Evoluzione della videosorveglianza

Getting your Trinity Audio player ready...

L’innovazione ha reso indispensabile la rielaborazione della disciplina dei sistemi di videosorveglianza, il cui impatto sulla riservatezza dei cittadini è cresciuto in modo esponenziale, proprio per le molteplici possibilità di gestione ed analisi dei dati che oggi sono possibili

L’evoluzione che ha caratterizzato il mondo digitale negli ultimi dieci anni ha profondamente cambiato il ruolo degli impianti di videosorveglianza, che si sono evoluti, da sistemi relativamente semplici, con immagini registrate e trasmesse su circuito chiuso – che garantivano una sicurezza di tipo passivo, di reazione ad eventuali eventi criminali, e che avevano principalmente una funzione dissuasiva, di deterrenza – a sistemi aperti e dotati di capacità di reazione alle situazioni che si manifestano sotto gli occhi digitali delle nuovo telecamere – dispositivi ormai assimilabili ad elaboratori autonomi, le cui funzioni possono essere ulteriomente integrate da server di rete e software di intelligenza artificiale.

Procedendo per gradi, è possibile oggi suddividere gli impianti nelle seguenti macrocategorie, alle quali ricondurre diverse ipotesi di regolamentazione del trattamento dei dati personali e dei rapporti con i soggetti esterni all’organizzazione che adotta l’impianto.

Videosorveglianza pura. Il sistema è basato su telecamere digitali ad alta risoluzione, collegate in rete locale ad un DVR, solitamente accessibili anche dall’esterno, tramite web-server integrato e, di recente, tramite app per tablet e smartphone. L’eventuale ostacolo derivante dall’assenza di un indirizzo IP statico viene superata grazie a server esterni che ricalcolano l’indirizzo IP pubblico del DVR automaticamente e consentono l’accesso a chi è dotato delle credenziali. Questa tipologia di impianto deve osservare le regole tradizionali ed essere oggetto di autorizzazione (da parte della Direzione Territoriale del Lavoro o mediante accordo sindacale con la RSA) qualora possa derivarne controllo a distanza del personale dipendente, ad esempio perché sono sorvegliate aree comuni come i corridoi, le zone di carico e scarico delle merci, i magazzini, le postazioni a rischio come casse contanti e ambienti in cui sono conservati valori. La presenza delle telecamere deve essere preavvisata tramite cartelli segnalatori, visibili anche nelle ore notturne, posizionati affinché possano essere visibili prima di entrare nel raggio d’azione delle riprese, conformi al modello individuato dal Comitato Europeo per la protezione dei datai personali con le linee guida del mese di luglio 2019 (trattandosi di linee guida, non sono vincolanti ma suggeriscono semplicemente un percorso, con degli esempi pratici, utile per adeguarsi alla normativa). Indispensabile una configurazione adeguata dell’impianto: le immagini devono essere accessibili in tempo reale solo agli operatori addetti al controllo e, in differita, solo ai soggetti espressamente autorizzati dal Titolare; l’accesso deve essere regolamentato con credenziali univoche, come per qualsiasi altro sistema informatico, e i manutentori devono avere attribuzioni diverse rispetto agli utenti autorizzati al prelievo delle immagini (non devono poter vedere le registrazioni integrali ma solo quanto necessario a verificare il funzionamento del sistema); la conservazione delle immagini, secondo le indicazioni dell’Autorità Garante, dovrebbe essere limitata ad un massimo di 24 ore, salvo che il titolare non sia in grado di giustificare tempi di conservazioni maggiori (ad esempio, per la sorveglianza delle aree esterne non coperte da allarme, durante il fine settimana, ovvero per la ricostruzione di eventuali sinistri nelle aree di carico e scarico in cui transitano mezzi pesanti, nelle quali i danni possono essere rilevati o denunciati anche a distanza di qualche giorno). Il webserver dovrebbe essere disattivato durante la presenza in servizio dei dipendenti ed essere accessibile solo nelle ore notturne, per impedire che al Titolare possa venire la tentazione di controllare l’attività dei dipendenti durante il giorno. In ogni caso, il Dirigente delle Risorse Umane, il Direttore Generale, l’Amministratore, il proprietario, non dovrebbero avere accesso alle immagini. Consigliabile, per questi stessi motivi, l’affidamento all’esterno della gestione dell’impianto, sia per la manutenzione che per l’eventuale prelievo dei filmati. Per la sicurezza logica, è preferibile che l’impianto non sia collegato alla rete principale aziendale ma che sia su una sottorete ad esso dedicata, anche per filtrare e loggare opportunamente gli accessi e lasciare aperte solo le porte di comunicazione effettivamente necessarie al Suo funzionamento. Tutti gli accessi al DVR e le operazioni eseguite devono essere registrati su un file di log, per garantire il principio di accountability previsto dal GDPR 679/2016. È inoltre opportuno redigere una valutazione dell’impatto del trattamento sui diritti e le libertà degli interessati, se le attività sottoposte a controllo riguardano soggetti deboli o ambienti dai quali si potrebbero desumere dati particolari di cui all’art. 9 del Regolamento UE citato (ad esempio: corridoi di una residenza sanitaria, dove gli anziani si muovono anche in pigiama o in abbigliamento leggero, strutture in cui si entra solo se affetti da specifiche malattie come i reparti oncologici, corridoi dei laboratori di diagnostica, ecc.)

Videosorveglianza attiva. Alle precauzioni suggerite per gli impianti di videosorveglianza comuni vanno aggiunte ulteriori regole per i casi in cui il sistema sia supportato da un software di rilevazione degli eventi mediante collegamento ad impianto di allarme e sensori. Le telecamere di tipo “dome” possono infatti essere configurate non solo per eseguire ronde programmate ma anche per muoversi automaticamente se uno dei sensori rileva un evento, come, ad esempio, nel caso di fumo (che potrebbe segnalare un principio di incendio) o nell’ipotesi di effrazione (rottura di un vetro, apertura di una porta che deve essere chiusa, superamento di un’area delimitata). Ovviamente, queste funzioni accrescono la possibilità di controllo a distanza del cittadino o del dipendente, perché consentono all’impianto di “reagire” a determinate sollecitazioni provenienti dai sensori e di allertare l’operatore del telecontrollo oppure di svolgere determinati compiti autonomamente (chiamare le forze dell’ordine, inviare le immagini ad un numero o indirizzo programmato, chiudere gli accessi, isolare gli ambienti, ecc.). Di conseguenza, anche la mole di dati trattati aumenta in modo vertiginoso, perché con gli stessi criteri si può stabilire per quanto tempo una persona ha sostato in un ambiente e vedere cosa ha fatto, individuare un veicolo che entra in un’area o segue un percorso, rilevare quante volte viene azionato un determinato dispositivo e da chi, ecc.  Il software, in sostanza, riceve degli impulsi da sensori esterni (dell’impianto di allarme, dell’impianto antincendio, della cella frigorifera, ecc.) e, se riconosce uno degli eventi precedentemente classificati (incendio, furto, vandalismo, ecc.), reagisce secondo le istruzioni impartite.

Videosorveglianza assistita da intelligenza artificiale e analisi comportamentale.

Se il software che gestisce le telecamere appartiene alla categoria delle intelligenze artificiali, sono possibili anche analisi comportamentale, rilevamento biometrico e acquisizione di metadati, che elevano il livello del controllo a distanza e rendono ancora più invasiva l’attività nei confronti del cittadino e del lavoratore dipendente.

I software moderni, attraverso l’analisi delle variazioni dell’ambiente monitorato, possono comprendere se lo stato di un oggetto o o di un’area è cambiato dopo il passaggio di una persona (perché sono in grado di riconoscere la sagoma di un individuo rispetto a quella di un cane o di un gatto) e quindi generare un segnale di allarme in caso di abbandono di un oggetto (uso frequente negli aeroporti e nelle stazioni ferroviarie) o la modifica dell’area sotto controllo (atto di vandalismo nei confronti di un quadro o di un muro).

