La CyberSecurity per i Droni – Contesto legislativo
Introduzione
Il contesto legislativo della Commissione europea è incentrato sui droni aerei a pilotaggio remoto, mentre nel Parere 01/2015 non viene fatta alcuna distinzione tra i sistemi aerei senza equipaggio pienamente autonomi, da un lato, e non autonomi, dall’altro, dato che tale aspetto è irrilevante per le questioni in materia di protezione dei dati derivanti dall’uso di questo tipo di tecnologie.
Gli orientamenti si applicano, con i necessari adattamenti, al trattamento dei dati mediante l’uso di qualsivoglia veicolo aereo (con o senza equipaggio, aeronautico o spaziale) per operazioni civili.
Il gruppo di lavoro ritiene estremamente importante introdurre un quadro appropriato a livello nazionale (qualora non già in atto), volto a garantire che l’uso dei droni per finalità strettamente personali e ricreative e a fini giornalistici non incida sui diritti fondamentali alla vita privata o alla confidenzialità delle comunicazioni e ad assicurare il rispetto di una ragionevole aspettativa di tutela della vita privata anche in caso di raccolta di dati personali effettuata in luoghi pubblici.
Parere 01/2015 sulle questioni riguardanti il rispetto della vita privata e la protezione dei dati connesse all’uso di droni
Il Gruppo di lavoro Articolo 29 raccomanda l’adozione di misure in materia di tutela della vita privata fin dalla progettazione (privacy by design) e per impostazione predefinita di tutela della vita privata (privacy by default) e ritiene la valutazione d’impatto sulla protezione dei dati uno strumento appropriato per valutare gli effetti dell’applicazione della tecnologia dei droni sul diritto alla vita privata e alla protezione dei dati. Inoltre, al fine di sensibilizzare gli utenti, viene proposta una raccomandazione specifica per i produttori di droni affinché forniscano all’interno della confezione (ad esempio, nelle istruzioni per l’uso) informazioni sufficienti sulla potenziale natura intrusiva di queste tecnologie e, ove possibile, mappe che specifichino chiaramente le aree in cui è consentito l’uso.
Punti essenziali
Conformemente all’articolo 17 della direttiva, i responsabili e gli incaricati del trattamento devono attuare, laddove applicabili, misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati. Tale disposizione si applica altresì agli attacchi elettronici e informatici (ovvero, la manomissione a distanza del dispositivo, per averne il controllo completo o parziale oppure per avere accesso ai sensori o ai dati conservati).
Tale protezione deve essere garantita anche per la fase di trasmissione dei dati personali dal drone alla stazione di base. Si raccomanda ai progettisti di droni e di apparecchi ideati per essere assemblati al drone di collaborare con esperti competenti in materia di sicurezza, al fine di garantire che le vulnerabilità per la sicurezza siano debitamente prese in considerazione.
Inoltre, i dati personali trattati per mezzo dei droni non possono essere conservati per un periodo superiore a quanto necessario per le finalità del trattamento. Per i dati non connessi a denunce o altre questioni, deve essere garantita l’immediata eliminazione o anonimizzazione.
Si raccomanda di integrare termini per la conservazione e l’eliminazione dei dati. I dispositivi montati sui droni devono pertanto essere progettati in modo tale da permettere di fissare un periodo definito di conservazione dei dati personali raccolti e, di conseguenza, la soppressione automatica periodica dei dati personali non più necessari, a seconda dei termini di cancellazione.
Riguardo a tutti questi aspetti, il gruppo di lavoro desidera richiamare l’attenzione dei controllori sui punti che sono stati dettagliati nella figura seguente.
Conclusioni
Per quanto riguarda le informazioni raccolte per mezzo dei droni è importante precisare quali siano i dati che vengono raccolti, dagli stessi; infatti, questi sistemi arei a pilotaggio remoto hanno capacità di raccogliere infiniti dati grazie alle loro potenzialità̀ di muoversi nello spazio anche in poco tempo e catturando allo stesso tempo immagini, informazioni e dati.
Concludendo, i responsabili e gli incaricati del trattamento devono attuare, laddove applicabili, misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dai vari rischi descritti precedentemente.
Articolo a cura di Domenico Raguseo, Rosita Galiandro, Giuseppe Marullo e Antonio De Chirico
Domenico Raguseo è Responsabile della Unit di CyberSecurity di Exprivia. Precedentemente ha ricoperto il ruolo di CTO della divisione IBM Security nel Sud Europa. Ha una decennale esperienza manageriale e nel campo della cybersecurity in diverse aree. Domenico collabora con diverse università nell’insegnamento su tematiche relative alla cybersecurity sia come Professore a contratto che invitato come lettore per seminari. Domenico è stato IBM Master inventor grazie a una moltitudine di brevetti e pubblicazioni in diverse discipline (Business Processes, GLI AUTORI © Clusit 2020 249 ROI, Messages and Collaborations, Networking). Infine, è apprezzato speaker, autore e blogger in eventi nazionali ed internazionali. In particolare, da diversi anni collabora con il Clusit come autore
Rosita Galiandro ha conseguito la laurea Magistrale in Sicurezza Informatica presso l’Università di Bari.
Attualmente ricopre il ruolo di Responsabile Osservatorio CyberSecurity presso Exprivia.
Contribuisce alle attività di prevendita, ha partecipato a progetti di risk assessment e GDPR compliance e collabora in piani di insegnamento con diverse università nell’ambito CyberSecurity e nel progetto CyberChallenge.IT. Fa parte della community Women For Security.
Giuseppe Marullo è responsabile dei Servizi di OT security di Exprivia. Precedentemente è stato presales in Blue Coat e Symantec per clienti enterprise in ambito network and cloud security. Ha fatto parte dello WW SWAT team e di X-Force in IBM, come SME di network security e computer forensics.
Responsabile del Security Operation Center di Exprivia. Ha lavorato nella Polizia di stato per oltre 27 anni, di cui 15 operando all’interno della Polizia Postale e delle Comunicazioni nelle attività investigative e di contrasto al Cybercrime ed alla pedopornografia online. Ha operato come CTU per diverse Procure e negli ultimi anni coordinava il team di specialisti del Centro Unico di Backup della Polizia di Stato.
