La CyberSecurity per i droni – Privacy
Introduzione
Quando si parla di droni, qualunque sia lo scopo del loro utilizzo, occorre tenere presente che non si ha a che fare soltanto con le regole tecniche per tutelare l’incolumità fisica, ma anche con quelle a tutela della privacy delle persone fisiche diverse dal pilota e che si trovano nell’area interessata. Infatti, occorre tenere in considerazione che si tratta di strumenti dotati di videocamera e di memoria interna, che possono quindi raccogliere e conservare dati.
CyberSecurity e Privacy: best practice per rispettare la privacy se si usa un drone a fini ricreativi (Garante Privacy)
La grande varietà di dati che possono essere acquisiti utilizzando i droni ha portato il Garante per la Protezione dei Dati Personali a emanare un vademecum sul corretto utilizzo dei droni a fini ricreativi, nel rispetto del GDPR e del Regolamento ENAC. Il trattamento dei dati personali acquisiti mediante l’utilizzo di droni deve essere effettuato secondo specifica base giuridica ai sensi dell’art. 6 del GDPR (es. contratto scritto, legittimo interesse del titolare, ecc.).
Il Garante Privacy ha stilato delle best practice per rispettare la privacy se si utilizza un drone per scopi ricreativi.
Di seguito una lista delle best practice:
- seguire sempre le regole;
- fare attenzione alle riprese;
- rispettare gli altri;
- non diventare un “orecchio indiscreto”
- a prova di privacy;
- come tutelare la tua privacy.
Seguire sempre le regole
Usare i droni per scopi ricreativi è lecito e divertente, ma occorre sempre rispettare la privacy degli altri e informarsi bene sulle regole previste dall’ENAC per far volare i Sistemi Aeromobili a Pilotaggio Remoto (www.enac.gov.it).
Fare attenzione alle riprese
Se si fa volare a fini ricreativi un drone munito di fotocamera in un luogo pubblico (parchi, strade, spiagge) è meglio evitare di invadere gli spazi personali e l’intimità delle persone. La diffusione di riprese realizzate con il drone (sul web, sui social media, in chat) può avvenire solo con il consenso dei soggetti ripresi, fatti salvi particolari usi connessi alla libera manifestazione del pensiero, come quelli a fini giornalistici. Negli altri casi, quando è eccessivamente difficile raccogliere il consenso degli interessati, è possibile diffondere le immagini solo se i soggetti ripresi non sono riconoscibili, o perché ripresi da lontano, o perché si sono utilizzati appositi software per oscurare i loro volti. Occorre poi evitare di riprendere e diffondere immagini che contengono dati personali come targhe di macchine, indirizzi di casa, ecc. Le riprese che violano gli spazi privati altrui (casa, giardino domestico) sono invece sempre da evitare, anche perché si potrebbero violare norme penali.
Rispettare gli altri
La presenza di un drone che effettua riprese nelle vicinanze può dare la sensazione di essere osservati, inducendo disagio e influenzando il normale comportamento delle persone. È quindi buona regola usare questi strumenti senza invadere la sfera personale degli altri, magari anche comunicando preventivamente le proprie intenzioni. Ad esempio, se si vuole far volare un drone per riprendere una festa nel proprio giardino di casa, sarebbe bene prima avvisare i vicini, che hanno il diritto di chiedere di non essere, anche solo inavvertitamente, ripresi nel loro privato. Un’altra buona pratica da seguire è quella di fare in modo che il pilota del drone sia sempre ben visibile, così da non suscitare sospetti o allarme negli altri.
Non diventare un “orecchio indiscreto”
Non si possono usare droni per captare volontariamente conversazioni altrui. Eventuali frammenti di conversazione registrati in modo accidentale possono essere utilizzati (ad esempio, per pubblicare un video online) solo se non rendono riconoscibile il contesto, cioè il contenuto dei discorsi e le persone coinvolte.
A prova di privacy
In base a quanto previsto dal nuovo Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679), i droni, come tutti i dispositivi elettronici, devono rispettare i principi di privacy by design e privacy by default. Cioè devono essere costruiti e configurati per raccogliere meno dati possibile.
Come tutelare la tua privacy
Se è possibile individuare il pilota del drone, si possono chiedere a lui informazioni su come intende utilizzare le riprese ed eventualmente negare il consenso al trattamento dei dati raccolti, specie se sono previste forme di diffusione delle immagini. E nel caso si ritenesse di essere stati vittime di violazioni della propria privacy, ci si può rivolgere al Garante per la protezione dei dati personali o, in alternativa, all’Autorità giudiziaria.
Conclusioni
Concludendo, in base a quanto previsto dal Regolamento europeo in materia di protezione dei dati personali, i droni, come tutti i dispositivi elettronici, devono rispettare i principi di privacy by design e privacy by default: ovvero tutte quelle misure tecnico-organizzative finalizzate ad assicurare che il trattamento dei dati sia limitato solo a quelli necessari per raggiungere le finalità.
Articolo a cura di Domenico Raguseo, Rosita Galiandro, Giuseppe Marullo e Antonio De Chirico
Domenico Raguseo è Responsabile della Unit di CyberSecurity di Exprivia. Precedentemente ha ricoperto il ruolo di CTO della divisione IBM Security nel Sud Europa. Ha una decennale esperienza manageriale e nel campo della cybersecurity in diverse aree. Domenico collabora con diverse università nell’insegnamento su tematiche relative alla cybersecurity sia come Professore a contratto che invitato come lettore per seminari. Domenico è stato IBM Master inventor grazie a una moltitudine di brevetti e pubblicazioni in diverse discipline (Business Processes, GLI AUTORI © Clusit 2020 249 ROI, Messages and Collaborations, Networking). Infine, è apprezzato speaker, autore e blogger in eventi nazionali ed internazionali. In particolare, da diversi anni collabora con il Clusit come autore
Rosita Galiandro ha conseguito la laurea Magistrale in Sicurezza Informatica presso l’Università di Bari.
Attualmente ricopre il ruolo di Responsabile Osservatorio CyberSecurity presso Exprivia.
Contribuisce alle attività di prevendita, ha partecipato a progetti di risk assessment e GDPR compliance e collabora in piani di insegnamento con diverse università nell’ambito CyberSecurity e nel progetto CyberChallenge.IT. Fa parte della community Women For Security.
Giuseppe Marullo è responsabile dei Servizi di OT security di Exprivia. Precedentemente è stato presales in Blue Coat e Symantec per clienti enterprise in ambito network and cloud security. Ha fatto parte dello WW SWAT team e di X-Force in IBM, come SME di network security e computer forensics.
Responsabile del Security Operation Center di Exprivia. Ha lavorato nella Polizia di stato per oltre 27 anni, di cui 15 operando all’interno della Polizia Postale e delle Comunicazioni nelle attività investigative e di contrasto al Cybercrime ed alla pedopornografia online. Ha operato come CTU per diverse Procure e negli ultimi anni coordinava il team di specialisti del Centro Unico di Backup della Polizia di Stato.
