I droni possono, infatti, effettuare, attraverso telecamere e sensori dei trattamenti di dati personali, dati definiti dal codice della Privacy (D.Lgs. 196 del 2003) come qualsiasi informazione relativa a persona fisica, identificata o identificabile, sia direttamente (es. volto; voce) che indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (es. dati delle targhe delle autovetture).
Il regolamento Enac del 1 dicembre 2013[2] (uno dei primi regolamenti a livello mondale per l’utilizzo dei droni in ambito civile) disciplina, all’art. 22, all’interno della sezione ad oggetto: “Disposizioni Generali per i Sistemi Aeromobili a Pilotaggio Remoto” anche il profilo del trattamento dei dati personali (privacy).
Il regolamento richiede, infatti, di evidenziare la possibilità di effettuare dei trattamenti di dati attraverso l’utilizzo dei droni già al momento della presentazione della richiesta di autorizzazione all’Enac. Il caso di sorvolo su assembramenti di persone o aree affollate (situazioni con un possibile impatto e criticità privacy) costituisce secondo Enac un’operazione critica che comporta una serie di adempimenti e attestazioni specifici a presidio del volo, della sicurezza e della serietà dell’operatore.
La frammentazione tra i diversi attori che utilizzano i droni poteva costituire un fattore dei rischi per la protezione dei dati personali e di incertezza per gli operatori stessi: il regolamento prescrive a riguardo che il profilo della protezione dei dati personali/privacy deve essere previsto nei contratti e accordi fra operatori dei Sistemi Aeromobili a Pilotaggio Remoto (SAPR) e i committenti.
Occorrerà definire pertanto quali siano le finalità e le modalità del trattamento dei dati; quali soggetti abbiano accesso ai dati e immagini, quali policy adottare sulla conservazione delle immagini, quali siano i ruoli e responsabilità dei vari attori, quali misure adottare a protezione dei dati.
Il regolamento ha il pregio anche di disciplinare il profilo della security e prevede che l’operatore deve adottare misure adeguate per la protezione del Sistema Areomobili a Pilotaggio Remoto (SAPR) da atti illeciti durante le operazioni anche al fine di prevenire le interferenze volontarie del radio link.
La recente nota dell’Enac sulla presentazione della dichiarazione di autorizzazione[3] richiede in particolare di definire misure di sicurezza incluse quelle per prevenire intrusione di persone non autorizzate ma non approfondisce i profili di cyber crime (in via esemplificativa: i possibili casi di jamming e spoofing).
Il regolamento specifica, all’art. 22, come, nel caso in cui le operazioni svolte dal SAPR comportino (o possano comportare) il trattamento dei dati personali, lo stesso deve essere effettuato in ogni caso nel rispetto del codice in materia di protezione dei dati personali, (D.Lgs. n. 196 del 2003) con particolare riguardo al ricorso a modalità che permettano di identificare l’interessato solo in caso di necessità ai sensi dell’art. 3 del sopra citato codice e deve rispettare, altresì, le misure e gli accorgimenti a garanzia dell’interessato prescritti dal Garante per la protezione dei dati personali.
Il Garante per la protezione dei dati personali era intervenuto in materia di videosorveglianza con un provvedimento generale del 8 aprile 2010[4] provvedimento che illustra i principi, le regole e adempimenti (tra cui l’informativa semplificata tramite cartello e pittogramma) a cui devono uniformarsi i produttori, gli operatori e gli utilizzatori di telecamere e che rappresenta la pietra angolare per l’intero settore dei droni.
Il sopra citato provvedimento generale del Garante sarà probabilmente aggiornato nei prossimi mesi alla luce delle nuove tecnologie, del ricorso sempre più frequente a forme di videosorveglianza mobile per finalità di sicurezza urbana e all’ingresso dei droni nella vita quotidiana.
Quali potrebbero essere le misure per segnalare ai cittadini in modo semplice, trasparente e immediato la presenza di droni? Ci sono allo studio alcune ipotesi: l’emissione di segnali visivi (es. tramite lampeggiante) o sonori o la previsione di una colorazione costituita da due tinte (bicolore), una chiara e una scura; la presenza di una striscia riflettente che percorra il perimetro più esterno del SAPR[5].
Nel caso di omessa o inidonea informativa all'interessato, il Codice della privacy prevede una sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro[6]
Occorre tuttavia ricordare, per completezza di analisi che, il Codice della privacy specifica, all’art. 5, che il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali[7] è soggetto all'applicazione del codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione (ad esempio nel caso di diffusione di immagini riprese da un drone utilizzato per finalità di hobby pubblicate on line).
Il regolamento Enac rappresenta pertanto un punto di approdo importante nella regolamentazione del rapporto fra droni e privacy.
Il sopra citato provvedimento è stata redatto con la preziosa collaborazione dell’autorità per la protezione dei dati personali.
Il Garante per la protezione dei dati personali ha svolto negli ultimi anni un ruolo rilevante a livello europeo in materia di droni in quanto ha redatto per la Commissione Europea il report conclusivo di tutte le autorità privacy europee sugli esiti del questionario sugli aspetti di riservatezza e protezione dei dati correlati all’utilizzo di aeromobili a pilotaggio remoto (APR, cd. droni) in ambito pubblico, commerciale e privato.
Il Garante ha richiamato l’attenzione su alcuni aspetti problematici del trattamento dei dati personali (base giuridica, informativa, titolarità del trattamento, etc.) effettuato attraverso i sempre più avanzati sistemi di rilevazione con cui tali mezzi possono essere equipaggiati (microfoni e telecamere ad alta risoluzione e/o per la visione termica notturna, strumenti per intercettare le comunicazioni wireless, etc.).
La Commissione europea intende inoltre adottare nuove comunicazioni contenenti proposte finalizzate ad incentivare l’uso di tali apparecchi a fini commerciali.
Nei prossimi mesi sarà emanato il nuovo regolamento europeo in materia di protezione dei dati personali che prevederà, in una logica di armonizzazione e semplificazione, dei principi (“privacy by design”[8] "privacy impact assessment") e regole uniformi in tutta Europa con un notevole impatto anche per gli operatori dei droni.
Come osservato dagli studiosi Zygmunt Bauman e David Lyon[9] “la nuova generazione dei droni resterà invisibile ma renderà visibile tutto il resto”; nei prossimi mesi ci attendono pertanto nuove sfide sia a livello tecnologico sia a livello giuridico al fine di definire il dinamico e corretto equilibrio tra le necessità della sicurezza pubblica, diritto alla protezione dei dati personali/ privacy e i vantaggi anche economici della tecnologia dei droni.
[1] Per approfondimenti: Luciana Maci, Doxa, italiani divisi sui minivelivoli. Utili sì, ma rischiosi per la privacy in Corriereecomunicazioni : http://www.corrierecomunicazioni.it/archivio-giornale/2014/3/Corcom_16.pdf
[2] Per approfondimenti:
[3]per approfondimenti: https://www.enac.gov.it/La_Regolazione_per_la_Sicurezza/Navigabilit-13 /Sistemi_Aeromobili_a_Pilotaggio_Remoto_(SAPR)/Documenti_correlati/info1673520068.html
[4] Per approfondimenti: Garante per la Protezione dei dati personali; Provvedimento in materia di videosorveglianza - 8 aprile 2010 consultabile al link: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680; Alovisio M., Burroni D. , Frosini A. , Policella E. O. ; Videosorveglianza e privacy; Experta, 2011
[5] Per approfondimenti in materia: contributo per la consultazione dell’Enac sulla circolare applicativa del regolamento a cura delle associazioni Centro Studi di Informatica Giuridica di Ivrea Torino e l’Unione degli Avvocati Europei consultabile al link: http://csig-ivrea-torino.blogspot.it/
[6] Art. 161 del D.Lgs. n.196 del 2003 “Omessa o inidonea informativa all'interessato” prevede che .” La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro “. La sanzione può essere comminata sia dal Garante o dal Nucleo ispettivo della Guardia di Finanza.
[7] L’art. 5 specifica che “si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati previsti dall’art. 15 e 31”.
[8] Privacy by design è principio alla base del nuovo testo della bozza di regolamento europeo in materia di protezione dei dati personali; il sopra citato principio richiede di studiare e prevedere specifiche misure a protezione dei dati fin dal momento della progettazione di un software, servizio o prodotto.