Installazione telecamere nei luoghi di lavoro, dipende dalla presenza o meno dei sindacati:

1.1. SINDACATI (SI): Solo previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.

1.2. SINDACATI (NO): Si deve presentare un ISTANZA alla sede territoriale dell'Ispettorato Nazionale del Lavoro (INL).

1.3. N.B. Solo dopo l'autorizzazione è possibile installare il sistema di video sorveglianza.

1.4. La domanda va presentata usando i moduli presenti nel sito dell'INL.

2.1. Si deve indicare il nominativo del rappresentante dei lavoratori;

2.2. Si deve allegare una relazione illustrativa che indichi le esigenze dell'istanza, le modalità di funzionamento, conservazione e gestione dei dati personali;

2.3. Le caratteristiche tecniche delle telecamere interne ed esterne installate;

2.4. Le modalità di funzionamento del dispositivo di registrazione;

2.5. Numero di monitor di visualizzazione e loro posizionamento;

2.6. Fascia oraria di attivazione dell'impianto;

2.7. Tempi di conservazione delle immagini ed eventuali motivazioni del prolungamento dei tempi oltre le 24 ore;

2.8. Specifiche modalità di funzionamento del sistema di video-sorveglianza;

2.9. Planimetria indicante la posizione delle telecamere, monitor di controllo e cartelli informativi.

2.10. Modulo scaricabile: presso il sito dell'INL.

3.1. SEGNALARE: prima del raggio d'azione della presenza delle telecamere.

3.2. Deve avere un simbolo che ne permetta l'immediata comprensione;

3.3. Visibile in qualsiasi condizione di luce.

3.4. Completa e con fiferimento al nuovo GDPR:

- Nome della società e del titolare/responsabile alla videosorveglianza;

- Motivo dell'installazione: le ultime circolari del INL indicano che le motivazioni valide sono le seguenti:

(sicurezza del lavoro, tutela del patrimonio, esigenze produttive e organizzative);

3.5. Le regole: luoghi di lavoro

Alcune definizioni date dall'Ispettorato Nazionale del Lavoro

Esigenza organizzative e produttive

- Impiego di macchinari e impianti che necessitano di continuo monitoraggio

- Controllo video della qualità del prodotto / processo;

- Impianti che richiedono frequenti interventi di manutenzione urgente.

Esigenze di sicurezza sul lavoro

- Necessità di garantire un rapido intervento delle squadre di soccorso in caso di infortunio;

- Svolgimento di attività particolarmente pericolose o impiego di materiali nocivi;

- Lavoratori che operano in luoghi isolati;

Tutele del patrimonio Aziendale

- Intromissioni o forti denunciati;

- Presenza di componenti o beni immateriali di elevato valore intrinseco;

- Presenza di aree aziendali destinate esclusivamente a soggetti qualificati.

L'abilitazione del filtro IP per i client autorizzati impedisce che soggetti non autorizzati possano accedere alle telecamere.

Per la security delle porte d'accesso Hikvision adotta l'approccio by default: alcune funzioni sono disabilitate di default per assicurarsi, in primo luogo, che il dispositivo non sia collegato ad una rete non sicura.

I dispositivi disabilitano ad esempio l'SSH, come pure l'SNMP e l'UPNP. Anche il multicasting e la funzionalità ONVIF sono disabilitate di default.

La Stream Encryption crittografa i flussi per visualizzazione live, riproduzione, download, backup, ecc. e protegge il trasferimento dei dati.

La crittografia dei dati HTTPS fornisce l'autenticazione del sito web remoto e del relativo Web server associato, che protegge da attacchi "man-in-the-middle".

Per l’accessibilità alla rete, le telecamere IP supportano lo standard IEEE 802.1X: quando la funzione è abilitata, i dati della telecamera sono protetti e si richiede un'autenticazione utente per collegare la telecamera alla rete protetta da IEEE 802.1X.

Quanto al tempo di conservazione dei dati (tempo nel quale un file registrato viene mantenuto nell'HDD), se si imposta un valore temporale ben definito, alla scadenza di tale valore, i file verranno eliminati.

Il tempo di conservazione del file deve essere determinato dal titolare del trattamento quando si imposta un Requisito Operativo (OR) o gli obiettivi per l'uso di un sistema TVCC e sarà influenzato anche dalla capacità dell'HDD.

L'aggiunta di un watermark (filigrana elettronica) nello stream video è poi ideale per gestire i problemi di manipolazione video: la filigrana elettronica è infatti nascosta nei file originali ed è possibile visualizzare le informazioni solo con il player apposito.

Per garantire che tutte le operazioni possano essere tracciate, il file di log permette di memorizzare gli eventi come gli allarmi rilevati, le operazioni svolte, le anomalie rilevate e le altre informazioni di servizio del dispositivo di videosorveglianza.

È anche possibile esportare su richiesta i file di log. Attraverso l'interfaccia “gestione utenti online” si possono poi individuare gli utenti che stanno visitando il dispositivo.

Le informazioni utente (es. nome utente, livello, indirizzo IP e orario di accesso al sistema) sono visualizzate nella lista utenti.

Per quanto attiene alla sicurezza del cloud, occorre primariamente garantire la sicurezza lato dispositivo attraverso vari accorgimenti (codice seriale unico, verifica random del codice, crittografia, etc) e poi prevedere delle autorizzazioni di verifica (numero di serie e autenticazione del codice di verifica, prevedere un solo dispositivo per un solo account, etc) e infine occuparsi della crittografia sullo streaming(2).

Ulteriori dettagli nel White Paper Hikvision sulla GDPR-compliance(1).

Scaricabile al link: https://www.hikvision.com/it/Support/White-Papers

Altre garanzie di sicurezza che il leader mondiale è in grado di prevedere test almeno trimestrali dell'integrità del sistema rispetto a possibili minacce alla sicurezza di terze parti, impostazione di una piattaforma esterna di raccolta delle vulnerabilità, team di R&D completamente dedicato alla sicurezza, utilizzo di software specifici di analisi approfondita per la salvaguardia i dati.

E, non da ultimo, certificazioni indipendenti per garantire la serietà del proprio operato (vedi ISO 27001e Report SOC 1 tipo 1 - controlli elaborati dall'AICPA, coperti da SSAE 16, per garantire che i fornitori di servizi tecnologici dispongano di sistemi adeguati per proteggere le informazioni e i dati dei clienti).

Il DM 37/08 certifica con gli allegati obbligatori (visura camerale della ditta installatrice che dimostra i requisiti tecnico professionali).

Se il luogo presenta avere lavoratori, planimetria con l'angolo di copertura delle ottiche, manuali d'uso e tutto quanto richiesto dall'ispettorato del lavoro, da presentare tassativamente prima della messa in opera dell'impianto in modo da ottenere la relativa autorizzazione, pena lo smontaggio immediato dello stesso e multe dai 3000 euro in su.

Art.8 comma 1 DPR37/08: "1. Il committente e' tenuto ad affidare i lavori di installazione, di trasformazione, di ampliamento e di manutenzione straordinaria degli impianti indicati all'articolo 1, comma 2, ad imprese abilitate ai sensi dell'articolo 3."

O hai la qualifica per poter installare, o stai violando la legge

In ambito lavorativo questi documenti te li possono chiedere.E se non li hai si rischia mica male

"Informare" per iscritto il cliente degli obblighi previsti dal Garante della Privacy e di quelli previsti dallo Statuto del Lavoratori, in modo da avere uno "scarico di responsabilità".

In questo modo, se dovesse essere sottoposto a sanzioni, almeno tu potrai dire che lo avevi informato che tali obblighi erano a suo carico.

In sede di preventivo per TVCC in ambito lavorativo specifico sempre che tutti gli obblighi relativi all'assolvimento di quanto rpevisto dal Garante e Ispettorato del lavoro sono a carico del Committente (ed esclusi dal preventivo) e che tali permessi devono essere ottenuti prima della messa in opera.

I sistemi Hikvision bloccano l'indirizzo IP del client remoto quando l'utente amministratore fallisce 7 tentativi di digitazione di user/password (5 in caso di operatore/utente).

E' molto utile disporre di diversi livelli di autorizzazione per ciascun utente in modo da impostare eventuali limitazioni per il controllo e gestione degli apparati di videosorveglianza.

L'azienda procede con l'installazione e la configurazione delle apparecchiature di Videosorveglianza.

Terminata l'installazione consegna le "chiavi" del sistema al cliente (compresa la possibilità di creare una sua password dia ccesso ai sistemi di videosorveglianza neppure da remoto.

In tal caso la responsabilità è pari a zero in quanto ha svolto una semplice attività di installazione ma non è ne titolare ne responsabile del trattamento dei dati che saranno raccolti dalle telecamere.

Dovrebbe però almeno indicare (per deontologia professioanle) all'azienda dova ha installato le telecamere che deve provvedere a mettersi in regola con la normativa privacy (cartelli, regolamento videosorveglianza, eventuale istanza alla DTL o accordo sindacale, ...)

Diversamente dal punto 1 l'azienda installa il sistema di video sorveglianza ma mantiene la password di accesso al sistema (magari anche da remoto) e svolge delle attività per il cliente.

Ad esempio viene chiamato dal cliente quando è necessario visualizzare la immagini. In tal caso è Responsabile del Trattamento ed ha una serie di responsabilità ed adempimenti in ambito privacy che deve seguire.

Infine, nel caso possa accedere in autonomia al sistema con password di amministrazione si configura l'attività di "Amministrazione di sistema" cosi come previsto dall'amonimo Provvedimento del Garante Privacy e relativi adempimenti.

Responsabilità del trattamento: Persona fisica o giuridica, autorità pubblica o altro organismo che tratta i dati per conto del titolare del trattamento.

Nel caso in cui offra il servizio completo (magari con noleggio delle apparecchiature) gestendo il servizio in completa autonomia.

Probabilmente è Titolare autonomo oppure contitolare al trattamento dei dati con tutto gli adempimenti privacy connessi:

Titolare del trattamento: persona fisica o giuridica, autorità pubblica o altro organismo che determina le finalità e i mezzi del trattamento dei dati personali.