Al riparo dal drone indiscreto
Articolo pubblicato su DronEzine Magazine – Luglio 2014
Destinati a rivoluzionare radicalmente la percezione degli spazi e le modalità di controllo di vaste aree, i droni rappresentano una tecnologia in grande espansione, complici gli importanti scenari commerciali ed industriali prospettati, la capacità di raccogliere informazioni di qualsiasi tipo e la possibilità di essere impiegati in settori trasversali, sia civili che militari.
Videocamere ad elevata definizione ed avanzati sensori rendono questi strumenti a tal punto performanti da trasformarli in veri e propri “guardiani elettronici”, in grado di captare immagini a grandi distanze e di trasmetterle in tempo reale. Tra i fattori di maggior impatto connessi all’impiego di questi speciali Sistemi Aeromobili a Pilotaggio Remoto (SAPR), la privacy dei soggetti ripresi rappresenta senza dubbio la principale criticità. Il notevole accrescimento della capacità di videosorveglianza da parte di soggetti potenzialmente non autorizzati, delinea una serie di implicazioni sul fronte della protezione de dati personali degli utenti ripresi di non facile interpretazione.
Per cominciare a far luce su una normativa lacunosa e non ancora delineata con precisione, è necessario partire dalla considerazione che l’immagine acquisita – quando permette di identificare la persona fisica ripresa – rappresenta a tutti gli effetti un dato personale ai sensi dell’art. 4 lett. b) del Codice Privacy (D.Lgs. 196/2003) e pertanto soggetta alla sua disciplina.
L’uso civile secondo il regolamento
Il recente Regolamento ENAC (Ente Nazionale per l’Aviazione Civile), nell’intento di disciplinare l’impiego di questi obiettivi mobili, ribadisce quando sovra citato, precisando le condizioni per cui viene riconosciuto l’utilizzo ad uso civile dei droni. Su tale punto si legge:“le operazioni svolte attraverso un SARP possano comportare un trattamento di dati personali, tale circostanza dovrà essere menzionata nella documentazione sottoposta ai fini del rilascio della pertinente autorizzazione” e il trattamento dovrà essere effettuato “nel rispetto del decreto legislativo 30 giugno 2013, n. 196 e successive modificazioni (Codice in materia di protezione dei dati personali), con particolare riguardo all’utilizzo di modalità che permettano di identificare l’interessato solo in caso di necessità ai sensi dell’art. 3 del Codice, nonché delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante per la protezione dei dati personali” (cfr. art. 22 Regolamento ENAC).Sotto il profilo normativo, occorre fare in primis una distinzione, ossia quando il drone è utilizzato – e quindi il trattamento dati è effettuato – da un privato cittadino persona fisica e quando invece lo strumento è impiegato da (o per conto di) un’azienda che ne sfrutta le potenzialità per il perseguimento di finalità connesse al proprio business.
Nel primo caso, oltre alle responsabilità civili (ex artt. 2043 e 2050 c.c.) per i danni eventualmente causati dal drone, vi è da considerare anche gli aspetti penalmente rilevanti legati alla tutela del diritto alla riservatezza dei soggetti indirettamente ed incidentalmente ripresi. Diritto che può essere facilmente e fattivamente leso con il sorvolo deldrone. Al riguardo è necessario menzionare il disposto dell’art. 615-ter del Codice Penale volto a rimproverare la condotta di “Interferenza illecita nella vita privata”, e che testualmente recita: “Chiunque, mediante l’uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell’art. 614, è punito con la reclusione da sei mesi a quattro anni.
Nell’altro caso, in cui il trattamento di dati è invece compiuto da un’azienda, è necessario osservare anche gli obblighi imposti dal Codice Privacy e dai Provvedimenti dell’Autorità Garante per la protezione dei dati personali. Si rileva che tale normativa ex art. 5 comma 3 D. Lgs. 196/2003 troverà applicazione anche nei confronti delle persone fisiche solo quando i dati da essi trattati sono soggetti a diffusione (il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione) o a comunicazione sistematica (il dare conoscenza dei dati personali a uno o più soggetti determinati). Per il trattamento effettuato dai cittadini persone fisiche restano comunque obbligatorie le disposizioni in materia di sicurezza ex art. 31 del D.Lgs. 196/2003.
Considerando quanto sopra, occorre di seguito tracciare in linea generale quanto imposto dalla normativa privacy applicabile al caso in esame, rilevando come tale argomento sia già stato affrontato a livello europeo. Al riguardo si evidenziano:
– il Documento del Gruppo di Lavoro ex Articolo 29 del 16 dicembre 2013 avente ad oggetto: Remotely Piloted Aircraft Systems (RPAS)
– Response to the Questionnaire;- il Working Paper on Privacy and Aerial Surveillance redatto nel corso del 54esimo Meeting a Berlino svoltosi tra il 2 ed il 3 Settembre 2013.
