EPIDEMIA E PRIVACY
IL MONITORAGGIO DEL TERRITORIO TRAMITE DRONI

Nel corso dell’attuale grave emergenza epidemiologica abbiamo avuto un susseguirsi di misure limitative di molti diritti fondamentali; misure adottate, inizialmente, con provvedimenti emessi da vari organi quindi introdotte e regolate nell’immediato con norme di vario rango, ma riconducibili tutte all’unica finalità di tutela della salute pubblica.
Uno dei diritti fondamentali sui quali si è inciso è il diritto di ognuno alla protezione dei propri dati personali, nostro diritto fondamentale di “libertà” riconosciuto nella Carta di Nizza, che lo ha cristallizzato quindi tra i diritti fondamentali dei cittadini dell’Unione Europea.
Nel disporre ed attuare le misure di contenimento e contrasto al contagio da Covid-19 si sono dovute applicare alcune deroghe a quello che è il regime ordinario di gestione dei dati personali ma non si deve ritenere la normativa emergenziale dell’ultimo periodo, per ciò solo, in contrasto con il corpus iuris della nostra normativa Privacy né con quella comunitaria.
Analizzando per gradi il fenomeno, il primo intervento è stato quello della delibera del Consiglio dei Ministri del 31 gennaio 2020 che ha dichiarato lo “stato di emergenza” per l’epidemia in atto;  a questa è seguita un’ordinanza ex art. 25 del Codice della Protezione Civile (D.L. 59/2012), ovvero un provvedimento per la gestione delle emergenze di rilievo nazionale, contemplato nel comma 1 del citato art. 25 del Codice della Protezione Civile che testualmente dispone “per il coordinamento dell’attuazione degli interventi da effettuare durante lo stato di emergenza di rilievo nazionale si provvede mediante ordinanze di protezione civile, da adottarsi in deroga ad ogni disposizione vigente, nei limiti e con le modalità indicati nella deliberazione dello stato di emergenza e nel rispetto dei principi generali dell’ordinamento giuridico e delle norme dell’Unione Europea. Le ordinanze sono emanate acquisita l'intesa delle Regioni e Province autonome territorialmente interessate e, ove rechino deroghe alle leggi vigenti, devono contenere l'indicazione delle principali norme a cui si intende derogare e devono essere specificamente motivate. (..)”
L’ordinanza del Capo del Dipartimento della Protezione Civile, la n. 630, è stata emessa in data 3 febbraio 2020, e con essa, seppur genericamente, si sono gettate le fondamenta della base giuridica del c.d. “diritto privacy temperato” in periodo emergenziale.
Sull’opportunità e valenza di questa ordinanza si era già positivamente  espresso il Garante Privacy con il parere reso in data 2 febbraio 2020 sulla bozza sottoposta al suo esame (parere  9265883).
Si rendeva però indispensabile validare con una norma di rango legislativo l’introduzione delle dette deroghe, ciò è avvenuto con il successivo D.L. 14/2020 emesso in data 9 marzo 2020 che nell’art. 14   - Disposizioni  sul  trattamento  dei  dati  personali   nel   contesto  emergenziale    - ha ripreso le disposizioni dell’ordinanza della Protezione Civile del 3 febbraio e fornito la base giuridica alle semplificazioni e limitazioni al regime ordinario del trattamento dei dati personali.
Nel citato art. 14 del D.L. 14/2020 vengono pertanto introdotte formalmente alcune semplificazioni che attengono, alla omissione o formulazione orale delle informative agli interessati,  alla semplificazione del modo in cui devono essere rese le istruzioni agli autorizzati al trattamento dei dati.
E’ previsto espressamente il potere di trattare dati personali, anche sensibili o giudiziari, da parte dei soggetti operanti nel sistema di protezione civile, operanti negli uffici del Ministero della salute e  dell'Istituto  Superiore  di Sanità, nelle strutture pubbliche e private che operano nell'ambito del Servizio Sanitario Nazionale nonché dei soggetti deputati a monitorare  e  a garantire l'esecuzione delle misure di contenimento del virus nei limiti di quanto necessario e indispensabile per la finalità di contrasto all’epidemia e di relativa prevenzione ed assistenza sanitaria.
Vengono quindi introdotte importanti limitazioni ai diritti degli interessati pur ribadendo il disposto per cui ciò avvenga, comunque, nel rispetto dei principi fondamentali di cui all’art. 5 del GDPR (in particolare dei criteri  della necessità, proporzionalità e adeguatezza).
Bisogna rilevare che tali limitazioni sono espressamente previste, per contingenze straordinarie, nello stesso Regolamento UE 679/2018 (GDPR) che dedica il suo art. 23 proprio alla previsione delle “limitazioni” e ove si legge che sia l’Unione Europea sia il singolo Stato membro può “limitare, mediante misure legislative, la portata degli obblighi e dei diritti” di cui alle previsioni contenute in vari articoli dello stesso Regolamento (12-22 diritti degli interessati, e 34 comunicazione agli interessati in caso di “data breach”), salvaguardando però “l’essenza dei diritti e delle libertà fondamentali” e solo “se sia una misura necessaria e proporzionata in una società democratica per salvaguardare” la tutela di beni ritenuti di superiore interesse pubblico, quale è, espressamente elencato tra gli altri, il bene della Salute Pubblica.
Il Considerando 46 del GDPR, ulteriormente chiarendo la ratio della disposizione normativa, ricorda che “alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”.
Deroghe sono previste, inoltre, dall’art. 15 della Direttiva ePrivacy 2002/58/CE, in materia di tutela della vita privata e della riservatezza nelle comunicazioni elettroniche. 
E’ sempre stato sottolineato dai Maestri della materia che il diritto alla privacy è un diritto in un certo senso “elastico” che subisce il bilanciamento con altri diritti, di altri privati, di Istituzioni, dell’intera Comunità.
Allo stesso modo unanimemente si ritiene debba però essere salvaguardato il nucleo, l’essenza dei diritti fondamentali alla protezione dei dati personali.
Doverose sono le misure emergenziali di contrasto alla epidemia ma altrettanto doveroso è adoperarsi senza improvvisazioni ma nel tracciato del diritto, con il rispetto dei principi di proporzionalità, adeguatezza e solo nei limiti della assoluta necessità.
E’ per questo che anche il DL 19/2020, intervenuto per regolamentare in maniera organica la materia delle misure restrittive per il contenimento del virus (incidendo su libertà individuali e diritti fondamentali) ha fatto espresso richiamo a tali principi nell’art. 1.
Deve quindi essere mantenuto il rispetto dei principi generali della normativa privacy, adottati e descritti nel Regolamento 2016/679/UE (GDPR).
Le deroghe devono essere temporanee e, cosa di non poco conto, le “limitazioni” dei diritti dell’interessato, nei termini sopra chiariti, devono essere adottate mediante apposite “misure legislative”,  che dovranno anche contenere le indicazioni sui tempi della situazione emergenziale e sul ripristino, al termine di tale periodo, dello status quo ante; precise indicazioni quindi per il ritorno al regime normativo ordinario previsto dall’ordinamento giuridico.
Questa disposizione sulla necessità dell’introduzione delle deroghe con “misure legislative” è di primaria importanza e sta alimentando in questi giorni un vivace dibattito in dottrina. Autorevoli esperti della materia non ritengono sufficiente il  decreto legge allo scopo di introdurre limitazioni ai diritti degli interessati ritenendo  necessaria una disposizione di legge di rango superiore, adottata ad hoc e che sia esaustiva e specifica nelle disposizioni in quanto in deroga a una legge speciale quale quella della vigente disciplina privacy.
Questo si ritiene doveroso laddove maggiormente siano compressi i diritti degli interessati e soprattutto in relazione agli interventi particolarmente invasivi della privacy quale, ad esempio, la prevista adozione di applicazioni per il tracciamento degli spostamenti personali.
Il Garante Soro si è espresso in questi termini in numerose esternazioni e pareri resi, soprattutto nell’ultimo periodo, riguardo anche alla possibilità di sorveglianza tramite droni e al tracciamento degli spostamenti tramite applicazioni. (V. in particolare l’Audizione informale, in videoconferenza, del Presidente del Garante per la protezione dei dati personali sull'uso delle nuove tecnologie e della rete per contrastare l'emergenza epidemiologica da Coronavirus in Commissione IX  -Trasporti, Poste e Telecomunicazioni- Camera dei Deputati in data 8 aprile 2020 – doc. 9308774)
Entrambe le previsioni di monitoraggio incidono evidentemente in maniera pesante sulla sfera personale ma soprattutto nel caso del tracciamento si hanno implicazioni in ambito privacy molto delicate che necessitano della massima attenzione e scrupolosa ponderazione nelle scelte.
La delicata materia dell’applicazione e delle modalità per il tracciamento degli spostamenti personali è peraltro ancora in corso definizione, proprio in queste ultime ore si stanno delineando sviluppi che meritano una trattazione apposita e approfondita.
Per quanto riguarda invece la sorveglianza tramite droni, possiamo esaminare i provvedimenti adottati per l’emergenza epidemiologica.
Con la normativa emergenziale, in particolare con il citato art. 14 DL 14/2020 del 9 marzo, come accennato, si è aperta la strada a maggiori poteri d’intervento in capo ai soggetti chiamati a monitorare il territorio al fine di garantire l’esecuzione delle misure di contenimento adottate.
Tra tali soggetti sono considerati evidentemente gli enti locali quali delegazioni del sistema protezione civile e, verosimilmente, anche la polizia locale chiamata ora più che mai al controllo delle aree urbane.
In data 23 marzo u.s. l’ENAC – Ente Nazionale per l’Aviazione Civile - al fine di favorire il contenimento della epidemia da coronavirus e quindi la migliore attuazione delle misure restrittive previste dai DPCM 8 e 9 marzo, ha inteso agevolare le operazioni di monitoraggio degli spostamenti dei cittadini sul territorio operando alcune deroghe alle disposizioni vigenti da Regolamento ENAC dell’11.11.2019 disciplinante i “Mezzi Aerei a pilotaggio remoto”.
In linea con la indicata finalità di favorire la migliore attuazione delle misure restrittive attualmente adottate, tali deroghe al Regolamento Enac permarranno fino al permanere delle misure restrittive stesse e non oltre. 
Vediamo quali sono le deroghe e come l’Enac avrebbe consentito l’utilizzo dei “famigerati” droni.
Le Autorità preposte potranno sorvolare in aree urbane prima interdette e con mezzi anche di notevoli dimensioni e peso, fino a 25 chili. Tali operazioni di sorvolo potranno essere svolte senza più registrarsi sul portale D-flight e senza obbligo di identificazione.
Potranno essere sorvolate anche le c.d. "aree rosse" (individuate dalla Circolare ENAC ATM 09), e dunque in aree prospicienti gli aeroporti civili, purché si rimanga ad una quota massima di 15 metri. Per questo sorvolo è necessario comunicare preventivamente alla Torre di controllo dell'aeroporto che si intende procedere in dette aree e, in ogni caso, attendere il “via libera” in base alla priorità che verrà data al traffico degli aeromobili di linea.
A disciplinare il sorvolo degli aeromobili da remoto, bisogna sottolineare, permangono molte importanti regole. Rimangono vigenti tutti gli obblighi da Regolamento Enac, riguardanti il requisito di pilota (ove richiesto); rimangono ovviamente le regole vigenti in materia di circolazione nell’aria; rimane garantita la sicurezza del collegamento tra il drone e la base di controllo (il c.d. data link) e la copertura assicurativa.
Il Regolamento Enac, infatti, continua ad applicarsi, per quanto non espressamente derogato dalla nota del 23 marzo.
In ambito strettamente attinente alla privacy sono da sottolineare gli adempimenti che prevedono l’osservanza dei richiamati principi fondamentali in materia, l’osservanza dei quali viene a realizzare quello che è il principio cardine  dell’“accoutability” del titolare del trattamento; vanno quindi previsti da principio e nel corso dell’utilizzo pratiche virtuose (privacy by design e by default) che devono ritenersi sempre applicabili con l’ausilio e la puntuale sorveglianza del Responsabile della Protezione dei dati (DPO), figura professionale che non può mancare in un organismo pubblico.
Tali adempimenti si traducono nello specifico settore dei droni nella necessità di impartire idonee istruzioni sulle modalità di trattamento dei dati ovvero su come immagini e video devono essere raccolti e messi in sicurezza, un accordo con gli incaricati ai sensi dell’art. 28 GDPR, seppur con modalità semplificate ex art. 14 DL  14/2020; nel dovere di informare i cittadini che si trovano nelle aree interessate che sarà effettuato un monitoraggio a mezzo drone (trasparenza), magari con l’uso di altoparlanti così ponendo in essere un ulteriore effetto dissuasivo. 
I dati raccolti con i droni, va sottolineato, saranno utilizzati solo per il monitoraggio degli spostamenti, e non per altre finalità; non potranno essere usati quindi per finalità repressive o sanzionatorie (limitazione della finalità).
Il garante Soro ha precisato che l’uso dei droni a fini di verifica del rispetto degli obblighi di distanziamento sociale da parte di autorità di pubblica sicurezza, quindi per  segnalare “impersonali assembramenti” non pone alcun problema, ritenendosi tale uso rispettoso del canone di proporzionalità. Diverso è il caso in cui si “voglia monitorare il rispetto puntuale degli obblighi di permanenza domiciliare, infatti, tale misura difficilmente potrà garantire il rispetto del canone di proporzionalità, potendo prestarsi a una raccolta assai ampia di dati personali”. Il Garante in tale ultimo caso ritiene “auspicabile” operare in virtù di una precisazione normativa specifica (come  evidenziato in precedenza) non ritenendo sufficiente un richiamo generico a finalità di pubblica sicurezza, contrasto del terrorismo e del crimine organizzato (cfr. art. 5, c.3-sexies d.l, n. 7/2015, convertito, con modificazioni, dalla l. 43/2015, come novellato dal dl 113/2018, convertito con modificazioni dalla l. 132/2018) che ritiene previsioni “non del tutto sovrapponibili” (V. ancora doc. 9308774 Garante Privacy).
Continuando con l’elencazione delle regole per il sorvolo che vanno mantenute a tutela della privacy va precisato, inoltre, che le riprese devono essere effettuate evitando, per quanto possibile, le abitazioni private, in linea con la predetta finalità di “monitoraggio impersonale” degli spostamenti.
Non sarà necessario operare sempre con le registrazioni e la massima attenzione è richiesta per l’utilizzo di sistemi “intelligenti” di ricognizione del movimento evitando il riconoscimento facciale (minimizzazione dei dati).
La conservazione delle registrazioni e dei flussi di dati dei sensori deve durare solo ed esclusivamente per il tempo strettamente necessario ad adempiere alle finalità di monitoraggio (limitazione della conservazione).
I dati oggetto del trattamento, quindi le immagini e/o i video, devono essere crittografati (sicurezza dei dati).
Per concludere, corre l’obbligo di precisare che, ferma restando la vigenza della normativa emergenziale esaminata, dopo nemmeno una settimana dalla descritta maggior “apertura” al sorvolo di droni sul territorio (consentita dalla nota dell’Enac del 23 marzo), il Viminale (con nota del 28 marzo) ha imposto un temporaneo stop all’utilizzo di tali strumenti reputando necessario attendere l'esito di ulteriori approfondimenti e protocolli tra ENAC e il Ministero dell'Interno.
La comunicazione del 28 marzo partita dal Viminale, dipartimento di Pubblica sicurezza guidato da Franco Gabrielli, formalmente indirizzata alle Prefetture, ai Comandi generali dell’Arma dei Carabinieri e della Guardia di Finanza e a tutte le articolazioni della Polizia di Stato (Stradale, Ferroviaria, Comunicazioni, Reparti speciali, Immigrazione, Anticrimine, Prevenzione) contiene l’avviso di “attendere l’esito degli approfondimenti prima di proseguire” nell’ampliato uso dei droni.
La nota fa riferimento a “interlocuzioni” con l’Enac finalizzate ad una “corretta applicazione” di questi strumenti. Pur essendo detto avviso formalmente indirizzato a tutte le Autorità operanti sembrerebbe nella sostanza diretto principalmente ai neofiti dei droni.
Carabinieri, Guardia di Finanza e reparti della Polizia di Stato usano da tempo tale strumento di monitoraggio, seppur in ambiti di indagine diversi e con propri protocolli.
E’ lecito pertanto dedurre che si sia temuta in particolare l’inesperienza della Polizia Urbana del tutto nuova all’uso di questi delicati strumenti.

Avv. Loredana Quassinti