Il Garante della Privacy ha introdotto nuove misure di sicurezza per la Pubblica Amministrazione, che riguardano anche gli impianti di videosorveglianza cittadina le cui immagini vengono trasmesse agli organi di Polizia e in altre, simili, casistiche. Intendiamoci bene: la portata del cambiamento è ben più vasta, ma in questa sede intendiamo esaminare esclusivamente i riflessi che riguardano i sistemi con videocamere condivisi tra più enti pubblici.

Andiamo per ordine. Ad agosto di quest’anno la Gazzetta Ufficiale ha pubblicato un Provvedimento del Garante intitolato “Misure di sicurezza e modalita’ di scambio dei dati personali tra amministrazioni pubbliche“. Già dal titolo è evidente che, come dicevamo, la portata della norma è molto estesa e riguarda solo marginalmente la videosorveglianza e/o altre tecnologie di Security, ma ciò non toglie che esso è pienamente applicabile quando una pubblica amministrazione (di solito, i comuni) consente ad un’altra (di solito, le forze di Polizia) di accedere alle telecamere, spesso posizionate dai municipi per finalità di Sicurezza Urbana, ovvero per altre ancora (ad es.: monitoraggio del traffico o i c.d. portali di lettura targhe).

Va anche detto che il citato Provvedimento è stato emanato dal Garante a seguito di una serie di modifiche legislative, ma che già nel 2013 l’Autorità aveva individuato altre misure tecniche, sulla base del quale l’Agenzia per l’Italia Digitale (AgID), aveva emanato delle specifiche Linee guida, che in questa sede il Collegio guidato dal Prof. Soro ha ritenuto di giudicare equivalenti alle precedenti, anche se su questo conserviamo dei dubbi che, in questa sede, non è il caso di approfondire.

Sta di fatto che l’incrocio tra le vecchie e le nuove norme, nonchè l’introduzione dell’obbligo di segnalazione del “data breach” entro le 48 ore dalla conoscenza dell’evento, impone il dovere di ottemperare in termini molto rapidi e con conseguenze potenzialmente molto onerose e “rivoluzionarie”. Si tratta, questo, di un aspetto sul quale torneremo in seguito.

Cosa fare, quindi, se un comune ha un impianto di videosorveglianza? Premesso che il Provvedimento si applica solo allo “scambio di dati personali” tra diverse PA, ne consegue che tutti i casi nei quali vi è interconnessione delle telecamere tra i due enti pubblici si rientra senza dubbio in tale ambito.

Ma non solo. L’Autorità Garante, nel par. 4.6 del Provvedimento sulla videosorveglianza del 2010, aveva già individuato tre casistiche di sistemi integrati (qui ci riferiamo unicamente ad enti pubblici titolari del trattamento) che rientrano nelle previsioni relative allo “scambio di dati personali” e, in particolare:

a) gestione coordinata di funzioni e servizi tramite condivisione, integrale o parziale, delle immagini riprese da parte di diversi e autonomi titolari del trattamento, i quali utilizzano le medesime infrastrutture tecnologiche;
b) collegamento telematico di diversi titolari del trattamento ad un “centro” unico gestito da un soggetto terzo, nominato responsabile del trattamento (ai pensi al delicato dei consorzi di comuni e a quello, ancor più delicato, degli istituti di vigilanza che offrono questi servizi a più enti locali);
c) attivazione di un collegamento dei sistemi di videosorveglianza con le sale o le centrali operative degli organi di polizia.

Quindi ne consegue che in quasti casi citati bisognerà applicare:

  • le misure previste per i sistemi integrati gestiti da pubbliche amministrazioni (par. 5.4, sempre del Provvedimento sulla videosorveglianza);
  • quelle sullo “scambio di dati personali” tra PA (questo, sia in caso di accesso attraverso servizi web, ovvero attraverso la c.d. “cooperazione applicativa”, cioè le pressochè uniche modalità praticamente utilizzabili in questa materia).

N.b.: per la comunicazione dei dati in modalità “offline”, l’Autorità Garante ha dettato particolari regole in caso di impiego della posta elettronica certificata e di “Trasferimento di File” in modalita’ FTP “sicuro”.

In pratica, perchè gli accessi vengano consentiti, è necessario stipulare una convenzione tra le varie pubbliche amministrazioni interessate. Va anche chiarito che le forze di Polizia, se del caso, possono ulteriormente giovarsi della facoltà/potestà di accedere alle immagini dell’ambito della attività investigative disciplinate dal Codice di Procedura Penale, ma non in forma indifferenziata o generalizzata.

Ne esce un complesso sistema di obblighi e misure, che ora non è possibile analizzare attentamente, che in termini generali possono essere definite ragionevoli, ma che in altri casi sono ponderose, se non schiaccianti.

Riassumiamo non esautivamente le principali misure previste:

  1. obbligo di segnalazione di “data breach” entro 48 ore;
  2. documentazione aggiornata dei sistemi e delle banche dati;
  3. gestione degli utenti e revisione periodica;
  4. sistemi di autenticazione forti e personalizzati;
  5. protezione e robustezza delle credenziali di accesso;
  6. certezza dell’identità degli utenti incaricati del trattamento;
  7. accessi con postazioni di lavoro identificate e sicure;
  8. garanzie di crittatura in tutti i casi previsti, quest’ultima non è ritenuta necessaria;
  9. certezza nell’identità digitale dei soggetti interconnessi;
  10. misure di protezioni perimetrali logico-fisiche (ad es.: firewall e VPN);
  11. gestione adeguata degli antimalware;
  12. management dei sistemi, attraverso un risk assessment e una revisione periodica;
  13. controllo degli accessi e file di log, con conservazione di tutte le operazioni eseguite (questa misura e similmente richiesta anche dal Provvedimento sulla videosorveglianza, par. 4.6);
  14. procedure di audit sulle banche dati, verifiche a campione e controlli annuali;
  15. separazione logica delle immagini registrate dai diversi titolari (Provvedimento videosorveglianza, par. 4.6);
  16. accesso alle immagini in termini strettamente funzionali allo svolgimento dei compiti istituzionali (Provvedimento videosorveglianza, par. 5.4).

Lo ribadiamo: se misure di questo genere sono state evidentemente pensate per l’interconnessione di banche dati di natura diversa dalla videosorveglianza, esse sono obbligarorie e vincolano non solo le semplici istituzioni pubbliche, ma anche le forze di Polizia.

Questo crea anche dei delicati problemi di riservatezza, perchè il Provvedimento sullo scambio dei dati prevede l’obbligo del “fruitore” di comunicare all'”erogatore” quali utenze utilizzi e, potenzialmente, rivelare anche i nomi degli operatori di Polizia abilitati ad accedere (posto che generalmente sono gli enti locali a realizzare gli impianti, per poi “offrire” le immagini anche alle forze dell’Ordine).

Infine, torniamo sul Data Breach. Sia l’Erogatore che il Fruitore debbono impegnarsi vicendevolmente a comunicare eventuali violazioni dei dati o incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati, effettuando la comunicazione al Garante secondo un dettagliato schema.

Non è cosa da poco, per le PA in generale e per chi, in particolare, gestisce sistemi di videosorveglianza pubblici e interconnessi tra loro, gli impegni sono piuttosto gravosi.

I consulenti e i tecnici di Adeia Consulting restano a disposizione di chiunque voglia richiedere ulteriori informazioni.