Anche dal comportamento umano si può desumere un evento che necessita di segnalazione. È sintomatica di una rapina la condotta consistente nell’alzare tutti le mani o sdraiarsi tutti a terra, all’interno di un ambiente, ad eccezione di alcuni soggetti, che il software può individuare subito come criminali. Perfino l’andamento barcollante di un pedone o la guida incerta di un veicolo su un tratto rettilineo possono indicare uno stato di ebbrezza dell’interessato ed inviare una richiesta di intervento alla centrale operativa delle Forze dell’Ordine. Nel sistema di controllo sociale adottato in alcune città della Repubblica Popolare Cinese, ormai fin dal 2017, molteplici comportamenti quotidiani sono indice di plusvalore o disvalore sociale e vengono attribuiti al cittadino, identificato mediante riconoscimento biometrico del volto, con un accredito o un addebito sul punteggio personale, che poi consente l’accesso a determinati servizi o addirittura lo preclude per i soggetti meno rispettosi delle regole. Uno degli indicatori è l’attraversamento sulle strisce pedonali o il rispetto della segnalazione semaforica, per pedoni e ciclisti. Una interessante evoluzione dei software di analisi delle immagini della videosorveglianza è senz’altro la classificazione dei metadati dell’individuo – elemento di potenziale discriminazione, se usati in senso negativo – che permette di riconoscere tipologia e colore dei vestiti e degli accessori indossati, età e sesso presumibili del soggetto, colore degli occhi, della pelle e dei capelli, segni o condotte particolari desumibili dalle immagini (come il ritmo dei passi originato da un problema ortopedico, l’uso di stampelle o protesi, l’uso di carrozzine o deambulatori) che possono essere utilizzati per procedere ad analisi e profilazione dell’individuo, per finalità di marketing ma anche per decidere se erogare un servizio o procedere alla vendita di un bene. Alle ordinarie cautele per l’accesso alle immagini e nella gestione dei dati personali, è necessario aggiungere una adeguata valutazione dell’impatto che l’attività di trattamento potrebbe avere sui diritti e le libertà degli interessati, propendendo per una consultazione preventiva con l’Autorità Garante qualora il rischio di nocumento per il cittadino dovesse restare elevato.

Un capitolo a parte. La videosorveglianza biometrica.

L’accenno al sistema di controllo sociale della Repubblica Popolare cinese non è casuale perché introduce un argomento decisamente delicato, che ha portato il legislatore italiano a sospendere l’uso dell’identificazione biometrica del volto almeno fino a 31 dicembre 2023, proprio per le implicazioni che può comportare nell’uso privato (mentre è consentita nei limiti delle attività pubbliche di sicurezza, ordine pubblico, accertamento e repressione dei reati). Poter individuare con certezza un individuo sulla base dell’impronta biometrica del suo volto consente di elevarne il controllo a livelli che potrebbero facilmente aprire la strada ad una sorveglianza di massa, non necessariamente di stampo dittatoriale ma ancor più subdola ed invasiva, proprio perché volta ad incidere sugli aspetti più comuni della vita quotidiana, come l’accesso ai servizi o l’acquisto di beni, anche di prima necessità.

Il cittadino potrebbe essere portato ad accogliere il riconoscimento del volto come servizio utile nella quotidianità, analogamente a quanto ha già fatto con gli innumerevoli lettori di impronte digitali presenti su smartphone e tablet, che facilitano l’accesso ai servizi e alle attività di pagamento, rendendoli anche più sicuri contro eventuali frodi o crimini.

Il riconoscimento del volto, però, è molto più invasivo, proprio perché non necessita di un’azione cosciente e volontaria da parte dell’individuo (poggiare il dito su un lettore) ma è indipendente perfino dalla sua consapevolezza, dato che le moderne telecamere possono rilevare un volto dettagliato da centinaia di metri di distanza, quando l’interessato ancora non è in grado neppure di vedere il cartello che preavvisa della presenza della videocamera, ammesso che sia stato apposto. È quindi prevedibile che i sistemi di identificazione biometrica del volto saranno autorizzati solo in ambiti specifici e ben definiti e, probabilmente solo previa verifica da parte dell’Autorità Garante, proprio al fine di evitare impatti rilevanti sulla vita degli interessati.

Pubblicato su “Sicurezza“, Ed. Tecniche Nuove, Milano