Articoli

Immagini a terzi e sul web: cosa dice il GDPR a riguardo?

/0 Commenti/in

Cosa dicono le nuove regole relativamente alla consegna a terzi di immagini di videosorveglianza, la diffusione di queste sul web e l’utilizzo delle tecnologie biometriche? Sono tutti aspetti sui cui andiamo a indagare in questo articolo di approfondimento legato al provvedimento numero 3 dell’European Data Protection Board (luglio 2019), basato sui nuovi principi del GDPR.

I primi due aspetti sono normati dall’articolo 4 comma 2: fondamentale è capire chi è il terzo a cui si cede il filmato. Se per esempio fare vedere le immagini a un avvocato può essere lecito, specialmente se devono essere messe in atto azioni di risarcimento, al contrario la diffusione sui social di filmati in cui si vede un ladro in azione non rientra nelle regole. Le basi normative sono l’articolo 6 del regolamento europeo (liceità della condotta), 45 e 46 (accordi internazionali legati alla trasmissione di dati extra UE o a organizzazioni esterne). Sempre giustificata invece la cessione alle forze dell’ordine o alla magistratura in quanto la collaborazione è un obbligo di legge che giustifica dunque l’atto. Questo anche quando si è in possesso di una telecamera che, nella sua azione, inquadra una scena utile ad altre indagini, anche non pertinenti al proprio ambito. Se la polizia giudiziaria chiede delle immagini, il titolare del trattamento non può opporsi alla consegna pena il sequestro. Disco verde anche alla spontanea consegna di immagini alle forze dell’ordine se queste inquadrano un crimine o un danno a un soggetto terzo, per esempio un passante.

Le immagini possono cogliere molti aspetti e per questo vale il principio di minimizzazione del trattamento. Significa che le telecamere non dovrebbero puntare su luoghi sensibili come chiese, sedi di partito o altro capace di dare informazioni di natura sanitaria, sessuale, politica o religiosa. Diverso è il caso, per esempio, della ripresa di un portatore di handicap di passaggio per la strada, la cui situazione è evidente. L’importante è ridurre al minimo questo tipo di elementi ambientali i quali non possono essere rimossi del tutto. Comunque, ciò che conta è anche la finalità di trattamento indicata sui cartelli dell’area videosorvegliata. Necessario anche trovare il punto di mezzo tra chi è inquadrato e il titolare del trattamento: in un’azienda la ripresa può essere utilizzata per scoprire eventuali furti ma non per vedere chi sono le persone che hanno aderito a un’assemblea sindacale, per esempio.

La biometria e il GDPR

Il principio base è il seguente: videosorveglianza e biometria insieme per i riconoscimento dei volti vanno utilizzati solo quando non ci sono alternative. Per l’accesso dei dipendenti al lavoro, per esempio, un marcatempo può essere sufficiente, diverso il procedimento legato al controllo dei varchi degli aeroporti. L’identificazione biometrica, secondo gli articoli 4.14 e 9 del GDPR, è composta da tre criteri: l’individuazione di una o più caratteristiche fisiche, psicologiche o comportamentali dell’interessato; un procedimento tecnico di rilevazione e trattamento di tali caratteristiche; l’elaborazione di un dato capace di far identificare una persona in maniera univoca.

Tornando all’esempio dell’aeroporto, il passeggero deve essere messo in condizione di non dover forzatamente utilizzare il varco biometrico ma avere alternative. Infine, il dato estratto dal sistema biometrico deve essere tale da avere i soli elementi essenziali alla finalità del trattamento. Il titolare del trattamento deve anche fare in modo che le informazioni raccolte e crittografate non possano finire in mani sbagliate.

Dal Comitato Europeo per la Protezione dei Dati arrivano alcune misure di sicurezza consigliate come vietare gli accessi esterni ai dati, associare un codice di integrità ai dati e attuare misure per il rilevamento delle frodi, dividere i database dei modelli biometrici e dei dati grezzi, compartimentare i dati durante la trasmissione e l’archiviazione e infine crittografarli seguendo una politica chiara, anche per la gestione delle chiavi. La divisione degli utenti in segmenti profilati non viene considerata come un’attività di identificazione biometrica.

