Nuove regole sulla privacy: cosa cambia per i droni

0

Di Francesco Paolo Ballirano, legale esperto di diritto aeronautico e membro del Comitato scientifico di Dronezine

Il Regolamento europeo sulla privacy: dalla valutazione di impatto sulla protezione dei dati ai codici di condotta. Le questioni più interessanti per le operazioni con i droni



Il rapporto droni – privacy è sempre stato un tema caldo ed ampiamente discusso e probabilmente se ne continuerà a parlare negli anni a venire.

Il dibattito ha trovato recentemente nuova linfa perché il 25 maggio 2016 è entrata in vigore la nuova normativa europea sulla privacy (Regolamento UE 679/2016) che tuttavia sarà effettiva solo dal 2018.

In particolare, il nuovo Regolamento contiene delle interessanti disposizioni sulla privacy rapportata all’uso delle nuove tecnologie. Pur non citando espressamente gli aeromobili a pilotaggio remoto, il Regolamento UE 679/2016 prende in esame le diverse tecnologie di cui possono essere dotati gli aeromobili a pilotaggio remoto e la successiva raccolta e il trattamento dei dati personali.

Le nuove disposizioni in materia di valutazione d’impatto sulla protezione dei dati, i principi della privacy by design e by default e le disposizioni specifiche in materia di certificazione delle operazioni di trattamento dei dati possono essere di particolare rilevanza se rapportate all’utilizzo dei droni. Andiamo ad analizzare quindi quelle che potrebbero essere le novità più interessanti contenute nel Regolamento europeo sulla privacy.

La valutazione di impatto sulla protezione dei dati e la sua attinenza con l’analisi del rischio associata alle operazioni

Il nuovo Regolamento europeo in materia di protezione dei dati introduce anzitutto l’obbligo per i responsabili di effettuare una valutazione d’impatto sulla protezione dei dati prima di effettuare operazioni di trattamento a rischio (art. 35: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.”). Facciamo in particolare riferimento al monitoraggio delle aree accessibili al pubblico o quando i dispositivi ottici-elettronici sono utilizzati su larga scala. Il responsabile del trattamento dovrà adottare meccanismi per garantire che per impostazione predefinita, vengano trattati solo i dati personali necessari per ciascuna finalità specifica del trattamento e che i dati siano soprattutto non raccolti o conservati al di là del minimo necessario. L’art. 35 del Regolamento sulla privacy sembra richiamare (inconsapevolmente) l’analisi del rischio volta a dimostrare che le misure di mitigazione adottate durante lo svolgimento delle operazioni siano adeguate per effettuare le operazioni in modo sicuro secondo i criteri di accettabilità del rischio. È probabile pertanto che tale valutazione di impatto vada inserita, o quanto meno collegata strettamente, a tale documento, presente e disciplinato nell’attuale Regolamento ENAC.

I concetti di privacy by design e privacy by default

La novità più importante portata dal Regolamento europeo sulla privacy è quella di aver introdotto i concetti di “privacy by design” e di “privacy by default” che assumono una particolare rilevanza per le operazioni con i droni. L’art. 25 parla in fatti di “tutela del dato fin dalla progettazione” (by design) e di “tutela della vita privata per impostazione predefinita” (privacy by default)

Il principio della privacy by design prevede che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all’utilizzo e all’eliminazione finale. I sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

Secondo il Regolamento europeo qualsiasi progetto (sia esso strutturale o concettuale) è necessario che sia realizzato considerando sin dalla fase di progettazione la riservatezza e la protezione dei dati personali, ciò impone una maggiore attenzione e responsabilizzazione delle aziende costruttrici droni, che dovranno progettare i nuovi dispositivi tenendo conto delle eventuali implicazioni sulla privacy.

Il principio della privacy by default intende sottolineare la necessità della tutela della vita privata dei cittadini come impostazione predefinita e che vengano quindi rispettati i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità. In altre parole, i dati personali che vengono raccolti o quando siano resi a terzi dati personali. L’impostazione di “default” ha come sua naturale conseguenza che incombe sempre sul titolare del trattamento dei dati dimostrare di non aver violato la privacy di terzi. Una inversione dell’onere della prova che tutela quindi la potenziale platea di soggetti che potrebbero subire una lesione del loro diritto alla riservatezza.

L’importanza dei codici di condotta

l’art. 40 del Regolamento UE 679/2016 dispone inoltre che “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento”. In tal senso, quindi, i codici di condotta alla cui redazione saranno chiamate, tra l’altro, le associazioni di categoria, saranno il punto di riferimento per gli operatori del settore per poter tutelare al meglio la privacy di terzi durante le operazioni.

Prime conclusioni.

L’entrata in vigore del Regolamento sulla privacy impone uno sforzo interpretativo di non scarsa rilevanza e tiene sicuramente conto dei più recenti studi dottrinali effettuati sull’argomento. Non c’è nessun riferimento testuale agli aeromobili a pilotaggio remoto, ma allo stesso tempo sono prese in esame le nuove tecnologie e gli strumenti giuridico normativi in grado di sviluppare una maggiore tutela rispetto all’attuale quadro normativo.

A prescindere dalle norme strettamente tecniche, si può certamente affermare che la tutela della privacy applicata all’utilizzo droni necessita anzitutto di buon senso, autodisciplina, cultura civica e legale, collaborazione con le autorità e, soprattutto, comunicazione tra le autorità (ENAC, enti locali, forze dell’ordine) che siano in grado di risolvere e far rispettare appieno le norme giuridiche applicabili alle operazioni effettuate tramite droni.

1808 visite


Share.
Commenta:

Segui DronEzine sui social: