Cookie free: nessun "biscotto" per spiare i lettori

Superare la distinzione fra "aeromodelli" e "sistemi aeromobili a pilotaggio remoto" (droni), ai fini della tutela della privacy

- Elisabetta Parisi* - 4 settembre 2017

Gli Aeromodelli (definiti all’art. 5 del regolamento ENAC come il "dispositivo aereo a pilotaggio remoto, senza persone a bordo, impiegato esclusivamente per scopi ricreativi e sportivi, non dotato di equipaggiamenti che ne permettano un volo autonomo, e che vola sotto il controllo visivo diretto e costante dell’aeromodellista, senza l’ausilio di aiuti visivi") e i Sistemi Aeromobili a Pilotaggio Remoto (c.d. SAPR, definiti all’art. 5 del regolamento ENAC come il "sistema costituito da un mezzo aereo (aeromobile a pilotaggio remoto) senza persone a bordo, utilizzato per fini diversi da quelli ricreativi e sportivi, e dai relativi componenti necessari per il controllo e comando (stazione di controllo) da parte di un pilota remoto"), da strumenti di uso militare, sono ormai divenuti mezzi di uso civile, impiegati sempre più spesso sia nel settore commerciale che nei più differenti ambiti della vita quotidiana.

Comunemente questi dispositivi vengono chiamati "droni". Benché esistano infatti differenti tipologie di droni, che sono in grado di muoversi sia sulla terraferma che in ambienti acquatici, i più noti e diffusi sono proprio i droni che si muovono in volo.

Nel prosieguo di questo scritto intenderemo per "droni", quindi, quei velivoli che si caratterizzano per l’assenza di un pilota umano e di ulteriori persone a bordo. Essi sono, tipicamente, pilotati a distanza: un navigatore o pilota, situato a terra o in altro veicolo, li controlla da remoto mediante una stazione di controllo (che può ridursi anche ad un personal computer o ad un semplice smartphone).

L’informatica giuridica ha acquisito interesse, negli ultimi anni, verso i droni, come sopra definiti, in quanto essi sono generalmente dotati di fotocamere e/o di telecamere, tramite le quali è possibile non solo scattare fotografie, ma anche effettuare riprese video, perfino in tempo reale.

La diffusione, sempre più capillare, di questi strumenti ha finito inevitabilmente per creare tensioni con la tutela della riservatezza. I dati acquisiti mediante i droni, a maggior ragione se trattati con tecniche di riconoscimento facciale, sono tecnicamente in grado di operare un controllo di massa su di un dato territorio (ed infatti vengono impiegati anche per operazioni di polizia), non diversamente da quelli acquisiti tramite satellite, ma con tecnologie alla portata di quasi ogni tasca (tanto che negli scorsi giorni hanno destato allarmi terrorismo).

Una crescente attenzione per la tutela del diritto alla privacy di tutti coloro che a vario titolo entrano in contatto con tali velivoli è riscontrabile nella disciplina dell’utilizzo dei droni emanata dall’ENAC (Ente Nazionale per l’Aviazione Civile); disciplina rintracciabile nel regolamento del 16 dicembre 2013 (c.d. "prima edizione"), successivamente modificato nel 2015 (c.d. "seconda edizione") e soggetto negli anni successivi, da ultimo anche nel marzo 2017, a c.d. "emendamenti".

Una distinzione è rimasta ferma nelle citate novellazioni del regolamento ENAC: l’utilizzo, per scopi ricreativi e sportivi, tipico degli "aeromodelli", come definiti dall’art. 5 del regolamento ENAC (e per es. non assoggettati al codice della navigazione, come previsto dall’art. 1 del citato regolamento), richiede un trattamento dei dati personali, eventualmente raccolti, assai più blando di quello richiesto per l’esercizio di finalità diverse (commerciali, aerofotogrammetriche ecc.), tipicamente perseguite da un SAPR.

In particolare, l’art. 22 della c.d. prima edizione del regolamento ENAC, divenuto poi art. 34 nella seconda edizione del 2015, prevede espressamente che "1. Laddove le operazioni svolte attraverso un SAPR possano comportare un trattamento di dati personali, tale circostanza deve essere menzionata nella documentazione sottoposta ai fini del rilascio della pertinente autorizzazione. 2. Il trattamento dei dati personali deve essere effettuato in ogni caso nel rispetto del Decreto Legislativo 30 giugno 2003, n. 196 e successive modificazioni ("Codice in materia di protezione dei dati personali"), con particolare riguardo all'utilizzo di modalità che permettano di identificare l'interessato solo in caso di necessità ai sensi dell'art. 3 del citato Codice, nonché delle misure e degli accorgimenti a garanzia dell'interessato prescritti dal Garante per la protezione dei dati personali".

