Droni, GDPR e Privacy -3Digital | Droni e Stampanti 3D

Droni, GDPR e Privacy

Guida approfondita su droni, GDPR e privacy. Scopri come implementare una solida strategia di protezione dei dati, che ti consenta di raccogliere dati aerei aderendo al GDPR e rispettando la privacy delle persone.

I droni sono un ottimo strumento di acquisizione dei dati, ma alcune missioni possono suscitare domande o dubbi sulla privacy e sul GDPR.

Quindi, come può la tua organizzazione acquisire le informazioni di cui ha bisogno senza violare i requisiti di protezione dei dati?

Sebbene questo argomento spinoso non debba essere visto come un ostacolo alla costruzione e alla crescita di un programma UAS, è importante garantire che i diritti di protezione dei dati siano rispettati e che eventuali potenziali violazioni siano mitigate.

Ogni volo dovrebbe essere valutato caso per caso, ma un’adeguata pianificazione e sviluppo di governance, supervisione e controlli pertinenti sono una parte fondamentale dello sviluppo di una solida strategia GDPR.

Tale piano prenderà in considerazione aspetti come lo scopo del volo, la posizione e il tipo di sensori utilizzati, mentre i metodi di mitigazione includono l’archiviazione corretta dei dati, la fornitura di informazioni sulla privacy e l’acquisizione solo delle informazioni specifiche di cui hai bisogno.

Questo blog esamina in modo approfondito la privacy e il GDPR, fornisce esempi di scenari specifici e spiega come la tua organizzazione può adottare misure per implementare un protocollo di protezione dei dati, inclusa la creazione di valutazioni d’impatto sulla protezione dei dati.

radiocomando

Privacy e protezione dei dati

Se il tuo drone è dotato di videocamera o dispositivo di ascolto, devi rispettare la privacy delle altre persone ogni volta che li utilizzi.

Dopotutto, la privacy e la protezione dei dati sono due diritti distinti sanciti dal diritto dell’UE all’articolo 7 e all’articolo 8 della Carta dei diritti fondamentali.

Articolo 7 – Il diritto alla riservatezza

Ognuno ha diritto al rispetto della propria vita privata e familiare, della propria casa e delle proprie comunicazioni.

Ciò significa che l’implementazione di sensori di droni in aree che si affacciano sulle case o aree in cui le persone si aspettano di godere della privacy devono essere pianificate attentamente e i rischi mitigati.

Articolo 8 – Diritto alla protezione dei dati

Ogni individuo ha diritto alla protezione dei dati personali che lo riguardano.
Tali dati devono essere trattati in modo corretto per scopi specifici e sulla base del consenso dell’interessato o di un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e il diritto di rettificarli.
Il rispetto di queste regole è soggetto al controllo di un’autorità indipendente

Ciò significa che quando i dati personali di un individuo vivente sono ottenuti e trattati da un’organizzazione, ciò deve essere fatto per scopi specifici con una chiara base giuridica. Questo diritto è reso effettivo attraverso leggi come il Regolamento generale sulla protezione dei dati (GDPR) e il Data Protection Act 2018.

mavic 3

Dati personali

Allora, cosa sono i dati personali?

Il GDPR la definisce come qualsiasi informazione relativa a una persona fisica identificata o identificabile.

Nel contesto dell’uso dei droni, i dati personali includono:

  • Viene registrato un filmato nitido del volto di una persona.
  • Un individuo può essere identificato in un altro modo, ad esempio attraverso la posizione GPS, l’indirizzo visibile, la targa dell’auto e gli oggetti personali, compresi i vestiti.
  • Informazioni sulla vita privata di un individuo.
  • Il comportamento e le caratteristiche corporee vengono rivelati attraverso filmati o immagini.
  • Le registrazioni sono fatte della voce o della conversazione di un individuo.
  • La firma termica di una persona può essere identificata, rivelando il comportamento.
  • Vengono registrate immagini intime che espongono la vita domestica.

È inoltre importante considerare il rischio di acquisire dati di categorie speciali, che:

  • Può rivelare l’origine razziale o etnica; opinioni politiche; credenze religiose o filosofiche; Iscrizione sindacale.
  • Sono dati genetici o dati biometrici.
  • Riguarda la salute di un individuo o la storia o l’orientamento sessuale di un individuo.
mavic 3 enterprise

Considerazioni chiave per la protezione dei dati

Come suggerisce quanto sopra, c’è molto da considerare quando si tratta di destreggiarsi tra l’uso dei droni e la privacy e aderire al GDPR.

