Il prossimo 25 Maggio 2018 entrerà
in vigore del nuovo Regolamento UE 2016/679(1) che prenderà il posto
del Codice Privacy (D.lgs. 196/2003) sulla protezione dei dati personali, dunque la
privacy cambia le regole normative, ma impone anche un cambiamento del modo di
concepire questo tema da anni considerato una burocrazia inutile dalle aziende
e qualcosa simile a un'utopia dagli utenti, sempre più pervasi da un' infinità
di strumenti e tecnologie che invadono la loro sfera privata.
Nel novero dei
dispositivi che trattano dati personali fanno parte, senza dubbio, i droni e che sempre più spesso vediamo volare sulle nostre teste. Con il
nuovo Regolamento europeo, le aziende che li producono e che li
commercializzano avranno l'onere di rispettare una serie di precise regole, tra
cui i principi di privacy by design e
privacy by deafult. Nel primo caso, la normativa impone ai produttori di
considerare il diritto alla protezione dei dati fin dalla fase di progettazione
dello strumento che tratterà tali dati, in modo da realizzare un prodotto
finale che ne riduca al minimo l’utilizzo. La privacy by default, invece,
impone agli utilizzatori dello strumento (in veste di Titolari) di adottare
delle “misure tecniche e organizzative” adeguate per garantire che siano trattati
solo i dati necessari per la finalità perseguita. Gli aeromobili dovranno
infatti essere costruiti e configurati per raccogliere meno dati personali
possibile. E anche se i droni sono perlopiù utilizzati per attività hobbystiche
nel tempo libero, non c'è affatto da scherzare con la privacy perchè trascurare
le prescrizioni delle misure varate da Bruxelles comporterà sanzioni fino a 20
milioni di euro o fino al 4% del fatturato annuo dei trasgressori.Ma se nella
società attuale sono generalmente i cittadini le vittime rassegnate di
violazioni sistematiche della loro privacy, con l'utilizzo dei droni per scopi
ricreativi può essere l'utente stesso che più o meno consapevolmente, e
talvolta forse anche per curiosità, può trasformarsi nell'artefice di attività
intrusive nella vita privata altrui, rischiando di pagarne poi care le
conseguenze.Tra gli elementi di novità del General Data
Protection Regulation (GDPR) che impatteranno maggiormente
sul comparto dei droni spicca il Data Protection Impact Assessment (DPIA). Si
tratta di una particolare valutazione che si inserisce nel più ampio contesto del
principio di accountability trasversale a tutte le disposizioni del
Regolamento e che deve essere effettuata
prima dell’inizio del trattamento con l’obiettivo di valutare la probabilità e
la gravità del rischio. Gli operatori che vorranno utilizzare i droni per attività professionali o che prevedono comunque il
trattamento dati dovranno, quindi, confrontarsi con questo adempimento. Infatti
la consulenza sullo svolgimento del DPIA avrà uno spazio centrale tra le
attività richieste ad un DPO. La valutazione di impatto sulla protezione dei
dati personali (DPIA)(2) è un procedimento in base al quale il
titolare del trattamento è chiamato a valutare e gestire i rischi che un
determinato trattamento può comportare per i diritti e le libertà dei soggetti
interessati. L'ipotesi generale riguarda i trattamenti che, prevedono in
particolare l'uso di nuove tecnologie, possono presentare un rischio elevato
per i diritti e le libertà delle persone fisiche, considerando in particolare,
la natura, l'oggetto, e le finalità del trattamento. L’art.35 del Regolamento
indica il contenuto minimo del DPIA, ovvero: una descrizione sistematica del
trattamento e delle finalità del trattamento stesso, una valutazione della
necessità e proporzionalità del trattamento in relazione alle finalità ed una
valutazione dei rischi per i diritti e le libertà degli interessati, oltre che
una descrizione delle misure di sicurezza applicate. Questa “overview” consente
di avere tutte le informazioni utili per mitigare il rischio ed assicurare la
conformità del trattamento in riferimento a quanto previsto dagli obblighi
normativi. Trattandosi di un documento dinamico, tale valutazione dovrà essere
continuamente aggiornata rispetto alle evoluzioni ed alle modifiche attuate nel
tempo. Il regolamento chiarisce che l'utilizzo di una nuova tecnologia,
definito in "conformità con il grado di conoscenza tecnologica
raggiunto", può comportare l'obbligo di condurre una DPIA, in quanto il
ricorso ad una nuova tecnologia può generare conseguenze sul piano individuale e sociale o talora ignote. La DPIA per tanto aiuterà a
comprendere e gestire tali rischi. Esistono poi dei casi speciali invece, in cui è sempre richiesto un DPIA e sono:
a.
