GRUPUL DE LUCRU „ARTICOLUL 29” PRIVIND PROTECŢIA

DATELOR

01673/15/EN
WP 231

Avizul 01/2015 privind aspecte privind protecția vieții private și a datelor în

legătură cu utilizarea de drone

Adoptat la 16 iunie 2015

Acest grup de lucru a fost instituit în temeiul articolului 29 din Directiva 95/46/CE și este un organism consultativ european independent, responsabil
cu protecția datelor și a vieții private. Sarcinile sale sunt descrise la articolul 30 din Directiva 95/46/CE și la articolul 15 din Directiva 2002/58/CE.

Secretariatul este asigurat de către Direcția C (Drepturi fundamentale și cetățenia Uniunii) a Comisiei Europene, Direcția Generală Justiție și
Consumatori, B-1049 Bruxelles, Belgia, biroul MO-59 02/013.

Site: http://ec.europa.eu/justice/data-protection/index_en.htm
GRUPUL DE LUCRU PENTRU PROTECȚIA PERSOANELOR ÎN CEEA CE PRIVEȘTE
PRELUCRAREA DATELOR CU CARACTER PERSONAL

instituit prin Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995,

având în vedere articolele 29 și 30,

având în vedere regulamentul său de procedură,

ADOPTĂ PREZENTUL AVIZ:

2
 Rezumat

În lumina integrării progresive a dronelor în spațiul aerian civil european și emergența a numeroase
aplicații ale dronelor (de la activități recreative, servicii, fotografie, logistică la supravegherea
infrastructurilor), există o nevoie reală de a se acorda o atenție deosebită provocărilor cu care
utilizarea pe scară largă a dronelor și a tehnologiei senzorilor ar putea amenința viața privată,
libertățile civile și politice ale persoanelor și de a se evalua măsurile necesare pentru a asigura
respectarea drepturilor fundamentale și protecția datelor.
Într-adevăr, există posibilitatea apariției unei serii de riscuri la adresa vieții private în legătură cu
prelucrarea datelor cu caracter personal (precum imagini, sunete și geolocalizare vizând o persoană
fizică identificată sau identificabilă) efectuate de echipamentul de la bordul unei drone. Aceste
riscuri pot varia de la lipsa de transparență a tipurilor de prelucrare ca urmare a dificultății de a
putea vizualiza drone de la sol la, în orice caz, dificultatea de a ști ce tip de echipamente de
prelucrare a datelor se află la bord, în ce scopuri sunt colectate datele cu caracter personal și de
către cine. În plus, dexteritatea dronelor și posibilitatea de a interconecta mai multe drone facilitează
și mai mult capacitatea acestora de a obține puncte de observație unice, de exemplu, prin evitarea
obstacolelor sau prin faptul că nu sunt limitate de bariere, ziduri sau garduri, ceea ce le permite să
colecteze cu ușurință o mare varietate de informații chiar și fără a fi necesară o rază vizuală directă,
pentru perioade lungi de timp și pe o suprafață mare fără întrerupere (cu un risc ridicat de colectare
de blocuri de date și de utilizări ilegale în scopuri multiple).
Colectarea de date personale cu ajutorul dronelor în scopuri de aplicare a legii implică riscuri chiar
mai mari pentru drepturile și libertățile persoanelor.
Pentru a aborda în mod corespunzător aceste preocupări, după clarificarea domeniului de aplicare al
avizului în lumina derogărilor prevăzute în Directiva 95/46/CE (derogări pentru activitățile
domestice, pentru activitățile de prelucrare în scopuri jurnalistice și în scopul aplicării legii), avizul
furnizează orientări având ca scop abordarea în mod corect a normelor de protecție a datelor în
contextul dronelor.
Verificarea necesității unei autorizații specifice din partea autorităților aeronautice civile (AAC),
atunci când legislația națională permite operarea unei drone, găsirea celor mai adecvate criterii
pentru prelucrarea legitimă, în conformitate cu principiile limitării scopului, minimizării datelor și
al proporționalității (prin alegerea tehnologiei și măsurilor cele mai potrivite pentru a evita
colectarea de date cu caracter personal care nu sunt necesare) și respectarea, în modul cel mai
adecvat pentru cazul în discuție a principiului transparenței (prin informarea persoanelor vizate de
prelucrarea efectuată) reprezintă obligații care ar trebui îndeplinite înainte de a opera o dronă. În
mod similar, este necesar să se întreprindă toate măsurile de securitate corespunzătoare și să se
șteargă sau să se anonimizeze datele cu caracter personal care nu sunt strict necesare.
În afară de aceasta, grupul de lucru „articolul 29” (WP29) recomandă adoptarea măsurilor de
protecție a vieții private începând de la nivelul conceptului („privacy by design”) și de protecție
implicită a vieții private („privacy by default”) și sugerează evaluarea impactului asupra protecției
datelor drept un instrument adecvat pentru a evalua impactul aplicării tehnologiei dronelor asupra
dreptului la viață privată și la protecția datelor. Mai mult decât atât, pentru a crește gradul de
conștientizare în rândul utilizatorilor, producătorilor de drone li se recomandă în mod specific să
furniza informații suficiente în interiorul ambalajului (de exemplu, în instrucțiunile de operare)
referitoare la potențialul caracter intruziv al acestor tehnologii și, acolo unde este posibil, de a se
furniza hărți care să identifice în mod clar spațiile în care este permisă utilizarea lor...

3
Avizul abordează, printre altele, și formularea de recomandări adresate factorilor de decizie la nivel
european și național vizând consolidarea unui cadru care să garanteze respectarea tuturor drepturilor
fundamentale în discuție, nu doar protecția datelor, prin introducerea, de asemenea, de norme
specifice care să asigure o utilizare responsabilă a dronelor (care trebuie să includă, în mod necesar,
respectarea spațiilor private). În egală măsură, WP29 solicită factorilor de decizie să introducă
aspecte legate de protecția datelor între caracteristicile-cheie ale dispozițiilor naționale care
reglementează utilizarea comercială a dronelor (legate de calificarea și formarea piloților, printre
cerințele de navigabilitate și de certificare, la eliberarea/revocarea licențelor de operare și a
permiselor de muncă pentru spațiul aerian), invitând la o cooperare strânsă între autoritățile
responsabile cu protecția datelor și autoritățile aeronautice civile.
WP29 recomandă, de asemenea producătorilor și operatorilor de a încorpora opțiuni la nivelul
conceptului destinate să asigure protecția vieții private ca parte a protecției vieții private începând
de la nivelul conceptului și de a implica un responsabil cu protecția datelor (acolo unde este posibil)
în conceperea și punerea în aplicare a politicilor legate de utilizarea dronelor, precum și de a
promova adoptarea de coduri de conduită care să poată ajuta diferitele părți interesate și diferiții
operatori industriali să prevină infracțiunile și să sporească acceptabilitatea socială a dronelor. Sunt,
de asemenea, formulate recomandări specifice privind utilizarea datelor cu caracter personal
colectate cu ajutorul dronelor în scopul aplicării legii. În special, prelucrarea datelor în scopul
aplicării legii efectuată cu ajutorul dronelor ar trebui, ca regulă, să nu permită urmărirea constantă,
iar echipamentele tehnice și de detectare utilizate trebuie să fie în concordanță cu scopul prelucrării.

