Droni, uso in conformità alla normativa GDPR - Riskmanagement

Normative europee

Droni, uso in conformità alla normativa GDPR

Lo scorso 31 dicembre 2020 è diventato applicabile il Regolamento di Esecuzione UE n. 947/2019 relativo a norme e procedure per l’esercizio degli aeromobili senza equipaggio, facendo in tal modo decadere le regolamentazioni nazionali in materia di operazioni con UAS, salvo le operazioni che ricadono nelle previsioni dell’articolo 2 comma 3 lettera a) del Regolamento (UE) n. 1139/2018

13 Apr 2021

Alberto Stefani

Data Protection Officer, Consulente cybersecurity 

In una fase storica in cui la tecnologia compie passi importanti in tempi molto ristretti anche i regolamenti e le leggi devono obbligatoriamente rincorrere le evoluzioni tecnologiche e cercare di porre delle regole eque e giuste in settori nuovi e che fino a pochi anni fa erano totalmente inesistenti. Tra i vari settori interessati dai cambiamenti tecnologici troviamo sicuramente i droni che, grazie l’abbattimento dei prezzi di acquisto, all’evoluzione della durata delle batterie che consentono tempi di volo più elevati e alla diffusione in settori differenti che vanno dalla topografia, all’agricoltura, dall’edilizia alla cinematografia si rischia di perdere in breve tempo il controllo.

Il nuovo Regolamento di Esecuzione sui droni

Per tale motivo, il 31 dicembre 2020, è diventato applicabile il Regolamento di Esecuzione UE n. 947/2019, relativo a norme e procedure per l’esercizio degli aeromobili senza equipaggio facendo in tal modo decadere le regolamentazioni nazionali in materia di operazioni con UAS a meno delle operazioni che ricadono nelle previsioni dell’articolo 2 comma 3 lettera a) del Regolamento (UE) n. 1139/2018 che afferma nello specifico la non applicabilità del regolamento “agli aeromobili e ai loro motori, eliche, parti, equipaggiamenti non installati e dispositivi di controllo remoto impegnati in operazioni militari, doganali, di polizia, di ricerca e salvataggio, di lotta antincendio, di guardia di frontiera e costiera o in attività o servizi analoghi, effettuati sotto il controllo e la responsabilità di uno Stato membro, nell’interesse pubblico da, o per conto di, un organismo investito dei poteri di autorità pubblica, né al personale e alle organizzazioni che partecipano alle attività e ai servizi forniti da tali aeromobili”.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Quindi, fatti salvi questi impieghi, l’ENAC (Ente Nazionale per l’Aviazione Civile) in data 4 gennaio 2021 ha pubblicato il Regolamento UAS-IT, applicabile dal 31 dicembre 2020, che disciplina quanto di competenza degli Stati Membri.

Come sempre più spesso accade, soprattutto nei settori ad alta tecnologia, si ha un uso (e delle volte anche un abuso) di acronimi e inglesismi sconosciuti ai più. Anche il settore dei droni non è esente da tali intromissioni. Cerchiamo quindi di mettere un po’ d’ordine in materia con un piccolo glossario dei termini più utilizzati in questo settore.

Droni, il glossario

SAPR

SAPR è l’acronimo italiano utilizzato per indicare un Sistema Aeromobile a Pilotaggio Remoto. Per comprendere il significato bisogna porre l’attenzione sulla parola “sistema”.

Se pensiamo bene infatti, l’uso del drone, comporta l’utilizzo di un insieme di “componenti” come il drone, il radiocomando, la ground station (stazione di terra), pilota, co-pilota/osservatore, etc. che, nel loro insieme, costituiscono il sistema e lo definiscono. In altre parole, un SAPR è un drone, il cui utilizzo è prettamente di tipo professionale e non per il tempo libero.

SAPR secondo la definizione ENAC è “l’acronimo di Sistema Aeromobile a Pilotaggio Remoto, cioè un sistema costituito da un mezzo aereo (aeromobile a pilotaggio remoto) senza persone a bordo, utilizzato per fini diversi da quelli ricreativi e sportivi, e dai relativi componenti necessari per il controllo e comando (stazione di controllo) da parte di un pilota remoto.”

