0
regolamento europeo droni e privacy

Regolamento Europeo Droni e Privacy

Introduzione

Il termine “drone” è stato coniato nel 1936 e il significato rimanda al fuco, l’ape maschio, del quale ricorda le fattezze, anche se l’etimologia di tale termine fu sempre ripudiata dagli esperti dell’aviazione.

Il drone rappresenta una species sui generis dei velivoli conosciuti fino a oggi in quanto possiede caratteristiche aggiuntive, quali innanzitutto un sistema elettronico che rende possibile il controllo da remoto.

Tale tipo di invenzione ha, per l’appunto, condotto alla creazione di un sottoinsieme di veicoli aerei inquadrabili nella categoria del sistema di aeromobili a pilotaggio remoto, sintetizzabile nell’acronimo SAPR.

La nascita di un’apposita disciplina dedicata, identificabile nel “diritto dei droni”, ovvero degli aeromobili a pilotaggio remoto, è senza dubbio di difficile ricostruzione per vari ordini di motivi.

Lo stretto legame che vi è in questo ambito tra diritto e tecnologia, e il fatto che il primo sorga proprio per regolare situazioni che nascono dal progresso tecnologico, implica vi debba essere una costante ricerca giuridica di regole, modelli e strumenti di regolazione.

La creazione di un nuovo microcosmo giuridico, naturalmente caratterizzato dalla multidisciplinarietà, comporta la necessità di individuare quale disciplina presente nell’ordinamento sia applicabile alle fattispecie concrete.

Ciò non è di immediata percezione in quanto si è in una fase iniziale di sviluppo tale da rilevare il noto dilemma di Collingridge, il quale afferma che “gli effetti di una nuova tecnologia non possono essere previsti fino a quando questa non si sia diffusa ampiamente e che, una volta diffusasi, essendosi i suoi effetti radicatisi nella società sono difficilmente modificabili”.

Se a ciò si aggiunge che la tecnologia cresce in modo esponenziale, mentre la regolamentazione della disciplina si sviluppa in modo incrementale, si comprende come le difficoltà che intercorrono nel rapporto tra diritto e tecnologia si evidenzino già a livello di teoria generale.

Il quadro così brevemente delineato si complica se si tiene in considerazione che il drone è l’esempio di un “mix” di diverse tecnologie assemblate tra loro, con la conseguenza che, quando se ne parli, esso debba essere identificato come aeromobile ma anche come robot in grado di interagire con l’ambiente che lo circonda, potendolo modificare, e come strumento in grado di raccogliere informazioni ed elaborare dati.

Droni e Intelligenza Artificiale

Nello scenario tecnologico attuale esistono i sistemi di IA a – robotici e quelli robotici in senso stretto.

Entrambi i sistemi sono formati da una componente hardware e una software, ma alla prima categoria appartengono gli apparati dotati di un corpo fisico più o meno ingombrante che funzionano grazie all’implementazione di algoritmi (SIAP), mentre alla seconda categoria sono riconducibili i meccanismi che hanno una struttura fisica con caratteristiche che consente loro l’interazione con il mondo esterno (SIAR).

Quest’ultima categoria, a seconda del grado di autonomia posseduto dal robot, vede, al suo interno, l’alternarsi di quattro diversi sottoinsiemi.

Il primo fa riferimento a sistemi SIAR privi di sensori esterocettivi e quindi non in grado di percepire l’ambiente, ma che possiedono solo sensori propriocettivi per il controllo della velocità e della posizione.

Il secondo concerne il controllo visivo dei SIAR dotati di sensori esterocettivi in virtù dei quali sono in grado di percepire l’ambiente esterno, ma non di gestire il contatto con corpi estranei.

Il terzo, invece, riguarda i SIAR dotati di controllo sulla forza esercitata sull’ambiente, anche se tale controllo è parziale in quanto il controllo sulla forza e sulla posizione possono talvolta entrare in conflitto tra loro.

Il quarto, infine, ha ad oggetto SIAR compliance, progettati con la caratteristica della cedevolezza in caso di contatti imprevisti con il mondo esterno.

Droni futuri potranno probabilmente usufruire di un’autonomia ancora più ampia, potendo autoprogrammarsi e prescindendo sempre più dall’ingerenza dell’uomo, ma basando la loro “vita” sulle loro esperienze pregresse e sulle informazioni raccolte.

I nuovi Regolamenti Europei sui Droni

L’11 giugno 2019 la Commissione Europea ha pubblicato nella Gazzetta Ufficiale il Regolamento delegato (EU) 2019/945 che disciplina le regole per l’immissione nel mercato di SAPR ed il relativo Regolamento di esecuzione (EU) 2019/947 che definisce le regole applicabili alle operazioni dei SAPR, ai piloti e agli operatori.

Le disposizioni previste a livello europeo, sostituendo il recente Regolamento emanato dall’ENAC nel novembre 2019, sono entrate in vigore il 1° luglio 2019, ma diventeranno applicabili dal 1° luglio 2020 e muovono dall’intento di prevedere una disciplina unitaria sul tema in tutti gli Stati membri.

Tra le diverse misure previste dai Regolamenti, che traggono origine dal Regolamento (UE) 2018/1139, oggetto della presente trattazione saranno i risvolti che quest’ultimi avranno sulla Privacy.

Le regole ivi contenute fondano la loro ragion d’essere nella proporzionalità e nel rischio, al fine di ridurre le limitazioni e incoraggiare l’innovazione secondo un approccio privacy by design e by default.

Con l’obiettivo di garantire una sicurezza più efficace e concreta e soprattutto al fine di identificare gli illeciti e le violazioni, il Regolamento prevede che gli operatori dei droni siano registrati in registri nazionali e che i droni siano immatricolati in database elettronici di facile consultazione.

Come coniugare Droni e Privacy?

La tutela della riservatezza personale è un tema da non sottovalutare, soprattutto in riferimento alle informazioni raccolte dal drone durante il suo utilizzo.

La maggior parte dei droni presenti sul mercato sono, infatti, dotati di fotocamere in grado di scattare fotografie ed eseguire filmati, il cui utilizzo può sollevare questioni inerenti alla tutela dei dati personali.

Sono, quindi, suscettibili di rientrare nella nozione di “dato”, sia quelle informazioni generate ex novo dai droni come foto e video, sia quelle raccolte dal mondo esterno come dati di posizionamento e movimento.

Il velivolo a pilotaggio remoto può essere attrezzato con strumenti di registrazione visiva capaci di raccogliere e trasmette immagini dal vivo e dotati di un sistema di riconoscimento facciale che permette di identificare individui ma anche oggetti e modelli di spostamento, strumenti di rilevazione ottico – elettrici, radar e infrarossi in virtù dei quali è possibile ottenere informazioni sulla posizione, direzione e spostamento di oggetti e persone, equipaggiamenti a radio frequenza utili per rilevare la presenza di punti di accesso di rete wi-fi e sensori in grado di rilevare tracce nucleari, biologiche, chimiche e di esplosivo.

Inoltre, in base all’attività che il drone svolge, i dati possono essere classificati in:

  • dati ricevuti: come ad es. quelli che riguardano il pilota o le mappe;
  • dati osservati: come i dati biometrici sulla posizione o sui punti di accesso alla rete;
  • dati dedotti: come ad es. i modelli di spostamento;
  • dati predetti: come le future posizioni di oggetti e soggetti;
  • dati prodotti: come fotografie o video.

E’ possibile individuare i “dati personali”, nella cui categoria rientrano in generale tutti i dati raccolti o prodotti tramite l’utilizzo di un drone che siano utili a indentificare un soggetto, i “dati personali sensibili”, sottocategoria della precedente che si caratterizza per la peculiarità di poter rivelare l’origine etnica, l’orientamento politico, religioso o sessuale, informazioni sulla salute e in generale sulla vita del soggetto, le “opere dell’ingegno”, quali fotografie e video, e “segreti commerciali”, ovvero informazione segrete suscettibili di valutazione economica.

Il pilota remoto del drone, in quanto responsabile dell’attività dello stesso, è senza dubbio il primo soggetto titolare dei dati contenuti nella memoria dell’APR; tuttavia, a seconda del tipo di attività che viene posta in essere, la modalità, i mezzi e i modi per attuarla possono essere il risultato di una collaborazione condivisa tra diversi soggetti.

Invero, l’art. 26, Reg. 2016/679 UE, detto anche GDPR, prevede infatti l’ipotesi della contitolarità del trattamento dei dati, stabilendo che «Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento».

Tuttavia, quando il drone è impiegato per finalità personali o domestiche, non applicandosi la disciplina sulla tutela dei dati personali in virtù della c.d. clausola di esenzione domestica e non avendo tale uso scopo commerciale, professionale o di diffusione al pubblico dei dati, i soggetti che sono parti della situazione giuridica non possono essere considerati contitolari.

Il considerando 18 del GDPR prevede infatti che «Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico». 

Per ciò che concerne la conservazione dei dati, della “banca dati” sarà titolare chi ne ha elaborato la struttura, dovendo però tenere presente che tale titolarità non si estende anche al contenuto della stessa.

Infatti, l’autore della banca dati avrà il diritto esclusivo di eseguire o autorizzare, ai sensi dell’art. 64 – quinquies, L. 633/41:

  • la riproduzione permanente o temporanea, totale o parziale;
  • la traduzione, l’adattamento, una diversa disposizione;
  • qualsiasi presentazione dimostrazione o comunicazione in pubblico.

A completamento del quadro generale si trova la disciplina della titolarità del trattamento dei dati prodotti o raccolti tramite l’utilizzo dei SAPR, rintracciabile in un delicato bilanciamento degli interessi colpiti in simili fattispecie: diritto alla riservatezza e alla tutela dei dati personali.

Il GDPR chiarisce che «Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica»

Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default.

Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza.

Dall’analisi effettuata sono emerse diverse tematiche nell’ambito del rapporto tra utilizzo dei droni e privacy, che coinvolge la libertà economica ed il diritto alla riservatezza dei dati personali dei soggetti coinvolti.

È da sottolineare che in tale contesto il Garante per la protezione dei dati personali, sebbene debba esprimersi in maniera esaustiva riguardo il tema delle immagini trattate a mezzo APR, ha affermato che le riprese effettuate in spazi pubblici sono legittime solo in presenza del previo consenso degli interessati, salvo se effettuate a scopi giornalistici, e che quelle eseguite in aree private sono vietate.

Ha inoltre ricordato che, in base a quanto previsto dal regolamento UE in materia di protezione dei dati personali, i droni devono rispettare i principi di privacy by design e privacy by default, dovendo essere progettati per effettuare una raccolta dati quanto più limitata possibile.

1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.