Rischi privacy nell’uso dei droni nella gestione della crisi sanitaria

0

 

Con i noti D.P.C.M. dell’8, 9 e 22 marzo 2020 il Governo ha istituzionalizzato una serie di misure contenitive dell’emergenza sanitaria che stiamo affrontando.

Ai decreti ha fatto eco l’ENAC, che nella nota del 23 marzo scorso ha indicato sia i dispositivi che possono essere utilizzati sia le modalità “per il contenimento dell’emergenza epidemiologica” [1].

Lo scopo dichiarato della nota è quello di consentire l’utilizzo dei droni per “consentire le operazioni di monitoraggio degli spostamenti dei cittadini sul territorio comunale”.

Fino al 3 aprile, dunque, la polizia locale potrà condurre i controlli “con sistemi aeromobili a pilotaggio remoto con mezzi aerei di massa operativa al decollo inferiore a 25 kg“, in deroga a molti dei limiti di cui al Regolamento ENAC.

Poco dopo però, il 28 marzo, il Ministro dell’Interno ha diffuso una circolare tesa a sospendere il ricorso a veicoli radiocomandati in attesa di un confronto proprio con Enac [2], al fine di definire un protocollo comune per un corretto utilizzo dei droni (pare, infatti, che siano stati rilevati diversi casi di loro utilizzo borderline da parte di qualche agente di polizia locale).

Due giorni dopo, con Circolare n. 555 OP del 30 marzo 2020, il Ministero ha di nuovo fornito il proprio avallo all’utilizzo di velivoli a pilotaggio remoto, raccomandando però un previo coordinamento con l’autorità prefettizia, ma senza intervenire sugli aspetti privacy.

Nel frattempo la stessa ENAC, con nota del 31.03.2020 [3], ha richiamato all’ordine le autorità locali, chiarendo alcune delle deroghe concesse e ribadendo la raccomandazione di subordinare l’attività di pubblica sicurezza condotta tramite droni al coordinamento con il Prefetto.

 

Il percorso normativo e relative problematiche

La normativa con riferimento all’utilizzo dei droni è molto complessa.

Con la comunicazione COM (2014) 207 la Commissione europea ha proposto la graduale integrazione dei droni (chiamati anche RPAS, sistemi di aerei a pilotaggio remoto o UAV, veicoli aerei senza equipaggio) nello spazio aereo civile.

Conseguentemente si è reso necessario un progressivo adeguamento del quadro normativo vigente, al fine di addivenire ad un corretto bilanciamento fra il libero uso e commercio dei droni con alcuni dei diritti fondamentali europei.

Nella propria relazione del giugno 2015, il Dipartimento sui diritti dei cittadini e gli affari costituzionali dell’UE rileva come sia crescente l’impiego dei droni per scopi di uso civile, sebbene trattasi di strumenti originariamente nati per scopi militari.

D’altra parte, risultano evidenti le potenzialità intrinseche per un uso di questi dispositivi in campi quali: l’agricoltura, la gestione delle emergenze, la sorveglianza e le attività commerciali, etc.

Ciò con consequenziali impatti non solo positivi, come nel caso dell’occupazione o delle applicazioni in campo industriale, ma anche di negativi per quanto riguarda la privacy e la salvaguardia e sicurezza delle persone (si pensi ai rischi connessi ad uno schianto al suolo di uno strumento che può arrivare a pesare diversi kg).

Basti pensare che un drone è in grado di creare fastidi e disagi alle altre persone, al punto che è sufficiente sentire il loro ronzio ormai per far avvertire ai soggetti nelle vicinanze la spiacevole sensazione di essere controllati. Sebbene infatti non tutti i droni siano dotati di sensori audio e/o video, ormai nell’immaginario collettivo sono divenuti sinonimo di “telecamere volanti”.

L’effettiva presenza di videocamere su molti dei droni usati per svago, li rende di fatto strumenti senza dubbio potenzialmente invasivi della sfera di riservatezza altrui.

Fin da subito si è compreso, dunque, che la chiave di volta per un aumento dell’utilizzo dei droni nel campo civile passava anche dalla previsione di garanzie a favore dei diritti civili della popolazione europea.

