L’uso dei droni nelle attività di sicurezza
Lo scorso mese abbiamo affrontato un argomento decisamente interessante in tema di Sicurezza: la videosorveglianza applicata alle attività di polizia. In questo numero di ottobre, stimolato dagli interessanti articoli tematici letti nel corso del 2016 proprio sul nostro magazine, cercheremo di analizzare, sempre in ambito della cd videosorveglianza avanzata applicata nella sicurezza istituzionale (prevenzione e investigazioni) e privata (vigilanza e tutela dei beni), l’impiego dei SARP (sistemi di aeromobili a pilotaggio remoto, altrimenti chiamati droni) quale tecnologia particolarmente dinamica.
Questi nuovi sistemi proiettati nella sicurezza (intesa come security e safety), rappresentano una di quelle mutazioni tecnologiche destinate a modificare l’orientamento nell’uso dei sistemi di videosorveglianza cd evoluta , e che pone interessanti e specifici interrogativi nei domini safety (sicurezza del volo), della security (uso in azioni criminogene), e della privacy (impatto sul trattamento e conservazione dei dati raccolti).
Il termine Drone altro non è che l’accezione comune, un modo forse impreciso nel comune uso moderno, per definire etimologicamente una speciale categoria di oggetti destinati al volo (un settore innovativo dell’aviazione), quali sono gli aeromobili a pilotaggio remoto (APR). In Italia, come nel resto del mondo, la diffusione di questi nuovi strumenti ha prodotto diverse preoccupazioni nelle istituzioni, soprattutto sotto il profilo della sicurezza nella sfera privacy.
Oggigiorno sono attivi sul mercato diversi sistemi che vengono costantemente utilizzati nell’ambito della sicurezza privata, operati prettamente dagli istituti di vigilanza privata (IVP): tali complessi di ripresa e di verifica remota, applicati alla security, rappresentano performanti sistemi aerei telecomandati, generalmente di piccole dimensioni, ma che sotto il profilo giuridico sono assimilati agli aeromodelli. Infatti, nel futuro scenario normativo raffigurato dall’authority europea, verrà finalmente messo ordine tra aeromodelli e SAPR: sinora, con il regolamento ENAC, gli aeromodelli erano i droni utilizzati per scopi ludico, mentre SAPR erano i droni operati per qualunque altra funzione/operazione di tipo professionale (sicurezza pubblica e privata). Invero, con il nuovo regolamento europeo dal 2018 aeromodelli e droni saranno classificati univocamente sotto la sigla UA: Unmanned Aircraft.
Nel futuro, dunque, questi sistemi saranno sempre più dotati, in ambito sicurezza, di tecnologie video altamente performanti, che avranno come diretta conseguenza un sempre più invasivo impatto sulla sfera della privacy personale: è necessariamente obbligatorio considerare questa problematica quando si operano tali sistemi nella security privata a impatto pubblico, perché sarà semplice sorvolare e filmare con un drone edifici, uffici, luoghi pubblici e privati; inoltre, le riprese video possono essere effettuate all’insaputa delle persone interessate, come non sempre sarà possibile identificare il soggetto che piloterà il drone.
E le immagini riprese e trasmesse a terra con i SAPR? Altra grossa problematica, visto che tali azioni di trasferimento possono essere facilmente hackerate, sottratte, ritrasmesse in rete, sul web, e ciò rende ancor più spinosa (rilevanza penale e civile) la questione della protezione e del trattamento dei dati personali (le immagini video sono dati personali!!); nell’impiego dei droni muniti di videocamera, l’aspetto della protezione dei dati dovrebbe essere esaminato con molta più attenzione dall’autorità Garante, ad esempio: emanando un apposito provvedimento settoriale, come accade per altri ambiti disciplinati dall’autorità.
Del resto, come osservato dagli studiosi Bauman Z.- Lyon D. in “Sesto potere: La sorveglianza nella modernità liquida”, la nuova generazione dei droni resterà invisibile ma renderà visibile tutto il resto!
In Italia l’impatto di settore e il rapporto conflittuale che si genera tra privacy, security, safety con questi sistemi, è stato già oggetto di dibattito e regolamentazione. Il Garante Soro, durante la riunione del WP art.29 in argomento, affermava: la sola ampiezza delle applicazioni oggi note, dalla ricognizione di aree impervie alle riprese di eventi o manifestazioni, dal monitoraggio di aree urbane alla verifica di impianti e strutture complesse fino agli usi amatoriali o ricreativi, dà bene l’idea di quali possono essere i potenziali rischi per la privacy delle persone.
Il Garante solleva un pesante e condivisibile interrogativo: l’etica! Un aspetto sempre delicato nel considerare e valutare le azioni dell’uomo che abbiano impatto sulla vita privata dei singoli e ne condizionino o limitino in modo diverso, diritti e relazioni sociali.
