I droni e la protezione dei dati personali

L’uso dei droni tra il grande pubblico è cresciuto in maniera esponenziale negli ultimi tempi, una crescita che va di pari passo con l’evoluzione tecnologica e con la maggiore facilità di accesso – anche in termini economici – a questi dispositivi. La configurazione di default di un qualsiasi drone include almeno un GPS e una videocamera, anche se la dotazione può diventare più ricca all’aumento degli strumenti tecnologici connessi. Infatti, tra i dispositivi di acquisizione ed elaborazione dati che ne “discendono” figurano termocamere, telecamere con visori notturni, scanner 3D, dispositivi WiFi e/o Bluetooth, sistemi di rilevamento di dispositivi mobili e così via. L’uso di droni dotati di tali dispositivi tecnologici può avere un impatto sulla privacy e la protezione dei dati personali degli interessati. In tal modo gli operatori di droni che registrano e/o elaborano immagini, video, suoni e che si avvalgono di dati biometrici e di geolocalizzazione relativi a una persona – identificata o identificabile – sono soggetti alle disposizioni del Regolamento UE 2016/679 (GDPR).

Si deve tener conto del fatto che in alcune occasioni un dispositivo installato su un drone può identificare direttamente una persona, ad esempio mediante una foto o una ripresa video; tuttavia in altre occasioni l’identificazione non è diretta e richiede un’ulteriore elaborazione – come nel caso delle informazioni relative alla geolocalizzazione – oppure un “arricchimento” con altri dati aggiuntivi come quelli acquisiti da internet. In questi ultimi casi, anche se una persona potrà essere identificabile, il risultato finale riguarderebbe un’identificazione possibile grazie a informazioni incrociate provenienti da diverse fonti. Sia nel caso in cui i dati raccolti dai droni identificano inequivocabilmente una persona, e sia nel caso in cui ciò possa avvenire successivamente, si applica comunque la normativa in materia di protezione dei dati personali.

Il punto di vista dell’Authority per la privacy spagnola

Meno di un anno fa l’Autorità privacy spagnola (AEPD – Agencia Española de Proteccion de Datos) ha varato un utile vademecum sul trattamento dei dati personali mediante l’utilizzo di droni. L’autorità di Madrid rileva che tali dispositivi sono utilizzati prevalentemente nel campo della videosorveglianza, dell’ispezione delle infrastrutture, per i rilievi topografici, per le ispezioni agricole, per la gestione agricola di precisione, nel campo cinematografico, in quello sportivo e così via. In pratica, disponibilità di molteplici dispositivi per l’acquisizione dei dati e di piattaforme sempre più avanzate suggerisce l’inevitabile emergere di numerose applicazioni dei droni. Da un punto di vista strettamente incentrato sulla protezione dei dati, le operazioni con i droni possono essere classificate in due categorie: da un lato vi sono quelle per le quali lo scopo dell’operazione stessa comporta il trattamento di dati personali, come nel caso della videosorveglianza; dall’altro, vi sono quelle operazioni il cui lo scopo non include, a priori, il trattamento di dati personali, come l’ispezione di infrastrutture, i rilievi topografici, l’ispezione di archivi, e la conduzione di servizi fotografici e video possono, in un determinato momento, avere un impatto sul diritto alla protezione dei dati personali e sulla privacy dell’individuo. In quest’ultimo caso, anche se lo scopo dell’operazione non è il trattamento dei dati in sé, vi è sempre il rischio di acquisire dati personali in modo “involontario”. Ciò può avvenire, ad esempio, con la “cattura” di determinate immagini di persone sullo sfondo o con la cattura di altri tipi di informazioni (abitazioni vicine alla propria, aree ricreative, veicoli, ecc.), ovvero tramite le inevitabili caratteristiche specifiche dell’operazione, come quelle che esulano dall’ambito visivo del pilota.

L’AEPD dichiara che, in questi casi, è necessario rispettare le seguenti raccomandazioni.

• Ridurre al minimo l’inquadratura di persone e oggetti potenzialmente identificabili (ad esempio bagnanti, targhe di veicoli ecc.) nell’area videoripresa. Ciò può essere ottenuto, ad esempio, eseguendo voli in momenti in cui non ci sono grandi concentrazioni di persone oppure quando l’accesso alla zona di volo è limitato.
• Ridurre al minimo la cattura delle immagini a quelle assolutamente necessarie, riducendo le possibilità che le persone appaiano inavvertitamente nelle immagini e considerando la possibilità di non catturare il volo “completo”, bensì i soli “momenti” necessari. Questa raccomandazione, dichiara il garante iberico, può essere estesa a qualsiasi forma di raccolta dati.
• Promuovere e applicare la protezione dei dati fin dalla progettazione e per impostazione predefinita (Data-Protection-by-Design e Data-Protection-by-Default, Art. 25 GDPR), come ad esempio: regolando la risoluzione dell’immagine al minimo necessario; riducendo la granularità della geolocalizzazione; applicando tecniche per l’anonimizzazione delle immagini (automaticamente durante la cattura oppure successivamente alla registrazione con tecniche di mascheramento); adottando meccanismi per avviare e fermare la “cattura” dei dati in qualsiasi momento durante l’operazione; implementando protocolli di comunicazione sicuri che impediscano l’accesso di terzi ai trasferimenti dei dati catturati o, persino, il controllo del dispositivo stesso; oppure includendo meccanismi che consentano la crittografia dei dati catturati e memorizzati sul drone stesso.
• Nelle aree in cui ci saranno inevitabilmente delle persone, completare la cattura delle immagini in modo che gli interessati non possano essere identificati, ad esempio catturando le immagini solo a una distanza sufficiente a garantire che la loro identificazione non sia possibile.
• Impedire l’elaborazione di un altro tipo di dati personali come, ad esempio, la cattura indiscriminata di identificatori di dispositivi mobili.
• Impedire la memorizzazione di informazioni inutili relative alle persone. Ad esempio, se lo scopo delle immagini è un rilevamento topografico di una zona costiera, non avrebbe senso memorizzare riprese che consentano di identificare i bagnanti che si trovano in quella zona.

L’autorità privacy di Madrid dichiara che nel caso in cui si ricada nell’ambito di applicazione materiale della normativa sulla protezione dei dati personali devono essere intraprese le seguenti azioni:

• Verificare che la normativa nazionale consenta l’uso dei droni e, se necessario, richiedere l’autorizzazione delle autorità competenti (in Italia, ENAC). Qualora il funzionamento di un drone violi la legislazione nazionale applicabile in materia o qualsiasi altra normativa, il trattamento dei dati effettuato si considera non conforme al principio di liceità del trattamento di cui all’Art. 5.1 lett. a) GDPR, e sarà quindi soggetto al regime sanzionatorio previsto dal medesimo Regolamento Europeo (fatte salve le sanzioni derivanti da altra normativa applicabile).
• Nel definire il servizio o il trattamento da eseguire attraverso l’uso del drone – e prima dell’inizio dell’operazione con la quale verranno trattati dati personali – deve essere analizzata la necessità di effettuare una valutazione di impatto sulla protezione dei dati (Art. 35 GDPR). Nel caso in cui il trattamento rientri nelle circostanze stabilite nel GDPR o nell’elenco delle tipologie di trattamenti soggetti al meccanismo di coerenza da sottoporre a valutazione di impatto^[1], sarà necessario completare una valutazione d’impatto sulla protezione dei dati (DPIA) con il grado di dettaglio richiesto dal GDPR. Se non vi è un obbligo esplicito di stilare una DPIA, la conduzione della stessa sarà sempre considerato una buona pratica da parte del titolare del trattamento (es. operatore del drone). La valutazione d’impatto viene completata tenendo conto dello scopo delle operazioni da effettuare, del tipo di droni utilizzato e delle tecnologie di rilevamento impiegate. La valutazione d’impatto viene effettuata per ogni tipo di trattamento, anche se non è necessario effettuare una valutazione ogni volta che viene eseguito un determinato tipo di operazione. Infine, se necessario, occorre consultare in anticipo l’autorità di controllo (in Italia, il Garante privacy) ai sensi dell’Art. 36 GDPR.
• Ove non fosse necessaria una valutazione d’impatto, ma esistesse la possibilità che l’operazione condotta tramite drone possa comprendere rischi potenziali per la protezione dei dati personali, si raccomanda un’analisi dei rischi al fine di adottare le garanzie necessarie per attenuare, per quanto possibile, i rischi e le potenziali conseguenze per i diritti e le libertà delle persone.
• Se le immagini venissero catturate per uso personale (Considerando 18 GDPR), è necessario considerare che tali immagini non devono essere pubblicate su Internet, così da evitare una loro potenziale accessibilità a un numero indeterminato di persone, soprattutto ove fosse possibile identificare persone o spazi privati come residenze, giardini, terrazze, ecc. Si deve tener conto del fatto che anche ove il trattamento dati non soggiacesse all’ambito di applicazione del GDPR, le informazioni catturate dal drone potrebbero violare il diritto all’onore e all’immagine delle persone riprese.
• Valutare, in anticipo, gli obiettivi dell’operazione che garantiscono la sicurezza fisica del volo e rispettare la normativa aeronautica.^[2]

Il punto di vista del Garante della privacy italiano

La nostra autorità privacy è intervenuta sul tema, pressappoco nello stesso periodo della sua controparte spagnola, con un’infografica immediatamente esplicativa e comprensibile. Tralasciando i punti già affrontati con il vademecum dell’AEPD, il Garante privacy dichiara che nel far volare un drone munito di fotocamera (o videocamera) “per fini ricreativi in un luogo pubblico (parchi, strade, spiagge) è meglio evitare di invadere gli spazi personali e l’intimità delle persone. La diffusione di riprese realizzate con il drone (sul web, sui social media, in chat) può avvenire solo con il consenso dei soggetti ripresi, fatti salvi particolari usi connessi alla libera manifestazione del pensiero, come quelli a fini giornalistici”. Negli altri casi, incalza il Garante, “quando è eccessivamente difficile raccogliere il consenso degli interessati, è possibile diffondere le immagini solo se i soggetti ripresi non sono riconoscibili, o perché ripresi da lontano, o perché si sono utilizzati appositi software per oscurare i loro volti. Occorre poi evitare di riprendere e diffondere immagini che contengono dati personali come targhe di macchine, indirizzi di casa, ecc. Le riprese che violano gli spazi privati altrui (casa, giardino domestico) sono invece sempre da evitare, anche perché si potrebbero violare norme penali” (es. Art. 615-bis c.p., interferenze illecite nella vita privata). Per evitare di ingenerare la “sensazione di essere osservati” nelle persone, il Garante privacy dichiara che è “buona regola usare questi strumenti senza invadere la sfera personale degli altri, magari anche comunicando preventivamente le proprie intenzioni”, avvisando magari i vicini, gli amici e tutti gli altri interessati, i quali “hanno il diritto di chiedere di non essere – anche solo inavvertitamente – ripresi nel loro privato”. Inoltre il Garante privacy intravede una good practice nel “fare in modo che il pilota del drone sia sempre ben visibile, così da non suscitare sospetti o allarme negli altri”.^[3]

L’approccio alla privacy dell’Enac

Sul sito dell’Ente Nazionale per l’Aviazione Civile (ENAC) si legge che tale autorità italiana è stata tra le prime in Europa ad aver regolato il settore nazionale dei mezzi aerei a pilotaggio remoto (SAPR), ossia i droni. Nel dicembre del 2013 l’ENAC pubblicò la prima edizione del suo Regolamento al fine di dare attuazione all’articolo 743 del Codice della Navigazione nel quale è stabilito che i SAPR sono aeromobili e di conseguenza devono essere regolamentati dall’ENAC per consentire lo svolgimento delle loro operazioni in sicurezza. L’11 giugno 2019 la Commissione Europea varò il Regolamento UE 2019/945 che stabilisce le regole per l’immissione nel mercato dei dispositivi in esame, nonché il relativo Regolamento di Esecuzione UE 2019/947 che definisce le regole applicabili alle operazioni dei SAPR ai piloti e agli operatori. Regolamenti che diverranno applicabili dal 1° luglio 2020. Allo scopo di facilitare la transizione del settore dalla normativa nazionale a quella comunitaria, l’ENAC l’11 novembre 2019 pubblicò la terza edizione del suo Regolamento.^[4] Per quanto attiene la protezione dei dati mediante droni, invece, l’ENAC adotta – come da titolo del presente paragrafo – un approccio che “guarda al passato”. Infatti, nonostante le modifiche intercorse ai suoi Regolamenti dal 2013 al 2019, l’ENAC al comma 2 del suo Art. 34 “Protezione dei dati e privacy” dispone che “Il trattamento dei dati personali deve essere effettuato in ogni caso nel rispetto del Decreto Legislativo 30 giugno 2003, n. 196 e successive modificazioni (Codice in materia di protezione dei dati personali), con particolare riguardo all’utilizzo di modalità che permettano di identificare l’interessato solo in caso di necessità ai sensi dell’articolo 3 del citato Codice, nonché delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante per la protezione dei dati personali.” Nessun accenno al GDPR (applicabile dal 25 maggio 2018) e rimando ad un articolo, il 3 del Codice Privacy, abrogato con il D. Lgs. 101/2018.^[5]

Peraltro anche il Regolamento di Esecuzione UE 2019/947, ripreso più volte dall’ENAC, contiene diversi riferimenti al GDPR e, in genere, alla protezione dei dati personali. Tra tutte si cita la “UAS.SPEC.050 Responsabilità dell’operatore UAS” n.1) lett. a) n. iv): “L’operatore UAS” (Unmanned Aerial System – Aeromobile a pilotaggio remoto) “deve soddisfare tutte le seguenti condizioni: a) stabilire procedure e limitazioni adeguate al tipo di operazione previsto e al rischio connesso, tra cui: […] iv. procedure volte a garantire che tutte le operazioni rispettino il regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. In particolare, deve effettuare una valutazione d’impatto sulla protezione dei dati, se richiesto dall’autorità nazionale per la protezione dei dati in applicazione dell’articolo 35 del regolamento (UE) 2016/679”.

1. In Italia il Garante Privacy ha approntato un “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018: https://www.garanteprivacy.it/documents/10160/0/ALLEGATO+1+Elenco+delle+tipologie+di+trattamenti+soggetti+al+meccanismo+di+coerenza+da+sottoporre+a+valutazione+di+impatto.pdf/b9ceefa9-dd65-df86-fed4-df3c3570f59d?version=1.11 ↑
2. Per approfondimenti si veda: Drones and Data Protection. AEPD. https://www.aepd.es/sites/default/files/2019-09/guia-drones-en.pdf ↑
3. Per l’infografica del Garante Privacy: https://www.garanteprivacy.it/documents/10160/0/Utilizzo+di+droni+a+fini+ricreativi+e+privacy_+l%27infografica+del+Garante.pdf/482c901c-acc1-4aeb-9a9a-556376f84156?version=1.5 ↑
4. Ente Nazionale per l’Aviazione Civile. Droni. https://www.enac.gov.it/sicurezza-aerea/droni ↑
5. Regolamento ENAC sui mezzi aerei a pilotaggio remoto, Edizione 3 dell’11 novembre 2019. https://www.enac.gov.it/sites/default/files/allegati/2019-Nov/Regolamento_Mezzi_Aerei_a_Pilotaggio_Remoto_Ed_3_11112019.pdf ↑