Il progressivo e rapido sviluppo dei mezzi aerei a pilotaggio remoto (APR), comunemente definiti droni, ed il loro imminente utilizzo su larga scala a fini civili e commerciali sta generando un animato fronte di discussione legato all’impatto che il fenomeno avrà sulla privacy e sulla protezione dei dati personali di tutti noi.
L’argomento è oggetto di studio su entrambe le sponde dell’Atlantico, anche se, come spesso accade, in Europa la sensibilizzazione a regolamentare la materia è impartita dall’alto, mentre negli States la spinta proviene dal basso.
Le riflessioni di partenza sono, ovviamente, estremamente omogenee in quanto l’analisi dei rischi si basa sull’esame obiettivo delle dotazioni di bordo, attuali e potenziali, dei droni: strumentazione atta a videoriprendere ad alta definizione, spesso associata a mezzi di riconoscimento biometrici ed a rilevamenti termici o ad infrarossi, apparecchiature GPS, equipaggiamenti a radio-frequenza e WiFi. Tutti strumenti che comportano potenziali trattamenti di immagini, suoni, dati di geolocalizzazione ed altri segnali elettromagnetici relativi a persone identificate o identificabili.
Se a tali dotazioni si sommano le capacità di volo dei droni (capacità di evitare ostacoli, muri e recinzioni e dunque di sorvolare proprietà private e riprendere l’interno delle abitazioni) e la loro potenziale invisibilità (dovuta vuoi alle loro piccole dimensioni, vuoi all’elevata altezza di volo), si comprende che la loro implementazione non può prescindere da un attento e compiuto esame del fattore privacy.
In Europa è intervenuto sull’argomento il Gruppo di Lavoro Articolo 29 con l’opinion 1/2015, in cui viene dato rilievo preminente a due criteri di protezione:
- uno, per così dire astratto, basato sulla privacy by default, ovverosia su misure, da adottare in fase di progettazione e costruzione dei droni, finalizzate ad evitare ab origine la raccolta ed il successivo trattamento di dati sproporzionati rispetto ad astratte categorie di finalità perseguite;
- ed un altro, che potremmo definire concreto, basato sulle data protection impact assessment redatte dagli operatori e finalizzate all’individuazione dei rischi concreti per privacy e data protection derivanti dall’utilizzo dei droni in relazione a ben determinate finalità di trattamento.
A fronte di tale condivisibile impostazione, traspaiono tuttavia evidenti difficoltà in capo al WP29 nel fornire indicazioni pratiche ed efficaci in materia di consenso ed informativa da parte degli interessati ai trattamenti di dati personali effettuato a mezzo drone.
Invero, già nell’opinion 8/2014 sull’Internet of Things erano chiaramente emersi tutti i limiti dell’applicazione delle regole sul consenso, inteso come adesione “fully informed, freely given and specific” ai trattamenti di dati effettuati dai vari IoT stakeholder (costruttori, piattaforme social, app di terze parti, proprietari e noleggiatori di device, data broker) così come l’assurdità della necessità di un doppio consenso ai sensi dell’art.7 della direttiva privacy e dell’art.5, 3° co., della direttiva e-privacy (cfr. pag.14).
Nel parere sui droni, il livello di difficoltà per il raggiungimento della compliance si alza ulteriormente in quanto, per la prima volta, emergono in tutta la loro gravità non solo i problemi in relazione al consenso, ma anche quelli relativi alla capacità dei titolari dei trattamenti di fornire agli interessati una idonea informativa.
Le caratteristiche di scarsa o nulla visibilità dei droni, la loro mobilità e l’ampiezza della loro area di azione, rendono, infatti, molto arduo il rispetto degli adempimenti formali richiesti dall’art.10 della direttiva privacy.
Nel parere, quindi, il Gruppo di Lavoro, preso atto che l’adempimento dell’obbligo di fornire adeguata informativa quando si tratta di trattamenti effettuati da droni che coprono vaste aree aperte è pressoché impossibile, propone l’istituzione di fonti di informazioni ufficiali, nazionali o internazionali, al fine di consentire ai singoli di identificare le operazioni e gli operatori di droni (compresa l’ipotesi di munire gli APR di targhe intelligenti).
L’opinion conclude con una serie di raccomandazioni rivolte ai policy maker, ai costruttori ed agli operatori che appaiono ineccepibili sulla carta, ma oggettivamente davvero ben poco realizzabili. Valga un esempio su tutti: possiamo davvero pensare di considerare no-fly-drone zone tutte le aree private?
Sul versante americano le cose non sono molto diverse.
Nel 2012 il Congresso americano ha ordinato alla FAA (Federal Aviation Agency) di regolamentare l’uso dei droni nell’ambito del National Airspace System, in particolare di sviluppare ed implementare un piano integrato per i droni ad uso civile nel NAS, che includa “the best methods to enhance teh tecnologies and subsystems necessary to achieve the safe and routine operazione of civil unmanned aircraft systems in the national airspace system”.
Ad oggi l’unico provvedimento adottato dalla FAA è il Small Drone Rulemaking Notice, pubblicato il 15 febbraio 2015 e sottoposto a consultazione pubblica fino all’aprile 2015, il quale non prende però in considerazione gli aspetti legati alla privacy nonostante sin dal 2012 EPIC, la nota organizzazione americana per la difesa dei diritti umani, con un altro centinaio di enti, esperti e avvocati, abbia notificato alla FAA una petizione chiedendo che ogni regolamentazione riguardante i droni affrontasse anche la potenziale minaccia alla privacy ed alle libertà civili derivanti dal loro volo.
La FAA ha disatteso la petizione sostenendo che le questioni giuridiche relative alla privacy non fossero pertinenti in quanto andavano oltre gli scopi della regolamentazione affidata all’Agenzia.
Lo scorso marzo EPIC ha pertanto intentato causa alla FAA per non aver preso in considerazione e quindi regolamentato nella Small Drone Rulemaking i rischi connessi a privacy e data protection.
L’organizzazione per i diritti civili ritiene che la decisione della FAA di non prevedere regole sulla privacy per droni commerciali violi sia il FAA Modernization Act del 2012 con cui il Congresso degli Stati Uniti ha imposto l’elaborazione di un piano integrato per i droni civili, sia la sopra menzionata petizione di EPIC.
La decisione della Court of Appeals for the District of Columbia Circuit è attesa per gli inizi del prossimo anno.
Questa veloce panoramica dà conto di quanto sia sempre più complesso tutelare il diritto alla vita privata ed alla protezione dei dati personali negli attuali scenari tecnologici, ma anche di come l’impostazione europea, centrata sul consenso informato del singolo, non sia più idonea a proteggere efficacemente tali diritti.
Se si tratta, come sancito dalla Carta UE e riconosciuto dalla Corte di Giustizia, di diritti fondamentali, non è più pensabile demandarne l’attuazione alla sola responsabilità (contrattuale) del singolo individuo; occorre cominciare a ragionare su di una tutela che passi, come è accaduto per il diritto alla salute nei posti di lavoro, sia attraverso l’implementazione di una legislazione di carattere sociale, sia attraverso il riconoscimento di tali diritti individuali come interessi collettivi.
