protezione dei dati, questo periodo di conservazione è compreso tra 48 e 72 ore come linea guida per il controllo accesso e le indagini sui reati.

Territorio dello Stato membro o di un paese terzo: 48 ore

Nel caso in cui la sorveglianza copra qualsiasi area all'esterno degli edifici nel territorio dello Stato membro (o di un paese terzo) (di solito quelli vicino alle aree di entrata e uscita) e non è possibile evitare che i passanti o le auto in transito vengano ripresi dalle telecamere, si consiglia di ridurre il periodo di conservazione a 48 ore o altrimenti tenere conto delle preoccupazioni locali, se possibile.

Diritto di limitazione del trattamento

L'interessato può, con riferimento all'articolo 18 (1) del GDPR, reclamare il diritto di limitazione del trattamento. In uno scenario del VMS di base, l'interessato può sostenere che il trattamento del VMS sia illegittimo, ad esempio se è inconsapevole che la video sorveglianza di uno spazio pubblico viene eseguita con la protezione tramite maschera privacy. Si consiglia di utilizzare un modello di richiesta dell'interessato per documentare il reclamo (vedere Richiesta dell'interessato). Per un modello di esempio di una richiesta dell'interessato, vedere il modello di richiesta dell'interessato di Milestone.

Il reclamo deve essere trattato in un intervallo di tempo ragionevole, più rapidamente del periodo di conservazione, per evitare l'eliminazione o la conservazione automatizzata della prova del VMS nel reclamo stesso. In generale, si consiglia di cercare assistenza legale relativamente alla limitazione di trattamento. Un modo per gestire questa richiesta è consentire all'amministratore del VMS di limitare i supervisori o gli operatori del VMS mediante l'assegnazione di ruoli solo per poter riprodurre le registrazioni entro un breve periodo di tempo dopo che sono state eseguite, ad esempio, quatto ore o un giorno (vedere Come occorre procedere?: "Considerare la restrizione dell'accesso al video registrato per operatori, completamente, al solo video registrato nelle poche ore passate o solo con doppia autorizzazione"). Le limitazioni della riproduzione si applicano anche alle protezioni prove. Se sono richieste ulteriori limitazioni di trattamento, si consiglia di condurre una valutazione dell'impatto sulle imprese e una valutazione dell'impatto sulla privacy (vedere Conduzione di una valutazione dell'impatto) come parte della gestione dei reclami.

Come occorre procedere?

• Documentare la risoluzione di punti differenti nella scena della telecamera
• Documentare il periodo di conservazione previsto
• Considerare l'applicazione della mascheratura privacy, permanente o rimovibile
• Considerare la configurazione di autorizzazioni per la visualizzazione di video live, registrazioni
• Considerare la restrizione dell'accesso per l'esportazione di registrazioni e per la rimozione di maschere privacy
• Valutare ed esaminare regolarmente ruoli e responsabilità per operatori, investigatori, amministratori di sistema e altri con accesso al sistema
• Considerare la restrizione dell'accesso a gruppi incaricati di indagini per telecamere specificamente posizionate per acquisire l'identità (ad esempio, facce di persone che entrano in un negozio)
• Considerare la restrizione dell'accesso al video registrato per operatori, completamente, al solo video registrato nelle poche ore passate o solo con doppia autorizzazione
• Limitare il numero di utenti che hanno un ruolo di amministratore

Requisiti di privacy fin dalla progettazione

Privacy fin dalla progettazione e privacy per impostazione predefinita

Ai sensi del GDPR, il titolare del trattamento dei dati personali, nel trattare tali dati, deve implementare misure tecniche o organizzative progettate per implementare i principi di protezione dei dati definiti nel GDPR. Il GDPR lo definisce "privacy fin dalla progettazione".

Nel contesto di una telecamera, un esempio pertinente di privacy fin dalla progettazione sarebbe una funzione che consente a livello digitale all'utente di restringere l'acquisizione di immagini a un determinato perimetro, impedendo alla telecamera di acquisire eventuali immagini al di fuori di questo perimetro che verrebbero altrimenti riprese.

Nel VMS XProtect è disponibile il supporto per la mascheratura privacy in due forme: maschere permanenti che non possono essere rimosse e maschere rimovibili che (con le autorizzazioni appropriate) possono essere rimosse per rivelare l'immagine dietro la maschera.

Il titolare del trattamento deve anche implementare misure tecniche o organizzative che, per impostazione predefinita, garantiscono il trattamento, minimamente invasivo per la privacy, dei dati personali in questione. GDPR la definisce privacy per impostazione predefinita. Nel contesto di una telecamera, un esempio pertinente di privacy per impostazione predefinita potrebbe essere utilizzare la mascheratura privacy per mantenere privata un'area sensibile all'interno della vista della telecamera.

Qual è un esempio di una funzione di XProtect che supporta l'approccio privacy fin dalla progettazione?

Milestone sviluppa il suo portfolio di prodotti continuamente e la privacy per impostazione predefinita è un criterio di valutazione chiave nel rendere XProtect conforme al GDPR. Per ulteriori informazioni, vedere la guida sul ciclo di vita di sviluppo protetto in Milestone. Questa guida fa parte integrante della privacy per impostazione predefinita, applicando principi quali "difesa approfondita", "privilegi minimi", evitando impostazioni predefinite meno protette e disattivando funzioni utilizzate meno di frequente per impostazione predefinita.

Come occorre procedere per assicurare la privacy fin dalla progettazione?

• Considerare la risoluzione di punti differenti nella scena della telecamera e documentare queste impostazioni

  Finalità differenti richiedono qualità delle immagini diverse. Quando non è necessaria l'identificazione, dovrebbero essere scelti la risoluzione della telecamera e altri fattori modificabili per assicurarsi di non acquisire immagini facciali riconoscibili.

• Crittografare le registrazioni

  Milestone consiglia di proteggere le registrazioni abilitando almeno la crittografia semplice negli archivi e nello spazio di memorizzazione dei server di registrazione. Milestone utilizza l'algoritmo AES-256 per la crittografia. Quando si seleziona la crittografia semplice, viene crittografata solo una parte della registrazione. Quando si seleziona la crittografia avanzata, viene crittografata l'intera registrazione.

• Crittografia del database delle indagini

  Milestone consiglia di implementare la protezione del database delle indagini sul Mobile Server.

• Proteggere la rete

  Milestone consiglia di selezionare le telecamere che supportano HTTPS. Si consiglia di impostare le telecamere su VLAN separate e utilizzare HTTPS per la telecamera per la comunicazione con i server di registrazione, nonché i client per la comunicazione con i server di registrazione.

  Si consiglia di abilitare la crittografia per tutta la comunicazione tra i server e i client. Per informazioni su come proteggere le installazioni XProtect VMS, consultare la Guida al rafforzamento e la Guida ai certificati.

  Si consiglia di collocare XProtect Smart Client e XProtect Smart Wall sulla stessa VLAN dei server.

  Utilizzare una rete VPN crittografata o simile se si usa Smart Client o Smart Wall da un'ubicazione remota.

• Abilitare e documentare il periodo di conservazione previsto

  In base all'articolo 17 (1)(a) del GDPR, le registrazioni non devono essere conservate più del necessario per le finalità specifiche per cui sono state eseguite. Milestone consiglia di impostare il periodo di conservazione appropriato. Ciò quindi automatizza lo smaltimento di video.

• Esportazioni protette

  Milestone consiglia di consentire l'accesso alla funzionalità di esportazione solo per un gruppo selezionato di utenti che richiedono questa autorizzazione.

  Milestone consiglia anche di cambiare il profilo di Smart Client per consentire solo l'esportazione in formato XProtect con la crittografia abilitata. Non consentire le esportazioni in formato AVI e JPEG perché non possono essere impostate come protette. Così l'esportazione di qualsiasi prova è protetta da password, crittografata e firmata digitalmente, garantendo che il materiale forense sia autentico, non manomesso e visualizzato solo dal destinatario autorizzato.

• Abilitare la mascheratura privacy, permanente o rimovibile

  Utilizzare la mascheratura privacy per aiutare a eliminare la sorveglianza di aree non pertinenti per l'oggetto di sorveglianza.

• Limitare le autorizzazioni di accesso con ruoli

  Applicare il principio del privilegio minimo (Principle of Least Privilege, PoLP).