APR

APR è l’acronimo italiano usato per indicare un Aeromobile a Pilotaggio Remoto, ovvero un piccolo velivolo che può essere pilotato attraverso un radiocomando. Non si tratta però di apparecchi per il tempo libero, infatti, sempre secondo la definizione ENAC: “APR è l’acronimo di Aeromobile a Pilotaggio Remoto, cioè un mezzo aereo a pilotaggio remoto senza persone a bordo, non utilizzato per fini ricreativi e sportivi.”

Secondo tale definizione quindi l’APR è il solo velivolo cioè il drone considerato singolarmente senza telecomando.

UAV

UAV è l’acronimo inglese usato per indicare Unmanned Aerial Vehicle, ovvero velivolo senza pilota. Il termine indica quindi una gamma ampia di velivoli senza pilota che comprendono quindi tutto ciò che vola senza un pilota a bordo.

UAS e sUAS

UAS è l’acronimo inglese usato per indicare Unmanned Aircraft Systems, e indica un sistema integrato di aereo senza pilota. Il termine si applica sostanzialmente ai droni cosiddetti militari e/o da difesa. Le normative che regolano gli UAS sono di carattere militare. In taluni casi possiamo trovare anche la digressione sUAS che è l’acronimo inglese small Unmanned Aircraft System, e significa piccoli sistemi aerei integrati senza pilota. La sigla sUAS, fa riferimento quindi ai droni di piccolo peso/dimensione.

Infine, per ulteriore chiarezza, citiamo un acronimo ancora usato frequentemente anche in luogo di UAS e si tratta dell’acronimo RPAS, che è l’acronimo inglese di Remotely Piloted Aircraft Systems, e significa sistema aero integrato pilotato da remoto, e come il precedente UAS si applica essenzialmente ai droni militari.

droni

I droni e la protezione dei dati

Chiariti i termini relativi al mondo dei droni, vediamo come questi apparecchi possano interferire con la privacy dei nostri dati e come soprattutto il legislatore abbia cercato di regolarizzarne l’uso e la disciplina in relazione al GDPR.

Liceità dei trattamenti e principio della limitazione della finalità

Per essere lecito, il trattamento dei dati personali comportato dall’applicazione civile della tecnologia dei droni deve basarsi su uno dei principi relativi alla legittimazione del trattamento dei dati.

Tenendo presente il parere sull’interesse legittimo, che fornisce ampi orientamenti su tale aspetto e tenendo conto delle specificità del trattamento dei dati personali effettuato per mezzo di droni equipaggiati di attrezzature a bordo, possono considerarsi pertinenti diverse basi giuridiche, a seconda delle finalità del trattamento in questione.

Consenso libero, specifico e informato

Benché il consenso sia un fondamento giuridico comune su cui basarsi, in questo contesto potrebbe considerarsi appropriato solo in pochi casi, specie per quanto concerne i dati raccolti in luoghi pubblici. Il consenso deve in effetti essere libero, specifico e informato. Nella maggior parte dei casi in questione, sarebbe molto difficile rispettare tutti questi requisiti, poiché, ad esempio, il consenso non potrà essere “libero” se una persona non è libera di accedere o di lasciare una zona sorvegliata senza essere sotto sorveglianza, non sarà “informato”, qualora tale persona non abbia ricevuto le informazioni necessarie sul trattamento, né sarà “specifico”, laddove detta persona non possa riconoscere ogni finalità del trattamento per cui le è stato chiesto il consenso.

Il consenso può essere una base legale appropriata per il trattamento dei dati personali effettuato con una telecamera a bordo di un drone, ad esempio nel caso dell’allenamento di una squadra sportiva (ossia, senza la presenza di spettatori).

Il trattamento è necessario all’esecuzione del contratto concluso con la persona interessata.