Pertanto, la creazione e l’attuazione di una politica di protezione dei dati/privacy è un approccio sfaccettato e ogni caso deve essere giudicato nel merito.

Per molti aspetti, questo flusso di lavoro segue un ciclo di vita in tre fasi:

  1. Acquisizione
  2. Analisi
  3. Azione

Le domande chiave per ciascuna fase sono riportate nella tabella seguente:

Fase del ciclo di vita Problemi da considerare
Acquisizione • Quali tipi di dati raccoglierai e qual è il contesto del volo?
• Quali tipi di sensori stai utilizzando?
• Dove opererai?
• Puoi giustificare che un drone è stata la migliore soluzione di acquisizione dati?
• Come ridurrai al minimo necessario i dati relativi alle persone che acquisirai o eviterai del tutto di acquisire dati relativi alle persone?
Analisi • Come verranno analizzati i dati? Utilizzerai strumenti di intelligenza artificiale come il riconoscimento facciale o il rilevamento di eventi?
• Chi altro potrebbe voler utilizzare questi dati per altri casi d’uso?
Azione • Che cosa verrà fatto in base ai dati raccolti dai sensori montati sui droni? Tale azione influenzerà / avrà un impatto sugli individui?
• Come/quando eliminerai i dati personali che non ti servono più?
• Come manterrai questi dati al sicuro?

In che modo il tuo sensore drone può influire sulla privacy

Comprendere il carico utile del tuo drone e in che modo le sue capacità potrebbero influire sulla privacy e sul GDPR è uno dei fattori chiave per lo sviluppo di una politica a tenuta stagna.

Sapere questo aiuterà a ridurre il rischio di scattare foto, registrare video o catturare parti audio che invadono la privacy o incidono sul GDPR.

Assicurati di conoscere e considerare aspetti come:

  • Quale qualità può registrare la tua fotocamera?
  • La risoluzione della fotocamera è necessaria allo scopo?
  • Fino a che punto può ingrandire la tua fotocamera?
  • Puoi avviare e interrompere la registrazione su richiesta durante un volo?
  • Puoi limitare il campo visivo per ridurre al minimo le aree potenzialmente invasive?
  • Se stai raccogliendo dati termici, ad esempio, la videocamera visiva può essere spenta?

Oltre al carico utile, è anche importante comprendere la durata della batteria e l’autonomia del drone, poiché il drone potrebbe volare in quota o in un raggio di volo che rischia di acquisire più dati personali secondari del previsto. Ciò è particolarmente vero per le operazioni EVLOS/BVLOS, ad esempio se si utilizza il drone DJI Dock in una scatola da remoto e/o oltre la linea visiva.

zenmuse l1

GDPR e privacy: valutazioni basate su scenari

Conoscere le capacità del tuo sensore è importante, ma questo è solo un aspetto della matrice di protezione dei dati/privacy.

Anche la comprensione dello scenario di distribuzione è estremamente rilevante.

Dopotutto, potrebbero esserci circostanze o aspetti dell’uso del drone proposto che non comportano problemi di protezione dei dati o privacy, ma è necessario considerare questo e valutare i problemi e i rischi, per ogni evenienza.

Se i tuoi sensori raccolgono dati che non identificano le persone o invadono la loro privacy, è probabile che non ci siano rischi per la protezione dei dati.

In questo scenario, vale comunque la pena documentare la propria valutazione e il successivo ragionamento per concludere che non vi sono rischi per i dati. Questo dovrebbe essere condiviso con il responsabile della protezione dei dati pertinente, se la tua organizzazione ne ha uno.

Tuttavia, se i tuoi sensori raccoglieranno dati che potrebbero identificare le persone, dovrai condurre una valutazione del rischio basata su scenari per decidere in che modo la missione può essere completata senza problemi o adottare misure per affrontare queste potenziali violazioni. Le strategie di mitigazione saranno discusse più avanti in questo blog.

Questa valutazione dovrebbe seguire un approccio strutturato e metodico, con le politiche, le procedure e le liste di controllo pertinenti che bilanciano i rischi con lo scenario specifico e i metodi di mitigazione.