E’ proprio da queste autorevoli considerazioni, ENAC (Ente Nazionale Aviazione Civile), con un regolamento di settore (redatto con la collaborazione del Garante) emanato nella 1^ ed. del 16 dicembre 2013, modificato poi nella 2^ ed. del 16 luglio 2015, disciplinava l’uso di questi dispositivi a livello operativo, e nell’impatto generato soprattutto nel perimetro della privacy.
Nell’art 34 del regolamento ENAC è previsto che nel caso in cui le operazioni svolte attraverso un sistema drone comportino un trattamento di dati personali, tale circostanza deve essere menzionata nella documentazione sottoposta ai fini del rilascio della pertinente autorizzazione” e “Il trattamento dei dati personali deve essere effettuato in ogni caso nel rispetto del D.Lgs 196/2003.
Peraltro, il sorvolo di aree affollate e manifestazioni, costituisce un forte impatto privacy e di sicurezza (security e safety), rappresenta infatti, secondo l’ente aeronautico, un’operazione critica che comporta una serie di adempimenti e attestazioni specifici a presidio del volo, della sicurezza e della serietà dell’operatore. La diversità degli attori (produttori, committenti, piloti droni) che utilizzano questi sistemi poteva costituire un fattore di rischio per la sicurezza dei dati personali, e di incertezza per gli operatori stessi, infatti, il regolamento prescrive a riguardo: il profilo della protezione dei dati personali e della privacy deve essere previsto nei contratti e accordi fra operatori dei SAPR e i committenti.
Da queste prescrizioni emerge chiaro un fatto: andrà definito un corretto equilibrio tra le necessità della sicurezza da un lato, e il diritto alla protezione dei dati personali e della sfera privacy dall’altro: le aziende produttrici dovranno applicare sempre, ai loro prodotti, l’inviolabile principio di privacy by default; ai titolari e responsabili spetterà l’obbligo delle finalità e le modalità del trattamento dei dati, individuando gli incaricati che accederanno ai dati e alle immagini, quali policy attuare per la conservazione delle immagini, quali le misure di sistema a protezione dei dati stessi, dunque di privacy by design. Ricordiamo anche, che i droni sono dotati di funzione FPV (first person view): la capacità di vedere e ascoltare in tempo reale (oltre la visione a posteriori) le immagini e i suoni ripresi durante il volo (volti, suoni, targhe auto, etc), attraverso tecnologie sempre più spinte (microfoni, sensori Full HD, jammers, intercettazioni wireless, etc, elettroniche con cui tali mezzi possono essere equipaggiati), tutte operazioni fortemente invasive della riservatezza e privacy personale, e che denotano ancor meglio il reale impatto sui dati personali.
Un altro adempimento da tenere nella massima considerazione è il principio della Data Privacy Impact Assessment (DPIA); valutazione preventiva che permetterà di acquisire le necessarie conoscenze sulle misure, sulle garanzie e sui meccanismi previsti per valutare e mitigare le possibili fonti di rischio (analisi del rischio safety e privacy), assicurando nel contempo la conformità del trattamento agli standard normativi, di ENAC e del Garante per la protezione dei dati personali. Tema questo sperimentato a Torino nell’ultimo anno dalla TIM, telco tecnologicamente impegnata nel settore della sicurezza e comunicazioni 5G dei dati personali, tanto in chiave end to end, che in modalità cloud, sperimentazione che sta avvenendo proprio nel settore del governo e della interconnessione dei droni ai device mobili.
Peraltro, e proprio a Torino, è stato sviluppato un progetto pilota, coordinato dal dipartimento di ingegneria meccanica del Politecnico, dove l’uso dei SAPR è risultato un valido complemento alle operazioni di polizia giudiziaria per combattere lo spaccio di droga, permettendo di scovare i nascondigli degli spacciatori anche in ambienti molto piccoli e insospettabili. Restano invece ancora dei dubbi sull’uso dei sistemi droni da parte degli operatori della security privata (IVP certificati ai sensi del DM 269/2010, DM 115/2014 e disciplinare Capo della Polizia del febbraio 2015), in seno alle ripercussioni per la privacy e per la sicurezza che l’utilizzo di tali sistemi comporta nel settore, se non attentamente monitorato dalle istituzioni preposte. IVP che hanno ricevuto in sussidiarietà dallo Stato taluni servizi di sicurezza, ancora oggi stentano nel diventare compiutamente compliance.
