Le Autorità per la privacy europee, riunite nel "Gruppo Articolo 29", hanno adottato un parere sull'impiego dei droni per tutti gli usi civili. Il provvedimento, di cui è relatore il Garante italiano, dà indicazioni e raccomandazioni ai costruttori e agli operatori, al legislatore nazionale e europeo e ai regolatori del settore per la tutela della riservatezza delle persone.
I mezzi aerei a pilotaggio remoto, comunemente noti come droni, vengono ormai ampiamente utilizzati in vari settori creando nuovi scenari davanti ai quali è subito apparsa chiara la necessità di avere un quadro normativo di riferimento. L’evoluzione tecnologica con il conseguente abbassamento dei costi ha reso disponibile questa tecnologia ad un gran numero di potenziali utenti che possono ora esplorare una miriade di nuove applicazioni con una straordinaria semplicità di utilizzo.
L’Ente nazionale per l’aviazione civile, Enac, ha infatti provveduto a redigere ed aggiornare un apposito Regolamento sui mezzi aeromobili a pilotaggio remoto, che permettesse ai droni di passare dalla “zona grigia” in cui si trovavano ad un’area regolamentata. Lo scopo primario era la sicurezza nei confronti di potenziali incidenti, ma già dal regolamento ENAC del 16 dicembre 2013 si è parlato di protezione di dati e privacy. Era un semplice riferimento al rispetto del decreto legislativo 30 giugno 2013, n. 196 e successive modificazioni (Codice in materia di protezione dei dati personali). La privacy è un tema a cui l’opinione pubblica è molto sensibile. e da più parti è stato evidenziato come l’uso dei droni potrebbe essere un serio problema per la sua tutela.
Le autorità europee chiedono garanzie su droni e privacy
Per questo motivo le Autorità per la privacy europee, riunite nel Gruppo Articolo 29, lanciano l’allarme sul rischio “droni” per la riservatezza ed hanno fornito una serie di indicazioni e raccomandazioni a costruttori e operatori, oltre ai legislatori ed agli enti regolatori del settore. In questo ambito gli operatori avranno l’obbligo fornire un’informativa tenendo conto delle peculiarità delle operazioni svolte: dai classici cartelli, a informative sui siti di ciascun operatore, a piattaforme uniche che raccolgano le informazioni sui voli fino all’adozione di misure per rendere il più possibile visibile e identificabile il drone.
Gli operatori inoltre dovranno scegliere la tecnologia che limiti la raccolta e il trattamento dei dati a quelli indispensabili alle loro finalità e adottare idonee misure di sicurezza.
Ai legislatori ed agli enti regolatori di settore si raccomanda l’introduzione e il rafforzamento delle norme che consentano l’utilizzo dei droni nel rispetto dei diritti fondamentali; lo sviluppo e l’introduzione (in collaborazione con i rappresentanti dell’industria, i costruttori e gli operatori di settore) di criteri per la valutazione di impatto privacy; l’individuazione di modalità di cooperazione tra autorità di protezione dei dati e autorità per l’aviazione civile; l’utilizzo dei fondi di ricerca europei per l’individuazione di strumenti tecnologicamente adeguati per fornire l’informativa agli interessati e favorire l’identificazione dei droni.
Ai costruttori si raccomanda l’adozione di un approccio privacy by default, l’adozione di misure per rendere il più possibile visibile ed identificabile un drone e soprattutto la promozione di codici deontologici.
L’opinione del Garante
Antonello Soro, presidente dell’Autorità Garante Privacy in Italia, evidenzia i potenziali rischi per la privacy e la sicurezza dei dati personali proprio a partire dalla grande varietà di applicazioni che vedono oggi l’utilizzo dei droni. In particolare afferma “Le attuali regole giuridiche rischiano di non essere più adeguate a questi nuovi sistemi di raccolta di dati personali così invasivi. Dobbiamo puntare sempre di più sulla ‘privacy by design’, su tecnologie rispettose dei diritti di libertà delle persone fin dalla loro progettazione. Il parere dei Garanti Ue è un primo passo”.
Computer volanti
Il basso costo dei droni non ci deve far dimenticare la tecnologia che comunque caratterizza il loro funzionamento. Sono di fatto dei piccoli calcolatori volanti dotati di connettività e sonsoristica, di fatto vulnerabili a guasti e ad attacchi malevoli come qualsiasi sistema informatico. Tutto questo porta il problema delle violazioni ben oltre l’intenzionalità dell’utilizzatore. Come esempio basta citare le prove effettuate dall’ingegnere indiano Rahulk Sasi che ha dimostrato la possibilità di introdursi all’interno del software di un noto drone commerciale. Si tratta di un malware denominato “maldrone“ che, infettando un mezzo in volo, permette di acquisirne il controllo e/o riceverne le informazioni raccolte. L’esperimento di Sasi non costituisce una sorpresa perche la Federal Aviation Administration lo scorso luglio, aveva portato l’attenzione sulla possibilità di attacchi informatici nella gestione degli aeromobili a pilotaggio remoto civili. Un altro esempio di pericolo privacy è Snoopy, un drone concepito per intercettare tutto il traffico degli hotspot pubblici per il WiFi; è stato provato nei cieli di Londra e si è dedicato alla raccolta dati degli smartphone e dei computer connessi nei dintorni. Un paio di esempi per dimostrare come il rischio privacy vada ben oltre l’intenzionalità dell’operatore o la pura raccolta di immagini.
Conclusioni
Utili ed importanti le richieste di maggiori garanzie da parte delle Autorità Garanti riunite nel Gruppo Articolo 29. Rispondono alle esigenze di un’opinione pubblica sempre più sensibile al tema della privacy. Si aprono scenari nuovi e complessi, la normativa potrebbe essere inadeguata a gestire sistemi così invasivi e sicuramente dobbiamo sempre più pensare ai droni come sistemi informatici in movimento con le loro peculiarità e vulnerabilità.