4
1. Introducere
Pentru a permite integrarea progresivă a sistemelor de aeronave pilotate de la distanță
(Remotely Piloted Aircraft Systems - RPAS)1 în spațiul aerian civil 2, Comisia Europeană a adoptat
Comunicarea COM(2014)207 „O nouă eră pentru aviație - Deschiderea într-un mod sigur și
sustenabil a pieței aeronautice pentru utilizarea civilă a sistemelor de aeronave pilotate de la
distanță” care răspunde apelului lansat de industria europeană prelucrătoare și de servicii de a
elimina barierele din calea introducerii dronelor pentru utilizarea civilă la nivelul pieței unice
europene 3.
Deschiderea pieței de drone ar necesita introducerea unui cadru de reglementare adecvat prin
adoptarea, acolo unde este necesar, de politici naționale și de standarde europene comune, care
trebuie să fie elaborate de Agenția Europeană de Siguranță a Aviației (AESA). Grupul de lucru
„articolul 29” (WP29) observă, în acest sens, absența unui cadru de reglementare adecvat în
majoritatea statelor membre. În acest context, ar trebui încurajate armonizarea și modernizarea
politicilor statelor membre în domeniul aviației în materie de drone.
WP29 recunoaște avantajele sociale și economice ale utilizării civile a dronelor și potențialul
acestora de creștere și de creare de locuri de muncă, însă consideră că este, în egală măsură,
important să se evidențieze toate amenințările și riscurile pentru protecția datelor și viața privată
rezultând dintr-o utilizare pe scară largă a tehnologiei dronelor și să se evalueze măsurile necesare
pentru a se asigura respectarea tuturor celorlalte drepturi fundamentale în discuție 4.
Într-adevăr, prelucrarea datelor cu caracter personal de către drone are un caracter aparte datorită
punctului de observație unic care mărește eficiența oricărui senzor instalat la bord și care implică o
transparență redusă și un grad ridicat al intruziunii în viața privată în comparație cu un senzor
similar fix în ciuda asemănărilor lor percepute - a se lua în considerare, de exemplu, supravegherea
video cu ajutorul dronelor în raport cu utilizarea unei camere video fixe pentru televiziunea cu
circuit închis (CCTV).
Integrarea dronelor pe piața europeană a aviației și diferitele lor utilizări civile (inclusiv utilizarea în
scopul aplicării legii) vor conduce la provocări specifice care trebuie să fie depășite pentru a se
„respecta drepturile și principiile consacrate în Carta drepturilor fundamentale a UE, și în special
a dreptului la respectarea vieții private și de familie (articolul 7), precum și a dreptului la protecția
datelor cu caracter personal (articolul 8)” 5 și, din această perspectivă, implicarea legiuitorilor în
dezbaterea referitoare la integrarea dronelor în spațiul aerian civil va fi absolut necesară.

1
Sistemele de aeronave pilotate de la distanță reprezintă o subcategorie de aeronave fără pilot, cunoscute în general sub denumirea
de drone. Acestea sunt definite de OACI, în „Unmanned Aircraft Systems” (UAS) („Sisteme de aeronave fără pilot la bord”),
numărul de ordine: CIR328, 2011, Glosar drept „o aeronavă în care pilotul care operează zborul nu se află la bord”. Din rațiuni de
simplitate, în cadrul acestui aviz va fi utilizat termenul „dronă” ca termen complex pentru a face trimitere la respectivele sisteme.
2
A se vedea Consiliul European, Concluzii: 19/20 decembrie 2013, Euco 217/13.
3
Trebuie amintit faptul că un proces similar este în curs de desfășurare în SUA. Pentru o prezentare de ansamblu actualizată a
diferitelor etape urmate de Administrația Federală a Aviației în acest domeniu, a se vedea https://www.faa.gov/uas/.
4
Precum demnitatea umană, dreptul la libertate și la siguranță, libertatea de gândire, de conștiință și de religie, libertatea de
exprimare și de informare, libertatea de întrunire și de asociere, precum și dreptul la nediscriminare.
5
Serviciile Comisiei Europene, Documentul de lucru al serviciilor Comisiei „Către o strategie europeană pentru dezvoltarea
aplicațiilor civile ale sistemelor de aeronave pilotate de la distanță (RPAS)”, SWD(2012)259 final, 4 septembrie 2012, p. 21. Pentru
recunoașterea necesității unei „evaluări mai ample a amenințările privind viața privată” asociate cu utilizarea dronelor, a se vedea, de
asemenea, Grupul european de coordonare RPA, „Foaie de parcurs pentru integrarea în siguranță a RPA civile în sistemului aviatic
european”, 20 iunie 2013 și anexa 3 la aceasta „Un studiu al impactului societal”, p. 28. Au fost luate în considerare aspectele legate
5
Echilibrarea tuturor drepturilor și intereselor în discuție va constitui o provocare care nu poate fi
ignorată de către factorii de decizie pentru a garanta că Europa poate fi în prima linie în acest nou
sector, dar fără a uita, în același timp, că „Uniunea este întemeiată pe valorile indivizibile și
universale ale demnității umane, libertății, egalității și solidarității; aceasta se întemeiază pe
principiile democrației și statului de drept” 6.
Acest aviz răspunde solicitării Comisiei Europene 7 cu scopul de a oferi indicații practice
legiuitorilor și autorităților de reglementare (atât de la nivel european, cât și de la nivel național,
inclusiv autorităților aeronautice civile - AAC 8), industriei, responsabililor politici și publicului
larg. Acest demers include abordarea impactului asupra vieții private și a protecției datelor și
consecințele utilizării extinse a diferitelor aplicații ale dronelor pentru toate diferitele utilizări civile.
Sunt avute în vedere particularitățile și punctele critice legate de respectarea cerințelor specifice
prevăzute de cadrul juridic existent privind protecția datelor. Avizul se încheie cu recomandări cu
privire la abordare adecvată a riscurilor care pot apărea în legătură cu dronele și scopul utilizării lor
pentru a face prelucrarea datelor cu caracter personal legală și conformă cu cadrul juridic de
protecție a datelor.
2. Descrierea fenomenului și a impactului asupra protecției vieții private și a datelor
2.1 Definiție, caracteristici și potențialitățile dronelor
Potrivit Organizației Aviației Civile Internaționale (OACI), un sistem de aeronave pilotate de la
distanță (denumit, în prezentul aviz, „dronă”) este „un set de elemente configurabile care constau
dintr-un avion pilotat de la distanță, în stația (stațiile) de pilotaj de la distanță asociată (asociate),
în legăturile de comandă și control necesare, precum și în orice alte elemente sistemice care pot fi
necesare, în orice moment pe parcursul operațiunii de zbor” 9.
În termeni generali, dronele sunt vehicule aeriene care pot aparține unor categorii diferite, cu o mare
varietate de specificații, caracteristici și capacități 10. Dronele pot fi concepute pentru a sprijini o
diversitate de sarcini utile care variază ca dimensiuni și capacitate tehnică. Tipul de dronă de bază
care constă numai din componente esențiale 11 nu poate prelucra date cu caracter personal, însă
poate constitui totuși o sursă de disconfort și de tulburare socială pentru alții. Adăugarea de alți
senzori pentru alte scopuri, precum pentru a înregistra date audio sau video, ridică probleme
evidente legate de protecția datelor și a vieții private. Totuși, este important a se reaminti faptul că