Le organizzazioni dovrebbero tenere un registro di tutte le attività di trattamento dei dati relative ai droni, compreso lo scopo della raccolta dei dati, le categorie di dati raccolti e le misure adottate per proteggere i dati personali.

Hai bisogno di una DPIA per l’imaging aereo?

Se potenziali problemi di privacy/GDPR vengono segnalati come parte dei preparativi preliminari al volo, è prudente, o addirittura obbligatorio, creare una DPIA (valutazione dell’impatto sulla protezione dei dati).

Una DPIA è un processo che le organizzazioni possono utilizzare per identificare e mitigare i rischi per la protezione dei dati associati a un particolare progetto ed è uno strumento utilizzato per garantire la conformità alle regole del GDPR in materia di protezione dei dati.

Una DPIA in genere:

  • Descrive la natura, l’ambito, il contesto e le finalità del trattamento;
  • Valuta le misure di necessità, proporzionalità e conformità;
  • Identifica e valuta i rischi per le persone;
  • Identifica eventuali misure aggiuntive per mitigare tali rischi.

L’output di una valutazione d’impatto sulla protezione dei dati dovrebbe includere un rapporto che documenti quanto sopra. Questo può essere utilizzato per dimostrare la conformità alle norme GDPR sulla protezione dei dati e per fornire prove di due diligence in caso di un incidente di protezione dei dati.

Ogni DPIA dovrebbe essere salvata per consentirti di utilizzare le DPIA esistenti per lavori futuri implementando salvaguardie predefinite e mitigazioni del rischio – o evidenziando se un nuovo lavoro supera l’ambito delle DPIA esistenti ed è necessario uno nuovo.

Lo sviluppo di una libreria di DPIA può anche migliorare la trasparenza attraverso la pubblicazione di informazioni sulle operazioni pianificate ed è la prova che hai considerato i rischi e stai adottando misure per combattere questi problemi.

È inoltre buona norma condurre una revisione dopo l’azione per identificare eventuali miglioramenti ai processi o salvaguardie che potrebbero essere presi in considerazione.

Per ulteriori informazioni sui DPIA, visitare il sito Web dell’Ufficio del Commissario per le informazioni.

immagine dal drone

Privacy e GDPR: metodi di mitigazione

Se la protezione dei dati è un problema, è fondamentale che vengano messi in atto processi di mitigazione.

Di seguito sono riportati alcuni dei migliori suggerimenti per aiutarti a rimanere dalla parte giusta delle regole sulla privacy/GDPR.

Comprendi il tuo sistema di registrazione

Ne abbiamo già parlato, ma è importante conoscere le capacità del tuo carico utile.

È anche importante poter accendere e spegnere qualsiasi sistema di registrazione, quando appropriato.

A meno che non sia necessario e proporzionato, la registrazione non dovrebbe essere continua.

Limitare la raccolta dei dati: solo dati rilevanti

Le organizzazioni dovrebbero raccogliere solo i dati necessari per lo scopo specifico per il quale viene utilizzato il drone. Ciò include il tipo di dati e la durata per la quale i dati vengono raccolti.

Per limitare i dati, il geofencing potrebbe essere implementato sul drone per garantire che la tecnologia sia limitata a specifiche aree operative.

Memorizzare i dati in modo sicuro e non più del necessario

Garantire che tutti i dati raccolti siano archiviati in modo sicuro e al riparo da accessi non autorizzati, alterazioni o distruzione. Ciò include misure come crittografia, firewall e controlli di accesso.

Conserva i dati per il tempo più breve necessario al suo scopo e smaltiscili in modo appropriato, quando non ne hai più bisogno.

Sii trasparente

Le organizzazioni dovrebbero essere trasparenti riguardo ai dati che raccolgono, elaborano e archiviano e forniscono alle persone informazioni sui loro diritti, incluso il diritto di accedere, rettificare ed eliminare i propri dati personali.

Se un individuo richiede l’accesso ai dati che hai raccolto su di lui utilizzando un drone o se richiede che i dati vengano cancellati, dovrai rispondere alla sua richiesta in conformità con le regole del GDPR.

Ciò potrebbe includere fornire loro una copia dei dati che hai raccolto o garantire che i dati vengano eliminati dai tuoi sistemi in modo tempestivo.