  Milestone consiglia di consentire l'accesso alle funzionalità solo per un gruppo selezionato di utenti che richiedono questa autorizzazione. Per impostazione predefinita, solo l'amministratore di sistema può accedere al sistema ed eseguire i vari compiti. Tutti i nuovi ruoli e utenti creati non hanno accesso a eventuali funzioni finché non sono stati deliberatamente configurati da un amministratore.

  Configurare le autorizzazioni per tutte le funzionalità, inclusi la visualizzazione di video live e registrazioni, l'ascolto dell'audio, l'accesso ai metadati, il controllo di telecamere PTZ, l'accesso e la configurazione di Smart Wall, la rimozione di maschere privacy, l'utilizzo di esportazioni, il salvataggio di istantanee e così via.

  Limitare l'accesso a video, audio e metadati registrati per operatori, completamente, o limitare l'accesso solo a video, audio o metadati registrati nelle poche ore precedenti.

  Valutare ed esaminare regolarmente ruoli e responsabilità per operatori, investigatori, amministratori di sistema e altri con accesso al sistema. Il principio del privilegio minimo si applica comunque?

• Abilitare e utilizzare la verifica in due passaggi

  Milestone consiglia di specificare un'operazione di accesso aggiuntiva per gli utenti di XProtect Mobile o XProtect Web Clientabilitando la verifica in due passaggi.

• Limitare le autorizzazioni dell'amministratore

  Milestone consiglia di limitare il numero di utenti che hanno un ruolo di amministratore.

Impostazione e configurazione del sistema di video sorveglianza

Il principio guida in relazione a tutti gli argomenti trattati in questa sezione dovrebbe essere ridurre al minimo l'eventuale impatto negativo sulla privacy e su altri diritti fondamentali e interessi legittimi di coloro che sono sotto sorveglianza.

Ubicazioni delle telecamere e angoli di visualizzazione

Le ubicazioni delle telecamere devono essere scelte in modo da ridurre al minimo la visualizzazione di aree non pertinenti per le finalità previste.

Di norma, dove è installato un sistema di video sorveglianza per proteggere le risorse (proprietà o informazioni) dell'organizzazione o la sicurezza del personale e dei visitatori, l'organizzazione deve limitare il monitoraggio a

• aree attentamente selezionate contenenti informazioni sensibili, elementi di alto valore o altre risorse che richiedono una maggiore protezione per un motivo specifico,
• punti di entrata e di uscita verso gli edifici (incluse le uscite di emergenza e le uscite di sicurezza o le recinzioni che circondano l'edificio o la proprietà) e
• punti di entrata e di uscita all'interno dell'edificio che collegano aree differenti che sono soggette ad autorizzazioni di accesso diverse e separate da porte chiuse a chiave o un altro meccanismo di controllo accesso.

Numero di telecamere

Il numero di telecamere da installare dipenderà dalla dimensione degli edifici e dalle esigenze di sicurezza, che, a loro volta, sono contingenti per una serie di fattori. Lo stesso numero e lo stesso tipo di telecamere possono essere appropriati per un'organizzazione e possono essere enormemente sproporzionati per un'altra. Tuttavia, se tutti gli altri fattori sono uguali, il numero di telecamere è un buon indicatore della complessità e della dimensione di un sistema di sorveglianza e può suggerire maggiori rischi per la privacy e altri diritti fondamentali. Con l'aumentare del numero di telecamere, è anche più probabile che non verranno utilizzate in modo efficiente e si verifica un sovraccarico di informazioni. Pertanto, il Garante europeo della protezione dei dati (GEPD) consiglia di limitare il numero di telecamere a quelle strettamente necessarie a realizzare le finalità del sistema. Il numero di telecamere deve essere incluso nella Politica di video sorveglianza.

Periodi del monitoraggio

Il tempo di registrazione impostato per le telecamere deve essere scelto in modo da ridurre al minimo il monitoraggio in periodi non pertinenti per le finalità previste. Se la finalità della video sorveglianza è la sicurezza, se possibile, il sistema deve essere impostato per registrare solo durante questi periodi quando esiste una maggiore probabilità che si verifichino i problemi di sicurezza presumibili.

