logo

Controllo accessi – GDPR

Il titolare e il responsabile del trattamento dei dati, devono mettere in atto una serie di misure tecniche che garantiscono un livello di sicurezza adeguato al rischio, misure valutate e applicate in base alla tipologia di azienda e alla tipologia di dati che tratta.

 


Il corpus normativo del GDPR è molto complesso e articolato e va a modificare radicalmente quello che è il concetto attuale di privacy. Basandosi sul principio di Accountability, l’approccio che hanno avuto le aziende è stato abbastanza complesso, in quanto la chiave di lettura sembra essere personale, anche se così ovviamente non è.

Bisogna  capire da quali rischi bisogna proteggere i dati che vengono trattati e quali e  quanti dati proteggere in base a livelli di priorità.

Uno degli elementi importanti è la protezione degli accessi in quanto la cifratura dei dati è una tra le minacce possibili contro le infrastrutture. Possono esserci accessi non autorizzati  che possono provocare, se non tenuti a bada, danni gravi e anche irreparabili.


Ma cosa si intende per controllo Accessi?

Si intende un sottosistema di sicurezza che si occupa di controllare varchi e porte, attraverso l’uso di apparati elettronici chiamati lettori di badge o lettori biometrici. Tale elemento non si intrinseca solo con la sicurezza ma viene anche utilizzato per verificare l’ora di ingresso e di uscita dei dipendenti.
Viene abitualmente utilizzato per proteggere le aree dove sono installate le “macchine” e dove i dipendenti lavorano.Ovvio che a tale sistema, vanno sempre aggiunti impianti di antintrusione, antifurto e videosorveglianza.
Ricordiamoci che il GDPR, in fase di controlli e ispezioni, prevede che venga dimostrato che tali elementi sono in utilizzo.

Prima di iniziare ad utilizzare un sistema di controllo di accessi dobbiamo porci delle domande:

  • Quali sono i luoghi in cui si effettua il trattamento (CED, archivi cartacei e digitali etc…)
  • Quali sono i varchi e il loro perimetro
  • Chi sono coloro che transitano in tali zone ( dipendenti, clienti, fornitori etc…)

Come funziona il controllo accessi

Ad ogni dipendente/utente viene assegnata una credenziale tipo:

  • Pin
  • Card
  • Transponder
  • Altro

Vengono quindi associati dei diritti di accesso, dove può accedere e quando. Se l’esito è positivo l’utente passa e raggiunge il luogo desiderato e ogni passo viene regolarmente memorizzato, ciò permette di avere storicità che potrebbe essere utilizzata in caso di violazioni.

Tenendo conto del Regolamento, bisogna dire che un sistema elettronico di questo tipo contiene e tratta dati personali quindi deve essere GDPR compliance.

Vengono infatti conservate informazioni anagrafiche e spesso dati sensibili, inoltre essendo spesso utilizzato anche per la rilevazione delle presenze di lavoro e la gestione del personale stesso, alcuni dati sono anche sensibili.

Il dubbio che quindi viene è.

  1. E’ necessario il consenso da parte dei dipendenti/utenti?

No, in quanto il trattamento dei dati avviene nell’ambito del rapporto di lavoro ( Risposta ampiamente contenuta nell’Art.6 pag 83 del link)

https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando


Molto spesso i sistemi di controllo di accesso, sfruttano la biometria per identificare il personale e foto. 

  1. Possono questi dati essere oggetto di trattamento?

Si può utilizzare la biometria secondo le prescrizioni impartite dal Garante ( opportunità, proporzionalità etc…)

( Risposta ampiamente contenuta nell art. 9 c. 2 lett. b pag 86  ) “Trattamento di categorie particolari di dati personali”

https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando

Comments are closed.