Fornire informazioni sulla privacy

Un problema chiave con l’utilizzo dei droni è che, in molte occasioni, è improbabile che le persone si rendano conto di essere registrate o siano in grado di identificare chi ha il controllo. Se sei un titolare del trattamento, devi affrontare la sfida di fornire informazioni sulla privacy se decidi di acquistare e utilizzare tali sistemi.

La tabella seguente fornisce un riepilogo delle informazioni che è necessario fornire.

Quali informazioni dobbiamo fornire? Dati personali raccolti da individui Dati personali ottenuti da altre fonti
Il nome e i dettagli di contatto della tua organizzazione
Il nome e i dati di contatto del tuo rappresentante
I dettagli di contatto del responsabile della protezione dei dati
Le finalità del trattamento
La base giuridica del trattamento
I legittimi interessi al trattamento
Le categorie di dati personali ottenuti
I destinatari o le categorie di destinatari dei dati personali
I dettagli dei trasferimenti dei dati personali verso eventuali paesi terzi o organizzazioni internazionali
I periodi di conservazione dei dati personali
I diritti a disposizione delle persone rispetto al trattamento
Il diritto di revocare il consenso
Il diritto di proporre reclamo a un’autorità di controllo
La fonte dei dati personali
I dettagli sull’eventuale obbligo legale o contrattuale di fornire i dati personali
I dettagli dell’esistenza di un processo decisionale automatizzato, compresa la profilazione

Devi trovare modi innovativi per fornire queste informazioni alle persone le cui informazioni sono registrate ed essere in grado di giustificare il tuo approccio.

Oppure, se farlo è molto difficile o richiederebbe uno sforzo sproporzionato, documentare queste informazioni in modo che siano prontamente disponibili.

Alcuni esempi potrebbero riguardare:

  • Registrare formalmente il tuo drone presso la Civil Aviation Authority (CAA);
  • Avere un’informativa sulla privacy su un sito Web a cui è possibile indirizzare le persone o qualche altra forma di informativa sulla privacy, in modo che le persone possano accedere a ulteriori informazioni.

Visibilità

Assicurati di essere visto chiaramente quando sei in volo. Ciò significa che le persone sapranno chi è responsabile del tuo drone.

Le persone dovrebbero anche essere consapevoli di chi, quando e come viene utilizzato il drone e per quale scopo. Posizionare la segnaletica nell’area in cui si utilizza un drone che ne spieghi l’uso può aiutare in questo.

Ciò consente loro di adeguare le proprie aspettative sulla privacy, essere preparati e mantenere il controllo sulla propria privacy agendo di conseguenza.

Ove possibile, ottenere il consenso prima di raccogliere dati personali con un drone. Questo può essere fatto attraverso un accordo scritto o verbale.

Sfocatura

Nell’ambito delle procedure operative, tutti i dati identificabili raccolti inavvertitamente, come targhe automobilistiche, numeri civici e volti, devono essere resi anonimi (offuscati) per garantire la conformità al GDPR.

Addestrare il personale

Le organizzazioni dovrebbero garantire che il personale coinvolto nelle operazioni con i droni sia formato sulle leggi e i regolamenti sulla protezione dei dati e su come gestire i dati personali in conformità con tali leggi.

Pensa prima di condividere foto e video

Evita di condividere qualsiasi cosa che potrebbe essere ingiusta o dannosa per chiunque.

Pensa attentamente a chi potrebbe vedere le tue foto e i tuoi video, soprattutto prima di pubblicarli sui social media. Applica lo stesso approccio di buon senso che avresti con immagini o video registrati su uno smartphone o una fotocamera digitale.

Condurre regolari valutazioni del rischio

Le organizzazioni dovrebbero condurre regolari valutazioni del rischio per identificare potenziali vulnerabilità e minacce ai dati personali. Ciò include la valutazione del rischio di violazione dei dati e di accesso non autorizzato.

Agire rapidamente in caso di violazione dei dati

Notifica all’autorità di controllo: in caso di violazione dei dati, le organizzazioni devono informare l’autorità di controllo della violazione dei dati senza indebito ritardo e, ove possibile, non oltre 72 ore dopo esserne venute a conoscenza.

Scenari di esempio del GDPR

Questi esempi sono specifici dello scenario e mostrano le misure adottate per garantire la conformità con potenziali problemi di protezione dei dati.

