Appendice: Il sistema Milestone XProtect VMS e il GDPR

Componenti e dispositivi che non sono inclusi

I seguenti componenti non sono trattati in questa sede:

  • Plug-in disponibili su Milestone Marketplace
  • XProtect Access (disabilitato per impostazione predefinita)
  • XProtect LPR (disabilitato per impostazione predefinita)
  • XProtect Transact (disabilitato per impostazione predefinita)
  • Milestone Interconnect
  • XProtect DLNA Server
  • Milestone Open Network Bridge (integrazione video pubblico-privato protetta)
  • XProtect Rapid REVIEW
  • XProtect Event Server - Plug-in
  • Trattamento dei dati audio (disabilitato per impostazione predefinita)
  • Trattamento dei metadati (disabilitato per impostazione predefinita)
  • Trattamento dei dati di dispositivi di input e output (disabilitato per impostazione predefinita)
  • XProtect BYOL come fornito tramite https://aws.amazon.com/marketplace/pp/prodview-ryozifnbg4kas

Guida all'aggiornamento

Se si sta eseguendo l'aggiornamento di un'installazione VMS Milestone XProtect in versione 2018 R2 o precedente, i vecchi file del registro devono essere eliminati manualmente affinché l'installazione sia conforme al GDPR.

Dopo l'aggiornamento del VMS XProtect, i file del registro precedenti possono essere eliminati utilizzando le informazioni e lo strumento descritti in questo articolo della Knowledge Base.

Eseguire il backup dei database SQL Server

Si consiglia di eseguire un backup del database SQL Server in particolare prima di avviare un aggiornamento, così da poter ripristinare l'installazione funzionante precedente qualora l'aggiornamento non riuscisse. Comunque venga effettuato l'aggiornamento, tramite il programma di installazione XProtect o Management Client, o le funzioni native di SQL Server, i dati di backup dovranno essere custoditi in un luogo sicuro e non archiviati su un'unità cloud se il provider del cloud si trova, come ad esempio Microsoft, all'esterno dell'UE.

Per ulteriori informazioni, vedere il Manuale dell’amministratore per il VMS XProtect.

Non utilizzare un servizio SQL Server gestito

Sebbene XProtect supporti l'uso di database gestiti esternamente come Azure SQL, l'uso di tali database può comportare l'esposizione dei dati personali al di fuori dell'UE. Per la conformità al GDPR, non utilizzare un servizio SQL Server gestito.

Rete protetta per dati di autenticazione e autorizzazione

Progettare un'infrastruttura di rete che utilizza la rete fisica o la segmentazione VLAN il più possibile.

Milestone consiglia di selezionare le telecamere che supportano HTTPS. Si consiglia di impostare le telecamere su VLAN separate e utilizzare HTTPS per la telecamera per la comunicazione con i server di registrazione, nonché i client per la comunicazione con i server di registrazione.

Si consiglia di collocare XProtect Smart Client e XProtect Smart Wall sulla stessa VLAN dei server.

Utilizzare una rete VPN crittografata o simile se si usa Smart Client o Smart Wall da un'ubicazione remota.

Abilitare la crittografia per tutte le comunicazioni. Per informazioni su come proteggere le installazioni XProtect VMS, consultare la Guida al rafforzamento e la Guida ai certificati.

Raccolta dei dati e impostazioni della privacy

Sebbene sia possibile raccogliere dati sull'utilizzo in Server XProtect Mobile, Client XProtect Mobile e XProtect Web Client, potrebbe esserci il rischio di violare il GDPR.

Da XProtect Management Client è possibile abilitare la raccolta dei dati sull'utilizzo nella finestra di dialogo Opzioni della scheda Impostazioni privacy.

Questi dati sull'utilizzo forniscono informazioni su arresti anomali e statistiche di utilizzo. I dati vengono trattati mediante Google Firebase.

Se si abilita la raccolta dei dati, si rischia di violare il GDPR attivando Google Analytics.

Il trattamento da parte di Google avviene all'esterno dell'UE.

Sebbene i dati siano impostati su anonimizzati, Milestone non può garantire che Google non sarà in grado di estrarre dati personali dai dati di cui effettua il trattamento.