Risoluzione e qualità delle immagini

Si devono scegliere una risoluzione e una qualità delle immagini adeguate. Finalità differenti richiederanno qualità delle immagini diverse. Ad esempio, quando l'identificazione degli individuali è fondamentale, la risoluzione delle telecamere, le impostazioni di compressione in un sistema digitale, l'ubicazione, l'illuminazione e altri fattori dovranno tutti essere considerati e scelti o modificati in modo che la qualità delle immagini risultante sia sufficiente a fornire immagini facciali riconoscibili. Se non è necessaria l'identificazione, possono essere scelti la risoluzione della telecamera e altri fattori modificabili per assicurarsi di non acquisire immagini facciali riconoscibili.

Chi deve accedere al VMS?

Le autorizzazioni di accesso devono essere limitate a un numero ridotto di individui chiaramente identificati in base alla rigorosa necessità di accesso. I criteri di accesso al VMS devono essere definiti seguendo il principio del “privilegio minimo”: l'accesso viene autorizzato agli utenti solo per quelle risorse che sono strettamente necessarie per svolgere i loro compiti.

Solo il titolare del trattamento, l'amministratore di sistema o altri membri del personale specificamente nominati dal titolare del trattamento per questa finalità devono essere in grado di concedere, alterare o annullare le autorizzazioni di accesso di eventuali persone. Qualsiasi concessione, alterazione o annullamento delle autorizzazioni di accesso deve avvenire secondo i criteri stabiliti nella Politica di video sorveglianza dell'organizzazione.

Coloro che dispongono delle autorizzazioni di accesso devono sempre essere individui chiaramente identificabili.

La politica di video sorveglianza deve chiaramente specificare e documentare chi ha accesso alle registrazioni di video sorveglianza e/o l'architettura tecnica, ad esempio i server VMS, del sistema di video sorveglianza, per quali finalità e in cosa consistono tali autorizzazioni di accesso. In particolare, occorre specificare chi ha le autorizzazioni di:

• Visualizzare il video/l'audio in tempo reale
• Azionare le telecamere PTZ (Pan/Tilt/Zoom)
• Visualizzare le registrazioni
• Esportare o
• Eliminazione di eventuali registrazioni

Inoltre, è necessario configurare l'accesso alle seguenti funzioni del VMS:

• Segnalibri
• Protezione prove
• Rimuovi maschere privacy
• Esporta
• Eventi di attivazione
• Avvio/Arresto della registrazione
• Creazione/Modifica/Eliminazione/Attivazione/Blocco/Rilascio delle preimpostazioni PTZ
• Creazione/Modifica/Eliminazione/Avvio/Arresto degli schemi di ronda PTZ
• Ricerca avanzata
• Autorizzazioni per audio, metadati, I/O ed eventi

Protezione dei dati memorizzati e trasmessi

Innanzitutto, deve essere eseguita un'analisi interna dei rischi per la sicurezza per determinare quali misure di sicurezza sono necessarie per proteggere il sistema di video sorveglianza, inclusi i dati personali trattati.

In tutti i casi, si devono adottare misure per garantire la sicurezza rispetto a

• Trasmissione
• Memorizzazione (come nei database di computer)
• Accesso (come accesso a server, sistemi di memorizzazione, rete e locali)

La trasmissione deve essere instradata tramite canali di comunicazione sicuri e protetta dalle intercettazioni, ad esempio effettuando quanto segue:

• Crittografare il database multimediale in Recording Server e crittografare tutta la comunicazione tra server e client. Per informazioni su come proteggere le installazioni XProtect VMS, consultare la Guida al rafforzamento e la Guida ai certificati.

• Connettere la telecamera HTTPS a Recording Server.

• Utilizzare VPN per Smart Client o Management Client connesso tramite Internet

• Utilizzare HTTPS per Client XProtect Mobile e XProtect Web Client

La protezione dalle intercettazioni è particolarmente importante se viene utilizzato un sistema di trasmissione wireless o se vengono trasferiti eventuali dati tramite Internet. In questi casi, i dati devono essere crittografati n transito o deve essere fornita una protezione equivalente.

Devono anche essere considerati in altri casi la crittografia o altri mezzi tecnici che garantiscono una protezione equivalente, durante la memorizzazione, se giustificati dall'analisi interna dei rischi di sicurezza. Ad esempio, nel caso in cui i dati sono particolarmente sensibili. A tale scopo, abilitare la crittografia del database di supporti.