Il trattamento di dati personali è lecito, ad esempio nel caso in cui una persona acquisti un prodotto consegnato a domicilio dal venditore per mezzo di un drone oppure nel caso di una società che propone servizi di videoregistrazione con droni per le proprietà dell’interessato. Tuttavia, è opportuno ricordare che il trattamento accidentale dei dati di terzi sui quali detto trattamento non abbia incidenza non è mai disciplinato nell’ambito del rispetto degli obblighi delle parti di un contratto e, pertanto, negli esempi di cui sopra, occorre evitare la raccolta di dati di terzi oppure ricercare una base giuridica differente per legittimare il trattamento dei dati.

• Il trattamento è necessario per adempiere un obbligo legale oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati.

Queste basi giuridiche possono fungere da fondamento nei casi in cui un obbligo giuridico, imposto per legge, debba essere rispettato dal responsabile del trattamento, come ad esempio, la sorveglianza di un sito archeologico prevista da una disposizione specifica oppure per alcuni usi connessi alla sicurezza, quali il controllo di attività di contrabbando, soltanto laddove l’uso di droni sia strettamente necessario e proporzionato.

Il trattamento è necessario per la salvaguardia dell’interesse vitale dell’interessato.

Questo fondamento giuridico può essere invocato per alcuni casi di usi di droni connessi alla sicurezza, quali il soccorso in caso di catastrofi, l’ispezione di zone colpite da incendio, il soccorso delle vittime di incidenti sulla neve e in montagna, ecc.

• Il trattamento è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento. I dati personali possano essere oggetto di trattamento anche nel caso in cui ciò sia necessario per il perseguimento dei legittimi interessi del responsabile del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato (tale criterio potrebbe essere applicato, ad esempio, all’uso di droni necessario per le ispezioni di condutture o linee elettriche, per la sorveglianza delle infrastrutture critiche o la fotogrammetria aerea, la ricerca atmosferica e meteorologica, il monitoraggio dell’energia eolica, il monitoraggio degli uragani, la mappatura di siti archeologici, la ricerca sulla fauna selvatica) e qualora nel sistema siano previste adeguate garanzie.

In aggiunta, e tenendo conto di uno dei suddetti rischi originati dalla raccolta di vaste quantità di dati, da parte delle applicazioni di droni è opportuno ricordare che i dati personali devono essere rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità.

Di conseguenza, ogni ulteriore trattamento di dati personali per finalità diverse da quelle per cui sono stati raccolti dovrebbe essere effettuato in conformità con le disposizioni della direttiva, fondarsi quindi su una base giuridica autonoma e risultare compatibile, in base ad una valutazione caso per caso, con la finalità originaria.

Principi di proporzionalità, qualità e minimizzazione dei dati

Poiché i dati personali possono essere oggetto di trattamento solo se adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati, è opportuno effettuare una rigorosa valutazione della loro necessità e proporzionalità.

Il rispetto del principio di minimizzazione dei dati può essere garantito scegliendo una tecnologia proporzionata e adottando misure di protezione dei dati così come il principio di “privacy di default“, ossia impostazioni per la tutela della vita privata per servizi e prodotti che dovrebbero evitare, per impostazione predefinita, la raccolta e/o l’ulteriore trattamento di dati personali non necessari.

È sempre meglio preferire un carico utile di natura meno intrusiva e prevedere, ad esempio, laddove opportuno e qualora il trattamento dei dati personali non sia necessario, l’adozione di tecniche di anonimizzazione.

Ad esempio, per l’uso di droni equipaggiati di videocamere, i responsabili del trattamento potrebbero utilizzare disposizioni tecniche per il trattamento automatico delle immagini per mezzo di sfocature o di altri effetti grafici, al fine di evitare la raccolta di immagini di persone identificabili, laddove non siano necessarie.

L’applicazione di misure di protezione di default implica il previo rispetto del principio della protezione fin dalla progettazione da parte di produttori e operatori. La protezione dei dati deve essere inclusa nell’intero del ciclo di vita della tecnologia, dalla fase di progettazione iniziale sino alle fasi di ultimo sviluppo, uso e smaltimento finale. Tale tecnologia dovrebbe essere progettata in modo tale da evitare il trattamento dei dati personali non necessari.

