Svolazzano sulle teste dei bagnanti pronti a carpirne la temperatura e a monitorare eventuali assembramenti: questa estate diverse PA si sono dotate di droni nell’ambito del contrasto alla pandemia, ma potrebbero non aver considerato i risvolti privacy di queste attività e le possibili violazioni al GDPR. Il Garante per la privacy ha aperto tre nuove istruttorie nei confronti di pubbliche amministrazioni, allo scopo di ottenere delle informazioni sull’utilizzo di droni per il monitoraggio del territorio ed il controllo del rispetto delle misure anti-contagio da Covid-19.
Ciò che il Garante teme è che il ricorso a questi strumenti possa risultare eccessivamente lesivo per la riservatezza dei cittadini ripresi, creando un pericoloso sbilanciamento tra l’interesse perseguito dalle Amministrazioni e i diritti fondamentali degli interessati.
Indice degli argomenti
Droni anti-assembramento a Bari
La prima richiesta di informazioni è stata inoltrata al Comune di Bari, al fine di accertare la correttezza del trattamento dati effettuato tramite droni. Secondo le notizie riportate dai comunicati dell’Ente, infatti, sarà istituita una flotta di droni dedicata al monitoraggio di “eventuali assembramenti incompatibili con le limitazioni dovute alla gestione della pandemia da Covid”.
A dimostrazione della conformità di detto trattamento con le disposizioni comunitarie e nazionali, si richiede al Comune di specificare:
- le caratteristiche tecniche dei droni;
- le finalità perseguite dall’Ente;
- i tempi di conservazione delle immagini;
- le comunicazioni dei dati svolte nei confronti dei soggetti terzi;
inoltrando anche copia dell’eventuale valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 GDPR, o, viceversa, specificando per quali motivi abbiano ritenuto di non doverla effettuare.
L’iniziativa intrapresa dal Comune di Bari si colloca all’interno di un progetto più ampio che mira all’utilizzo dei droni per la sorveglianza delle spiagge, e vede coinvolta anche la Polizia Locale della città di Bari, in collaborazione con il Distretto Tecnologico Aerospaziale. Secondo il programma Bari Smart City, l’integrazione dei droni fra gli strumenti tecnologici in uso al Comune permetterà, secondo le Amministrazioni coinvolte, di potenziare le attività di monitoraggio e sorveglianza, anche con riferimento al rispetto delle limitazioni previste dalla normativa emergenziale.
Il controllo del territorio su Roma Capitale
La seconda istruttoria è stata aperta dal Garante nei confronti di Roma Capitale: oggetto della stessa è l’utilizzo, a partire dal prossimo autunno, di 9 droni per il monitoraggio ed il controllo del territorio cittadino. L’obiettivo perseguito dalla Polizia locale di Roma è quello di rafforzare il servizio di vigilanza del territorio, nell’ottica di contrastare fenomeni irregolari, come insediamenti abusivi, discariche illegali, illeciti ambientali, toghi tossici, abusi edilizi, e perfino esigenze di traffico.
Virginia Raggi, sindaco di Roma Capitale, ha affermato, nel corso dell’evento durante il quale il nuovo servizio è stato presentato, che si tratta di “Un nuovo progetto che serve a stare sempre più vicino al territorio e fa parte di nuove progettualità che stiamo portando avanti per consentirci di avere sempre più occhi sulla Capitale”. Il comandante Angeloni ha anche dichiarato che sono state acquistate “10 unità, nove più semplici da usare, che ci consentiranno di vedere dall’alto, e una con la telecamera a infrarossi. Tutto questo ci renderà molto più veloci nell’operare”.
Scopo dell’istruttoria è quello di verificare quale possa essere l’impatto di questo trattamento sugli interessati, oltre al rispetto, nel processo di creazione del trattamento, della normativa privacy vigente. Il termine concesso all’Ente per fornire le informazioni richieste (le medesime richieste al Comune di Bari) è di 20 giorni.
Controlli anti-Covid sulle spiagge
La terza ed ultima richiesta di informazioni, invece, è rivolta all’Azienda Usl Roma 3, in relazione all’iniziativa originariamente programmata per il 4 e il 5 settembre sulle spiagge di Ostia. L’obiettivo dell’iniziativa è quello, tramite un drone, di rilevare la temperatura corporea di tutte le persone presenti in spiaggia, al fine di prevenire il contagio da Covid-19 e monitorare il manifestarsi dei sintomi della malattia.
Il comunicato diffuso dall’Ente indica, infatti, che “il drone viaggerà a un’altezza non inferiore a 25 metri dal livello dell’acqua e a una distanza non inferiore a 30 metri dalle persone. Il controllo delle temperature avverrà in modo automatico da parte del dispositivo Ostia sulla spiaggia”.
Sul punto, ritenuta l’estrema delicatezza dei dati personali oggetto del trattamento e mancando qualsiasi informazione in merito alle concrete modalità e specifiche tecniche tramite cui il trattamento medesimo sarà posto in essere, il Garante ha richiesto all’AUSL Roma 3 di chiarire, in un termine di 7 giorni:
- quale sia la base giuridica che legittima il trattamento;
- chi è il titolare dei dati dei soggetti sottoposti alla rilevazione della temperatura corporea;
- le finalità della rilevazione;
- il grado di affidabilità degli strumenti utilizzati;
- le conseguenze che possono derivare all’interessato nel caso in cui la temperatura monitorata fosse superiore a quella fisiologica;
- le informazioni rese agli interessati;
- le modalità di informazione degli interessati.
Droni e privacy: un binomio delicato
Sebbene l’utilizzo dei droni sia sempre più diffuso, anche in ambito ricreativo, occorre prestare moltissima attenzione ai trattamenti posti in essere per mezzo di tali mezzi, facendo questi ultimi inevitabilmente emergere numerose problematiche, connesse anche alla cattura “involontaria” di informazioni ultronee rispetto a quelle specifiche delle finalità che si intende perseguire. Sul punto, il Garante Privacy Spagnolo ha precisato che è compito del titolare, quando tratta dati personali mediante l’utilizzo di droni, porre in essere le seguenti azioni preliminari:
- verificare che la normativa nazionale consenta l’uso dei droni e, ove si renda necessario, richiedere l’autorizzazione alle autorità competenti (in Italia, trattasi di ENAC). Viceversa, se le modalità di funzionamento del drone sono contrarie alla normativa vigente, il trattamento sarà da ritenersi illegittimo per violazione del principio di liceità del trattamento di cui all’Art. 5 GDPR;
- accertarsi che il trattamento sia fondato su una base giuridica lecita, ai sensi dell’art. 6 GDPR (e 9 GDPR, nel caso in cui siano trattati anche dati c.d. particolari, come i dati relativi allo stato di salute;
- prima di iniziare l’attività di trattamento dati, analizzare la necessità di effettuare una valutazione di impatto sulla protezione dei dati, o DPIA (Art. 35 GDPR);
- se il trattamento rientra nelle ipotesi di cui all’art. 35 GDPR, o nell’elenco di trattamenti da sottoporre a valutazione d’impatto previsto dal Garante Privacy, sarà necessario svolgerla secondo le indicazioni fornite dalla normativa e dalle autorità sul tema. La DPIA, date le peculiarità dei trattamenti svolti mediante l’utilizzo di droni, dovrebbe comunque essere eseguita per buona prassi, anche nel caso in cui non siano sussistenti i requisiti di legge, o, quantomeno, dovrebbe essere svolta un’analisi dei rischi connessi al trattamento, per poter dimostrare la coerenza tra questi ultimi e le misure di sicurezza adottate ai sensi dell’art. 32 GDPR;
- se necessario, attivare il meccanismo di consultazione preventiva dell’Autorità Garante di cui all’art. 36 GDPR.
Tali requisiti non possono venir meno neppure nel caso in cui siano le forze dell’ordine a fare uso dei droni per perseguire finalità connesse alla sicurezza pubblica.
Droni e privacy, il provvedimento della CNIL
Nei mesi scorsi, infatti, il Garante Francese CNIL ha impedito alla polizia francese di far uso di droni dotati di sistemi di videoregistrazione per monitorare il rispetto delle misure restrittive anti-contagio o lo svolgimento in sicurezza delle manifestazioni, affermando che, allo stato, non sussiste un’idonea base legale che ne permetta l’utilizzo per tali finalità.
Il provvedimento sanzionatorio del CNIL traeva origine da un’indagine iniziata nel 2020, dalla quale emergeva che i droni utilizzati per compiere delle riprese nel corso del lockdown non erano dotati di idonei meccanismi di offuscamento dei volti, in violazione delle norme nazionali sulla privacy. Tramite le riprese effettuate, infatti, era possibile identificare chiaramente i cittadini.
Non solo: risultava del tutto mancante un’informazione chiara e trasparente nei confronti dei cittadini sull’effettivo impiego dei droni per le finalità di sicurezza pubblica ed il contenimento del contagio. Ciò ha reso illegittimo il trattamento e ha, poi, condotto all’erogazione di una sanzione da parte dell’Autorità nei confronti del Ministero dell’Interno.