Al momento di condurre la valutazione dei legittimi interessi (LIA), consultare i seguenti materiali:

Il comitato europeo per la protezione dei dati (European Data Protection Board, EDPB) è del parere che un consenso ai sensi dell'articolo 49 (1)(a) del GDPR non sia applicabile a Google Analytics, perché il trattamento per la finalità di analisi non è un'eccezione (vedere l'International Association of Privacy Professionals su Schrems II).

Fare riferimento a eventuali aggiornamenti alla sentenza Schrems II da parte della Commissione UE sul sito Web ufficiale.

Mascheratura di individui in caso di accesso

Ai sensi dell'articolo 15 del GDPR, l'interessato ha il diritto di ottenere l'accesso ai suoi dati personali in fase di trattamento, ad esempio, le sue videoregistrazioni.

All'interessato viene concesso il diritto di chiedere a un'azienda informazioni su quali dati personali che lo riguardano vengono trattati e il motivo di tale trattamento.

Poiché VMS XProtect non supporta l'identificazione automatica degli individui, è necessario adottare misure aggiuntive per salvaguardare i diritti individuali delle persone. Nel contesto del VMS, vedere Appendice: Avviso sul posto.

Inoltre, XProtect VMS non supporta la mascheratura delle altre persone in movimento registrate insieme al soggetto che esercita il diritto di accesso.

Diverse soluzioni di partner tecnici di Milestone per la sfocatura dinamica di tutte o altre persone prima dell'esportazione sono disponibili in Milestone Marketplace. In alternativa, può essere aggiunta una sfocatura a singole immagini o flussi video manualmente o assistita dopo l'esportazione. Alcune aziende offrono la sfocatura come servizio (ad esempio, FACIT Data Systems).

Eliminazione parziale di registrazioni video

Ai sensi dell'articolo 17 del GDPR, l'interessato ha il diritto di chiedere l'eliminazione dei propri dati. Nel contesto del VMS ciò spesso non si realizza a causa di interessi legittimi prevalenti (rilevamento delle frodi, salute e sicurezza) o altre finalità aziendali indicate nella Politica di video sorveglianza (consultare Diritto all'oblio (diritto alla cancellazione) e Appendice: Finalità e criteri della video sorveglianza). La Politica di video sorveglianza definisce la conservazione automatica (il valore predefinito è 7 giorni) che garantisce l'eliminazione automatica delle riprese e deve tenere in debito conto sia i diritti degli interessati sia le finalità aziendali ragionevoli.

Se un interessato richiede di eliminare i propri dati, si consiglia al titolare del trattamento di utilizzare una richiesta dell'interessato per documentare il reclamo (vedere Richiesta dell'interessato). Per un modello di esempio di una richiesta dell'interessato, vedere il modello di richiesta dell'interessato di Milestone.

È necessario eliminare tutte le registrazioni dalla telecamera o dalle telecamere in questione.

Per conservare tutte le altre registrazioni che non devono essere eliminate, esportare tutti i dati e tenerli al sicuro. Non è possibile ripristinare questi dati nel VMS.

Qualsiasi esportazione deve essere crittografata e firmata digitalmente e infine escludere gli intervalli di tempo specificati da una o più telecamere specifiche. Ossia, l'esportazione deve avvenire fino all'ora/alla data specificate e dopo l'ora/la data specificate. Questo può determinare backup in più periodi di tempo.

Smart Client – Player può quindi essere utilizzato per visualizzare i dati.

Si consiglia al titolare del trattamento di richiedere una consulenza legale, condurre una valutazione dell'impatto sulle imprese e una valutazione dell'impatto sulla privacy (consultare Conduzione di una valutazione dell'impatto) prima di esercitare il diritto all'oblio dell'interessato, poiché l'eliminazione può introdurre nuovi rischi aziendali che potrebbero compromettere la ponderazione degli interessi e introdurre rischi che influiscono negativamente sulla protezione della privacy di altri interessati.

Uso di sfondi geografici in XProtect Smart Client

XProtect Smart Client supporta l'uso di sfondi geografici. Questi sfondi visualizzano gli sfondi delle mappe.

L'utilizzo dei seguenti servizi di mappe comporta rischi di violazione del GDPR:

  • Bing Maps
  • Google Maps
  • Milestone Map Service

Questi servizi non forniscono misure di salvaguardia adeguate relative al trattamento dei dati personali negli Stati Uniti. Il cliente diventa il titolare del trattamento (congiunto) per quanto riguarda il trattamento dei dati utente.