L’art. 29 (rubricato "Comunicazione di eventi" , più volte rimaneggiato, prescrive che "Fatti salvi gli obblighi di riservatezza previsti dagli atti giuridici del diritto nazionale, l’ENAC, al fine di svolgere le verifiche di competenza può accedere senza restrizioni al SAPR, ai dati del registratore di volo, se installato, e a qualsiasi documentazione utile emessa o utilizzata dai soggetti di cui al comma 1 (N.d.R. ossia l’operatore, il costruttore, l’organizzazione di progetto, il pilota di SAPR di massa operativa al decollo minore, uguale o maggiore di 25 kg).

Come già nel Codice della privacy, anche il regolamento ENAC in tale ultima "edizione", introduce delle deroghe in materia di trattamento dei dati quando sussistano ragioni di giustizia, quando il SAPR sia impiegato dalle forze di polizia ovvero nell’ambito di investigazioni difensive.

Benché non vi si faccia espresso riferimento, nel Regolamento Europeo UE 2016/679 sulla Protezione dei Dati (c.d. "GDPR"), entrato in vigore in data 24 maggio 2016 e che sarà direttamente applicabile in tutti gli Stati dell'Unione europea a partire dal 25 maggio 2018, si introducono importanti novità che avranno un notevole impatto non solo sull’utilizzo dei droni, ma anche e soprattutto sulla produzione dei medesimi.

Basti pensare all’esplicitazione, contenuta nella citata fonte europea, dei concetti di "privacy by design" e di "privacy by default" (art. 25 del GDPR) su cui la dottrina anche italiana più attenta aveva concentrato l’attenzione.

Con "privacy by design" si intende la garanzia (che l’azienda produttrice, in forza del GDPR, deve prestare) della riservatezza e della protezione dei dati sin dalla progettazione del dispositivo in parola. Per esempio potrebbe essere implementata la possibilità di criptare i dati acquisiti, o prevista la cancellazione automatica degli stessi trascorso un determinato periodo.

Con "privacy by default" il GDPR intende enunciare, invece, il principio secondo cui il titolare del trattamento dei dati dovrà adottare misure tecniche ed organizzative adeguate per garantire che il dispositivo in parola tratti, per impostazione predefinita (by default), solamente i dati personali necessari per ogni specifica finalità di trattamento. In altri termini dovranno essere adottate misure tali per cui "non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica".

Da tale principio consegue che sarà onere del titolare del trattamento dei dati dimostrare di non aver violato la privacy altrui, provando di aver adottato tutte le misure tecniche ed organizzative adeguate richieste dalla normativa di riferimento.

Le aziende produttrici di droni non potranno, pertanto, non tenere conto di tutte le implicazioni sulla privacy che potrebbero derivare dall’utilizzo dei loro dispositivi.

A quanto sinora esposto, si aggiunga che dal 2018 lo scenario europeo potrebbe notevolmente mutare in quanto l’Agenzia Europea per l’Aviazione Civile (EASA) ha pubblicato la bozza di un futuro regolamento europeo sui droni ("Introduction of a regulatory framework for the operation of drones") che nel prossimo trimestre sarà al vaglio della Commissione Europea e che si prefigge di armonizzare le regolamentazioni nazionali in materia, al fine di disciplinare in maniera uniforme il mercato europeo dei droni.

Tra le più importanti e rilevanti novità, per quanto qui ci occupa, vi sarà la definitiva abolizione della distinzione operata dall’ENAC e cui prima si accennava, tra Aeromodelli e SAPR, prevedendo la bozza di regolamento un’unica categoria, ossia quella degli UA, Unmanned Aircraft.

Ciò avrà inevitabilmente delle ripercussioni anche e soprattutto in tema di riservatezza e trattamento dei dati personali: con ogni probabilità si potrà (e forse dovrà) iniziare a domandarsi se anche il drone utilizzato dal vicino di casa per meri fini ricreativi e/o sportivi stia rispettando i principi di "privacy by design" e di "privacy by default" e in che forme reagire a possibili violazione del trattamento dei propri dati.

Nella bozza si legge, infatti, che le regole che disciplinano gli Unmanned Aircraft dovrebbero contribuire il più possibile al rispetto del diritto alla privacy e alla vita familiare ("right to privacy and family life", cfr. NPA 2017-05 (A), pag. 8), diritti fondamentali, a cui accennano anche la Dichiarazione Universale dei Diritti dell’Uomo (art. 12) e la Convenzione europea dei Diritti dell’Uomo (art. 8), che meritano di essere tutelati anche (e soprattutto) a fronte dell’avanzata inarrestabile e pervasiva delle nuove tecnologie.

*  Avvocato del Foro di Milano, cultrice della materia in Metodologia e Informatica Giuridica all’Università Cattolica del Sacro Cuore di Milano.