Si deve, d’altronde, considerare che l’uso di droni, quando combinati con altre tecnologie e applicazioni, determina di fatto uno stravolgimento delle misure di sorveglianza fin qui conosciute.

E’ infatti possibile, con l’utilizzo dei droni, seguire le persone in movimento, captarne i discorsi, nonché monitorarle senza che in alcuni casi (pensiamo a droni con teleobiettivi o a situazioni in cui il rumore di sottofondo è elevato) queste ultime possano accorgersene.

E’ ben comprensibile, dunque, quanto sia apparsa ardua la sfida a cui si è trovato di fronte il  legislatore europeo e nazionale nel bilanciare la rigida disciplina privacy con il libero utilizzo degli UAV.

La normativa di riferimento, secondo la predetta relazione, avrebbe dovuto essere rinvenuta, tra le altre, nella Convenzione Europea sui diritti dell’uomo (art. 8 CEDU), nella Carta dei diritti fondamentali dell’UE (artt. 7 e 8 Carta di Nizza), nonché nell’allora Direttiva 95/46/EC avente ad oggetto la protezione dei dati personali (oggi abrogata dal Reg. UE 2016/679, anche solo: “GDPR”).

Qualsiasi interferenza con il diritto alla privacy dovrebbe, pertanto, ritenersi consentita solo ai sensi dell’articolo 8, paragrafo 2, della CEDU e dell’articolo 52, paragrafo 1, della Carta di Nizza, entro limiti tali che permettano di garantire il rispetto dei suoi elementi essenziali (indispensabile proporzionalità e necessità delle misure nazionali limitative dei diritti sanciti dall’art. 8 par. 1 CEDU in rapporto alle finalità da esse perseguite).

Ogni valutazione deve, peraltro, tenere a mente che in UE l’estensione del diritto alla riservatezza non si limita esclusivamente agli spazi privati, ma vi ricomprende altresì i luoghi pubblici.

Come evidenziato anche dalla Corte Europea dei Diritti dell’Uomo nella sentenza Von Hannover v. Germania (2012), “il concetto di vita privata si estende agli aspetti relativi all’identità personale, come il nome, la foto o l’integrità fisica e morale di una persona; la garanzia offerta dall’articolo 8 della Convenzione mira principalmente a garantire lo sviluppo, senza interferenze esterne, della personalità di ciascun individuo nelle sue relazioni con altri esseri umani. Esiste quindi una zona di interazione di una persona con gli altri, anche in un contesto pubblico, che può rientrare nell’ambito della vita privata.”

 

Il parere del Gruppo di Lavoro Articolo 29

Nello stesso periodo viene redatta da parte del Gruppo di Lavoro Articolo 29 un’importante Opinion, la n. 1/2015, “sulle questioni riguardanti il rispetto della vita privata e la protezione dei dati connesse all’uso di droni”.

Il parallelismo da cui muove il Gruppo Articolo di Lavoro 29 è quello con i sistemi di videosorveglianza, con la differenza che nel caso dei droni i sensori, anziché essere fissi, ora sono mobili ed in grado di seguire i movimenti del soggetto ripreso.

Proprio siffatta qualità permette ai droni di fornire un punto di osservazione unico anche a distanza.

Non solo, ma l’interconnessione di più droni tra loro, rende possibile il controllo di una vasta area, senza che i soggetti interessati se ne rendano conto.

Partendo, quindi, dai citati principi sanciti dalla CEDU e dalla Carta di Nizza, il Gruppo di Lavoro Articolo 29 evidenzia che eventuali deroghe alla riservatezza dei dati personali devono, in ogni caso, “essere conformi alla legge (“previste dalla legge”), apportate solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui (“perseguono uno o più finalità legittime previste all’articolo 8, paragrafo 2, della CEDU e sono necessari in una società democratica”)”(cit. Opinion n. 1/2015 Gruppo di Lavoro Articolo 29).

Ne consegue che l’eventuale uso di droni da parte delle autorità dovrebbe, da un lato, trovare giustificazione in un’adeguata base giuridica e, dall’altro lato, dovrebbe comunque essere previsto nei limiti in cui il loro utilizzo sia proporzionato e necessario alle finalità perseguite.