Fare riferimento a eventuali aggiornamenti alla sentenza Schrems II da parte della Commissione UE sul sito Web ufficiale.

In alternativa, si consiglia di configurare il servizio OpenStreetMap privato per lo sfondo geografico.

Integrazioni di partner registrati

Quando viene attivata una licenza, Milestone raccoglie dati "per ciascuna integrazione". Il VMS XProtectraccoglie dati sui plug-in e sui produttori dei plug-in, nonché sui plug-in e sull'integrazione utilizzati dal cliente.

I dati raccolti da ciascuna installazione sono:

  • Nome dell'integrazione

  • Produttore dell'integrazione

  • Versione dell'integrazione

  • Tipo di integrazione (autonomo, Smart Client, Management Client, Event Server) e numero di istanze di ciascun tipo (ossia, su quanti client è in esecuzione il plug-in)

Gli sviluppatori di plug-in non devono mai utilizzare nomi personali durante la registrazione del loro prodotto. Utilizzare solo il nome dell'azienda.

I dati vengono trattati da Milestone solo se il produttore del plug-in è elencato nel marketplace e ha approvato il trattamento dei dati allo scopo di migliorare Milestone XProtect Corporate (e non per finalità di marketing e di ricerche di mercato). Se il plug-in non è stato registrato, i dati vengono eliminati immediatamente. La base legale del trattamento è l'articolo 6 (1)(f) del GDPR, che mostra interessi legittimi di Milestone e degli utenti del VMS.

Misure di salvaguardia aggiuntive

Per meglio garantire la conformità della configurazione di Milestone XProtect VMS al GDPR, questo elenco fornisce alcune misure di salvaguardia aggiuntive da tenere a mente quando si configura il sistema.

ProblemaImpatto negativo sulla privacySuggerimenti per il titolare del trattamento
Le telecamere PTZ e la mascheratura privacy non funzionano insieme. Le mascherature non seguono i movimenti PTZ.La privacy che esalta l'effetto della mascheratura può essere aggirata.

Milestone consiglia di effettuare una delle seguenti operazioni:

  • Non utilizzare la funzione di mascheratura privacy incorporata di XProtect sulle telecamere PTZ perché la maschera è statica rispetto ai pixel decodificati dell'immagine e non alla direzione/all'ubicazione effettiva della telecamera PTZ.
  • Disattivare la funzionalità PTZ quando si utilizzano maschere.
  • Acquistare telecamere PTZ che supportano la mascheratura privacy dinamica (così le aree selezionare sono sempre mascherate indipendentemente dall'ubicazione e dallo zoom della telecamera).
L'uso del microfono o dei dispositivi dei metadati può violare la privacy personale. In XProtect Corporate, queste opzioni sono disattivate per impostazione predefinita.

L'utilizzo dei microfoni può facilmente violare la conformità al GDPR.

Prima di attivare i microfoni o i dispositivi di metadati, occorre assicurarsi di avere una finalità chiaramente giustificata per la raccolta di dati. Vedere Si dispone di un fondamento giuridico per la raccolta di dati?

Operatori e amministratori possono esportare o copiare dati video, archivi video, configurazioni di backup e registri delle attività utente su dischi rigidi locali o supporti rimovibili quali CD, DVD, unità USB flash, ecc.I dati personali fuoriescono dai confini di governance del VMS XProtect. I dati non sono più protetti dai meccanismi di controllo accesso del VMS XProtect e non possono essere eliminati dal VMS XProtect al termine del periodo di conservazione. Ciò comporta il rischio che i dati vengano memorizzati più a lungo del consentito, che siano utilizzati per finalità differenti e che la loro riservatezza venga violata.

I titolari del trattamento sono tenuti ad adottare misure tecniche e organizzative per proteggere i dati che fuoriescono dai confini del VMS XProtect. Per le possibili misure da adottare, vedere Gestione dei dati esportati.

I dati di registri attività utente e altri dati personali non vengono crittografati dal prodotto prima che siano stati memorizzati nei database SQL Server.

Gli amministratori di database possono accedere ai dati di registri attività utente utilizzando client di database. XProtect Corporate non è in grado di controllare o registrare questo accesso.

In particolare, i dati sensibili dei registri attività utente possono essere divulgati a utenti non autorizzati. Consultare Protezione dei dati memorizzati e trasmessi. Per ulteriori informazioni su come proteggere le installazioni XProtect VMS dagli attacchi informatici, consultare la Guida al rafforzamento.

Effettuare le seguenti operazioni:

  • Implementare un concetto di ruolo adeguato per l'amministrazione di database.
  • Limitare l'accesso al database solo al personale autorizzato.
  • Se possibile, attivare la crittografia del database utilizzando i meccanismi corrispondenti.

I backup del database delle configurazioni di SQL Server non sono crittografati.

Impostare una password sulla configurazione del sistema, allo scopo di proteggere le informazioni sensibili negli account con una misura ulteriore oltre alla crittografia del database SQL Server.

I backup del database delle configurazioni di SQL Server vengono crittografati in automatico quando il database delle configurazioni è protetto da password.

Proteggere la configurazione complessiva del sistema assegnando una password di configurazione del sistema.

Una volta assegnata la password di configurazione del sistema, anche i backup sono protetti dalla stessa password.

Le impostazioni della password vengono archiviate in una cartella protetta nel computer che esegue il server di gestione. Questa password sarà necessaria per:

  • Ripristinare la configurazione da una configurazione di backup precedentemente creata con impostazioni password diverse dalle impostazioni password attuali

  • Trasferire o installare il server di gestione su un altro computer a seguito di un errore hardware (ripristino)

  • Configurare un server di gestione aggiuntivo in un sistema he utilizza il clustering

Per ulteriori informazioni, vedere il Manuale dell’amministratore per il VMS XProtect.

Il prodotto implementa una funzione di backup. Questa funzione consente di eseguire il backup della configurazione del VMS ma non del database di registri attività utente. La distruzione fisica del supporto dati contenente il database dei registri attività utente potrebbe impedire al titolare del trattamento di adempiere ai propri obblighi di rendicontazione, quando non esistono backup di tali registri.

Valutare se è il caso di creare dei backup del database dei registri attività utente.

Se il titolare del trattamento decide di creare backup del database di registri attività utente, dovrebbe anche stabilire una procedura per eliminare i backup al termine del periodo di conservazione e proteggerli dall'accesso non autorizzato (ad esempio, crittografando il backup, mettendo sotto chiave i supporti di backup, ecc.). Per ulteriori informazioni, vedere il Manuale dell’amministratore per il VMS XProtect.

Implementare una VPN in modalità suddivisione potrebbe rivelare l'indirizzo IP privato degli utenti del VMS XProtect. Quando è abilitato il tunneling suddiviso, gli utenti aggirano le misure di sicurezza a livello di gateway che potrebbero essere stata applicate all'interno dell'infrastruttura di rete.

Effettuare le seguenti operazioni:

  • Utilizzare una connessione VPN protetta (una VPN è protetta per impostazione predefinita, ma alcuni protocolli VPN precedenti non crittografano i dati scambiati tra il server e il client)

  • Utilizzare sempre il tunneling completo

  • Utilizzare i protocolli di autenticazione più alti supportati (se presenti)

  • Utilizzare Active Directory per autenticare utenti VPN

Per ulteriori informazioni su come proteggere le installazioni XProtect VMS dagli attacchi informatici, consultare la Guida al rafforzamento.

Il prodotto consente l'impostazione dei periodi di conservazione per registri attività utente, dati video, allarmi e altri dati personali. L'impostazione di periodi di conservazione troppo lunghi potrebbe violare i requisiti del GDPR per le limitazioni di memorizzazione (articolo 5 (1)(e) e articolo 17 del GDPR).I periodi di conservazione devono essere adattati alle finalità di trattamento (vedere Diritto all'oblio (diritto alla cancellazione)).
Gli amministratori possono configurare i destinatari e-mail che potrebbero riceve frammenti di video o fermi immagine dal VMS quando si verificano determinati eventi. Non è possibile configurare un elenco di domini consentiti per tali destinatari e-mail.Un errore di digitazione potrebbe eventualmente portare a una violazione dei dati quando una terza parte riceve messaggi e-mail con dati video e allarmi di sistema.

Rendere il titolare del trattamento consapevole di questo rischio.

Milestone consiglia di stabilire una procedura organizzativa come il principio dei quattro occhi che riduce il rischio di errori durante l'immissione degli indirizzi e-mail.

Le notifiche sono messaggi e-mail inviati all'indirizzo e-mail specificato. Durante la creazione di una notifica, l'amministratore può scegliere di includere una serie di istantanee o un'AVI di una sequenza.Poiché le istantanee e le sequenze AVI allegate presenti nelle notifiche escono dal VMS, sono fuori del controllo del VMS per quanto riguarda l'accesso utente e la conservazione.

Poiché i messaggi e-mail e il relativo contenuto esulano dal controllo del VMS in termini di accesso utente e conservazione, si consiglia di non allegare immagini o sequenze AVI alle notifiche e-mail.

Se il cliente necessita di questa funzione, deve almeno assicurarsi che esistano procedure e controlli organizzativi per chi riceve i messaggi e-mail e per come vengono gestiti. Consultare Gestione dei dati esportati nelle notifiche ed e-mail.

Quando le notifiche push sono abilitate, il fornitore del sistema operativo mobile (ossia, Google o Apple) trattano i dati per fornire le notifiche push agli smartphone.Sebbene i messaggi di notifiche push siano impostati su anonimizzati, Milestone non può garantire che Google e Apple non saranno in grado di estrarre dati personali dai dati di cui effettua il trattamento. I fornitori del sistema operativo mobile (ossia, Google o Apple) utilizzano uno schema di indirizzamento dei messaggi. Questo schema prevede token di registrazione e ID di installazione dell'app client mobile. Ciò consente ai fornitori di consegnare i messaggi alle app corrispondenti sui dispositivi. Per Google e Apple, il token e l'Installation ID sono pseudonimi.

Secondo l'Articolo 49 (1)(a) del GDPR, se le notifiche push sono attivate è necessario il consenso dell'operatore del VMS.

Si consiglia di acquisire il consenso o di disattivare i messaggi push.

XProtect Incident Manager permette alle organizzazioni di documentare gli incidenti e di combinarli con una sequenza di prove giuridiche (video e, potenzialmente, audio) dal proprio VMS XProtect. I titolari del trattamento o gli operatori possono creare report sugli incidenti contenenti le informazioni testuali aggiunte a un progetto incidente. Questi rapporti possono contenere i dati personali del titolare del trattamento o dell'operatore, ossia, il loro nome.Quando le segnalazioni di incidenti sono rese disponibili al di fuori della sfera del titolare del trattamento o dell'operatore, i dati personali possono essere rivelati. I titolari del trattamento o gli operatori devono creare report con nomi chiari e identificabili del titolare del trattamento o dell'operatore solo quando vi è una chiara esigenza, a seconda dello scopo e del destinatario del report.

Includere i nomi del titolare del trattamento o dell'operatore nei rapporti sugli incidenti solo se esiste uno scopo specifico e ragionevole per includere i nomi.

I titolari del trattamento o gli operatori devono selezionare la casella di controllo Mostra nome utente solo se esiste uno scopo specifico e ragionevole per includere i nomi nel report.

Consente ai Titolari del trattamentoo agli operatori di creare rapporti di allarme con le informazioni pertinenti, inclusa la cronologia dell'allarme e, se disponibile, un'immagine statica dell'ora dell'allarme. Questi rapporti possono contenere i dati personali del titolare del trattamento o dell'operatore, ossia, il loro nome.Quando gli allarmi sono resi disponibili al di fuori della sfera del titolare del trattamento o dell'operatore, è possibile che i dati personali vengano esposti. I titolari del trattamento o gli operatori devono creare report con nomi chiari e identificabili del titolare del trattamento o dell'operatore solo quando vi è una chiara esigenza, a seconda dello scopo e del destinatario del report.

Includere i nomi del titolare del trattamento o dell'operatore nei rapporti di allarme solo se esiste un motivo preciso e ragionevole per indicarli.

I titolari del trattamento o gli operatori dovranno selezionare la casella di controllo Visualizza nomi solo se esiste un motivo preciso e ragionevole per indicare i nomi nel rapporto

I rapporti di allarme possono contenere immagini che mostrano persone di passaggio.

Quando tali rapporti vengono condivisi con terze parti, possono verificarsi violazioni dei diritti delle persone non implicate di passaggio.Valutare se è il caso di oscurare manualmente o mascherare le immagini nei rapporto in PDF o stampati.