Il Regolamento “Mezzi Aerei a Pilotaggio Remoto” (il “Regolamento ENAC”), assunto dall’Ente Nazionale per l’Aviazione Civile (“ENAC”), in attuazione dell’art. 743 del Codice della Navigazione con delibera C.d.A. n. 42/2013 del 16 dicembre 2013, costituisce, ad oggi, l’unica disciplina in Italia sull’utilizzo dei droni cosiddetti APR.
Tale disciplina prevede diversi requisiti che devono essere rispettati al fine di poter fare un uso corretto e soprattutto lecito dei droni ed a tale disciplina spetterà regolamentare l’utilizzo, in particolare, dei droni per uso civile, vale a dire quegli APR dotati di microcamere e in grado di inviare in tempo reale, anche agli smartphone, le immagini riprese a distanza ravvicinata.
Prima del regolamento ENAC, è difficile registrare altri interventi del Legislatore Italiano sulla tematica dei droni.
il Regolamento ENAC prevede tutta una serie di regole, calibrate sulla tipologia di aeromobile utilizzato. Più nel dettaglio, il Regolamento ENAC distingue tra sistemi con Aeromobile a Pilotaggio Remoto (“APR”) di massa massima al decollo minore di 25 kg, ovvero con massa al decollo uguale o maggiore di 25 kg.
Con riferimento alla prima ipotesi, per i sistemi APR utilizzati in operazioni di volo non critiche (vale a dire, quelle condotte in uno scenario operativo nel quale, in caso di malfunzionamenti, non si prevedono ragionevolmente danni a terzi) è stato introdotto il concetto di “autocertificazione” – conseguentemente, per tale tipo di operazioni, la responsabilità è lasciata all’operatore che valuta la criticità e l’idoneità del sistema. Le operazioni critiche (vale a dire, il sorvolo di aree congestionate o di infrastrutture industriali) sono invece autorizzate dall’ENAC, sulla base di accertamenti, che tengono conto della complessità del sistema e della criticità degli scenari operativi.
Con riferimento, invece, alla seconda ipotesi è sempre prevista una certificazione del mezzo aereo e una autorizzazione all’operatore aereo, indipendentemente dalla criticità delle operazioni di volo. Per tali mezzi, infatti, si mantiene la stessa tipologia di regolamentazione in uso per gli aeromobili tradizionali, certificazioni di aeronavigabilità e autorizzazione all’impiego.
In ogni caso, i piloti di APR devono essere maggiorenni e devono aver effettuato un programma di addestramento. Con specifico riferimento all’ipotesi di droni con massa al decollo uguale o maggiore di 25 kg, la qualificazione del pilota di un APR è soggetta a riconoscimento da parte dell’ENAC.
Inoltre, per operare i sistemi APR è necessario stipulare un’assicurazione concernente la responsabilità verso i terzi.
Il pilota di un APR deve avere quindi conoscenza delle regole dell’aria applicabili e deve aver conseguito un programma di addestramento. In determinati casi, inoltre, la qualificazione del pilota di un APR è anche soggetta a riconoscimento da parte dell’ENAC.
Ad oggi, in Italia, non esiste ancora una regolamentazione ad hoc che disciplini il trattamento dei dati personali e delle informazioni raccolte mediante l’impiego dei droni. Per di più, non si registrano ancora dei provvedimenti significativi e degni di rilevanza da parte del Garante per la protezione dei dati personali con riferimento a tale tema.
Tuttavia il regolamento non manca di approfondire le questioni legate alla protezione dei dati personali e delle informazioni degli individui eventualmente ripresi dagli UAV. In particolare l’art. 22 – rubricato “Protezione dei dati e privacy” – stabilisce che laddove le operazioni svolte attraverso APR possano comportare un trattamento di dati personali, tale circostanza dovrà essere menzionata nella documentazione sottoposta ai fini del rilascio della pertinente autorizzazione e, in particolare, che il trattamento dei dati personali deve essere effettuato in ogni caso nel rispetto del D. Lgs. n. 196/2003 – il Codice in materia di protezione dei dati personali – “con particolare riguardo all’utilizzo di modalità che permettano di identificare l’interessato solo in caso di necessità ai sensi dell’Art. 3 del Codice, nonché delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante per la protezione dei dati personali”.
Nella relazione annuale sull’attività svolta nel corso del 2013 – a mesi dovremmo avere disponibile anche quella concernente il 2014 – il Garante sottolinea in ogni caso la rilevanza della propria attività a livello internazionale, in particolare a partire da quella svolta dal Gruppo delle Autorità per la privacy europee (c.d. “Gruppo Articolo 29″) riguardo ai numerosi pareri e documenti adottati, fra le altre cose, anche in materia di trattamento dei dati personali svolto per mezzo dell’utilizzo dei droni.
addove le operazioni svolte attraverso un sistema APR possano comportare un trattamento di dati personali, una simile circostanza deve necessariamente essere menzionata nella documentazione che viene sottoposta ai fini del rilascio della pertinente autorizzazione dell’ENAC.
Conseguentemente, qualsiasi trattamento di dati personali dovrà essere effettuato nel rispetto della normativa privacy.
Per tutti gli altri profili diversi dalla protezione dei dati personali, si prevede che debbano essere rispettate, in generale, le regole dell’aria (si veda il “Regolamento dell’ENAC Regole dell’Aria”).
Apparentemente, sembrerebbero non essere previste delle differenze per quanto riguarda l’utilizzo dei droni in ambito pubblico, commerciale o privato.
Al momento, inoltre, sembrerebbe non esserci alcuna specifica previsione normativa riguardo ad eventuali politiche di data retention, ovvero la raccolta automatizzata di dati a vari fini (in particolare attività di supporto ad organi giudiziari investigativi) e, conseguentemente, con riferimento ai dati personali eventualmente raccolti, devono necessariamente applicarsi i principi generali stabiliti dalla normativa sulla protezione dei dati personali.
Sulla base della produzione nazionale regolamentare e normativa rilevante in materia, si può poi evincere una volontà di uniformare la materia a livello europeo. Questa volontà si rileva, per esempio, dalla recentissima “Dichiarazione di Riga” sull’utilizzo dei droni, del 6 marzo 2015, che racchiude i principi e le linee guida alle quali dovranno attenersi le Autorità per l’aviazione civile dei paesi che fanno parte dell’Unione Europea.
Si pensi, poi, proprio al questionario inoltrato al Gruppo Articolo 29 dalla Commissione italiana DG Imprese e Industrie nell’ambito di un progetto volto a integrare tali mezzi nel piano di gestione del traffico aereo europeo (ATM-Air Traffic Management) al fine di aprire un confronto con le autorità di protezione dei dati europee sul tema e alla relativa comunicazione di risposta inviata nel dicembre 2013.
A tal riguardo, nella propria relazione annuale il Garante dà atto del fatto che è stata predisposta ed inviata alla Commissione europea una risposta al questionario sugli aspetti di riservatezza e protezione dei dati correlati all’utilizzo dei droni in ambito pubblico, commerciale e privato inoltrato al Gruppo Articolo 29 nell’ambito di tale progetto. Il Garante, in qualità di rapporteur, ha raccolto le risposte fatte pervenire dalle diverse autorità e ha predisposto la lettera volta a sintetizzarne il contenuto e a richiamare l’attenzione su alcuni aspetti problematici del trattamento dei dati personali (base giuridica, informativa, titolarità del trattamento, etc.) effettuato attraverso i sempre più avanzati sistemi di rilevazione con cui tali mezzi possono essere equipaggiati (microfoni, telecamere ad alta risoluzione e/o per la visione termica notturna, strumenti per intercettare le comunicazioni wireless, etc.).
Non possiamo, dunque, che restare in attesa di una regolamentazione ad hoc che intervenga con specifico riferimento alla tutela dei dati personali e delle informazioni che i droni sarebbero in grado di raccogliere durante il loro utilizzo.