I droni sono ormai parte integrante della nostra quotidianità ma la conoscenza delle regole che presiedono al loro uso non è molto diffusa e gli abusi sono, di fatto, all’ordine del giorno.
Sul territorio italiano la circolazione dei droni è disciplinata dal Regolamento ENAC (Edizione 2 del 16 luglio 2015 con i successivi emendamenti, l’ultimo dei quali, il quarto, è del 21 maggio 2018) che distingue l’uso a scopo ludico (che può essere praticato solo fuori dai centri abitati) e l’uso a scopo professionale (che può avvenire anche in centri abitati purché il pilota abbia un apposito brevetto ed il mezzo sia assicurato con specifici massimali).
A livello europeo, è da non molto in vigore il Regolamento UE 2018/1139 del 4 luglio 2018 (rinvenibile anche sul sito dell’ENAC) recante norme comuni nel settore dell’aviazione civile, che istituisce un‘Agenzia dell’Unione europea per la sicurezza aerea e che modifica i Regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le Direttive 2014/30/UE e 2014/53/UE del Parlamento europeo e del Consiglio, abrogando anche i Regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il Regolamento (CEE) n. 3922/91 del Consiglio.
Per quanto riguarda i diritti dei singoli cittadini e, in particolare, l’utilizzo delle immagini di persone catturate dai droni in volo, il nostro Garante ha da qualche tempo pubblicato un’infografica con la quale ha inteso spiegare, in modo conciso, che, chi fa volare a fini ricreativi un drone munito di fotocamera in un luogo pubblico (parchi, strade, spiagge) deve, in ogni caso, evitare di invadere gli spazi personali e l’intimità delle persone.
Il Garante ha, inoltre, ribadito un concetto che pare scontato, ma che, purtroppo, alla luce di quel che si vede ogni giorno, non lo è poi molto: la diffusione di riprese realizzate con droni (sul web, sui social media, in chat) può avvenire solo con il consenso dei soggetti ripresi, fatti salvi particolari usi connessi alla libera manifestazione del pensiero, come quelli a fini giornalistici.
Negli altri casi, quando è eccessivamente difficile raccogliere il consenso degli interessati, è possibile diffondere le immagini solo se i soggetti ripresi non sono riconoscibili perché ripresi da lontano o perché si sono utilizzati appositi software per oscurare i loro volti. Occorre, inoltre, evitare di riprendere e diffondere immagini che contengano dati personali quali targhe di macchine, indirizzi di casa, etc..
Le riprese che violano gli spazi privati altrui (casa, giardino domestico) sono invece sempre da evitare, anche per le conseguenze penali connesse a questo tipo di riprese.
Il nostro Garante invita, inoltre, gli utilizzatori di droni a fare in modo che il pilota sia sempre ben visibile, così da non suscitare sospetti o allarme negli altri e consentendo all’interessato di chiedere informazioni su come si intendono utilizzare le riprese ed eventualmente negare il consenso al trattamento dei dati raccolti.
L’Autorità Spagnola di protezione dei dati (AEPD) ha fatto anche meglio del nostro Garante, pubblicando il 30 maggio 2019 un’apposita Guida all’utilizzo dei droni di ben 16 pagine (“Drones y protecciòn de datos” che trovate nella sezione “documenti utili” del blog).
L’AEPD distingue tre tipologie di attività con i droni con possibili impatti sui dati personali degli individui ai sensi del GDPR (Regolamento UE 679/2016):
- operazioni con droni che non implicano di per sé il trattamento di dati personali e senza alcun rischio di trattamento : questa categoria è costituita dagli utilizzi ricreativi e ad uso domestico. In questi casi, l’AEPD rivolge lo stesso invito del nostro Garante di non pubblicare su internet immagini o video di persone identificabili, senza il consenso degli interessati;
- operazioni con droni che non implicano di per sé il trattamento di dati personali ma che possono, per motivi occasionali e/o accidentali, implicare un qualche trattamento non intenzionale di dati: si collocano in questa categoria gli utilizzi per ispezioni aeree, video da utilizzare per il cinema, la pubblicità, etc.. In questi casi, vi è il rischio che, nel sorvolare un’area, vengano accidentalmente catturate immagini di persone o cose (ad esempio, targhe automobilistiche) che, incrociate con altri dati, possano portare ad individuare persone determinate. In questi casi, l’AEPD suggerisce di sorvolare le aree nelle ore di minor presenza di persone, minimizzare la registrazione alle sole immagini realmente necessarie, ridurre la risoluzione e la granularità della geolocalizzazione, proteggere le trasmissioni dei droni con tecniche di cifratura, cancellare i dati una volta non più necessari;
- operazioni con droni che implicano necessariamente il trattamento di dati personali: in questa tipologia si collocano le attività di videovigilanza, registrazione di eventi pubblici, etc.. In questi casi si applica pacificamente la disciplina del GDPR e, pertanto, l’AEPD chiarisce che se il trattamento viene effettuato dal pilota del drone su incarico di un committente, quest’ultimo sarà da considerare il titolare del trattamento e su di lui incombono i doveri di informazione degli interessati con l’obbligo di individuare la base giuridica del trattamento e di stipulare l’accordo previsto dall’art. 28 del GDPR con chi pilota il drone. In ogni caso, il titolare del trattamento dei dati raccolti tramite i droni dovrà rispettare tutti i principi generali sanciti dal GDPR, tra i quali, individuare il miglior modo per informare gli interessati dei loro diritti sui dati acquisiti, adottare tutte le precauzioni affinché la raccolta dei dati sia lecita, adeguatamente sicura, ridotta al solo necessario. Anche l’AEPD ritiene, inoltre, importante che il pilota sia sempre individuabile e identificabile dagli interessati affinché nei suoi confronti possano esercitarsi i diritti di controllo garantiti dal GDPR in capo agli interessati.
Merita, infine, una menzione anche l’ultima parte del documento dell’AEPD, dove l’Autorità Spagnola identifica una serie di ipotesi nelle quali l’utilizzo dei droni può richiedere una preventiva valutazione di impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR e l’ultima sezione dedicata alle FAQ.