La CyberSecurity per i Droni – Contesto legislativo
Introduzione
Il contesto legislativo della Commissione europea è incentrato sui droni aerei a pilotaggio remoto, mentre nel Parere 01/2015 non viene fatta alcuna distinzione tra i sistemi aerei senza equipaggio pienamente autonomi, da un lato, e non autonomi, dall’altro, dato che tale aspetto è irrilevante per le questioni in materia di protezione dei dati derivanti dall’uso di questo tipo di tecnologie.
Gli orientamenti si applicano, con i necessari adattamenti, al trattamento dei dati mediante l’uso di qualsivoglia veicolo aereo (con o senza equipaggio, aeronautico o spaziale) per operazioni civili.
Il gruppo di lavoro ritiene estremamente importante introdurre un quadro appropriato a livello nazionale (qualora non già in atto), volto a garantire che l’uso dei droni per finalità strettamente personali e ricreative e a fini giornalistici non incida sui diritti fondamentali alla vita privata o alla confidenzialità delle comunicazioni e ad assicurare il rispetto di una ragionevole aspettativa di tutela della vita privata anche in caso di raccolta di dati personali effettuata in luoghi pubblici.
Parere 01/2015 sulle questioni riguardanti il rispetto della vita privata e la protezione dei dati connesse all’uso di droni
Il Gruppo di lavoro Articolo 29 raccomanda l’adozione di misure in materia di tutela della vita privata fin dalla progettazione (privacy by design) e per impostazione predefinita di tutela della vita privata (privacy by default) e ritiene la valutazione d’impatto sulla protezione dei dati uno strumento appropriato per valutare gli effetti dell’applicazione della tecnologia dei droni sul diritto alla vita privata e alla protezione dei dati. Inoltre, al fine di sensibilizzare gli utenti, viene proposta una raccomandazione specifica per i produttori di droni affinché forniscano all’interno della confezione (ad esempio, nelle istruzioni per l’uso) informazioni sufficienti sulla potenziale natura intrusiva di queste tecnologie e, ove possibile, mappe che specifichino chiaramente le aree in cui è consentito l’uso.
Punti essenziali
Conformemente all’articolo 17 della direttiva, i responsabili e gli incaricati del trattamento devono attuare, laddove applicabili, misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati. Tale disposizione si applica altresì agli attacchi elettronici e informatici (ovvero, la manomissione a distanza del dispositivo, per averne il controllo completo o parziale oppure per avere accesso ai sensori o ai dati conservati).
Tale protezione deve essere garantita anche per la fase di trasmissione dei dati personali dal drone alla stazione di base. Si raccomanda ai progettisti di droni e di apparecchi ideati per essere assemblati al drone di collaborare con esperti competenti in materia di sicurezza, al fine di garantire che le vulnerabilità per la sicurezza siano debitamente prese in considerazione.
Inoltre, i dati personali trattati per mezzo dei droni non possono essere conservati per un periodo superiore a quanto necessario per le finalità del trattamento. Per i dati non connessi a denunce o altre questioni, deve essere garantita l’immediata eliminazione o anonimizzazione.
Si raccomanda di integrare termini per la conservazione e l’eliminazione dei dati. I dispositivi montati sui droni devono pertanto essere progettati in modo tale da permettere di fissare un periodo definito di conservazione dei dati personali raccolti e, di conseguenza, la soppressione automatica periodica dei dati personali non più necessari, a seconda dei termini di cancellazione.
Riguardo a tutti questi aspetti, il gruppo di lavoro desidera richiamare l’attenzione dei controllori sui punti che sono stati dettagliati nella figura seguente.
Conclusioni
Per quanto riguarda le informazioni raccolte per mezzo dei droni è importante precisare quali siano i dati che vengono raccolti, dagli stessi; infatti, questi sistemi arei a pilotaggio remoto hanno capacità di raccogliere infiniti dati grazie alle loro potenzialità̀ di muoversi nello spazio anche in poco tempo e catturando allo stesso tempo immagini, informazioni e dati.
Concludendo, i responsabili e gli incaricati del trattamento devono attuare, laddove applicabili, misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dai vari rischi descritti precedentemente.
Articolo a cura di Domenico Raguseo, Rosita Galiandro, Giuseppe Marullo e Antonio De Chirico