Nello specifico, sotto il profilo della proporzionalità i provvedimenti autorizzativi non devono eccedere nel loro contenuto e nella loro forma quanto necessario al perseguimento degli obiettivi prefissati, mentre, sotto il profilo della necessità, gli stessi provvedimenti devono privilegiare scelte meno invasive rispetto alle diverse possibili opzioni sul tavolo.

Per quanto riguarda le deroghe alla riservatezza, le stesse riguardano esclusivamente la tutela di interessi vitali dell’interessato ovvero l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

Alla luce di quanto appena esposto, risulterebbe chiaramente incompatibile il trattamento in blocco di dati personali, la profilazione o la sorveglianza indiscriminata, in quanto si finirebbe per incorrere nella violazione della normativa appena richiamata..

 

AESA e Regolamenti UE

Successivamente con il Regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio 4 luglio 2018 viene istituita l’Agenzia dell’Unione europea per la sicurezza aerea e vengono previste delle regole comuni a livello europeo nel settore dell’aviazione civile.

Il Regolamento in questione sostituisce il quadro legislativo risalente al 2008 (la cosiddetta “Basic Regulation”), facendo rientrare nella competenza UE anche gli aeromobili senza equipaggio con un peso inferiore a 150 kg., che prima erano di competenza dei singoli Stati membri.

Con esso viene, oltretutto, fatto espresso riferimento alla necessità che le norme riguardanti gli aeromobili senza equipaggio dovrebbero contribuire anche al rispetto di quanto previsto dal nuovo GDPR in materia di protezione dei dati personali.

La tutela della riservatezza dei dati personali viene altresì indicata all’Allegato IX del citato regolamento laddove individua quale requisito essenziale degli aeromobili senza equipaggio quello di “possedere le relative caratteristiche e funzionalità specifiche che tengono conto dei principi della tutela della riservatezza e della protezione dei dati personali fin dalla progettazione e per impostazione predefinita”.

Il Regolamento 2018/1139 è anche “responsabile” di aver normato (cfr. Considerando 31) la discutibile prescrizione per cui i possessori di droni dotati di fotocamere andrebbero “schedati” in apposito registro. Una simile normativa sembra però del tutto anacronistica e fondata sul mero rigetto aprioristico dello strumento tecnologico con singolari potenzialità intrusive.

Ragionando con lo stesso metro avremmo però consigliato ai nostri avi di censire tutti i possessori di macchine fotografiche e litografiche, nel 1800, viste le inedite possibilità di captazione e conservazione dell’immagine che queste tecnologie fornivano!

E, del resto, molto più intrusive e pericolose appaiono, oggi, le microcamere o gli strumenti di rilevazione audio (entrambi azionabili nel solo momento in cui rilevano un movimento) attualmente in commercio, che possono essere agilmente nascoste in ogni luogo senza che il proprietario si accorga di essere ripreso (eventualità difficile da replicare con un rumoroso dispositivo che vola nel cielo a distanza da ogni ostacolo).

Infine, la cornice normativa è stata completata sul piano europeo dal Regolamento UE 945/2019 (che stabilisce i requisiti di conformità in fase di progettazione e fabbricazione, in vigore dal 1º luglio 2019) e dal Regolamento UE 947/2019 (che detta le disposizioni per l’esercizio dei droni, anch’esso in vigore dal 1º luglio 2019, con applicazione a decorrere dal 1º luglio 2020), nonché, a livello nazionale, dal regolamento dell’Enac, nella versione da ultimo dell’11 novembre 2019.

Proprio quest’ultimo regolamento all’art. 34 rinvia genericamente al rispetto di quanto previsto nel Codice privacy, nonché delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante per la protezione dei dati personali.

Stona esclusivamente il richiamo esplicito all’art. 3 del Codice privacy che, tuttavia, a seguito dell’entrata in vigore della disciplina interna (D.lgs. n. 101/2018) di armonizzazione al GDPR, risulta espressamente abrogato.

 

Utilizzo dei droni e GDPR

L’introduzione del GDPR, con specifico riferimento all’utilizzo dei droni, non ha portato a particolari stravolgimenti della disciplina.

Anzi, attualmente in attesa che il Comitato europeo per la protezione dei dati fornisca una propria linea guida al riguardo, probabilmente le indicazioni principali sono ancora quelle sopraindicate, fornite dal Gruppo di Lavoro Articolo 29 e di cui all’Opinion n. 1/2015.

L’art. 6, par. 1, lett e) del GDPR, per quanto qui di nostro interesse, individua “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”come una delle basi giuridiche che rendono lecito il trattamento dei dati personali.

La stessa norma prevede altresì al successivo paragrafo 3 che, in tali casi, la base giuridica su cui si fondano i trattamenti in questione deve essere stabilita dall’UE, ovvero dal diritto dello Stato membro cui è soggetto il titolare del trattamento, e deve rispettare i soprarichiamati principi di proporzionalità e necessità.

Il rispetto di tali principii è garantito dalla scelta di strumenti orientati alla protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by default e by design) e dal principio di minimizzazione, che impone l’utilizzo dei dati raccolti solo nei limiti del raggiungimento dello scopo per i quali sono stati richiesti.

Nel caso di droni equipaggiati di videocamere, i titolari del trattamento potrebbero, dunque, utilizzare tecniche per il trattamento automatico delle immagini per mezzo di sfocature o di altri effetti grafici, al fine di evitare la raccolta di immagini di persone identificabili, laddove non siano necessarie.

Inoltre, per consentire un’adeguata ponderazione di tutti gli aspetti sopra rappresentati, il titolare dovrebbe, ai sensi del GDPR, effettuare preliminarmente all’avvio del trattamento un’apposita valutazione d’impatto sulla protezione dei dati (art. 35 GDPR) per definire la cornice e le caratteristiche del trattamento stesso, al fine di individuare tutte le misure volte a minimizzare i rischi.

 

Lo scenario emergenziale italiano

In questo quadro normativo c’è chi invocherebbe l’uso dei droni per far fronte all’attuale emergenza COVID-19.

I dispositivi in questione sono, invero, già stati utilizzati in Cina, ma non solo, sia per scopi sanitari (es. per nebulizzare disinfettanti nelle aree pubbliche), sia allo scopo di monitorare il rispetto delle misure di quarantena previste per contrastare il coronavirus.

Sotto quest’ultimo aspetto, in rete si trovano numerosi video che riprendono agenti di polizia cinesi che utilizzano i droni, per individuare a distanza eventuali comportamenti scorretti tenuti dai cittadini, al fine di dissuaderli ed invitarli a rientrare nelle proprie abitazioni.

Ebbene, proprio quest’ultimo utilizzo è quello probabilmente pensato da alcuni Enti locali in Italia per poter fronteggiare l’attuale emergenza sanitaria.

Invero, l’art. 14 del D.L. n. 14/2020 prevede genericamente che anche ai soggetti deputati a monitorare e a garantire l’esecuzione delle misure di contingentamento adottate dal Governo italiano, possano trattare i dati personali che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19.

Sennonché, dopo la nota dell’ENAC del 23 marzo scorso, alcuni Comuni italiani hanno provveduto immediatamente a dispiegare task forceper la sorveglianza delle aree urbane.

A ben vedere, tale attività non parrebbe conforme ai dettami previsti dalla normativa GDPR, la quale deve senza dubbio ritenersi applicabile nonostante l’attuale situazione di emergenza che sta attraversando l’intera nazione.

A tal riguardo, anche volendo considerare il D.L. n. 14/2020, nella sua genericità, come una valida base giuridica per un trattamento di dati personali da parte delle autorità di pubblica sicurezza, qualsiasi utilizzo dei droni per fini di sorveglianza risulta quantomeno una forzatura rispetto ai principi di proporzionalità e necessarietà sopra evidenziati.

L’uso indiscriminato dei droni consente, difatti, il trattamento di un numero davvero notevole di dati personali in una maniera scarsamente selettiva e conseguentemente difficilmente compatibile con i principi poc’anzi richiamati.

Oltretutto, il rischio che è balzato subito all’occhio, anche del Garante della privacy, è quello di una sorta di “improvvisazione” nell’utilizzo dei detti strumenti con una frammentazione sulle modalità di impiego a livello locale.

All’evidenza una disciplina di respiro nazionale permetterebbe una maggiore uniformità nell’approccio a questi nuovi mezzi tecnologici e soprattutto a definirne eventuali limiti nell’impiego.

Due esempi potranno meglio chiarire la questione.

Da un lato l’esperimento del Comune di Genova [4], condotto grazie alle deroghe ENAC, che lo scorso 25 marzo ha dispiegato un drone (fornito da un’azienda privata che ha messo a disposizione i propri operatori professionali) per individuare assembramenti in zone cittadine critiche e procedere quindi con l’intervento, così indirizzato, degli agenti.

Dall’altro lato abbiamo l’esperimento effettuato a Fiumicino [5], dove la problematica che affronta l’amministrazione è quella del controllo dell’esteso tratto di litorale comunale (24 km).

In tal caso il drone impiegato è anche munito di apposito altoparlante per invitare i soggetti sorpresi a non rispettare le disposizioni comunali (che vietano l’accesso all’arenile) a rientrare al più presto a casa.

Mentre l’esperimento genovese appare a prima vista legittimo (in quanto il drone viene sfruttato per funzioni general-preventive e per individuare gli assembramenti così da consentire agli agenti di intervenire in maniera mirata), sull’esperimento di Fiumicino è lecito avere più di qualche dubbio (il drone infatti deve avvicinarsi ai soggetti “individuati” a violare l’ordinanza comunale

Il controllo può quindi essere legittimo e rispettare la privacy delle persone fintantoché si limita alla captazione in video dei soggetti da una prospettiva d’insieme e a una distanza che non ne consenta l’identificazione (come accade a Genova), risulta invece ben più arduo da giustificare (e riecheggia gli invasivi controlli cinesi) nell’ipotesi in cui il drone venga utilizzato per filmare, individuare o comunque indirizzare un messaggio specifico ai trasgressori (comportando così la necessità di avvicinarsi agli stessi, così come accade a Fiumicino).

Non va infatti dimenticato che da un lato la maggior parte dei droni in commercio (e di quelli in uso alle autorità) consente la videoregistrazione delle immagini riprese, e dall’altro lato gli agenti in servizio, che utilizzano i droni, hanno un obbligo di denuncia relativo ad eventuali ipotesi di reato attinte dai dispositivi a loro assegnati, oltre ad un obbligo di sanzionare gli illeciti amministrativi rilevati e che sia loro competenza accertare. Pensare quindi che questi droni, potenti mezzi di captazione, vengano utilizzati solo per certe finalità e non vengano sfruttati integralmente in futuri procedimenti, è forse peccare di eccessivo ottimismo.

Del resto le riprese effettuate da droni risultano ammissibili, nel procedimento penale, quali prove atipiche ai sensi dell’art. 189 c.p.p.

Nemmeno la normativa privacy può fare da “scudo” all’utilizzabilità delle riprese potendo il Giudice, nel processo penale, superare il disposto dell’art. 191 c.p.p. bilanciando il diritto alla privacy con il bene giuridico tutelato dalla norma violata (nel caso la salute pubblica) in favore di quest’ultima, e nel processo civile valutarle liberamente (e prudentemente) ai sensi dell’art. 160 bis D.Lgs 196/03 e dell’art. 116 c.p.c.

 

In conclusione

La sospensione all’utilizzo dei droni disposta dal Ministro dell’Interno va senz’altro letta nell’ottica di opportuna prudenza derivante dalle considerazioni appena esposte.

Rimane sempre aperto, poi, il tema concernente il rischio di una lesione della normativa privacy di riferimento.

Come visto, la normativa privacy (oggi vituperata e considerata “scomoda” da molti politici) prevede espressamente casi particolari in cui la stessa può farsi da parte nella prospettiva di un corretto bilanciamento con altri valori costituzionalmente rilevanti.

La salute pubblica della comunità è certamente uno di questi valori, ma le conseguenti deroghe alla normativa privacy non possono essere viste come la legittimazione di un far westgiuridico che ci riporti indietro di 25 anni nel settore privacy.

Se esiste una normativa, complessa ed evoluta, in tema di protezione dei dati personali, questo accade per un motivo ed i principi ed i paletti che questa normativa impone devono essere tenuti in considerazione anche in questa situazione di crisi, che naturalmente allenta i meccanismi di controllo ma non può farli dimenticare del tutto!

Queste deroghe, in altre parole, non possono certo arrivare ad escludere qualsiasi rilevanza ai diritti alla riservatezza dei cittadini, che fanno parte dei valori culturali europei.

Le parole del Garante della privacy sul punto, raccolte in una recente intervista[6] appaiono più che condivisibili.

Non si tratta, infatti, di replicare meccanicamente modelli altrui, quali quelli di Cina e Corea del Sud, quanto di adattarli a quel complesso di valori sociali che comunemente definiscono noi europei.

Il diritto alla riservatezza non deve essere considerato, dunque, come un mero complesso di norme, bensì quale argine posto a protezione della libertà individuale di ognuno di noi.

Proprio l’efficacia di questa barriera potrebbe risultare minata se il ricorso ai droni determinasse con sé un controllo sistematico e generalizzato della popolazione.

Ciò non significa escludere completamente l’utilizzo di questi strumenti, i quali potrebbero risultare utili per assicurare il rispetto delle misure di quarantena specie se utilizzati per sfruttare le loro caratteristiche (visione d’insieme e dall’alto utilizzata per scopi generalpreventivi e per indirizzare l’attività degli agenti).

Si tratta, dunque, di definirne correttamente e uniformemente i limiti su tutto il territorio nazionale.

In una recente intervista il Garante della privacy non ha escluso la possibilità di ricorrere alla tecnologia, nella fattispecie si trattava di misure di contact tracing, purché ciò avvenga con un decreto legge (per esigenze di celerità) che coniughi correttamente le esigenze di sanità pubblica e di libertà individuale, con le garanzie di correttezza e proporzionalità del trattamento dei dati personali.

Per tali motivi, in analogia con quanto indicato dal Garante della privacy italiano, sarebbe opportuno che anche l’utilizzo dei droni per finalità di sorveglianza sanitaria venga normato dal nostro legislatore, per evitare usi distorsivi rispetto a quanto previsto dalla normativa privacy.

Tale provvedimento dovrebbe assicurare una compressione della nostra libertà quel tanto (e nulla più) che sia ritenuto necessario in questa battaglia contro il coronavirus.

L’epidemia ha determinato senz’altro una restrizione dei nostri diritti e libertà, ma non possiamo permetterci che l’attuale contingenza determini il venir meno dei nostri valori fondamentali, nè tantomeno possiamo abituarci ad una compressione dei nostri diritti che vada oltre quanto è necessario e si trasformi invece in una misura limitativa immotivata.

 

 

[1]Fonte:https://www.enac.gov.it/sites/default/files/2020-03/Nota_ENAC_23032020_Utilizzo_droni.pdfUltimo accesso 31.03.2020.

[2]Fonte: https://www.ilsole24ore.com/art/coronavirus-controlli-i-droni-stop-gabrielli-ADHg0XGUltimo accesso 31.03.2020.

[3]Fonte:https://www.enac.gov.it/sites/default/files/2020-03/ENAC-PROT-31032020-0034875-P-Utilizzo_droni_in_situazioni_emergenziali_Aggiornamento.pdfUltimo accesso 31.03.2020.

[4]Fonte: https://smart.comune.genova.it/comunicati-stampa-articoli/coronavirus-i-droni-controllare-il-territorioUltimo accesso 31.04.2020.

[5]Fonte: https://www.ilmessaggero.it/video/roma/emergenza_coronavirus_proseguono_controlli_drone_sulla_spiaggia_di_fiumicino-5134274.htmlUltimo accesso 31.03.2020.

[6]Fonte: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9294061Ultimo accesso 31.03.2020.

Share this article!

Share.

About Author

Leave A Reply