Il trattamento dei dati in Italia
Prendendo ad esame entrambi i documenti si evince, prima di tutto, l’assenza di una normativa ad hoc per la materia di cui trattasi, ma in sintesi il Gruppo di Lavoro reputa necessario tenere in considerazione gli aspetti nazionali che fanno riferimento al contesto della videosorveglianza elettronica (TVCC) ed applicarli anche alla videosorveglianza aerea. Per i trattamenti fatti in Italia quindi, è oggi indispensabile attenersi, oltre al Codice, anche al Provvedimento 8 aprile 2010 dell’Autorità Garante per la protezione dei dati personali. Pertanto, gli obblighi nazionali in materia di videosorveglianza sono stati quindi generalmente considerati applicabili al trattamento di dati personali connessi all´uso di droni: gli atti di nomina ad incaricato ed a responsabile per i soggetti interni autorizzati al trattamento, la regolarizzazione dei rapporti con i soggetti esterni, l’obbligo di rendere un informativa ai soggetti nel caso ripresi, nonché quelli connessi al data retention ed alla sicurezza dei dati acquisiti col drone.
Tuttavia, si chiarisce che le garanzie in atto per TVCC – pur indicando uno standard minimo di riferimento – non possono essere considerate sufficienti nel contesto dei sistemi di sorveglianza aerea, attesa la loro ingerenza sui diritti dell’interessato nonché rispetto alle difficoltà pratiche soprattutto in merito agli obblighi informativi.
Il precedente di Google
Per quanto concerne le riprese effettuate mediante drone su aree aperte, ben di certo non è sufficiente riportare sul drone apposita cartellonistica (l’informativa breve) in quanto il drone potrebbe essere invisibile o difficilmente individuabile dall’interessato. Quindi occorrerebbe individuare un mezzo alternativo che raggiunga lo scopo imposto. A tal fine, si prende in considerazione la posizione del Garante assunta nei confronti di Google Inc. in relazione alservizio di Google maps. Al fine di offrire il servizio, la società acquisiva, mediante le c.d. “Google cars”, immagini direttamente dalla strada. Tali immagini potevano ritrarre, come in effetti è stato, persone fisiche senza che le stesse fossero state preventivamente informate ai sensi dell’art. 13 del Codice privacy. Secondo il Provvedimento del 25 ottobre 2010 titolato “Google Street View: le auto dovranno essere riconoscibili” del Garante della Privacy, le “Google cars” che transitavano lungo le strade, dovevano essere facilmente individuabili dagli interessati, attraverso cartelli o adesivi ben visibili, in maniera tale da indicare agli interessati, in modo inequivocabile, che si stavano acquisendo immagini fotografiche per il servizio Street View. Tuttavia tale metodo era stato considerato dal Garante poco utile, perché il diretto interessato non riusciva a sottrarsi alla ripresa, ergo al trattamento. Proprio per questo motivo, alla Società californiana era stato ordinato, in più, “di pubblicare sul proprio sito web, tre giorni prima che inizino le riprese, le località visitate dalle vetture di Street View.
Per le grandi città sarà necessario indicare i quartieri in cui circoleranno le vetture. Analogo avviso dovrà essere pubblicato da Google sulle pagine di cronaca locale di almeno due quotidiani e diffuso per mezzo di un´emittente radiofonica locale per ogni regione visitata.”
La società non ha accolto la riportata prescrizione del Garante del 2010 e con l’Ordinanza di ingiunzione del 18 dicembre 2013 è stata sanzionata con la somma di euro 1.000.000 (un milione) a titolo di sanzione amministrativa pecuniaria per la violazione del combinato disposto di cui agli artt. 13, 161 e 164-bis, comma 2, del Codice. Resta comunque inteso che dovrebbero essere prese in considerazione e individuate come possibili mezzi idonei a rispettare il dovere di cui all’art. 13 del Codice privacy tutte le indicazioni elargite dal Garante alla società di Mountain View sul dovere di informare gli interessati.
Occhio a filmare i dipendenti
Attese le responsabilità anche di ordine penale collegate agli adempimenti dovuti, un aspetto ulteriore da considerare è poi quello relativo al controllo a distanza dell’attività lavorativa dei dipendenti, che richiede, nel caso, la formalizzazione delle autorizzazioni ex art. 4 L. 300/1970. Difatti la possibilità di riprendere un dipendente tramite il drone è reale (si pensi ad esempio ad una Società che fa sorvolare le aree di proprietà ove transitano i subalterni, oppure aree di proprietà pubblica quando i dipendenti della società svolgano attività lavorativa anche all’esterno).
Che fare, in conclusione?
Per concludere si può affermare che in ragione dell’assenza di normative specifiche e ad hoc volte a disciplinare il trattamento dati effettuato mediante droni, nonché dell’assenza di pronunce e provvedimenti dell’Autorità di ambito in merito allo stesso, è da considerare la necessità di una Verifica Preliminare ex art. 17 Codice Privacy. Difatti tale trattamento seppur possa essere ricondotto per alcuni suoi aspetti a normative già esistenti non è da esse totalmente assorbito né legiferato. Quindi in considerazione dei rischi per i diritti degli interessati e delle sanzioni irrogabili dal Garante, dovrebbe essere sottoposto ad un preventivo vaglio di legittimità dell’Autorità così che questa possa dettare – previo bilanciamento di interessi – gli accorgimenti necessari per il rispetto di tutti i principi imposti dal Codice in materia di protezione dei dati personali.