de viața privată ale aplicațiilor cu drone în recentul aviz privind „Etica tehnologiilor de securitate și de supraveghere” prezentat
Comisiei Europene de Grupul european pentru etică în știință și tehnologie la 20 mai 2014.
6
Carta drepturilor fundamentale a Uniunii Europene, Preambul.
7
La 6 mai 2014, DG Întreprinderi și Industrie a Comisiei Europene a adresat o scrisoare către WP29 prin care invita autoritățile
pentru protecția datelor să formuleze „recomandări privind modul de abordare a problemelor legate de protecția vieții private și a
datelor la nivel european și să stabilească tipul de acțiuni care ar trebui întreprinse pentru a susține stabilirea unui cadru adecvat”.
8
Reglementarea în materie de siguranță privind RPAS de mari dimensiuni (> 150 Kg) intră în sfera de competență a AESA, în timp
ce reglementarea privind RPAS ușoare (<150 Kg) intră în sfera de competență a autorităților aeronautice civile [a se vedea articolul 4
alineatul (4) și anexa II la Regulamentul (CE) nr. 216/2008].
9
OACI, „Unmanned Aircraft Systems” (UAS), numărul de ordine: CIR328, 2011, Glosar.
10
Dimensiunile acestora pot varia de la câțiva centimetri la câțiva metri, iar anvelopele lor de zbor pot fi, de asemenea, foarte diferite
incluzând zborul lent și capacități de plutire, precum multe giravioane sau operațiuni de mare viteză și de mare altitudine, precum
avioane de înaltă performanță. Controlul dronelor prin intermediul piloților de la distanță se bazează în general pe legături de date
multiple și de legături de comandă asigurate de echipamentele radio sau pe legături de date stabilite prin intermediul internetului prin
legături de acces fără fir digitale cu piloți de la distanță operând de la sol (sau de la bordul unui alt vehicul), în multe cazuri, în raza
vizuală. Pentru operațiunile care depășesc raza vizuală este strict necesar un sistem de navigație, bazat pe sisteme de poziționare
precum GPS, și pe echipamente de telemetrie pentru conștientizarea situației de către pilotul în timpul zborului, uneori îmbogățit prin
imagini în direct provenite de la camerele de la bord.
11
De exemplu, cadru, motoare, rotoare, baterie, receptor și controlor de zbor.
6
dronele disponibile în mod comercial nu sunt neapărat echipate cu camere la bord sau alți senzori în
mod implicit, operatorul dronei fiind cel care poate alege să includă o astfel de capacitate, în funcție
de tipul de utilizare. De asemenea, o dronă poate fi concepută și construită de către operatorul însuși
prin procurarea componentelor necesare de la o serie de furnizori.
Câteva exemple de echipamente care ar putea avea impact asupra protecției vieții private și a
datelor:
• aparatura de înregistrare video: camere inteligente cu distanță focală fixă sau variabilă, capabile
să stocheze și să transmită imagini live, capacități de recunoaștere facială la bord sau la sol, care
permit dronelor să identifice și să urmărească anumite persoane, obiecte sau situații, să identifice
modele de mișcare, să citească plăcuțele de înmatriculare ale vehiculelor, garantând în același
timp garantarea acoperirii unei panorame de 360°, echipate pentru detectarea energiei termice
emise de un obiectiv, permițând în același timp zborul și înregistrarea de imagini în condiții de
vizibilitate slabă (din cauza ceții, a fumului sau a molozului) sau în timpul nopții;
• echipamente de detectare: senzori optoelectronici, scanere cu infraroșu, radare cu deschidere
sintetică pentru identificarea obiectelor, vehiculelor și a navelor și pentru obținerea de informații
cu privire la poziția și traiectoria acestora, chiar dincolo de ziduri, fum sau de alte obstacole;
• echipament de radiofrecvență: precum antenele care capturează amplasarea punctelor de acces la
Wi-Fi sau a stațiilor celulare, femtocelulele și IMSI utilizate de agențiile de aplicare a legii
pentru a controla telefoanele și rețelele celulare sau de furnizorul de servicii pentru a retransmite
comunicațiile la nivelul rețelelor și utilizatorilor de terminale;
• senzori specifici pentru detectarea urmelor nucleare, urmelor biologice, substanțelor chimice,
dispozitivelor explozive.
În afară de aceasta, măsura în care dronele pot fi modificate și adaptate unor situații specifice și
costul lor relativ scăzut are ca rezultat aplicarea dronelor într-o multitudine de noi scenarii 12. Cu
toate acestea, în orice caz, este necesar a se clarifica faptul că punctul relevant, din punctul de
vedere al protecției vieții private și a datelor, nu este utilizarea în sine a dronelor, ci echipamentul
de prelucrare a datelor de la bordul dronelor și prelucrarea datelor cu caracter personal care poate fi
efectuată ulterior. Într-adevăr, prelucrarea imaginilor (inclusiv a imaginilor cu persoane fizice, case,
vehicule, plăcuțele de înmatriculare ale vehiculelor etc.), a sunetelor, a datelor de geolocalizare sau
a oricărui alt semnal electromagnetic legat de o persoană fizică identificată sau identificabilă
realizată cu ajutorul echipamentelor de prelucrare a datelor de la bordul unei drone este cea care ar
putea avea impact asupra protecției vieții private și a datelor și care, prin urmare, ar putea duce la
aplicarea legislației privind protecția datelor 13.

12
Utilizarea lor în operațiunile de „3D” - adică monotone, murdare sau periculoase („dull, dirty or dangerous”)- este extrem de
atractivă din punctul de vedere al sănătății și siguranței în condițiile în care operatorul uman poate rămâne la o oarecare distanță de
locul periculos. Așadar, dronele pot fi utilizate în spațiile tradiționale de activitate aeriană constând în supraveghere, recunoaștere,
căutare și salvare, monitorizarea mediului, agricultură, precum și în alte domenii legate de divertisment și sport, jurnalism și știri,
documentare, logistica și transport, construcții și lucrări publice, monitorizare de rețele și infrastructurii și întreținere, precum și în
scopul aplicării legii.
13
A se vedea, în acest sens, definițiile pentru „datele cu caracter personal” și pentru „prelucrarea datelor” prevăzute la articolul 2
litera (a) și la articolul 2 litera (b) din Directiva 95/46/CE. Ar trebui subliniat faptul că colectarea de date fără nicio înregistrare sau
stocare este totuși o operațiune de prelucrare care presupune aplicarea legislației privind protecția datelor și că „identificabilitatea, în
sensul directivei, poate fi, rezultatul unei combinări de date cu informațiile deținute de terți sau cu utilizarea, în cazuri individuale, a
unor tehnici și/sau dispozitive speciale ” (Grupul de lucru „Articolul 29” privind protecția datelor, Avizul 4/2004 privind prelucrarea
datelor cu caracter personal prin mijloace de supraveghere video, WP89, p. 15). Pentru orientări detaliate cu privire la interpretarea
noțiunii de date cu caracter personal, a se vedea Grupul de lucru „Articolul 29” privind protecția datelor, Avizul 04/2007 privind
conceptul de date cu caracter personal, WP136.
7
2.2 Riscuri legate de protecția datelor
Având în vedere toate aplicațiile existente și altele din viitorul apropiat, au fost deja subliniate mai
multe riscuri în ceea ce privește siguranța, răspunderea civilă și viața privată 14. Într-adevăr, în ceea
ce privește acest ultim aspect, este probabil ca, într-un număr de cazuri, persoanele vizate să nu fie
conștiente de drone sau de orice prelucrare a datelor cu caracter personal efectuată, dat fiind faptul
că aceste dispozitive pot fi dificil de vizualizat de la sol. În orice caz, chiar dacă persoanele sunt
conștiente de faptul că există o dronă în zona, este dificil de știut care sunt echipamentele de
prelucrare a datelor prezente la bord, în ce scopuri sunt colectate datele și de către cine. Aceasta va
duce la un sentiment crescut de a fi sub supraveghere și la o posibilă diminuare ulterioară a
exercitării legitime a libertăților și drepturilor civile, stare cunoscută cel mai bine sub numele de
„starea de frică” 15.
Dexteritatea de drone facilitează și mai mult capacitatea lor de a ajunge în puncte de observație
unice, de exemplu, pentru a evita obstacolele și pentru a nu fi limitate de bariere, ziduri sau garduri.
Dronele pot intra, așadar, mai ușor în spațiile private, pentru a facilita colectarea unei mari varietăți
de informații dintr-o varietate de surse. În funcție de tehnologiile de la bord, datele ar putea fi
colectate fără a fi necesară o rază vizuală directă (de exemplu, prin acoperișuri, moloz sau nori),
pentru perioade lungi de timp și pe o suprafață mare fără întrerupere (cu un risc ridicat de colectare
de blocuri de date și de utilizări ilegale în scopuri multiple).
Ar trebui să se ia în considerare, de asemenea, posibilitatea interconectării unui număr de drone
pentru a supraveghea o suprafață mare. Seturi de drone, cu canale de comunicare în timp real între
ele și părțile externe declanșează riscuri încă și mai mari în ceea ce privește protecția datelor,
întrucât acestea ar putea permite cu ușurință supravegherea coordonată, adică urmărirea mișcărilor
persoanelor fizice sau ale vehiculelor pe spații întinse.
Astfel, există un risc ridicat ca prelucrarea datelor cu caracter personal de către drone să aibă loc
sub acoperire și să determine o interferență majoră cu sfera cea mai intimă a persoanelor fizice. În
același timp, există un risc incontestabil mai mare de denaturare a funcțiilor (de exemplu, riscurile
de modificări sau extinderi ale utilizării în scopuri incompatibile), ținând cont de echipamentul
potențial sofisticat de la bord și ușurința cu care datele cu caracter personal colectate pot fi legate de
alte informații.
În plus, potențialul impact al intruziunii în viața privată este agravat de ansamblul extins de părți
interesate și entități implicate în utilizarea lor. Producătorii dronelor, de exemplu, joacă, de
asemenea, un rol în etapa de proiectare a dronelor întrucât caracteristicile operaționale pot, într-o
măsură mai mică sau mai mare, să se preteze la aplicații care afectează viața privată (de exemplu, în
cazul dronelor de dimensiuni mici sau de drone de microdimensiuni, care au capacitatea de a zbura
în interiorul clădirilor).
Percepția dronelor de către persoane este strâns legată de sustenabilitatea lor socială. În acest sens,
aplicarea efectivă a legislației privind protecția datelor poate contribui la acceptarea dronelor. Prin
urmare, WP29 încurajează inițiativele și proiectele de creștere a gradului de conștientizare care
însoțesc introducerea dronelor pe piața civilă a UE.

14
Printre altele, a se vedea anexa „Un studiu privind impactul societal” la „Foaia de parcurs privind integrarea sistemelor aeronautice
comandate de la distanță în sistemul european de aviație”, passim.
15
Pentru sindromul stării de frică și efectul panopticon rezultat din utilizarea pe scară largă a dronelor, a se vedea Rachel L. Finn,
David Wright și Anna Donovan (Trilateral Research & Consulting, LLP), Laura Jacques și Paul De Hert (Vrije Universiteit Brussel),
„Privacy, data protection and ethical risks in civil RPAS operations”, 7 noiembrie 2014, la adresa:
http://ec.europa.eu/DocsRoom/documents/7662, p. 28 et seq. și alte materiale.
8
3. Analiza juridică
Cu toate că nu există o legislație specifică cu privire la implicațiile utilizării dronelor asupra
protecției datelor în statele membre, cadrul juridic relevant este instituit de Directiva 95/46/CE
privind protecția datelor (denumită, în continuare, „directiva”) și, în măsura în care dronele pot fi
utilizate, de asemenea, de către furnizorii de servicii de comunicații electronice destinate publicului
(de exemplu, pentru extinderea acoperirii unor astfel de servicii), de Directiva 2002/58/CE, astfel
cum a fost modificată prin 2009/136/CE.
În plus, în pofida diferitelor impacturi pe care le poate avea utilizarea dronelor asupra vieții private
și libertății persoanelor, în comparație cu sistemele CCTV, ar putea exista situații în care dispozițiile
legale naționale aplicabile sistemelor CCTV să se poată aplica și utilizării dronelor, în special în
cazul dronelor utilizate în scopuri de supraveghere video. Având în vedere acest lucru, WP29
intenționează să facă trimitere la avizul său referitor la prelucrarea datelor cu caracter personal prin
mijloace de supraveghere video, subliniind actualitatea analizei juridice și a recomandărilor
prevăzute în aceasta 16.
Totuși, având în vedere particularitățile sus-menționate și riscurile legate de aplicațiile cu drone,
WP29 consideră că este important să furnizeze orientări specifice privind modul de respectare, în
acest context, a normelor privind protecția datelor.
Aceasta fiind cadrul, ar trebui să se acorde o atenție deosebită chestiunii operatorului de date, mai
ales ținând cont de gama largă a serviciilor bazate pe drone deja furnizate de către companii
specializate în favoarea organizațiilor publice și private. În acest context, este extrem de important
ca operatorul și persoana împuternicită de operator să fie clar identificate pentru fiecare tip de
operațiune cu drone, în special, prin evaluarea elementelor esențiale pentru a distinge operatorul de
alți actori 17. Orientări clare privind identificarea diferitelor combinații ale responsabilităților între
diferite entități implicate în procesul de prelucrare în comun pot fi găsite în Avizul 1/2010 al WP29
privind conceptele de „operator” și „persoană împuternicită de operator” 18.
3.1 Aplicabilitatea Directivei privind protecția datelor
În timp ce Comisia Europeană își concentrează atenția asupra dronelor aeriene pilotate de la
distanță, prezentul aviz nu face diferența între sisteme de aeronave fără pilot complet autonome și
neautonome, întrucât acest aspect nu este relevant din punctul de vedere al problemelor legate de
protecția datelor ce decurg din utilizarea acestui tip de tehnologie. Mai mult decât atât, orientările ar
trebui să se aplice, cu ajustările necesare, prelucrării datelor ce rezultă din utilizarea de orice tip de
vehicul aerian (cu pilot sau fără pilot, aeronautic sau spațial) destinat operațiunilor civile.
Totuși, ar trebui subliniat faptul că unele situații de prelucrare de date cu caracter personal ce
decurg din utilizarea dronelor destinate operațiunilor civile se situează în afara sferei de aplicare a
acestor orientări în funcție de exceptările sau derogările pe care, în conformitate cu directiva, le pot
prevedea statele membre (a se vedea, în special, articolele 3, 9 și 13).

16
Grupul de lucru „Articolul 29” privind protecția datelor, Avizul 4/2004 privind prelucrarea datelor cu caracter personal prin
supravegherea video, id.
17
Un operator „stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal” [articolul 2 litera (d) din directivă]. O
persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care
prelucrează datele cu caracter personal în numele operatorului [articolul 2 litera (e) din directivă]. De exemplu, în timp ce acest rol ar
putea fi clar atunci când este utilizată drona direct de către o companie care a achiziționat-o pentru livrarea de colete (operator), un alt
cadru ar putea fi avut în vedere în cazul în care o companie comandă cartografierea unei zone unui operator de drone (în acest caz,
compania este operatorul de date și operatorul de drone este persoana împuternicită de către operator).
18
Grupul de lucru „Articolul 29” privind protecția datelor, Avizul 1/2010 privind conceptele de „operator” și „persoană
împuternicită de operator”, WP169.
9
În conformitate cu articolul 3 alineatul (2) din directivă, prelucrarea datelor cu caracter personal de
către o persoană fizică în cursul unei activități exclusiv personale sau domestice se situează în afara
sferei de aplicare a prezentului aviz.
Totuși, dispoziția prevăzută la articolul 3 alineatul (2) este o excepție și, prin urmare, trebuie
interpretată în mod restrictiv. Așadar, astfel cum a considerat Curtea de Justiție a Uniunii Europene,
așa-numita „derogare privind activitățile domestice” trebuie „să fie interpretată ca fiind în legătură
doar cu activitățile care se desfășoară în contextul vieții private sau de familie a persoanelor, ceea
ce, în mod clar, nu este cazul cu prelucrarea datelor cu caracter personal care constă în publicarea
pe internet, astfel încât aceste date să fie accesibil unui număr nedeterminat de persoane” 19. În
plus, în cazul în care operațiunile unei drone și ale echipamentelor de la bord sunt de natură să
creeze un sistem de supraveghere video, în măsura în care implică înregistrarea și stocarea
constantă a datelor cu caracter personal și acoperă „chiar și parțial, un spațiu public și sunt în
consecință orientate spre exterior din spațiul privat al persoanei care prelucrează datele în acest
mod, aceasta nu poate fi considerată drept o activitate care este exclusiv «personală sau
domestică» în sensul celei de a doua liniuțe din articolul 3 alineatul (2) din Directiva 95/46” 20.
În plus, în conformitate cu articolul 9 din Directiva privind protecția datelor, statele membre pot să
prevadă exceptări sau derogări de la unele dintre dispozițiile acesteia 21 în cazul prelucrării datelor
cu caracter personal efectuate exclusiv în scopuri jurnalistice sau în scopul expresiei artistice sau
literare 22. Totuși, exceptările și derogările ar trebui să fie cele „necesare pentru a reconcilia dreptul
la viață privată cu norme care reglementează libertatea de exprimare”.
Prelucrarea datelor cu caracter personal efectuate prin intermediul dronelor în scopuri jurnalistice ar
trebui, prin urmare, să ia în considerare diferitele legi și dispoziții naționale aplicabile acestui tip de
prelucrare. Totuși, statele membre ar trebui să fie conștiente de potențialul invaziv al acestor
instrumente, în special dacă sunt utilizate într-un mod iresponsabil și lipsit de etică și ar trebui să
identifice în mod clar sarcinile și responsabilitățile legate de exercitarea libertății de exprimare cu
ajutorul dronelor.
WP29 acordă o importanță majoră introducerii unui cadru adecvat la nivel național (în cazul în care
acesta nu este deja instituit), astfel încât utilizarea de drone în scopuri strict personale și recreative
și în scopuri jurnalistice 23 să nu afecteze drepturile fundamentale la viață privată sau la
confidențialitatea comunicațiilor, iar respectarea unui mod rezonabil de protecție a vieții private,

19
Curtea Europeană de Justiție, hotărârea pronunțată în cauza C-101/01, Bodil Lindqvist case, 6 noiembrie 2003, punctul 47.
20
Curtea Europeană de Justiție, hotărârea pronunțată în cauza C-212/13, František Ryneš/Úřad pro ochranu osobních údajů,
11 decembrie 2014, punctul 33. A se vedea mai jos în prezentul document cerințele pe care le implică această aplicație în materie de
legalitate, proporționalitate, transparență, măsuri de securitate etc., având în vedere că, astfel cum a fost amintit de către Curtea
Europeană de Justiție, „aplicarea Directivei 95/46 face posibil, atunci când este cazul, să se ia în considerare — în conformitate, în
special, cu articolul 7 litera (f), articolul 11 alineatul (2) și articolul 13 alineatul (1) literele (d) și (g) din directiva menționată —
interesele legitime urmărite de operator, precum protecția proprietății, sănătății și a vieții familiei sale și a acestuia”.
21
În special, cele referitoare la normele generale care reglementează legalitatea prelucrării datelor, normele referitoare la transferurile
către țările terțe și normele privind autoritatea de supraveghere și WP 29 [articolul 6 alineatul (1), articolul 10, articolul 11
alineatul (1), articolul 12 și articolul 21 din directivă].
22
O activitate poate fi calificată drept jurnalistică, în măsura în care obiectivul său este de a „comunica publicului informații, opinii
și idei, indiferent de suportul utilizat pentru transmiterea acestora. Aceste activități nu sunt limitate la companiile din sectorul
mediatic și pot avea un scop lucrativ” (Curtea Europeană de Justiție, hotărârea pronunțată în cauza C-73/07
Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy și Satamedia Oy, 16 decembrie 2008, punctul 61). În mod similar, Curtea
Europeană a Drepturilor Omului a considerat că „funcția de presă include crearea de forumuri de dezbatere publică. Cu toate acestea,
realizarea acestei funcții nu se limitează la mijloacele de comunicare sau la jurnaliștii profesioniști” (a se vedea Curtea Europeană a
Drepturilor Omului, hotărârea pronunțată în cauza Társaság a Szabadságjogokért/Ungaria, 14 aprilie 2009, punctul 27).
23
În această privință, de exemplu, în vederea abordării acestui aspect ar putea fi recomandabilă adoptarea unui cod de conduită
pentru scopuri jurnalistice, luând în considerare diferitele interese aflate în discuție.
10
chiar și în cazul colectării de date cu caracter personal, efectuate în spații publice, să poată fi
asigurată. Astfel cum a amintit Curtea Europeană a Drepturilor Omului, există o „zonă de
interacțiune a unei persoane cu alte persoane, chiar într-un context public, care ar putea intra în
sfera de aplicare a vieții private” 24. Prin urmare, principiile generale și o serie de sugestii specifice
prevăzute în prezentul aviz ar trebui, de asemenea, să fie luate în considerare de către legiuitori și de
către autoritățile de reglementare (atât la nivel național, cât și la nivel european), atunci când
stabilesc cerințele care trebuie respectate pentru utilizarea de aeromodele 25 și de către public în
general, în scopul de a evita încălcarea legislației privind protecția datelor și a altor componente ale
legislației naționale privind protecția altor drepturi personale 26.
3.2 Prelucrarea datelor cu caracter personal în scopul aplicării legii
Dronele pot însemna o transformare fundamentală a practicilor de aplicare a legii, în special în ceea
ce privește rolul datelor de ghidare a acțiunilor de aplicare a legii, variind de la monitorizarea unei
persoane la stabilirea obiectivelor în urma unei analize a vieții și activităților unei populații
specifice pe baza supravegherii continue. Astfel, utilizarea dronelor operate direct de către poliție
sau de către alte autorități de aplicare a legii – sau cererea acestora de a accesa datele colectate de
dronele operate de entități private pentru propriile lor scopuri – creează riscuri ridicate pentru
drepturile și libertățile persoanelor fizice și interferă direct cu dreptul la respectarea vieții private și
la protecția datelor cu caracter personal asigurată în conformitate cu articolul 8 din Convenția
Europeană a Drepturilor Omului („CEDO”) și cu articolele 7 și 8 din Carta drepturilor
fundamentale a Uniunii Europene („carta”).
Prin urmare, conform articolului 52 alineatul (1) din cartă și articolului 8 alineatul (2) din CEDO,
această restrângere a exercițiului drepturilor și libertăților recunoscute prin cartă trebuie să fie
prevăzută de lege („în conformitate cu legea”), numai în cazul în care este necesar și dacă
într­adevăr îndeplinește obiectivele de interes general recunoscute de Uniune sau nevoia protejării
drepturilor și libertăților altora [„în căutarea unuia dintre scopurile legitime prevăzute la articolul 8
alineatul (2) din CEDO și necesare într-o societate democratică”].
Astfel, poliția și alte autorități responsabile cu aplicarea legii care utilizează drone ar trebui să se
asigure că acestea au un temei juridic valabil pentru prelucrarea datelor cu caracter personal.

24
Curtea Europeană a Drepturilor Omului, Hotărârea pronunțată în cauza Von Hannover v. Germania (n. 2), 7 februarie 2012,
punctul 95. A se vedea, în acest sens, avizul Autorității Europene pentru Protecția Datelor privind Comunicarea Comisiei „O nouă
eră pentru aviație - Deschiderea într-un mod sigur și sustenabil a pieței aeronautice pentru utilizarea civilă a sistemelor de aeronave
pilotate de la distanță”, 26 noiembrie 2014, pagina 7. Punând în echilibru cu grijă diferitele interese aflate în discuție, statele membre
— care sunt toate state părți la CEDO — ar trebui, de asemenea, să îndeplinească obligația pozitivă de a asigura respectarea efectivă
a vieții private și de familie care decurge din articolul 8 din convenție (a se vedea Curtea Europeană a Drepturilor Omului, Hotărârea
pronunțată în cauza Airey v. Irlanda, 9 octombrie 1979, punctul 32, Hotărârea pronunțată în cauza Marckx, 13 iunie 1979,
punctul 31).
25
Circulara 328 a OACI sus-menționată (punctul 2.4) reamintește faptul că aeromodelele nu se încadrează în dispozițiile Convenției
de la Chicago, dar ar putea, de asemenea, face obiectul unor reglementări naționale pertinente. În acest context, ar putea fi avută în
vedere introducerea de norme specifice care să asigure o utilizare responsabilă a dronelor, acestea trebuind în mod obligatoriu să
includă respectarea spațiilor private (de exemplu, grădini, curți, terase etc.) și o „așteptare rezonabilă” la respectarea vieții private
chiar și în spațiile publice; în acest scop, poate fi avută în vedere introducerea, în cazul în care este necesar, a perimetrelor virtuale. A
se vedea, în acest sens, de exemplu, reglementarea italiană privind vehiculele aeriene pilotate de la distanță (articolul 23).
26
Distribuirea de broșuri, care să fie ambalate împreună cu aeromodelul, de exemplu, ar putea fi utilă pentru a atrage atenția asupra
necesității respectării principiului protecției datelor, după caz, și a altor componente ale legislației naționale. Un exemplu interesant
de broșuri pentru uzul personal al dronelor („Règles d’un bon usage d’un drone de loisir”) poate fi găsit a adresa
http://www.developpement-durable.gouv.fr/IMG/pdf/Drone-_Notice_securite-2.pdf. A se vedea, de asemenea, în acest sens, lista de
conduită (Do's and Don'ts) pentru zborul aeromodelelor emisă de către FAA din SUA și publicată la adresa
http://www.faa.gov/uas/publications/model_aircraft_operators.
11
Dronele vor fi utilizate numai în cazul în care se oferă o demonstrație concretă a necesității și
caracterului lor adecvat pentru scopurile specifice urmărite. În acest sens, WP29 atrage atenția
asupra Avizului său 01/2014 cu privire la aplicarea conceptelor de necesitate și proporționalitate și
de protecție a datelor în cadrul sectorului de aplicare a legii.
Autoritățile sus-menționate trebuie să justifice de ce anume instrumentele existente pe care le au la
dispoziție și de ce anume alternativele mai puțin invazive nu ar putea atinge acest scop (și o
evaluare prealabilă efectuată de către autoritățile responsabile cu protecția datelor poate fi aplicată
și ar putea fi avută în vedere în acest scop în cazul în care practicile naționale favorizează o astfel de
evaluare prealabilă).
În plus, atunci când autoritățile de aplicare a legii prelucrează datele colectate cu ajutorul dronelor
pentru aplicarea legii în cazul infracțiunilor civile, acestea ar trebui să respecte cerințele prevăzute
în directivă. În special, astfel de utilizări ale dronelor ar trebui să fie limitate la cazurile în care este
necesară prelucrarea în scopul protejării interesele vitale ale persoanei vizate sau pentru îndeplinirea
unei sarcini de interes public sau în exercitarea autorității publice cu care este învestit operatorul sau
o parte terță parte căruia îi sunt divulgate datele.
Imediat după și dacă se stabilește necesitatea dronelor pentru poliție sau în scopuri de aplicare a
legii, în conformitate cu articolul 52 alineatul (1) din cartă și cu articolul 8 din CEDO, utilizarea lor
ar trebui să respecte principiul proporționalității și cerințele specifice în materie de protecție a
datelor: nu ar trebui să se facă mai mult decât este necesar pentru a se îndeplini scopul legitim
urmărit.
Din această perspectivă, principiile stabilite în Convenția nr. 108 a Consiliului Europei și
Recomandarea nr. R (87) 15 care reglementează utilizarea datelor personale în sectorul polițienesc,
adoptate de Comitetul de Miniștri la 17 septembrie 1987 ar trebui să fie urmate alături de principiile
relevante ale Deciziei-cadru 977/2008 privind protecția datelor.
În afară de aceasta, WP29 reamintește că prelucrarea datelor cu ajutorul dronelor de către serviciile
guvernamentale ar trebui efectuată în scopurile prevăzute de legislația relevantă și nu ar trebui să fie
utilizată pentru supravegherea nediferențiată, prelucrarea de blocuri de date, punerea în comun a
datelor și crearea de profiluri: trebuie impuse limite cu privire la utilizarea dronelor pentru
activitățile de supraveghere pentru a evita ca acestea să devină omniprezente sau utilizate pentru
semnalizarea de obiective pe baza analizei datelor. Prin urmare, dronele ar trebui utilizate numai în
scopurile strict enumerate și justificate care ar putea fi prezentate în avans și, în orice caz, utilizarea
ar trebui să fie limitată ’ geografic și în timp. În ceea ce privește „starea de frică” pe care o poate
determina utilizarea dronelor în ceea ce privește drepturile la libertatea de exprimare și la libertatea
de întrunire, trebuie acordată o atenție deosebită necesității de a proteja, în măsura în care este
posibil, demonstrațiile publice și reuniunile similare de orice fel de supraveghere.
3.3 Legalitatea prelucrării și principiul principiului limitării scopului
Pentru a fi legală, prelucrarea datelor cu caracter personal generată de aplicarea civilă a tehnologiei
dronelor trebuie să se bazeze pe unul dintre criteriile care asigură legitimitatea prelucrării datele
prevăzute la articolul 7 din directivă 27. Reamintind avizul privind interesul legitim care oferă
orientări detaliate în ceea ce privește acest aspect 28 și ținând cont de particularitățile prelucrării
datelor cu caracter personal efectuate cu ajutorul echipamentelor de la bordul dronelor, ar putea fi

27
Cu toate acestea, în toate cazurile în care utilizarea dronelor ar putea presupune prelucrarea unor categorii speciale de date, se va
aplica articolul 8 din directivă.
28
A se vedea Grupul de lucru „Articolul 29” privind pentru protecția datelor, Avizul 06/2014 privind conceptul de interese legitime
ale operatorului de date, WP 217, p. 16 et seq.
12
considerate relevante diferite temeiuri juridice în funcție de diferitele scopurile prelucrării în
discuție:
• consimțământ liber, specific și informat [articolul 7 litera (a)]
În timp ce consimțământul este un temei juridic comun care poate fi invocat, se pare că, în
acest context, ar putea fi considerat adecvat doar în câteva cazuri, în special în ceea ce privește
datele colectate în spații publice. Consimțământul trebuie să fie într-adevăr exprimat liber,
specific și informat. În cele mai multe dintre cazurile în discuție, ar fi foarte dificil de îndeplinit
toate aceste cerințe, întrucât consimțământul, de exemplu, nu ar fi exprimat „liber” ori de câte
ori o persoană nu este liberă să pătrundă în sau să părăsească un spațiu fără a fi supravegheat;
acordul nu va fi „informat” dacă respectiva persoană nu primește toate informațiile necesare cu
privire la prelucrare, nici nu va fi „specific” dacă nu este posibil ca persoană să identifice
fiecare scop al prelucrării pentru care trebuie să își dea consimțământul 29.
Consimțământul poate fi un temei juridic adecvat pentru prelucrarea datelor cu caracter
personal efectuate prin intermediul unei camere de la bordul unei drone, de exemplu, în cazul
unei sesiuni de instruire a unei echipe de sport (de exemplu, fără spectatori prezenți).
• prelucrare necesară pentru realizarea unui contract la care persoana vizată este parte [articolul 7
litera (b)]
Prelucrarea datelor cu caracter personal este legală în baza articolului 7 litera (b) din directivă,
de exemplu, atunci când o persoană achiziționează un produs care este îi este livrat la domiciliu
de către vânzător prin intermediul unei drone sau atunci când servicii de înregistrare video care
au ca obiectiv doar proprietățile persoanelor vizate sunt propuse de către companiile care
operează drone; totuși, trebuie ținut cont de faptul că prelucrarea incidentală a datelor de către
terțe părți care nu sunt afectate nu sunt acoperite de îndeplinirea obligațiilor pentru părțile la un
contract și, prin urmare, în exemplele de mai sus, ar trebui să fie evitată colectarea de date cu
caracter personal ale unor terțe părți sau ar trebui să fie găsit un temei juridic diferit care să o
legitimeze.
• prelucrarea este necesară cu scopul de a respecta o obligație legală sau este necesară pentru
executarea unei sarcini de interes public sau în exercitarea autorității publice cu care este
învestit operatorul sau terța parte căreia îi sunt divulgate datele [articolul 7 literele (c)-(e)]
Aceste temeiuri juridice ar putea fi invocate în cazurile în care o obligație legală impusă de lege
trebuie să fie îndeplinită de operator, precum supravegherea unui sit arheologic prevăzută
printr-o dispoziție specifică sau, de exemplu, în unele „utilizări legate de securitate” precum
controlul de contrabandă,, numai atunci când utilizarea dronelor este strict necesară și
proporțională.
• prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate [articolul 7
litera (d)]
Acest temei juridic ar putea fi relevante în anumite cazuri de „utilizări legate de securitate” ale
unei drone, precum în caz de catastrofă, inspecția unui spațiu în care a avut loc un incendiu,
intervenții de salvare a victimelor de zăpadă și accidente de munte etc. Totuși, având în vedere
că articolul 7 litera (d) trebuie interpretat cu strictețe, o abordare mai bună pentru luarea în
considerare a acestor utilizări ar fi articolul 7 litera (c), articolul 7 litera (e) sau articolul 7
litera (f), în funcție de circumstanțele cazului 30.
• prelucrarea este necesară în scopul unui interes legitim [articolul 7 litera (f)]

29
A se vedea Grupul de lucru „Articolul 29” privind protecția datelor, Avizul 15/2011 privind consimțământul, WP187.
30
A se vedea Grupul de lucru „Articolul 29” privind protecția datelor, Avizul 06/2014 privind conceptul de interese legitime ale
operatorului de date, WP217, paginile 20 și 21.
13
 Datele cu caracter personal pot fi prelucrate, de asemenea, dacă acest lucru este necesar în
scopul intereselor legitime urmărite de operator sau de către terța parte cu excepția cazului în
care astfel de interese prejudiciază interesele persoanei vizate sau drepturile și libertățile
fundamentale (este de așteptat ca astfel de criterii să fie avute în vedere, de exemplu, în cazul în
care operarea unei drone este necesară pentru inspecția unor conducte sau linii electrice sau
supravegherea infrastructurii critice sau fotogrammetria aeriană, cercetarea atmosferică și
meteorologică, monitorizarea energiei eoliene, urmărirea uraganelor, cartografiere siturilor
arheologice, monitorizarea gheții marine, de cercetare a faunei sălbatice) 31, dacă sunt aplicate
garanții corespunzătoare în cadrul sistemului.
În plus și având în vedere unul dintre riscurile sus-menționate declanșate de colectarea unei vaste
cantități de date de către aplicații cu drone și așa-numita „denaturare a funcțiilor”, trebuie reamintit
faptul că datele cu caracter personal trebuie colectate în scopuri specificate, explicite și legitime și
nu trebuie prelucrate ulterior într-un mod incompatibil cu aceste scopuri [articolul 6 alineatul (1)
litera (b) din directivă] 32.
Așadar, orice prelucrare ulterioară a datelor cu caracter personal pentru un scop diferit de cel pentru
care au fost colectate ar trebui să fie realizată în conformitate cu dispozițiile directivei și, prin
urmare, ar trebui să aibă un temei juridic autonom, iar compatibilitatea sa cu scopul inițial ar trebui
să fie, de asemenea, evaluată de la caz la caz 33.
În plus, în conformitate cu principiul legalității [articolul 6 alineatul (1) litera (b) din directivă] orice
operațiune cu dronă care implică prelucrarea de date cu caracter personal ar trebui, în primul rând,
să respecte legislația aplicabilă în general 34, inclusiv reglementările naționale privind CCTV și
utilizarea dronelor 35.
3.4 Principiul proporționalității, calitatea datelor și minimizarea datelor: rolul relevant al
respectării vieții private începând de la momentul conceperii și al protecției implicite
Întrucât datele cu caracter personal pot fi prelucrate numai dacă sunt adecvate, relevante și nu sunt
excesive în raport cu scopurile pentru care sunt colectate, ar trebui efectuată o evaluare strictă a
necesității și proporționalității datelor prelucrate (articolul 6 din directivă). Datele cu caracter
personal trebuie să fie prelucrate numai în cazul în care, și atâta timp cât scopurile nu ar fi putut fi
îndeplinite prin prelucrarea de informații care nu implică date cu caracter personal.

31
Orientări utile cu privire la acest temei juridic pot fi găsite în avizul WP 29 privind interesul legitim. Ibid. Cu toate acestea, având
în vedere gravitatea potențială a încălcării protecției datelor și a vieții private ale altor persoane în urma utilizării dronelor, în
conformitate cu hotărârea Curții Europene de Justiție în cauza privind Google Spania, este clar că o astfel de prelucrare va fi cu greu
justificată prin simplul interes economic de care operatorul dispune în această prelucrare (Curtea Europeană de Justiție,
hotărârea pronunțată în cauza C-131/12 Google Spain SL și Google Inc./ Agencia Española de Protección de Datos și Mario Costeja
González, 13 mai 2014, punctul 81).
32
Astfel, de exemplu, nu ar trebui să fie posibil să se utilizeze imagini ale terenurilor agricole, pentru a garanta că pesticidele sunt
diseminate în mod corespunzător, pentru a înregistra datele privind terenurile învecinate sau pentru a filma o zonă în scopul de a o
securiza și a utiliza imaginile/videourile pentru a sancționa persoanele care nu au plătit taxa de intrare.
33
A se vedea articolul 29 referitor la grupul de lucru pentru protecția datelor, Avizul 03/2011 privind limitarea scopului, WP203.
Pentru un alt exemplu semnificativ al utilizării necorespunzătoare a datelor cu caracter personal a se vedea, articolul 29 referitor la
grupul de lucru pentru protecția datelor Avizul 10/2006 privind prelucrarea datelor cu caracter personal de către Society for
Worldwide Interbank Financial Telecommunication (SWIFT), Wp128, p. 15. În plus, respectarea principiului limitării scopului este,
de exemplu, esențial în caz de mutualizare (a se vedea mai sus, punctul 2.1).
34
Legislația privind protecția datelor, precum și alte legi aplicabile, inclusiv legislația națională de protejare a drepturilor personale, a
imaginii, vieții de familie și a vieții private.
35
Din aceste motive, în statele membre în care operarea dronelor încalcă normele naționale de aviație, prelucrarea datelor cu caracter
personal colectate în timpul operațiunilor vor fi considerate a fi neconforme cu principiul legalității.
14
În plus, principiul minimizării datelor ar putea fi respectat prin alegerea tehnologiei proporționale și
prin adoptarea de măsuri de protecție a datelor și a vieții private în mod implicit, și anume
parametrii de confidențialitate privind serviciile și produsele care ar trebui să evite în mod implicit
colectarea și/sau prelucrarea ulterioară a datelor cu caracter personal care nu sunt necesare 36. O
sarcină utilă mai puțin intruzivă ar trebui să fie de preferată întotdeauna și, după caz, de exemplu,
aplicarea tehnicilor de anonimizare stabilite în Avizul 05/2014 privind tehnicile de anonimizare 37 ar
putea fi avută în vedere ori de câte ori prelucrarea datelor cu caracter personal nu este necesară.
În plus, în ceea ce privește diversele tehnologii care sunt capabile să citească și să prelucreze în
format electronic date biometrice (recunoaștere facială, identificare comportamentală), o analiză
actualizată, clarificări și recomandări utile pot fi găsite în Avizul WP29 privind evoluțiile în
domeniul tehnologiilor biometrice 38. De exemplu, atunci când sunt utilizate drone echipate cu
camere video, operatorii ar putea recurge la prelucrarea automată a imaginilor utilizând efectul de
estompare sau alte efecte grafice, pentru a se evita colectarea de imagini ale persoanelor
identificabile atunci când acestea nu sunt necesare.
Aplicarea protecției datelor prin măsuri implicite presupune că, în prealabil, principiul protecției
datelor începând de la nivelul conceperii este respectată de către producători și operatori. Protecția
datelor ar trebui să fie încorporată în întregul ciclu de viață al tehnologiei, de la etapa inițială de
concepere până la implementarea finală, utilizarea și eliminarea finală; o astfel de tehnologie ar
trebui să fie proiectată astfel încât să se evite prelucrarea datelor cu caracter personal care nu sunt
necesare (de exemplu, se recomandă în cazul infrastructurilor strategice sau critice, firmware de
inginerie a dronelor pentru a preveni colectarea de date în cadrul definit anterior ca fiind zone de
interdicție aeriană) 39.
Dată fiind varietatea de aplicații cu drone, pentru a evalua impactul acestora asupra drepturilor și
libertăților persoanelor și, în special, cu privire la dreptul la viață privată și la protecția datelor, ar
putea fi efectuată o evaluare a impactului asupra protecției datelor. Aceasta ajută operatorii să
descopere riscurile legate de viață privată (dacă este cazul) asociate cu utilizarea de noi aplicații și
să evalueze dacă prelucrarea datelor cu caracter personal prin intermediul dronelor este legitimă,
necesară și proporțională cu scopul, în timp ce acoperă, printre altele, probleme de transparență și
de securitate și documentează măsurile întreprinse pentru abordarea acestor riscuri 40.

36
De exemplu, în cazul în care datele sunt stocate la bordul unui dispozitiv, acestea ar trebui eliminate cât mai curând posibil și
păstrate de operatorul de date într-un mod sigur și securizat în conformitate cu politicile de păstrare clar definite. Stocarea de lungă
durată a datelor colectate pe un dispozitiv este supusă unor riscuri inutile de furt sau pierdere pe durata unui zbor ulterior misiunii. Pe
de altă parte, dronele utilizate pentru livrarea unui pachet nu trebuie să fie echipate cu camere care să permită recunoașterea facială
sau capacități de înregistrare audio. Un dispozitiv utilizat pentru monitorizarea unui acoperiș pentru daunele cauzate de furtuni nu ar
trebui în mod obligatoriu să înregistreze un film în urma întregului zbor, mai ales dacă locația de interes se află la o anumită distanță
față de locul de decolare și de aterizare. În acest sens, se recomandă implicarea unei persoane responsabile cu protecția datelor (după
caz) în elaborarea și punerea în aplicare a politicilor referitoare la utilizarea dronelor.
37
A se vedea articolul 29 referitor la grupul de lucru pentru protecția datelor, Avizul 05/2014 privind tehnicile de anonimizare,
WP216.
38
A se vedea articolul 29 referitor la grupul de lucru pentru protecția datelor, Avizul 3/2012 referitor la evoluția tehnologiilor
biometrice, WP 193.
39
Mecanismele care garantează că, în mod implicit, sunt prelucrate numai acele date cu caracter personal care sunt necesare pentru
fiecare scop specific al prelucrării și că, în special, aceste date nu sunt colectate sau păstrate dincolo pragul minim necesar pentru
îndeplinirea acestor scopuri sunt avute în vedere de propunerea Comisiei Europene de Regulament al Parlamentului European și al
Consiliului privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date,
COM(2012) 11 final (a se vedea, în această privință, articolul 23).
40
În acest context, în primul rând, pentru fiecare tip de aplicație pentru drone, o evaluare prealabilă ar trebui să țină seama de
standardul necesar/tipurile de date care ar putea fi colectate. De exemplu, simpla colectare de date privind zborul dronelor (precum
altitudinea, viteza în aer, durata zborului) pot să nu determine imediat aplicarea obligațiilor privind protecția datelor, cu excepția
15
În lumina celor de mai sus, WP29 invită factorii de decizie competenți de la nivel european și/sau
național ca, atunci când elaborează noul cadru juridic pentru integrarea dronelor în spațiul aerian
european civil, să evalueze posibilitățile de a promova punerea în aplicare, ca o bună practică, a
evaluării impactului asupra protecției datelor pentru fiecare tip de operațiune cu drone care poate
implica prelucrarea de date cu caracter personal, ținând cont de riscurile previzibile generate de
aplicațiile urmărite, inclusiv prin punerea la dispoziția părților interesate (producători și operatori) a
unui set de criterii ușor de utilizat.
În special, întrucât regulile în materie de protecție a datelor ar trebui să fie respectate în măsura în
care sunt prelucrate date cu caracter personal, ar trebui să fie avută în vedere o evaluare a
impactului asupra vieții private și a protecției datelor pentru producători în cazul dronelor
„concepute și produse” în scopuri de supraveghere și pentru operatori dacă utilizează drone care
transportă la bord orice tip echipamentelor „audiovizuale”, luând în considerare, astfel cum s-a
menționat anterior, sarcinile utile și scopurile colectării și prelucrării ulterioare a datelor cu caracter
personal 41.
În cazul în care dronele sunt prevăzute cu un sistem de recunoaștere a imaginilor, punerea în
aplicare a unui mecanism pentru a facilita exercitarea, de către persoana vizată a obiecției sub formă
de etichete active sau pasive care ar comunica în mod clar intențiile persoanelor vizate cu privire la
prelucrarea imaginilor sau dispozitivele utilizate de acestea astfel cum sunt utilizate în prezent
etichetele vizuale al căror scop este de a arăta fotografilor cu ocazia conferințelor publice cum ar
trebui să fie luat în considerare modul în care poate fi utilizată imaginea persoanelor fotografiate 42.
3.5 Transparența și informarea persoanelor vizate
Potrivit principiul prelucrării echitabile [articolul 6 litera (a) din directivă], persoanele vizate trebuie
să fie informate cu privire la colectarea și prelucrarea datelor cu caracter personal și, prin urmare,
acestea ar trebui să fie informate în conformitate cu articolul 10 din directivă, sub rezerva
derogărilor prevăzute la articolele 11 și 13. În cel mai scurt timp posibil și în cazul în care este avută
în vedere divulgarea către o terță parte, cel mai târziu atunci în momentul comunicării pentru prima
oară a datelor, în conformitate cu articolul 11 din directivă, persoanele vizate ar trebui să dispună de
următoarele informații: identitatea operatorului dronei și a reprezentantului acestuia, scopurile
prelucrării pentru care sunt destinate datele, orice alte informații suplimentare, precum categoriile
de date, destinatarii sau categoriile de destinatari ai datelor, existența unor drepturi de acces la și
dreptul de a specifica și corecta datele care îi privesc.
Pentru a îndeplini această cerință de transparență și de informare cu privire la persoanelor vizate,
operatorii de date ar trebui să ia în considerare o abordare multi-canal 43. Modalitățile obișnuite,
precum panourile de semnalizare sau fișele de informare pentru un eveniment (de exemplu, un