L’impiego dei SAPR nelle attività di vigilanza privata per mezzo di GPG (l’impiego militare e/o intelligence, o in attività di polizia viene esercitato nel legittimo dominio istituzionale e incardinato nelle normative vigenti), sta ponendo una questione etica che assume una rilevanza impellente; come già visto, i droni sono strumenti invasivi, persistenti, subdoli, tecnologicamente performanti in quanto a sensoristica imbarcata, altamente lesiva della sfera privacy dei cittadini e dei singoli. Tutto ciò pone tale attività in un ottica più preoccupante di quella esercitata, in maniera legittima, dallo Stato, anche perché oggettivamente rappresenta un esercizio meno governabile: parliamo di macchine piccole, di basso peso, occultabili, agili ed efficienti che possono spiare in modo continuativo una persona, un’azienda, un’organizzazione, una installazione sensibile, una infrastruttura critica.
In ultima analisi: come ci si pone con gli adempimenti previsti dal Codice della Privacy?
Ad esempio:
- con i sistemi SAPR come si soddisfa l’onere della attività informativa prevista dall’art. 13 del Codice, per tutelare la persona sottoposta ad attività di videosorveglianza, impropriamente esercitata con il mezzo mobile?
- La ripresa video effettuata con un drone, deve essere la più stretta e meno definita possibile (uso improprio di ottiche e risoluzioni eccedenti e non pertinenti) e circoscritta alle sole aree interessate?
- Deve avvenire con gli stessi criteri tecnico-normativi applicabili ai sistemi di videosorveglianza di tipo Tvcc fissa, o è permessa una area più ampia?
- Chi è il titolare/responsabile del trattamento dei dati?
- Gli stessi operatori e proprietari dei sistemi SAPR?
- O saranno dei semplici responsabili esterni del trattamento dei dati, nominati dal titolare/responsabile committente?
- E se fossero dei semplici incaricati del trattamento?
Non va dimenticato che nell’ambito della normale attività di videosorveglianza prevista dal TULPS (servizi di teleallarme e televigilanza) gestita dagli IVP, il titolare dello stesso viene nominato responsabile esterno del trattamento dei dati, e le GPG che gestiscono nelle sale operative i sistemi di sicurezza video, nominati incaricati del trattamento, dal momento che non rivestono la funzione statuale di pubblico ufficiale, ma quella di semplice incaricato di pubblico servizio.
L’adozione delle misure di sicurezza si è dimostrata, ad oggi, una congenita carenza che molti droni hanno già di default, per un semplice quanto pericoloso stratagemma tecnico: per alleggerire il peso del drone, con conseguente aumento della autonomia oraria operativa, i costruttori muniscono i sistemi di una leggerissima card tipo SD, evitando la dotazione dell’apparato radio, più pesante e dal consumo energetico rilevante, per la trasmissione in remoto delle immagini. Risulta chiaro come le misure minime di sicurezza (all. B del Codice) in materia di protezione del dato, vengono di fatto azzerate: cosa accadrebbe se il drone fosse perso? Dove e in quale mani finirebbero i dati personali? Dilemma da non sottovalutare perché penalmente sanzionato dalle norme, anche alla luce delle recenti sperimentazioni della sempre attiva polizia di stato olandese: i loro specialisti sperimentano da tempo l’addestramento e l’uso dei rapaci per abbattere e catturare i droni usati illegalmente.
In conclusione: come analizzato sin ora, le infinite applicazioni di questo rivoluzionario strumento aereo impongono rigorose e puntuali analisi, volte a garantire un ordinato sviluppo operativo del settore, la tutela della sfera privata e della protezione dei dati personali, come la sicurezza collettiva; è ormai necessario un approccio alla materia di tipo etico, culturale e normativo. Non va inoltre dimenticato, viste le molteplicità di impiego, che gli operatori dei droni, attualmente, non appartengono a determinati specifici settori professionali, ma si autogovernano!
Dunque: l’etica, concetto fondante di ogni attività umana, deve sempre garantire un impiego dei sistemi che, a prescindere dalle norme, conformi in maniera simmetrica diverse esigenze, tanto collettive quanto individuali, nel rispetto dei diritti inviolabili della persona, universalmente riconosciuti; la cultura concorre ad acquisire la conoscenza, la consapevolezza, principalmente di costituzione tecnica, delle capacità e dei rischi connessi all’impiego dei sistemi SAPR; infine, la normativa rappresenta la funzione pubblica (garanzie e sanzioni) di un complesso di regole, disposizioni e principi, fondamentali per operare un settore secondo i principi costituzionalmente garantiti e inalienabili, agendo sempre privilegiando l’aspetto preventivo, piuttosto che repressivo.
Sitografia e bibliografia consultata
- https://www.easa.europa.eu/system/files/dfu/NPA%202017-05%20%28A%29.pdf
- http://www.corrierecomunicazioni.it/
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4049731
- https://www.dronezine.it/
- Califano L.(2013) rivista Democrazia e sicurezza, anno III n. 3
A cura di: Giovanni Villarosa
Giovanni Villarosa, laureato in scienze della sicurezza e intelligence, senior security manager, con estensione al DM 269/2010, master STE-SDI in sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence.