Trattamento di dati personali mediante l’uso di droni in dotazione alla Polizia locale

Limitazioni e modalità di utilizzo degli aeromobili a pilotaggio remoto

È stato pubblicato in G.U. - Serie Generale - 18 agosto 2022 n. 192, il Decreto del Ministro dell'Interno 13 giugno 2022, di concerto con il Ministro della Difesa, con il Ministro dell'Economia e delle Finanze e con il Ministro delle Infrastrutture e della Mobilità Sostenibile, recante le “Modalità di utilizzo da parte delle Forze di Polizia degli aeromobili a pilotaggio remoto”.

Il decreto, avente natura regolamentare, è stato adottato in attuazione dell'articolo 5, comma 3-sexies del decreto-legge 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla Legge 17 aprile 2015, n. 43, ed è vigente dal 19 agosto 2022. A decorrere da tale data, è contestualmente abrogato il decreto ministeriale 29 aprile 2016.

Esso disciplina le modalità di impiego dei sistemi di aeromobili senza equipaggio (UAS), comunemente chiamati droni, in dotazione o in uso alle Forze di polizia di cui all'articolo 16 della legge 1° aprile 1981, n. 121.

L’articolo 3 del dm 13 giugno 2022 prevede che le Forze di polizia possano utilizzare gli UAS, ai fini del controllo del territorio, per finalità di ordine e sicurezza pubblica, con particolare riferimento al contrasto del terrorismo e alla prevenzione dei reati di criminalità organizzata e ambientale.

La medesima disposizione prevede, inoltre, che le Forze di polizia possano impiegare gli UAS anche per le finalità di seguito indicate, tenuto conto di quanto previsto dalla «Direttiva sui comparti di specialità delle Forze di polizia e sulla razionalizzazione dei presidi di polizia» di cui al decreto del Ministro dell'interno 15 agosto 2017: 

• la Polizia di Stato per la: 

1. sicurezza stradale;
2. sicurezza ferroviaria; 
3. sicurezza delle frontiere; 
4. sicurezza postale e delle comunicazioni; 

• l'Arma dei carabinieri per la: 

1. sicurezza in materia di sanità, igiene e sofisticazioni alimentari; 
2. sicurezza in materia forestale, ambientale e agroalimentare; 
3. sicurezza in materia di lavoro e legislazione sociale; 
4. sicurezza del patrimonio archeologico, storico, artistico e culturale nazionale; 

• il Corpo della guardia di finanza per: 

1. la sicurezza del mare, in relazione ai compiti di polizia, attribuiti dal decreto legislativo del 19 agosto 2016, n. 177, e alle altre funzioni già svolte, ai sensi della legislazione vigente e fatte salve le attribuzioni assegnate dalla legislazione vigente al Corpo delle Capitanerie di porto - Guardia costiera; 
2. la sicurezza in materia di circolazione dell'euro e degli altri mezzi di pagamento; 
3. l'assolvimento delle funzioni di polizia economica e finanziaria di cui all'art. 2 del decreto legislativo 19 marzo 2001, n. 68.

Secondo poi quanto stabilito dall’articolo 4 del citato decreto, le speciali modalità operative di impiego degli UAS sono definite, anche in funzione del rischio delle operazioni, secondo un protocollo tecnico-operativo adottato dal Capo della Polizia – Direttore generale della pubblica sicurezza con ENAC, che ne disciplina l'impiego anche nelle situazioni di emergenza, d'intesa con i Comandi generali dell'Arma dei carabinieri e della Guardia di finanza, con riferimento al contrasto del terrorismo e alla prevenzione dei reati di criminalità organizzata e ambientale.

L'impiego degli UAS da parte delle Forze di polizia nello svolgimento dell'attività di controllo del territorio è pianificato nell'ambito dei piani coordinati di controllo del territorio trasmessi alle Forze di polizia con direttiva del Prefetto.
L'impiego degli UAS nell'ambito dei servizi di ordine pubblico è disposto dal Questore.

Le speciali modalità operative di impiego degli UAS sono definite, anche in funzione del rischio delle operazioni, secondo un protocollo tecnico-operativo adottato da ciascuna Forza di polizia con ENAC, nel rispetto della ripartizione dei comparti di specialità di cui al medesimo art. 3, comma 2.

Il dm 13 giugno 2022 riconosce esclusivamente alle Forze di polizia la possibilità di impiegare gli aeromobili a pilotaggio remoto per lo svolgimento di attività di controllo per finalità di pubblica sicurezza.
Si tratta di una vera e propria riserva di competenza, i cui confini non possono essere dilatati fino a ricomprendere anche le Polizie locali, le quali, infatti, ai sensi dell’articolo 16 della legge 1° aprile 1981, n. 121, non rientrano tra le Forze di polizia propriamente dette.

È da escludersi, quindi, che le Polizie locali, in generale, possano sviluppare autonomamente azioni di controllo del territorio dall’alto, soprattutto per il contrasto di reati ambientali, utilizzando droni o altri simili dispositivi aeromobili.

Il provvedimento del Garante per la protezione dei dati personali n. 405 del 4 luglio 2024

Da un articolo di stampa, il Garante per la protezione dei dati personali apprendeva che il Comune di Treviso avrebbe impiegato droni provvisti di dispositivi video in grado di individuare fonti di calore, inclusi i corpi umani, al fine di contrastare il fenomeno dei furti notturni nelle abitazioni.
Nel medesimo articolo si faceva, inoltre, riferimento alla possibilità per i cittadini di segnalare eventuali reati subiti, attraverso un’applicazione informatica denominata “TrevisoSicura”.

In riscontro alla richiesta d’informazioni del Garante, il Comune, in riferimento all’impiego dei droni da parte della Polizia locale, dichiarava:

• all’interno del Comando della Polizia Locale […] è stato costituito un nucleo specializzato di agenti, volto all'impiego della specifica tecnologia rappresentata dagli APR (aeromobile a pilotaggio remoto), più comunemente conosciuti con il termine di “droni”; 
• tutti gli APR hanno “pay load” costituiti da apparati fotografici con ottiche idonee all’ottenimento di scatti fotografici e registrazioni video, e taluni sono dotati di opzione termica; 
• le ottiche a infrarossi, o telecamere termiche, fanno riferimento a strumenti tecnologici che, basandosi sulla rilevazione, senza contatto, del calore emesso da un qualsiasi oggetto o  corpo che abbia una temperatura superiore allo zero assoluto (-273.15 C°), sotto forma di raggi infrarossi, invisibili quindi a occhio nudo, ne elabora l’immagine, restituendo all’operatore che ha in uso detti supporti, l’avvistamento di cose nella totale o semi oscurità, potendone generare poi una foto o video; 
• l’immagine, visualizzata sul visore dell’operatore di polizia o sul monitor dell’operatore SAPR (responsabile di tutti gli aspetti legali e gestionali connessi all'utilizzo professionale di sistemi aeromobili a pilotaggio remoto), corrisponde alla mappa di calore che l’oggetto, o il soggetto, emanante produce. Il segnale termico è convertito in elettrico e quindi la scena viene riportata su uno schermo come se fosse un’immagine televisiva; 
• gli APR, fino alla data della richiesta di informazioni da parte dell’Autorità, hanno trovato impiego […] nelle operazioni di polizia e pubblica sicurezza, per le quali la Polizia Locale viene coinvolta in ragione delle sue funzioni e competenze ausiliarie, ai sensi dell’articolo 5, legge n. 65/86;
• l’uso delle tecnologie citate non prevede che soggetti possano essere in qualche modo identificati o identificabili, poiché queste hanno il solo scopo di rendere visibili all’operatore “mappe di calore”, costituite da sagome indistinguibili che poi vengono segnalate agli  operatori di polizia locale che, in coordinamento con la centrale operativa, opportunamente guidati, eseguono l’accertamento di polizia “di persona”, con la rituale identificazione di polizia e l’eventuale excursus giudiziario o amministrativo; 
• nessuna attività di catalogazione o raccolta o trattamento dati viene eseguita, e non è stata mai eseguita attraverso l’uso di dette tecnologie, nemmeno con il rilievo di temperature espresse in gradi celsius, poiché le termocamere restituiscono solo variazioni di colori in relazione alle variazioni di temperature rilevate, ma non rivelano il dato “temperatura” del soggetto da utilizzare in via esclusiva nella ricerca di soggetti dispersi nell’ambito degli interventi in caso di calamità naturali; 
• dal giorno in cui si è venuti a conoscenza della richiesta di informazioni da parte dell’Autorità Garante, si è sospesa, in via preventiva e cautelativa, qualsiasi forma di utilizzazione dei droni.

Sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, il Garante notificava al Comune, ai sensi dell’articolo 166, comma 5, d.lgs. n. 196/2003 (“Codice Privacy”), l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento Generale (UE) sulla protezione dei dati personali (G.D.P.R.) n. 679/2016, in relazione alle seguenti violazioni della normativa in materia di protezione dei dati, nel contesto dell’impiego dei droni:

• per aver trattato dati personali, anche relativi a reati, in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in assenza di un idoneo presupposto normativo, in violazione degli articoli 5, par. 1, lett. a), 6 e 10 del Regolamento, nonché 2-ter e 2-octies del d.lgs. n. 196/2003 (“Codice Privacy”);
• per aver omesso di redigere una valutazione di impatto sulla protezione dei dati prima di iniziare il trattamento, in violazione dell’articolo 35 del Regolamento.

L’impiego di droni dotati di telecamere termiche, al fine di generare c.d. mappe di calore, sulla base delle quali potevano essere disposti controlli de visu da parte delle pattuglie della Polizia locale in servizio sul territorio, poteva comportare un trattamento di dati personali, ai sensi degli articoli 2, par. 1, e 4 nn. 1 e 2, del Regolamento, anche relativi a reati.

Com’è, infatti, emerso nel corso dell’istruttoria, sebbene non fosse possibile riconoscere il volto dei soggetti ripresi, le immagini permettevano, comunque, di visualizzare, con un discreto livello di definizione, le sagome e i movimenti degli stessi. Si trattava, pertanto, comunque di informazioni che, a seguito dell’eventuale identificazione dei presunti autori dei reati da parte degli agenti della Polizia locale o delle Forze dell’ordine intervenuti sul luogo, possono essere associate a persone fisiche identificate ed essere utilizzate come elementi di prova di fattispecie di reato.

In attuazione dell’articolo 5, comma 3-sexies, del decreto-legge 18 febbraio 2015, n. 7, l’articolo 3 del decreto del Ministero dell’interno del 13 giugno 2022 prevede che “le Forze di polizia impiegano gli UAS (sistemi di aeromobile senza equipaggio), ai fini del controllo del territorio per finalità di ordine e sicurezza pubblica, con particolare riferimento al contrasto del terrorismo e alla prevenzione dei reati di criminalità organizzata e ambientale”.

Il quadro normativo di settore non consente, pertanto, in via generale alle Polizie locali dei Comuni di impiegare droni, dotati di dispositivi video, per finalità connesse alla tutela della pubblica sicurezza, fatti salvi i casi in cui funzioni ausiliari di pubblica sicurezza siano delegate alla Polizia locale dalle autorità competenti per specifiche operazioni (v. articoli 3 e 5, comma 1, lett. c), della l. 7 marzo 1986, n. 65), in ogni caso nel rispetto delle condizioni previste dalla normativa di settore che disciplina l’impiego dei droni in tale contesto (cfr. articolo 2, par. 3, lett. a) del Regolamento (UE) 1139/2018; Regolamento di esecuzione (UE) n. 947/2019; Regolamento UAS-IT dell’Ente Nazionale per l'Aviazione Civile del 4 gennaio 2021, art. 2, par. 1, lett. b) e Sezione II - Parte B; articoli 743-746 e 748 del r.d. 30 marzo 1942, n. 327), la vigilanza sulla quale esula dalle competenze attribuite al Garante dalla normativa in materia di protezione dei dati.

Tuttavia, nel caso di specie, il Garante ha preso atto di quanto dichiarato dal Comune di Treviso, con assunzione di responsabilità anche ai sensi dell’articolo 168, d.lgs. n. 196/2003, in merito alla circostanza che l’articolo di stampa, da cui ha tratto origine l’istruttoria, non riportava in maniera corretta le effettive modalità di utilizzo dei droni da parte del Comune.

L’Ente ha, altresì, dichiarato che a seguito di verifiche interne, “non risulta che i droni siano stati utilizzati per finalità di polizia da parte del Comune, se non, in via residuale, su specifica richiesta delle Forze dell’Ordine, che hanno chiesto supporto alla Polizia locale per lo svolgimento di specifiche attività di polizia”.

Inoltre, secondo quanto rappresentato dal Comune, “non sono stati identificati soggetti nel corso dell’attività svolta da parte dei piloti dei droni”.

Alla luce di quanto sopra evidenziato - riferitamente al trattamento di dati personali in questione inerente alle contestate violazione degli articoli 5, par. 1, lett. a), 6, 10 e 35 del Regolamento, nonché 2-ter e 2-octies del Codice – il Garante per la protezione dei dati personali, per effetto del Provvedimento n. 405 del 4 luglio 2024, ha disposto l’archiviazione del procedimento, non risultando comprovata, allo stato degli atti, una violazione della normativa in materia di protezione dei dati personali.

Con il medesimo Provvedimento, il Garante per la protezione dei dati personali ha ordinato al Comune di Treviso il pagamento della somma di € 7.000,00, a titolo di sanzione amministrativa pecuniaria, per aver trattato dati personali, nel contesto dell’utilizzo dell’applicazione “TrevisoSicura”, in violazione degli articoli 5, par. 1, lett. a) e par. 2 (in combinato disposto con l’art. 24), 6, 13, 25 e 28, par. 3, del Regolamento, nonché 2-ter, d.lgs. n. 196/2003 (“Codice Privacy”), disponendo altresì, a titolo di sanzione accessoria, la pubblicazione del provvedimento sul sito web dell’Autorità.

Il Comune, infatti, aveva messo a disposizione degli utenti, l’applicazione informatica “TrevisoSicura”, senza aver, tuttavia, adottato alcun atto interno volto a disciplinare il trattamento e ad assicurare il complessivo rispetto della normativa in materia di protezione dei dati, essendosi, peraltro, erroneamente attribuito il ruolo di responsabile del trattamento.

Non aveva, pertanto, individuato, prima di iniziare il trattamento e fin dalla progettazione dell’applicazione, le necessarie misure volte ad attuare i principi di protezione dei dati, integrando nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento, ai sensi dell’articolo 25, par. 1.

Né, infine, aveva messo in atto misure tecniche e organizzative adeguate, al fine di garantire che venissero trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (articolo 25, par. 2, del Regolamento). 
In particolare, il Comune, configurando l’applicazione in maniera tale da concedere agli interessati la possibilità di inserire del testo libero in uno specifico campo, non aveva considerato la possibilità che gli stessi potessero inviare all’Ente dati non pertinenti rispetto alla finalità perseguita (articolo 5, par. 1, lett. c), che formalizza il principio di “minimizzazione dei dati”, ovvero la mappatura delle zone della città interessata da fenomeni criminali, con il conseguente rischio di acquisire dati appartenenti a categorie particolari (cfr. art. 9 del Regolamento) o a reati (cfr. art. 10 del Regolamento).

La valutazione d’impatto sulla protezione dei dati personali per l’uso di sistemi di videosorveglianza

Il Garante aveva contestato al Comune di Treviso, per quanto riguarda l’impiego dei droni, di aver omesso di redigere una valutazione di impatto sulla protezione dei dati, prima di iniziare il trattamento, in violazione dell’articolo 35 del Regolamento.
Il procedimento si è concluso con l’archiviazione, solo perché il Comune ha dimostrato che non vi era mai stato alcun trattamento di dati, indicando tutte le motivazioni evidenziate nel paragrafo che precede.

Ma che cos’è la valutazione d’impatto sulla protezione dei dati personali?
È un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli. 

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati), il Regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi  individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti  - cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono, infatti, tenuti non soltanto a garantire la piena osservanza delle disposizioni del Regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza.

In altre parole, una valutazione d'impatto sulla protezione dei dati è un processo inteso a garantire e dimostrare la conformità (Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa presentare un rischio elevato ai fini del Regolamento (UE) 2016/679 - Gruppo di lavoro articolo 29 per la protezione dei dati - adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017).

La valutazione d'impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (articolo 35, par. 3, lett. c) del Regolamento) e negli altri casi indicati dal Garante (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018). 

Il Regolamento Generale sulla protezione dei dati non definisce la nozione di "su larga scala", tuttavia fornisce un orientamento in merito al considerando 91.

Le sopra citate linee guida del “Gruppo di lavoro articolo 29” raccomandano di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

• il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
• il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
• la durata, ovvero la persistenza, dell'attività di trattamento;
• la portata geografica dell'attività di trattamento.

Tra i sistemi di videosorveglianza che necessitano sicuramente della valutazione d’impatto personale rientrano, come confermato dallo stesso Garante nel procedimento sopra esaminato, anche i droni.

L'inosservanza dei requisiti stabiliti per la valutazione d'impatto sulla protezione dei dati può portare a sanzioni pecuniarie irrogate dall'autorità di controllo competente (Garante per la protezione dei dati personali).

La mancata esecuzione di una valutazione d'impatto sulla protezione dei dati nei casi in cui il trattamento è soggetto alla stessa (articolo 35, paragrafi 1, 3 e 4), l'esecuzione in maniera errata di detta valutazione (articolo 35, paragrafi 2 e da 7 a 9) oppure la mancata consultazione dell'autorità di controllo laddove richiesto (articolo 36, paragrafo 3, lettera e)), possono comportare una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di euro oppure, nel caso di un'impresa, pari a fino al 2% del fatturato annuo globale dell'anno precedente, a seconda di quale dei due importi sia quello superiore (Regolamento Europeo per la protezione dei dati personali n. 679/2016, articolo 83, comma 4).

--> Per approfondire alcuni aspetti consulta gli approfondimenti del Dottor Gaetano Alborino:

• Telecamere installate in area privata idonee a riprendere strade e spazi pubblici
• Gli adempimenti del Comune per la corretta gestione dei dati personali 
• L’accertamento delle violazioni al Codice della Strada per eccesso di velocità: quali sono gli adempimenti per la corretta gestione dei dati personali?
• Videosorveglianza nei locali di un Comando di Polizia locale: il Garante Privacy sanziona un Comune per illecito trattamento dei dati personali