TVCC e Privacy: le nuove linee guida da seguire dell’European Data Protection Board

/0 Commenti/in

Torniamo a parlare del Regolamento Europeo 679/2016 e lo facciamo tramite il provvedimento n. 3 di luglio 2019, emendato dall’European Data Protection Board (composto dai rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo), il quale chiarisce una serie di perplessità legate all’applicazione delle nuove norme sulla privacy nel campo della sicurezza. Da esso possiamo trarre una serie di linee guida da seguire che non hanno comunque valenza normativa.

Per quanto riguarda la biometria (rilevamento dei volti e intelligenza artificiale legata anche ai comportamenti) per l’EDPB servono garanzie di un corretto funzionamento, onde incappare in malfunzionamenti capaci, all’estremo, di creare discriminazioni. Ecco che quindi si punta l’attenzione sugli algoritmi di riconoscimento, spesso vincolati anche all’età e all’etnia del soggetto inquadrato dalle telecamere.

La videosorveglianza, secondo il gruppo di lavoro europeo, andrebbe utilizzata “cum grano salis”, vale a dire in quei contesti in cui non ci sono altre situazioni perseguibili e non per una scelta di comodità economica o tecnologica (vedi l’alta risoluzione delle immagini che possiamo ottenere oggi). Gli articoli 35 e 37 del GDPR, non a casa, prevedono che venga stilata una valutazione d’impatto sui diritti e sulle libertà degli interessati nell’ipotesi di monitoraggio sistematico di aree pubbliche, oltre che la nomina di un responsabile per la protezione dei dati che aumenti la tutela degli interessati.

E per le telecamere “finte”, ovvero quelle installate come mero deterrente? In quel caso il regolamento, secondo l’EDPB, non è applicabile, come del resto tutti i dispositivi che nascono con scopi diversi dal videocontrollo o dalla videoregistrazione. Il GDPR non è invece di riferimento per i sistemi di TVCC legati alla pubblica sicurezza, i quali invece devono seguire la Direttiva Europea 680/2016.

Altro tema è quello della “esclusione familiare”: se le immagini sono prodotte per un uso domestico senza alcuna diffusione esterna, allora siamo fuori dall’ambito del GDPR: diversamente sarebbe se quelle immagini, come quelle di una videosorveglianza, finissero sul web.

La legittimità di una ripresa è data, ai fini di videosorveglianza, qualora ci sia un legittimo interesse di tutelare un bene o delle persone, come i dipendenti di un’azienda, di un interesse pubblico, o comunque contesti in cui i presenti, se danno il loro consenso, sanno che certe immagini potranno essere pubblicate sul web o diffuse.

“Ai sensi dell’articolo 21, il responsabile del trattamento può procedere alla videosorveglianza dell’interessato solo se si tratta di un interesse legittimo, convincente e che prevalga sugli interessi, i diritti e le libertà dell’interessato…”: quando si parla di legittimo interesse significa che la necessità riscontrata sia effettiva. Per esempio, un’attività commerciale può necessitare di TVCC in maniera effettiva a seconda della tipologia (esempio una oreficeria) o del contesto in cui si trova.

Molte altre spiegazioni possono essere fornite dai tecnici commerciali di Datacom Tecnologie all’indirizzo info@datacomtecnologie.it.

GDPR, due guide sulla biometria a cura di Eter Biometric e Suprema

/0 Commenti/in

Il regolamento generale sulla protezione dei dati (GDPR) è entrato in vigore da maggio 2018 per stabilire un nuovo standard per proteggere la privacy dei cittadini dell’Unione Europea. Anche se le aziende nell’UE hanno ancora 2 anni di deroga, Suprema ha anticipato il regolamento fornendo funzionalità tecniche al proprio portafoglio di soluzioni, al fine di rendere semplice per i propri clienti la conformità al GDPR (Biometria, controllo degli accessi, video).

Eter Biometric Technologies Suprema, aziende i cui prodotti sono distribuiti da Datacom Tecnologie di Firenze, mettono a disposizione i due documenti sottostanti (uno in italiano, l’altro in inglese) per aiutare meglio i propri clienti a comprendere i passaggi previsti dal GDPR. Cliccando sulle immagini puoi accedere ai rispettivi documenti.