Devono essere protetti tutti i locali in cui i dati di video sorveglianza vengono memorizzati e dove vengono visualizzati. Deve essere protetto l'accesso fisico alla sala di controllo e alla sala server dove sono stati collocati i server VMS. Nessuna terza parte (ad esempio, il personale addetto alla pulizia o alla manutenzione) deve avere accesso senza supervisione a questi locali.

Si deve scegliere l'ubicazione dei monitor in modo che il personale non autorizzato non possa visualizzarli. Se devono essere vicini alle aree pubbliche, i monitor devono essere posizionati in modo che siano visualizzabili solo dal personale addetto alla sicurezza.

Per impostazione predefinita il VMS XProtect registra le informazioni di base, ma si consiglia di abilitare la registrazione degli accessi utente in Management Client per il registro attività utente.

Questo sistema di registrazione digitale viene implementato per assicurare che una verifica possa determinare in qualsiasi momento chi ha avuto accesso al sistema, dove e quando. Il sistema di registrazione può identificare chi ha visualizzato, eliminato o esportato eventuali dati di video sorveglianza (ciò richiede l'abilitazione della registrazione degli accessi utente).

Per ulteriori informazioni, vedere il Manuale dell’amministratore per il VMS XProtect.

In relazione a ciò e altrove, occorre prestare particolare attenzione alle funzioni chiave e ai poteri degli amministratori di sistema e alla necessità di bilanciare questi elementi con misure di salvaguardia e monitoraggio adeguati.

Criteri per proteggere l'uso dei dispositivi mobili

Si consiglia di definire una politica per regolare l'uso dei dispositivi mobili e dell'app, comprendente misure quali:

• Valutare l‘uso di un software MDM (Mobile Device Management) per la gestione dei dispositivi mobili

• Limitare il numero di dipendenti con accesso a Client XProtect Mobile oppure XProtect Web Client

• Non consentire l'installazione di Client XProtect Mobile su dispositivi privati

• Non utilizzare indirizzi e-mail privati per account su dispositivi aziendali, in quanto Google o Apple potrebbero essere in grado di identificare i soggetti del trattamento e associare i profili privati e professionali

• Creare ruoli per gli utenti mobili che fanno uso dei profili temporali

• Creare account pseudonimi su dispositivi mobili che verranno utilizzati dalla sicurezza. Tali account Google e Apple potrebbero collegarsi a indirizzi e-mail aziendali pseudonomi, quali "guard01@company-name.com" con il nome account "Guard 01".

  L'uso di tali account pseudonimi limita il numero di dati personali elaborati da Google e Apple. Pertanto, le notifiche push non violano le norme Schrems II CJEU in quanto i dati personali utilizzati per le notifiche push non possono essere de-pseudonimizzati da alcuna organizzazione o autorità con sede negli Stati Uniti senza l'ausilio dell'organizzazione che gestisce il VMS.

• Implementare l'autenticazione in due passaggi (two-step)

• Se si utilizza la funzione di autenticazione biometrica del sistema operativo, assicurarsi che l'utilizzo di questo meccanismo di autenticazione fornisca un livello di sicurezza adeguato. L'autenticazione biometrica migliora la sicurezza generale fintantoché viene utilizzata in combinazione con un criterio di password complessa.

  Adottando l'autenticazione biometrica, l'utente può diventare titolare del trattamento di categorie particolari di dati personali, ai sensi dell'art. 9 del GDPR sui dati biometrici.

• Limitare al minimo, e documentare, il tempo di conservazione delle indagini

• Istruire gli operatori da mobile a eliminare immediatamente gli screenshot non appena cessano di essere rilevanti

• Disabilitare il back-up automatico delle librerie di immagini da dispositivo mobile verso server remoti quali Google e Apple

Predisporre inoltre politiche e procedure per i casi di perdita o furto delle apparecchiatura, specie quando queste possono esporre i dati personali.

Se l'apparecchiatura come un dispositivo mobile o uno smartphone viene persa o rubata, è necessario:

• Disabiltare l'account utente

• Forzare una modifica della password per ri-abilitare il dispositivo