ll Garante UK (ICO), già prima dell’entrata in vigore del Regolamento UE 2016/679, aveva emanato un codice di condotta che fornisce raccomandazioni sull’uso dei sistemi di videosorveglianza, per aiutare le organizzazioni a conformarsi alla previgente normativa.
Tale codice non è stato ancora aggiornato alle nuove previsioni anche se molte delle indicazioni ivi contenute continuano ad essere utili.
In generale, l’attività di videosorveglianza (CCTV) è diretta alla visualizzazione e/o alla registrazione delle attività degli individui. Pertanto, la maggior parte degli usi della CCTV da parte di organizzazioni o aziende rientrano nell’ambito della normativa di protezione dei dati personali.
Queste le principali indicazioni di carattere generale:
I sistemi TVCC che utilizzano collegamenti di comunicazione wireless (ad es. Trasmissione di immagini tra telecamere e un ricevitore) dovrebbero garantire che questi segnali siano crittografati per impedire l’intercettazione.
I sistemi TVCC in grado di trasmettere immagini su Internet (ad esempio, per consentire la visualizzazione da una posizione remota) dovrebbero garantire che questi segnali siano crittografati per impedire l’intercettazione e richiedere anche una qualche forma di autenticazione per l’accesso (ad esempio, un nome utente e una password sicura).
I dispositivi utilizzati per archiviare le immagini TVCC sono anche un obiettivo comune durante un rodaggio (ad esempio, per rimuovere potenziali prove del crimine). In primo luogo, le organizzazioni dovrebbero considerare la sicurezza fisica del dispositivo di archiviazione, ad esempio se è conservato in una stanza chiusa a chiave. I sistemi più recenti possono consentire l’archiviazione delle registrazioni in un formato crittografato che impedirà l’accesso non autorizzato in caso di smarrimento o furto e che potrebbe essere preso in considerazione in aggiunta a una gamma di controlli di accesso appropriati.
Nel rispondere alle richieste di accesso ai soggetti o ad altre divulgazioni, i responsabili del trattamento dei dati dovrebbero prendere in considerazione un formato appropriato dei dati da divulgare e controlli di sicurezza adeguati. Durante l’approvvigionamento, dovrebbe essere presa in considerazione anche la capacità del dispositivo o del potenziale sistema di esportare i dati in modo sicuro verso terzi.
FONTE: https://ico.org.uk/for-organisations/guide-to-data-protection-1998/encryption/scenarios/cctv/