Droni e privacy: cosa cambia con la normativa europea (GDPR)?

Nel nostro Paese è in crescita l’interesse per i SAPR (Sistemi aeromobili a pilotaggio remoto), meglio conosciuti come droni e il loro utilizzo nei diversi settori. Tuttavia la diffusione di questi strumenti porta con sé diverse preoccupazioni, soprattutto riguardanti il profilo della privacy.

Come sappiamo, i droni possono essere dotati di telecamere e fotocamere con cui fare delle riprese aree e sono anche in grado di trasmettere tali riprese in tempo reale. Questo può comportare notevoli criticità per la privacy.

Il rapporto tra privacy e droni è stato oggetto di dibattito e regolamentazione. L’Enac (Ente Nazionale per l’Aviazione Civile), con il regolamento del 1 dicembre 2013, successivamente modificato nel Dicembre 2015 ha disciplinato l’uso di questi dispositivi, anche dal punto di vista della privacy. L’art 34 del suddetto regolamento prevede che, nel caso in cui le operazioni svolte attraverso un drone possano comportare un trattamento di dati personali, “tale circostanza deve essere menzionata nella documentazione sottoposta ai fini del rilascio della pertinente autorizzazione” e “Il trattamento dei dati personali deve essere effettuato in ogni caso nel rispetto del Decreto Legislativo 30 giugno 2003, n. 196 e successive modificazioni (“Codice in materia di protezione dei dati personali”), con particolare riguardo all’utilizzo di modalità che permettano di identificare l’interessato solo in caso di necessità ai sensi dell’art. 3 del citato Codice, nonché delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante per la protezione dei dati personali”.

Inoltre, il regolamento dell’Enac stabilisce che debbano essere adottate misure adeguate per la protezione del drone da atti illeciti durante le operazioni.

Anche il Garante per la protezione dei dati personali – tramite il provvedimento generale del 8 Aprile 2010 in materia di videosorveglianza –  fornisce una serie di indicazioni, principi, regole e adempimenti, che sono generalmente applicabili anche al settore dei droni.

Oltre alla normativa vista pocanzi, di recente è entrato in vigore il nuovo Regolamento Europeo sulla Data Protection, il quale sarà effettivo soltanto nel 2018. Questo regolamento introduce dei nuovi concetti che avranno molta influenza sulla produzione e l’utilizzo dei droni.

Sicuramente tra questi nuovi concetti vi rientrano quelli di privacy by design e privacy by default. Il primo riguarda la privacy applicata alla fase di sviluppo di un prodotto. Più specificatamente significa che i produttori dovranno tenere conto del diritto alla protezione dei dati per realizzare un prodotto finale che riduca al minimo i dati utilizzati ai fini del trattamento. Il secondo concetto riguarda la privacy applicata – a posteriori – su un prodotto già sviluppato. Questo significa che la tutela della protezione del dato deve diventare l’impostazione predefinita. Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate per garantire che siano trattati solo i dati necessari per la finalità perseguita.

Questi due concetti sono sicuramente applicabili allo sviluppo dei droni e in particolare alle modalità con cui acquisiscono i dati durante le fasi di ripresa e registrazione. Le aziende costruttrici di droni durante la fase di progettazione dovranno tenere conto di tutte le possibili implicazioni privacy, derivanti dall’utilizzo del loro dispositivo.

L’altro concetto destinato ad influenzare il settore è sicuramente quello del Privacy Impact Assessment (PIA). Tramite questa valutazione è possibile acquisire le necessarie conoscenze sulle misure, sulle garanzie e sui meccanismi previsti per attenuare il rischio e assicurare la conformità del trattamento agli standard normativi. Questa valutazione sulla protezione dei dati va fatta prima del trattamento, in modo da avere un’idea chiara sulla probabilità e gravità del rischio.

Generalmente questa valutazione contiene:

• Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;
• Una valutazione delle necessità e proporzionalità dei trattamenti in relazione alle finalità;
• Una valutazione dei rischi per i diritti e le libertà degli interessati;
• Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

In conclusione, possiamo dire che il Nuovo Regolamento Europeo sulla Data Protection (GDPR), seppur non facendo espressi riferimenti testuali ai droni, è destinato lo stesso ad influenzare il settore. I nuovi concetti da esso introdotti, come la privacy by design e by default e il privacy impact assessment, diventeranno dei punti cardine del settore e tutti gli operatori, a partire dai produttori fino ad arrivare ai consumatori finali, dovranno confrontarsi con essi, per essere conformi alla normativa.