GDPR: Nuova privacy anche per i droni. Cosa fare per essere in regola

Di Francesco Paolo Ballirano, avvocato esperto in diritto aeronautico e membro del Comitato Scientifico di DronEzine

Il nuovo Regolamento europeo sulla protezione dei dati personali (Regolamento (UE) 2016/679-GDPR) è entrato in vigore il 25 maggio 2018. Tale Regolamento, che è direttamente applicabile in tutti gli Stati membri dell’UE, si applica alla raccolta, archiviazione, utilizzo e ad altri “trattamenti” di dati personali. E ha un impatto non secondario sulle operazioni dei SAPR. Ecco a cosa dobbiamo fare attenzione

Il GDPR si applica direttamente non solo alle società nell’Unione Europea, ma anche a quelle al di fuori dell’Unione Europea nella misura in cui offrono beni o servizi (indipendentemente dal fatto che sia richiesto un pagamento) a persone nel territorio dell’unione o si impegnano nel monitoraggio del comportamento di soggetti ivi situati.

Le sanzioni per aver la violazione di quanto previsto nel GDPR sono piuttosto alte, arrivando fino al 4% del fatturato totale a livello mondiale per l’impresa nell’anno precedente o 20 milioni di euro, a seconda di quale sia maggiore. Ovviamente tali sanzioni, sono applicabili anche agli operatori, utenti e produttori di sistemi di aeromobili a pilotaggio remoto.

I droni rappresentano un mezzo efficace per scattare fotografie e raccogliere altre informazioni, che possono coinvolgere le disposizioni previste dal GDPR, in particolare se le informazioni includono dati personali su individui. Settori come agricoltura, edilizia, rilevamenti e sorveglianza utilizzano telecamere e sensori basati su droni per raccogliere una grande quantità di dati durante le operazioni e, pertanto, potrebbero esservi difficoltà per adeguarsi a tale nuova normativa. Ad esempio, una foto di una persona identificabile è considerata informazione personale ai sensi del GDPR, e gli operatori devono gestire tali dati in base al nuovo Regolamento. Parimenti, i servizi di mappatura possono anche raccogliere dati personali che rientrano nelle disposizioni del GDPR.

I diritti riconosciuti dal GDPR

Il GDPR riconosce tutta una serie di diritti ai titolari dei dati personali, peraltro già riconosciuti dal nostro ordinamento sia tramite elaborazioni giurisprudenziali che normative (in particolare l’ormai abrogato D.lgs. 196/2003). Si tratta in particolare dei seguenti diritti:

il diritto di essere informato e, di converso, il dovere di trasparenza sui dati raccolti (Articoli 12, 13 e Articolo 14 numero 11);
il diritto di accesso o comprendere quali dati personali vengono elaborati e archiviati (Articolo 15);
il diritto di rettifica o di consentire alle persone di correggere i propri dati personali (Articolo 16);
il diritto alla cancellazione, noto anche come il diritto all’oblio (Articolo 17);
il diritto di limitare l’elaborazione o di consentire alle persone di impedirti di eseguire operazioni (raccolta, elaborazione, archiviazione, ecc.) sui dati personali (Articolo 18);
il diritto alla portabilità dei dati o il conferimento al soggetto dei dati personali dell’utente (Articolo 20);
il diritto di opporsi o impedire di elaborare i dati personali (articolo 21).

Ovviamente non tutte le aziende o gli operatori che utilizzano droni sono coinvolti nell’utilizzo dei dati personali.
Il Regolamento si applica quando vi è la raccolta, archiviazione ed elaborazione di dati o immagini che costituiscono “dati personali” di soggetti terzi (come nomi, indirizzi e-mail, numeri di telefono, ecc.) o “informazioni personali identificabili” (come immagini aeree e georeferenziazione delle persone). I settori cui il GDPR avrà maggiore importanza saranno quelli relativi alle riprese e/o fotografie e, sebbene in forma minore, alle operazioni di ispezione o monitoraggio.

In particolare, il GDPR si applica sicuramente a fotografi di droni, fotografi immobiliari, compagnie cinematografiche e qualsiasi altro servizio commerciale connesso a tali attività. Il GPDR stabilisce che le immagini raffiguranti persone che possono essere identificate devono essere considerate informazioni personali e devono essere gestite con cura, a meno che non si stiano utilizzando le immagini per notizie o arte. È necessario pertanto il consenso da parte della soggetto, il quale deve concedere il permesso di pubblicare l’immagine. Quanto invece all’ispezione e monitoraggio probabilmente il GDPR è ininfluente per quelle operazioni che raccolgono dati su strutture (come torri, linee di trasmissione o piattaforme petrolifere), dal momento che collegano raramente informazioni personali (o dati personali) di soggetti terzi, ma sicuramente si applica alle informazioni relative a coloro che effettuano il monitoraggio del sito dove taluni individui possono essere taggati o identificati.

Cosa fare?

Anzitutto bisogna verificare se le operazioni specializzate che si andranno a svolgere possano aver ad oggetto la raccolta di dati personali di soggetti terzi coinvolti (ovviamente, soggetti non appartenenti agli addetti alle operazioni). Anche se a volte è possibile riprendere persone, non sempre queste sono identificabili. In tal caso non vi sono dati personali tali da rendere possibile un adeguamento alle prescrizioni previste dal GDPR. In altri casi, invece, sebbene non sia possibile risalire visivamente ad un determinato soggetto, “combinando” i vari dati raccolti si potrebbero comunque carpirne i dati personali. In tali casi, appare opportuno seguire alcuni principi che potrebbero ridurre considerevolmente i rischi durante la raccolta e l’elaborazione di informazioni personali tramite un drone

dare sempre ampia informazione nell’eventualità che vi sia la possibilità di riprendere persone o ottenere dati personali. È opportuno casomai fornire o esibire una dichiarazione sulla privacy pubblica;
condurre una valutazione dell’impatto sulla protezione dei dati personali;
rendere pubblica la dichiarazione sulla privacy e assicurare che chiunque possa prendere informazione sugli eventuali dati personali raccolti nonché come contattare l’operatore per avere maggiori informazioni ed esercitare i propri diritti per opporsi all’elaborazione di raccolta dati, cambiare idea a riguardo o rimuovere i propri dati;
minimizzare i dati non necessari, pensando sempre al tipo di drone da utilizzare per le operazioni richieste e al modo in cui si possa acquisire la minor quantità di dati sulle persone nell’area della tua operazione. Ove opportuno, sfocare i volti, numeri civici e targhe delle auto;
avere un’adeguata sicurezza per la conservazione dei dati personali e non condividerli con terze parti senza informare le persone coinvolte. Condividere solo i dati resi in forma anonima, se possibile.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicità".
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analisi".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal GDPR cookie consenso per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro.
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
CookieLawInfoConsent	1 year	Registra lo stato del pulsante predefinito della categoria corrispondente & lo stato di CCPA. Funziona solo in coordinamento con il cookie principale.
PHPSESSID	session	Questo cookie è nativo per le applicazioni PHP. Il cookie viene utilizzato per memorizzare e identificare l'ID di sessione univoco di un utente allo scopo di gestire la sessione dell'utente sul sito web. Il cookie è un cookie di sessione e viene eliminato alla chiusura di tutte le finestre del browser.
viewed_cookie_policy	11 months	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
wordpress_test_cookie	session	Questo cookie viene utilizzato per verificare se i cookie sono abilitati sul browser degli utenti.
_GRECAPTCHA	5 months 27 days	Questo cookie è impostato dal servizio recaptcha di Google per identificare i bot per proteggere il sito Web da attacchi di spam dannosi.

Cookie	Durata	Descrizione
_ga	2 years	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gid	1 day	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.

Cookie	Durata	Descrizione
fr	3 months	Facebook imposta questo cookie per mostrare annunci pubblicitari pertinenti agli utenti monitorando il comportamento degli utenti sul Web, su siti che dispongono di pixel di Facebook o plug-in social di Facebook.
_fbp	3 months	Questo cookie è impostato da Facebook per visualizzare annunci pubblicitari su Facebook o su una piattaforma digitale alimentata dalla pubblicità di Facebook, dopo aver visitato il sito web.

I diritti riconosciuti dal GDPR

Cosa fare?

Leggi anche: