GDPR: Nuova privacy anche per i droni. Cosa fare per essere in regola

0

Di Francesco Paolo Ballirano, avvocato esperto in diritto aeronautico e membro del Comitato Scientifico di DronEzine

Il nuovo Regolamento europeo sulla protezione dei dati personali (Regolamento (UE) 2016/679-GDPR) è entrato in vigore il 25 maggio 2018. Tale Regolamento, che è direttamente applicabile in tutti gli Stati membri dell’UE, si applica alla raccolta, archiviazione, utilizzo e ad altri “trattamenti” di dati personali. E ha un impatto non secondario sulle operazioni dei SAPR. Ecco a cosa dobbiamo fare attenzione

Il GDPR si applica direttamente non solo alle società nell’Unione Europea, ma anche a quelle al di fuori dell’Unione Europea nella misura in cui offrono beni o servizi (indipendentemente dal fatto che sia richiesto un pagamento) a persone nel territorio dell’unione o si impegnano nel monitoraggio del comportamento di soggetti ivi situati.

Le sanzioni per aver la violazione di quanto previsto nel GDPR sono piuttosto alte, arrivando fino al 4% del fatturato totale a livello mondiale per l’impresa nell’anno precedente o 20 milioni di euro, a seconda di quale sia maggiore. Ovviamente tali sanzioni, sono applicabili anche agli operatori, utenti e produttori di sistemi di aeromobili a pilotaggio remoto.

I droni rappresentano un mezzo efficace per scattare fotografie e raccogliere altre informazioni, che possono coinvolgere le disposizioni previste dal GDPR, in particolare se le informazioni includono dati personali su individui. Settori come agricoltura, edilizia, rilevamenti e sorveglianza utilizzano telecamere e sensori basati su droni per raccogliere una grande quantità di dati durante le operazioni e, pertanto, potrebbero esservi difficoltà per adeguarsi a tale nuova normativa. Ad esempio, una foto di una persona identificabile è considerata informazione personale ai sensi del GDPR, e gli operatori devono gestire tali dati in base al nuovo Regolamento. Parimenti, i servizi di mappatura possono anche raccogliere dati personali che rientrano nelle disposizioni del GDPR.

I diritti riconosciuti dal GDPR

Il GDPR riconosce tutta una serie di diritti ai titolari dei dati personali, peraltro già riconosciuti dal nostro ordinamento sia tramite elaborazioni giurisprudenziali che normative (in particolare l’ormai abrogato D.lgs. 196/2003). Si tratta in particolare dei seguenti diritti:

  • il diritto di essere informato e, di converso, il dovere di trasparenza sui dati raccolti (Articoli 12, 13 e Articolo 14 numero 11);
  • il diritto di accesso o comprendere quali dati personali vengono elaborati e archiviati (Articolo 15);
  • il diritto di rettifica o di consentire alle persone di correggere i propri dati personali (Articolo 16);
  • il diritto alla cancellazione, noto anche come il diritto all’oblio (Articolo 17);
  • il diritto di limitare l’elaborazione o di consentire alle persone di impedirti di eseguire operazioni (raccolta, elaborazione, archiviazione, ecc.) sui dati personali (Articolo 18);
  • il diritto alla portabilità dei dati o il conferimento al soggetto dei dati personali dell’utente (Articolo 20);
  • il diritto di opporsi o impedire di elaborare i dati personali (articolo 21).

Ovviamente non tutte le aziende o gli operatori che utilizzano droni sono coinvolti nell’utilizzo dei dati personali.
Il Regolamento si applica quando vi è la raccolta, archiviazione ed elaborazione di dati o immagini che costituiscono “dati personali” di soggetti terzi (come nomi, indirizzi e-mail, numeri di telefono, ecc.) o “informazioni personali identificabili” (come immagini aeree e georeferenziazione delle persone). I settori cui il GDPR avrà maggiore importanza saranno quelli relativi alle riprese e/o fotografie e, sebbene in forma minore, alle operazioni di ispezione o monitoraggio.

In particolare, il GDPR si applica sicuramente a fotografi di droni, fotografi immobiliari, compagnie cinematografiche e qualsiasi altro servizio commerciale connesso a tali attività. Il GPDR stabilisce che le immagini raffiguranti persone che possono essere identificate devono essere considerate informazioni personali e devono essere gestite con cura, a meno che non si stiano utilizzando le immagini per notizie o arte. È necessario pertanto il consenso da parte della soggetto, il quale deve concedere il permesso di pubblicare l’immagine. Quanto invece all’ispezione e monitoraggio probabilmente il GDPR è ininfluente per quelle operazioni che raccolgono dati su strutture (come torri, linee di trasmissione o piattaforme petrolifere), dal momento che collegano raramente informazioni personali (o dati personali) di soggetti terzi, ma sicuramente si applica alle informazioni relative a coloro che effettuano il monitoraggio del sito dove taluni individui possono essere taggati o identificati.

Cosa fare?

Anzitutto bisogna verificare se le operazioni specializzate che si andranno a svolgere possano aver ad oggetto la raccolta di dati personali di soggetti terzi coinvolti (ovviamente, soggetti non appartenenti agli addetti alle operazioni). Anche se a volte è possibile riprendere persone, non sempre queste sono identificabili. In tal caso non vi sono dati personali tali da rendere possibile un adeguamento alle prescrizioni previste dal GDPR. In altri casi, invece, sebbene non sia possibile risalire visivamente ad un determinato soggetto, “combinando” i vari dati raccolti si potrebbero comunque carpirne i dati personali. In tali casi, appare opportuno seguire alcuni principi che potrebbero ridurre considerevolmente i rischi durante la raccolta e l’elaborazione di informazioni personali tramite un drone

  • dare sempre ampia informazione nell’eventualità che vi sia la possibilità di riprendere persone o ottenere dati personali. È opportuno casomai fornire o esibire una dichiarazione sulla privacy pubblica;
  • condurre una valutazione dell’impatto sulla protezione dei dati personali;
  • rendere pubblica la dichiarazione sulla privacy e assicurare che chiunque possa prendere informazione sugli eventuali dati personali raccolti nonché come contattare l’operatore per avere maggiori informazioni ed esercitare i propri diritti per opporsi all’elaborazione di raccolta dati, cambiare idea a riguardo o rimuovere i propri dati;
  • minimizzare i dati non necessari, pensando sempre al tipo di drone da utilizzare per le operazioni richieste e al modo in cui si possa acquisire la minor quantità di dati sulle persone nell’area della tua operazione. Ove opportuno, sfocare i volti, numeri civici e targhe delle auto;
  • avere un’adeguata sicurezza per la conservazione dei dati personali e non condividerli con terze parti senza informare le persone coinvolte. Condividere solo i dati resi in forma anonima, se possibile.
2343 visite

Share.
Commenta:

Segui DronEzine sui social: