Droni e privacy: un binomio non scontato

Contenuto Gratuito Insight Droni e Mobilità Aerea Avanzata Normativa Privacy Maggio 2023

Il 2022 è stato un anno di ripresa e consolidamento del mercato professionale italiano dei droni, che ha raggiunto i 118 milioni di euro tornando, dopo due anni, ai livelli pre-pandemia. Anche sul fronte applicativo il 2022 ha portato un incremento importante di progetti. L’Osservatorio ha infatti censito 344 casi realizzati nel nostro Paese (circa il 30% del totale1) dal 2019 al 2022 di cui ben 118 realizzati solamente nell’’ultimo anno. Di questi il 40% sono utilizzi una tantum, quindi volti a risolvere un’esigenza puntuale, il 15% sono progetti operativi, il 25% rappresentano sperimentazioni e il restante 20% sono semplici annunci, ovvero dichiarazioni di intenti. Il principale ambito applicativo riguarda le ispezioni e i sopralluoghi (36% dei casi) particolarmente diffusi nell’ambito della Pubblica Amministrazione e della salvaguardia ambientale.
Appare quindi evidente come, in presenza di un mercato in crescita, sia necessario costruire dei framework di riferimento che possano guidare le imprese verso un utilizzo consapevole del drone, non solo dal punto di vista tecnico e funzionale ma anche da punto di vista regolatorio. Tra questi non fa sicuramente eccezione l’attenzione al problema della privacy che è anche indicato dal 35% dei cittadini come un ostacolo importante all’accettazione sociale dei droni. Questo tema è successivo solamente alla preoccupazione che il drone venga utilizzato per scopi criminali (47%) e al rischio che si verifichino incidenti (43%) come la caduta o la perdita del drone.

Uno dei valori dei droni è legato ai dati che, rispetto a sistemi tradizionali, possono essere raccolti con maggiore facilità e costi inferiori. Per utilizzare tali dati e garantirne la tutela è necessario capire la loro natura e tenere in considerazione il tema della proprietà intellettuale.
Quando si approccia il tema, occorre innanzitutto valutare se i dati raccolti appartengono alla categoria dei dati personali, che, ai sensi del Regolamento generale sulla protezione dei dati 2016/679/UE (GDPR), sono “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Rientrano in questa categoria video e foto in cui le persone sono identificabili, oppure nei quali sono raffigurati altri dati personali (ad esempio le targhe delle auto). Non bisogna limitarsi però soltanto a foto e video: anche altre tipologie di payload (ad esempio le termocamere) possono raccogliere dati personali2.

Bisogna poi valutare con molta attenzione l’utilizzo di dati biometrici, in quanto rientranti tra i “dati particolari” previsti dall’art. 9 del GDPR, il cui trattamento è vietato salvo che ricorrano specifiche condizioni. Un sistema di sorveglianza a mezzo drone che incorpori la ricognizione facciale, anche se tecnicamente possibile, difficilmente potrà essere considerato lecito dal punto di vista della protezione dei dati personali.

Il primo passaggio, pertanto, soprattutto in caso di operazioni specializzate per conto terzi, è individuare chiaramente i soggetti coinvolti nella filiera del trattamento e dunque il titolare (colui che decide mezzi e finalità del trattamento) e il responsabile (il soggetto esterno che tratta i dati per conto del titolare). In particolare, dovrà essere stipulato un accordo sulla protezione dei dati, conformemente all’art. 28 del GDPR, accordo che potrà essere anche incorporato nelle pattuizioni generali tra committente e operatore di droni. La chiarezza dei ruoli, l’adeguata valutazione dei rischi e l’adozione di appropriate policy e istruzioni ai soggetti che trattano dati personali (ad esempio il pilota, o colui che raccoglie o elabora i video) sono fondamentali nell’ottica del rispetto del principio di accountability.

Bisogna poi organizzare le operazioni in modo da rispettare i diritti degli interessati, in primis la trasparenza, mediante idonee informative. È anche possibile adottare l’approccio “multicanale” suggerito dalla Opinion 1/2015 dell’Art. 29 Working Party. In sintesi, prima delle operazioni, occorre informare gli interessati (i soggetti i cui dati sono trattati, ad esempio perché potenzialmente ripresi), ad esempio attraverso cartellonistica, avvisi sui siti dei soggetti coinvolti, sui social ecc. Massima attenzione va posta poi alla sicurezza, con misure organizzative e tecniche adeguate, l’utilizzo di cifratura e pseudonimizzazione, la definizione di periodi coerenti di data retention, e l’individuazione di adeguate cautele anche per la conservazione delle informazioni. Occorre inoltre definire delle policy in caso di violazione di dati personali (ad esempio in caso di perdita del drone, soprattutto quando i video siano contenuti in memorie non protette da crittografia), in modo da essere preparati a porre in essere gli adempimenti previsti dagli artt. 33 e 34 del GDPR.

Va ricordato, infine, che nel caso in cui il trattamento presenti rischi elevati (ad esempio sciami di droni operanti in zone urbane, o in aree ove potrebbero inferirsi dalle riprese dati particolari, quali quelli inerenti allo stato di salute, oppure nel caso di utilizzo di sistemi di intelligenza artificiale), occorre procedere a una valutazione d’impatto. La valutazione d’impatto, come precisato nelle Linee Guida WP248 dell’Art. 29 Working Party, è un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali. Sul dronerules.eu si trova un utile template di valutazione d’impatto, da cui prendere spunto (pur tenendo presente che il processo deve essere adattato al caso specifico, e non può limitarsi a un mero adempimento formale).
Il Garante italiano ha pubblicato un’infografica per l’utilizzo di droni per scopi ricreativi, mentre quello spagnolo ha reso disponibile un vademecum che riguarda anche gli utilizzi professionali.
È quindi fondamentale, prima, durante e a seguito della missione, riflettere sulle caratteristiche dell’operazione ed essere sicuri di non incorrere in problematiche di varia natura. Al fine di dare un supporto alle imprese in questo senso, l’Osservatorio ha sviluppato uno strumento utile per capire se le attività che andranno a svolgere presentano o meno potenziali problemi di privacy. Per maggiori informazioni si veda il rapporto accessibile al seguente link.

 

1Sono 1.137 i casi censiti dall’Osservatorio dal 2019 al 2022
2La presenza di dati personali comporta l’applicabilità delle regole previste dal GDPR e dal Codice della Privacy (D.lgs 196/2003), come ricordato anche dall’art. 29 del Regolamento UAS-IT.

A cura di

Paola Olivares

Paola Olivares

Digital B2b, Droni, Customer Experience, Invoicing

Direttrice dell’Osservatorio Digital B2b, dell’Osservatorio Droni e Mobilità Aerea Avanzata, dell'Osservatorio International Electronic Invoicing e dell'Osservatorio Customer Experience B2b

GB

Giovanni Battista Gallus

Cassazionista

Cassazionista, da oltre un ventennio si occupa di diritto penale dell’informatica e delle nuove tecnologie. È ISO 27001 Certified Lead Auditor e Fellow del Centro Nexa su Internet e Società e del Centro Hermes for Transparency and Digital Human Rights. Rientrano tra le sue competenze il trattamento di dati personali, la prova digitale e il diritto d’autore. Data Protection Officer per alcuni enti pubblici, fa parte dell'Advisory Board dell'Osservatorio Droni del Politecnico di Milano ed è membro della Commissione Surveillance del CCBE (Council of Bars and Law Societies of Europe).

Siamo a tua disposizione per informazioni e assistenza

Eleonora Evstifeew

Eleonora Evstifeew

Acquisti e abbonamenti Da Lunedì al Venerdì, dalle 09 alle 18
Antonella Zagheni

Antonella Zagheni

Assistenza abbonati Da Lunedì al Venerdì, dalle 09 alle 18
Droni e privacy: un binomio non scontato

Le migliori Aziende italiane si aggiornano su Osservatori.net