Il titolare svolge una valutazione sistematica e globale di aspetti personali
relativi a persone fisiche, basata su un trattamento automatizzato, compresa la
profilazione, e sulla quale si fondano
decisioni che hanno effetti giuridici o incidono in modo analogo
significatamente su dette persone fisiche;
b. Il titolare tratta su larga scala categorie
particolari di dati personali (c.d.
dati sensibili) o di dati relativi a condanne penali e a reati;
c. Il
titolare effettua una sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
Il Garante Italiano per la
protezione dei dati personali fornisce invece una serie di consigli per far sì che l'utilizzo
dei droni a fini ricreativi rispetti la normativa in materia di privacy che di
seguito sono elencati(3):
1. Seguire sempre le regole previste dall'ENAC : Usare i Droni per scopo
ricreativo è lecito e divertente ma occorre sempre rispettare la privacy degli
altri è consigliabile seguire le regole previste dall'ENAC che è l'ente
regolatore in Italia per far volare i Sistemi Aeromobili a Pilotaggio Remoto
(SAPR) si possono trovare consultando il sito www.enac.gov.it.
2. Fare attenzione alle riprese: Se ad esempio si fa volare a fini ricreativi un drone munito di
fotocamera in un luogo pubblico (es parchi, strade, spiagge) è meglio evitare
di invadere gli spazi personali e l'intimità delle persone. Infatti la
diffusione di riprese realizzate con il drone sul web, social media, in chat
etc. può avvenire solo con il consenso dei soggetti ripresi, fatti salvo
particolari usi connessi alla libera manifestazione del pensiero, come ad
esempio ai fini giornalistici. Negli altri casi, quando è eccessivamente
difficile raccogliere il consenso degli interessati, è possibile diffondere le
immagini SOLO sei i soggetti interessati non sono riconoscibili, o perchè
ripresi da lontano, o perchè si sono utilizzati appositi software per oscurare
i loro volti. Occorre poi evitare di riprendere e diffondere le immagini che
contengono dati personali come targhe di auto e moto, indirizzi di casa etc.
Le riprese che violano gli spazi
privati altrui (es. casa, giardino domestico etc.) sono invece SEMPRE da
evitare, anche perchè si potrebbero violare le norme previste dal codice penale.
3. Rispetta gli altri: La presenza
di un drone che effettua riprese nelle vicinanze può dare la sensazione di
essere osservati inducendo disagio e influenzando il normale comportamento
delle persone. E quindi buona regola usare questi strumenti senza invadere la
sfera personale altrui, magari comunicando anche preventivamente le proprie
intenzioni. Ad esempio se si vuol far volare un drone per riprendere una festa
nel proprio giardino di casa, sarebbe bene prima avvisare i vicini che hanno il
diritto di non essere anche solo inavvertitamente ripresi nel loro privato.
Un altra buona pratica da seguire
è quella di fare in modo che il pilota del drone sia sempre ben visibile, così
da non suscitare sospetti o allarme negli altri.
4. Non diventare un orecchio indiscreto: Non si possono usare i droni per captare le conversazioni altrui.
Eventuali frammenti di conversazione registrati in modo accidentali possono
essere utilizzati ad esempio per pubblicare un video online solo se non rendono
riconoscibile il contesto, cioè il contenuto dei discorsi e le persone
coinvolte.
5. A prova di privacy: In base a
quanto previsto dal nuovo Regolamento Europeo (GDPR) in materia di protezione
dei dati personali (Regolamento UE 2016/679), i Droni come tutti i dispositivi
elettronici, devono rispettare i principi di privacy by design e privacy by
default. Cioè devono essere configurati per raccogliere meno dati sensibili
possibili.
6. Come tutelare la tua privacy: Se è possibile individuare il pilota del drone, si possono
chiedere a lui informazioni su come intende utilizzare le riprese ed
eventualmente negare il consenso al trattamento dei dati raccolti, specie se
sono previste forme di diffusione delle immagini. E nel caso si ritenesse di
essere stati vittime di violazioni della propria privacy, ci si può rivolgere al
Garante della protezione dei dati personali o in alternativa all'Autorità
Giudiziaria.
Per quanto possa sembrare arduo e fastidioso
sottostare a tutte le prescrizioni implicate, non bisogna dimenticare che
questa è una sfida che tutti siamo chiamati ad affrontare, sia che siamo
imprenditori che privati cittadini, perchè quella sulla privacy è una normativa
che tutela un diritto fondamentale e le libertà dell'individuo.
L’introduzione del
Nuovo Regolamento Europeo sulla Data Protection, nonostante la continuità con
la precedente normativa Codice Privacy (D.lgs. 196/2003) ,
porterà dei sostanziali cambiamenti in tutta la filiera dei droni. Pertanto
tutti gli operatori che lavorano all’interno di questa filiera specie se
professionisti dovranno prendere necessariamente confidenza con concetti come
la privacy by design e by default e il Data Protection Impact Assessment.
Ing. Aurelio Amedeo Longo
Commissione ICT Ordine Ingegneri Cosenza, Pilota ed Esperto SAPR
Bibliografia
e Sitografia
(1) www.federprivacy.it
(3) www.enac.gov.it