Considerata la molteplicità di applicazioni dei droni, potrebbe essere effettuata una valutazione d’impatto sulla protezione dei dati, finalizzata a esaminarne le ripercussioni sui diritti e la libertà delle persone e, in particolare sul diritto alla vita privata e alla protezione dei dati. Tale valutazione aiuterebbe gli operatori a definire gli eventuali rischi per la tutela della vita privata associati all’uso di nuove applicazioni e a valutare se il trattamento di dati personali per mezzo di droni è lecito, necessario e proporzionato alle finalità perseguite, affrontando al contempo, tra altri aspetti, le questioni connesse alla trasparenza e gli aspetti relativi alla sicurezza, nonché facendo il punto sulle misure adottate per affrontare tali rischi.

Per i droni equipaggiati di un sistema di riconoscimento delle immagini è opportuno prendere in considerazione la messa in atto di un meccanismo che faciliti l’esercizio dell’obiezione dell’interessato, mediante etichette attive o passive che indichino espressamente la volontà degli interessati circa il trattamento della loro immagine o i dispositivi utilizzati, quali le attuali etichette visive, il cui scopo è illustrare, in occasione di conferenze pubbliche, come può essere utilizzata l’immagine delle persone fotografate.

Trasparenza e informazione degli interessati

Ai sensi del principio di trattamento informato, gli interessati devono essere a conoscenza della raccolta e del trattamento dei loro dati personali ed essere pertanto informati al riguardo. Non appena sia ragionevolmente possibile e qualora sia prevista una comunicazione dei dati a terzi, al più tardi all’atto della prima comunicazione dei medesimi, gli interessati devono ricevere almeno le informazioni elencate di seguito:

  • l’identità del responsabile del drone ed eventualmente del suo rappresentante;
  • le finalità del trattamento per cui i dati sono richiesti;
  • ulteriori informazioni quali le categorie di dati interessate;
  • i destinatari o le categorie di destinatari dei dati;
  • l’eventuale diritto di accesso ai dati e di rettifica in merito ai dati che le riguardano.

Per rispettare il requisito di trasparenza e di informazione degli interessati, i responsabili del trattamento dei dati dovrebbero adottare un approccio a più canali basato su comunicazioni in formato cartaceo, digitale, che possano avere la più ampia diffusione. Inoltre, garantire che l’operatore del drone sia ben visibile facilita l’esercizio dei diritti da parte delle altre persone. Il requisito relativo all’esposizione di un marchio di registrazione (simile alla targa di un veicolo) è pertinente soltanto nei casi in cui i droni siano visibili da terra o in caso di perdita di controllo e conseguente necessità di ricondurre i dati conservati all’operatore.

Si raccomanda, ad esempio, che gli operatori dei droni pubblichino specifiche informazioni sui loro siti web o su piattaforme dedicate, al fine di comunicare sistematicamente le diverse operazioni già effettuate e quelle future, mentre nelle zone più difficilmente raggiungibili o laddove sia poco probabile che le persone accedano al sito web, le informazioni possono essere pubblicate su giornali, volantini o cartelloni oppure trasmesse via posta. Tali informazioni possono essere di natura generale e indicare che l’infrastruttura è sottoposta a sorveglianza, ad esempio, senza fornire dettagli sui prossimi voli o quelli già effettuati.

Infine, per le applicazioni dei droni che possono intervenire su aree più vaste, laddove la comunicazione delle informazioni agli interessati si dimostri difficile o pressoché impossibile, si è suggerito di creare fonti di informazione nazionali o transnazionali (cui è più semplice risalire, rispetto ai siti web dei singoli operatori) per consentire alle persone di identificare le finalità e gli operatori associati con i singoli droni.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Business Analytics
Business Intelligence
@RIPRODUZIONE RISERVATA
S
Alberto Stefani
Data Protection Officer, Consulente cybersecurity 

Articolo 1 di 5