Al riparo dal drone indiscreto

22/07/2014
di Alessandro Cecchetti

Droni e normativaArticolo pubblicato su DronEzine Magazine – Luglio 2014

Destinati a rivoluzionare radicalmente la percezione degli spazi e le modalità di controllo di vaste aree, i droni rappresentano una tecnologia in grande espansione, complici gli importanti scenari commerciali ed industriali prospettati, la capacità di raccogliere informazioni di qualsiasi tipo e la possibilità di essere impiegati in settori trasversali, sia civili che militari.

Videocamere ad elevata definizione ed avanzati sensori rendono questi strumenti a tal punto performanti da trasformarli in veri e propri “guardiani elettronici”, in grado di captare immagini a grandi distanze e di trasmetterle in tempo reale. Tra i fattori di maggior impatto connessi all’impiego di questi speciali Sistemi Aeromobili a Pilotaggio Remoto (SAPR), la privacy dei soggetti ripresi rappresenta senza dubbio la principale criticità. Il notevole accrescimento della capacità di videosorveglianza da parte di soggetti potenzialmente non autorizzati, delinea una serie di implicazioni sul fronte della protezione de dati personali degli utenti ripresi di non facile interpretazione.

Per cominciare a far luce su una normativa lacunosa e non ancora delineata con precisione, è necessario partire dalla considerazione che l’immagine acquisita – quando permette di identificare la persona fisica ripresa – rappresenta a tutti gli effetti un dato personale ai sensi dell’art. 4 lett. b) del Codice Privacy (D.Lgs. 196/2003) e pertanto soggetta alla sua disciplina.

L’uso civile secondo il regolamento

Il recente Regolamento ENAC (Ente Nazionale per l’Aviazione Civile), nell’intento di disciplinare l’impiego di questi obiettivi mobili, ribadisce quando sovra citato, precisando le condizioni per cui viene riconosciuto l’utilizzo ad uso civile dei droni. Su tale punto si legge:“le operazioni svolte attraverso un SARP possano comportare un trattamento di dati personali, tale circostanza dovrà essere menzionata nella documentazione sottoposta ai fini del rilascio della pertinente autorizzazione” e il trattamento dovrà essere effettuato “nel rispetto del decreto legislativo 30 giugno 2013, n. 196 e successive modificazioni (Codice in materia di protezione dei dati personali), con particolare riguardo all’utilizzo di modalità che permettano di identificare l’interessato solo in caso di necessità ai sensi dell’art. 3 del Codice, nonché delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante per la protezione dei dati personali” (cfr. art. 22 Regolamento ENAC).Sotto il profilo normativo, occorre fare in primis una distinzione, ossia quando il drone è utilizzato – e quindi il trattamento dati è effettuato – da un privato cittadino persona fisica e quando invece lo strumento è impiegato da (o per conto di) un’azienda che ne sfrutta le potenzialità per il perseguimento di finalità connesse al proprio business.

Nel primo caso, oltre alle responsabilità civili (ex artt. 2043 e 2050 c.c.) per i danni eventualmente causati dal drone, vi è da considerare anche gli aspetti penalmente rilevanti legati alla tutela del diritto alla riservatezza dei soggetti indirettamente ed incidentalmente ripresi. Diritto che può essere facilmente e fattivamente leso con il sorvolo deldrone. Al riguardo è necessario menzionare il disposto dell’art. 615-ter del Codice Penale volto a rimproverare la condotta di “Interferenza illecita nella vita privata”, e che testualmente recita: “Chiunque, mediante l’uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell’art. 614, è punito con la reclusione da sei mesi a quattro anni.

Nell’altro caso, in cui il trattamento di dati è invece compiuto da un’azienda, è necessario osservare anche gli obblighi imposti dal Codice Privacy e dai Provvedimenti dell’Autorità Garante per la protezione dei dati personali. Si rileva che tale normativa ex art. 5 comma 3 D. Lgs. 196/2003 troverà applicazione anche nei confronti delle persone fisiche solo quando i dati da essi trattati sono soggetti a diffusione (il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione) o a comunicazione sistematica (il dare conoscenza dei dati personali a uno o più soggetti determinati). Per il trattamento effettuato dai cittadini persone fisiche restano comunque obbligatorie le disposizioni in materia di sicurezza ex art. 31 del D.Lgs. 196/2003.

Considerando quanto sopra, occorre di seguito tracciare in linea generale quanto imposto dalla normativa privacy applicabile al caso in esame, rilevando come tale argomento sia già stato affrontato a livello europeo. Al riguardo si evidenziano:

– il Documento del Gruppo di Lavoro ex Articolo 29 del 16 dicembre 2013 avente ad oggetto: Remotely Piloted Aircraft Systems (RPAS)

– Response to the Questionnaire;- il Working Paper on Privacy and Aerial Surveillance redatto nel corso del 54esimo Meeting a Berlino svoltosi tra il 2 ed il 3 Settembre 2013.

Il trattamento dei dati in Italia

Prendendo ad esame entrambi i documenti si evince, prima di tutto, l’assenza di una normativa ad hoc per la materia di cui trattasi, ma in sintesi il Gruppo di Lavoro reputa necessario tenere in considerazione gli aspetti nazionali che fanno riferimento al contesto della videosorveglianza elettronica (TVCC) ed applicarli anche alla videosorveglianza aerea. Per i trattamenti fatti in Italia quindi, è oggi indispensabile attenersi, oltre al Codice, anche al Provvedimento 8 aprile 2010 dell’Autorità Garante per la protezione dei dati personali. Pertanto, gli obblighi nazionali in materia di videosorveglianza sono stati quindi generalmente considerati applicabili al trattamento di dati personali connessi all´uso di droni: gli atti di nomina ad incaricato ed a responsabile per i soggetti interni autorizzati al trattamento, la regolarizzazione dei rapporti con i soggetti esterni, l’obbligo di rendere un informativa ai soggetti nel caso ripresi, nonché quelli connessi al data retention ed alla sicurezza dei dati acquisiti col drone.

Tuttavia, si chiarisce che le garanzie in atto per TVCC – pur indicando uno standard minimo di riferimento – non possono essere considerate sufficienti nel contesto dei sistemi di sorveglianza aerea, attesa la loro ingerenza sui diritti dell’interessato nonché rispetto alle difficoltà pratiche soprattutto in merito agli obblighi informativi.

Il precedente di Google

Per quanto concerne le riprese effettuate mediante drone su aree aperte, ben di certo non è sufficiente riportare sul drone apposita cartellonistica (l’informativa breve) in quanto il drone potrebbe essere invisibile o difficilmente individuabile dall’interessato. Quindi occorrerebbe individuare un mezzo alternativo che raggiunga lo scopo imposto. A tal fine, si prende in considerazione la posizione del Garante assunta nei confronti di Google Inc. in relazione alservizio di Google maps. Al fine di offrire il servizio, la società acquisiva, mediante le c.d. “Google cars”, immagini direttamente dalla strada. Tali immagini potevano ritrarre, come in effetti è stato, persone fisiche senza che le stesse fossero state preventivamente informate ai sensi dell’art. 13 del Codice privacy. Secondo il Provvedimento del 25 ottobre 2010 titolato “Google Street View: le auto dovranno essere riconoscibili” del Garante della Privacy, le “Google cars” che transitavano lungo le strade, dovevano essere facilmente individuabili dagli interessati, attraverso cartelli o adesivi ben visibili, in maniera tale da indicare agli interessati, in modo inequivocabile, che si stavano acquisendo immagini fotografiche per il servizio Street View. Tuttavia tale metodo era stato considerato dal Garante poco utile, perché il diretto interessato non riusciva a sottrarsi alla ripresa, ergo al trattamento. Proprio per questo motivo, alla Società californiana era stato ordinato, in più, “di pubblicare sul proprio sito web, tre giorni prima che inizino le riprese, le località visitate dalle vetture di Street View.

Per le grandi città sarà necessario indicare i quartieri in cui circoleranno le vetture. Analogo avviso dovrà essere pubblicato da Google sulle pagine di cronaca locale di almeno due quotidiani e diffuso per mezzo di un´emittente radiofonica locale per ogni regione visitata.”

La società non ha accolto la riportata prescrizione del Garante del 2010 e con l’Ordinanza di ingiunzione del 18 dicembre 2013 è stata sanzionata con la somma di euro 1.000.000 (un milione) a titolo di sanzione amministrativa pecuniaria per la violazione del combinato disposto di cui agli artt. 13, 161 e 164-bis, comma 2, del Codice. Resta comunque inteso che dovrebbero essere prese in considerazione e individuate come possibili mezzi idonei a rispettare il dovere di cui all’art. 13 del Codice privacy tutte le indicazioni elargite dal Garante alla società di Mountain View sul dovere di informare gli interessati.

Occhio a filmare i dipendenti

Attese le responsabilità anche di ordine penale collegate agli adempimenti dovuti, un aspetto ulteriore da considerare è poi quello relativo al controllo a distanza dell’attività lavorativa dei dipendenti, che richiede, nel caso, la formalizzazione delle autorizzazioni ex art. 4 L. 300/1970. Difatti la possibilità di riprendere un dipendente tramite il drone è reale (si pensi ad esempio ad una Società che fa sorvolare le aree di proprietà ove transitano i subalterni, oppure aree di proprietà pubblica quando i dipendenti della società svolgano attività lavorativa anche all’esterno).

Che fare, in conclusione?

Per concludere si può affermare che in ragione dell’assenza di normative specifiche e ad hoc volte a disciplinare il trattamento dati effettuato mediante droni, nonché dell’assenza di pronunce e provvedimenti dell’Autorità di ambito in merito allo stesso, è da considerare la necessità di una Verifica Preliminare ex art. 17 Codice Privacy. Difatti tale trattamento seppur possa essere ricondotto per alcuni suoi aspetti a normative già esistenti non è da esse totalmente assorbito né legiferato. Quindi in considerazione dei rischi per i diritti degli interessati e delle sanzioni irrogabili dal Garante, dovrebbe essere sottoposto ad un preventivo vaglio di legittimità dell’Autorità così che questa possa dettare – previo bilanciamento di interessi – gli accorgimenti necessari per il rispetto di tutti i principi imposti dal Codice in materia di protezione dei dati personali.

Riproduzione riservata ©

ALTRE NEWS

Sentenza Antovic and Mirkovic: il bilanciamento tra privacy e sicurezza

La sentenza della Corte Europea dei Diritti dell’Uomo nel caso Antovic and Mirkovic v. Montenegro (no. 70838/13) racchiude un interessante bilanciamento di interessi tra istanze… Leggi Tutto

Decreto del fare: l’Istituzione del Sistema pubblico per la gestione dell’identità digitale

Il c.d. “decreto del fare” (Legge n. 98 del 9 agosto 2013, rubricata come “Conversione, con modificazioni, del decreto-legge 21 giugno 2013, n. 69, Disposizioni… Leggi Tutto

Il diritto all’oblio c’è. Ma si “vede”?

La lezione viene da Piazza Cavour. Ed è per tutti, addetti ai lavori e non. La sentenza della Corte Suprema di Cassazione dello scorso 11… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.