Per definire e implementare un approccio in linea con i principi di responsabilità sociale, la Lega del Filo d’Oro ha scelto Axitea. Privacy tutelata anche con la realizzazione di un sistema di videosorveglianza totalmente conforme alla normativa GDPR
Come è risaputo, oltre alle situazioni che ben ha enunciato l’articolo di Massimiliano Luce nelle pagine precedenti, ospedali, strutture sanitarie e onlus (organizzazioni non lucrative di utilità sociale) devono occuparsi non solo della salute dei pazienti e della sicurezza dei loro addetti e impiegati: devono infatti prendersi cura anche dei dati personali che vi circolano in gran quantità e che possono essere estremamente sensibili, oltre che necessari per erogare le cure richieste.
Non si tratta solo delle cartelle cliniche dei pazienti, oggi spesso digitali e quindi esposte a rischi di compromissioni e sottrazioni sempre più rilevanti: sono ugualmente sensibili tutte le informazioni di tipo economico, come quelle relative alle donazioni o ai pagamenti per i servizi ricevuti.
Esiste, quindi, una responsabilità sociale nell’ambito del trattamento dei dati da parte di realtà complesse come le onlus che presuppone non solo che la gestione del dato sia sicura, di qualità e conforme alle leggi, ma anche che sia anche corretta ed etica. I dati raccolti devono infatti essere protetti secondo le normative in vigore, ma anche resi disponibili alla bisogna e totalmente integri. Da questa esigenza nasce la partnership tra la Lega del Filo d’Oro e Axitea.
Il contesto
«Assistere, educare, riabilitare e reinserire nella famiglia e nella società le persone sordocieche e pluriminorate psicosensoriali». Questa è la missione della Lega del Filo d’Oro, l’Associazione fondata nel 1964 da Sabina Santilli. Presente sul territorio con cinque centri residenziali e servizi territoriali, tre sedi territoriali e un nuovo centro nazionale a Osimo (Ancona), la Lega del Filo d’Oro offre servizi sanitari, attività educative, centri diagnostici e trattamenti intensivi e, di conseguenza, raccoglie una quantità considerevole di dati personali e sensibili. In questo contesto, il fattore sicurezza risulta dunque una componente fondamentale.
La collaborazione con Axitea è stata fondamentale per definire e implementare un approccio al trattamento dei dati in linea con i principi di responsabilità sociale, articolato in due parti:
• realizzazione di un remediation plan dettagliato con relative azioni specifiche di miglioramento;
• realizzazione di un sistema video sulla base del principio Privacy & Security by Design.
Il progetto
A partire da un’analisi documentale, organizzativa e di processo è stata effettuata una verifica dei requisiti funzionali in ottica di compliance GDPR organizzata su differenti step: processo/organizzazione; risk management & protection; modello di gestione e manuale procedure GDPR; training & control. Oltre all’analisi per l’ambito Privacy, Axitea ha progettato e installato un sistema integrato di videosorveglianza totalmente conforme alla normativa GDPR, dedicato al monitoraggio di una superficie complessiva di 5.6 ettari, metà della quale occupata da spazi verdi, con la presenza di varchi di accesso e numerosi punti potenzialmente critici in termini di rischi di sicurezza.
Monitoraggio scalabile
Il sistema realizzato è scalabile e in grado di monitorare gli ingressi e le uscite, il perimetro, i parcheggi e le altre aree a rischio, 24 ore al giorno per 365 giorni all’anno.
Le telecamere sono dotate di numerose funzioni avanzate come per esempio la possibilità di effettuare zoom e modificare l’angolo di ripresa spostandone l’inquadratura con tour preimpostati, per consentire un movimento continuo automatico.
L’intero sistema di videocontrollo è gestito da un supervisore unico, tramite il quale uno o più operatori possono visualizzare tutte le telecamere in tempo reale, controllare manualmente i brandeggi delle telecamere, visualizzare la mappa grafica del complesso con l’ubicazione esatta delle telecamere e ricevere segnalazioni di eventuale malfunzionamento del sistema video, nel pieno rispetto di quanto previsto dalla L.300/1970 e dal D. Lgs. 151/2015.
Al fine di proteggere il sistema di videocontrollo da intrusioni non autorizzate interne o esterne, rispettando il principio di Security by Design, sono state adottate tecnologie che prevedono funzionalità specifiche quali crittografia della comunicazione alle telecamere, firme digitali sull’esportazione video, disabilitazione della doppia esportazione e inserimento di un’autenticazione a due fattori.