Esempio Uno

Un geometra utilizza un drone in una zona residenziale per ispezionare i danni a un tetto. Il geometra desidera utilizzare un drone perché le immagini ad alta risoluzione consentono un modo di lavorare più sicuro ed economico.

In linea con i principi della legge sulla protezione dei dati, il geometra effettua una valutazione basata sul rischio prima dell’impiego. Valutano come pilotare il drone in un modo che non pregiudichi i diritti e le libertà delle persone. Per evitare riprese involontarie dei residenti, il geometra inizia a registrare solo in quota e non registra nessun’altra proprietà privata, con particolare attenzione al tetto.

Il geometra garantisce inoltre che, ove possibile, forniscano alle persone collegamenti alle loro informazioni sulla privacy o al sito Web tramite segnaletica temporanea e che tutti gli operatori siano completamente formati e registrati in conformità con i requisiti dell’autorità per l’aviazione civile (CAA).

Esempio due

Un’autorità locale desidera schierare un drone su una località balneare per monitorare le spiagge pubbliche per il movimento della folla e l’abbandono dei rifiuti. Naturalmente, gli eventuali visitatori delle spiagge non possono ragionevolmente aspettarsi di essere registrati, soprattutto se stanno nuotando, prendendo il sole o se sono presenti bambini.

L’autorità locale deve fornire una forte giustificazione per qualsiasi registrazione, basata sulla sensibilità dell’elaborazione. Dovrebbero adottare un approccio basato sul rischio eseguendo una DPIA prima di utilizzare la tecnologia. Ciò contribuirà a valutare la necessità e la proporzionalità.

Se la registrazione avviene in modo conforme ai diritti degli individui e alle regole dell’aviazione, l’autorità locale è tenuta a fornire al pubblico le informazioni appropriate sulla registrazione. Dovrebbero anche includere informazioni su chi è responsabile, come contattarlo e come le persone possono esercitare i propri diritti se necessario.

Esempio tre

È previsto un volo con drone per acquisire riprese video di un evento di sensibilizzazione sui rifiuti della comunità. C’è anche una segnalazione di un focolaio di una specie vegetale invasiva nell’area in cui opererà il drone ed è necessaria un’indagine per valutare l’entità del problema.

Il filmato registrato supporterà quindi gli obiettivi in due categorie di casi d’uso. Tuttavia, l’elaborazione di filmati di persone non sarebbe necessaria per il caso d’uso del monitoraggio ambientale.

Pertanto, l’operazione del drone dovrà essere pianificata per registrare il filmato dell’evento della comunità e quindi eseguire un passaggio di indagine separato con le persone escluse dall’area in cui sta operando il drone.

Esempio Quattro

Viene proposto uno spettacolo di luci utilizzando droni che volano in uno spettacolo di formazione pre-programmato che sarà simile a uno spettacolo pirotecnico. I sensori da utilizzare a tale scopo saranno il GPS e i sensori di controllo del volo e di prossimità dei droni. Non ci saranno sensori ottici distribuiti su questi droni.

La valutazione in questo punto di decisione è che non vi è alcun rischio per la protezione dei dati o la privacy in quanto non vengono utilizzati sensori ottici. Questo è documentato come parte della pianificazione per l’esposizione e una copia viene inviata al responsabile della protezione dei dati dell’autorità locale per riferimento.

Riepilogo

La privacy e la protezione dei dati non dovrebbero far deragliare le operazioni dei droni, ma sono questioni serie che devono essere prese in considerazione.

È assolutamente essenziale che i droni e i loro sensori siano utilizzati in modo responsabile e che i dati successivi siano gestiti in modo corretto e proporzionato.

L’integrazione efficace ed efficiente delle politiche di protezione dei dati richiede un approccio strategico e strutturato attraverso un’adeguata pianificazione e sviluppo per garantire che siano in atto procedure per mitigare eventuali rischi e rispettare i diritti di protezione dei dati.

Essere proattivi piuttosto che reattivi, anticipando e prevenendo gli eventi invasivi prima che si verifichino, è un buon approccio da adottare.

Avere queste solide procedure in atto garantisce che il tuo programma di droni possa prosperare e che tu possa raccogliere i dati di cui hai bisogno, agendo in modo responsabile, legale e conforme.

Torna al blog
Davide De Zan
CEO
3digital.tech

CEO di 3Digital