cazului în care pilotul sau alte persoane fizice sunt identificabile separat față de date (de exemplu, numele pilotului sau numărul
angajaților sunt incluse în jurnalul de metadate).
41
Efectuarea unei evaluări a impactului asupra protecției datelor în cazuri specifice este prevăzută în propunerea Comisiei Europene
de Regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice cu privire la prelucrarea datelor cu
caracter personal și libera circulație a acestor date, menționată anterior (a se vedea, în special, articolul 33).
42
Mecanismul de semnalizare prin intermediul etichetelor indicând consimțământul persoanei vizate în ceea ce privește utilizarea și
publicarea imaginii sale a fost descris în proiectul privind etichetare offline (a se vedea: http://offlinetags.net/en).
43
Într-adevăr, WP 29 recunoaște că utilizarea RPAS ridică o problemă privind modul de furnizare a informațiilor și de determinare a
persoanei vizate să consulte informațiile referitoare la un dispozitiv care este uneori atât de invizibil încât respectiva persoană nu va
percepe prezența acestui
sau colectarea de date. Chiar dacă informarea persoanei vizate care participă la un eveniment în aer liber, se poate concepe cu
ușurință prin intermediul declarației de confidențialitate pe panouri situate la intrarea în zona monitorizată de RPAS, se ridică
problema referitoare la modul în care trebuie furnizate informațiile privind RPAS care vor survola spațiul public, fără limitări clare
ale domeniului de aplicare teritorial.
16
pachet de informații la o cursă de canotaj) sau în publicațiile de specialitate privind evenimentele
(de exemplu, un program sportiv) ar putea fi ușor de utilizat în cazul operațiunilor cu drone în
locații fixe (cu ocazia evenimentelor sportive, a concertelor, în zonele arheologice, în parcurile
naturale etc.) și se pot baza pe simboluri care pot fi recunoscute cu ușurință și au o formă concisă.
Mijloacele de comunicare sociale, zonele de afișare publice din spații închise (de exemplu, ecrane
TV pe o arenă sportivă), semnale emise fără fir, lumini intermitente, sonerii și culori luminoase ar
putea fi, de asemenea, avute în vedere. În plus, prin asigurarea faptului că operatorul dronei este
foarte vizibil este facilitată exercitarea drepturilor altor persoane. Cerința de a afișa o marcă de
înregistrare (similar cu o plăcuță de înmatriculare a vehiculului) este relevantă numai în măsura în
care dronele sunt vizibile de la nivelul solului sau în cazul în care se pierde controlul și datele
stocate trebuie reconectate la operator. O altă soluție interesantă este solicitarea transmiterii unui
semnal de marcă de înregistrare fără fir, care poate fi comparat cu o bază de date online. Totuși,
protecția datelor și problemele legate de securitatea datelor ridicate de un sistem de înregistrare
trebuie să fie, de asemenea, avută în vedere 44.
În plus, ca bună practică, WP29 recomandă ca operatorii dronelor să publice informații pe site-ul lor
sau pe platforme dedicate pentru a furniza în permanență informații referitoare la diferitele
operațiuni care au avut loc și la cele viitoare asigurând în același timp, în zonele îndepărtate sau în
situațiile în care este puțin probabil ca persoanele fizice să acceseze site-ul, publicarea informațiilor
în ziare, pliante sau afișe sau dat printr-o scrisoare în cutia poștală 45.
În unele state membre, AAC publică lista operatorilor autorizați pentru utilizarea profesională a
dronelor și/sau a autorizațiilor acordate pentru fiecare operațiune. Astfel de liste ar trebui salutate,
întrucât ele ar putea facilita accesul la informațiile referitoare la operațiunile de prelucrare a datelor.
Mai mult decât atât, deoarece în multe state membre în care utilizarea dronelor este reglementată,
din diferite motive, operarea dronelor nu este permisă în unele spații, ar fi foarte utilă publicarea de
hărți (realizate de AAC, pe care le pot indica producătorii, de exemplu, prin publicarea unui link la
o sursă informații gestionate de AAC) ilustrând zonele în care pot fi utilizate dronele (de exemplu,
publicarea de astfel de hărți ar ajuta oamenii să identifice zonele în care ar putea fi operate drone).
Este recomandabilă aceeași abordare multicanal în cazurile în care se utilizează drone pentru a
supraveghea o infrastructură de mari dimensiuni (de exemplu, rețelele de cale ferată sau rețele
electrice). Astfel de informații pot fi furnizate prin intermediul panourilor de semnalizare și al
simbolurilor și, acolo unde este posibil, al site-urilor web. Aceste informații ar putea fi furnizate în
mod general, explicând care explică faptul că infrastructura este monitorizată, fără a fi necesare
detalii privind zborurile viitoare sau anterioare.
În fine, deoarece aplicațiile cu drone pot acoperi zone întinse, în cazul în care furnizarea de
informații către persoanele vizate se dovedește a fi dificilă sau imposibilă, s-a sugerat crearea unei
resurse de informații naționale sau transnaționale (mai ușor de găsit decât site-urile operatorilor
unici) pentru a permite persoanelor fizice să identifice misiunile și operatorii asociați cu dronele
individuale 46. WP29 recunoaște oportunitatea unei astfel de soluții și invită Comisia Europeană să

44
De exemplu, în cazul în care o farmacie efectuează livrări regulate de la proprietatea unei persoane se poate deduce că ocupantul
suferă de o gravă problemă medicală. Faptul de a se solicita unei persoane să prezinte planuri de zbor cu drone sau faptul de a oferi
posibilitatea de a se efectua căutări în istoricul zborurilor utilizatorilor individuali de drone sau al organizațiilor, inclusiv siturile de
decolare și aterizare, sunt de natură să ridice probleme semnificative legate de protecția datelor.
45
De exemplu, un agent imobiliar, care utilizează o dronă pentru a filma o secvență cu o proprietate în vederea vânzării, ar putea să
se adreseze în prealabil și în scris vecinilor, dar, de asemenea, ar putea vizita proprietățile învecinate la data înregistrării pentru a
furniza informații cu privire la prelucrare.
46
Grupul de lucru pentru protecția datelor în telecomunicații, Document de lucru privind viața privată și supravegherea aeriană, a
54-a reuniune, Berlin, septembrie 2013, publicat la adresa www.berlin-privacy-group.org
17
utilizeze instrumentele de finanțare pentru a sprijini cercetările și investițiile legate de această
chestiune, privind posibilele plăcuțele de înmatriculare inteligente pentru drone și similar 47.
3.6 Securitatea prelucrării datelor și aspecte conexe, perioadele de stocare, verificarea prealabilă
În conformitate cu articolul 17 din directivă, operatorii de date și persoanele împuternicite de
operator, acolo unde este cazul, trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate
pentru a proteja prelucrarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale
pierderii accidentale, modificării, divulgării sau accesului neautorizat. Această dispoziție se aplică,
de asemenea, atacurilor electronice și cibernetice și (de exemplu, manipulare de la distanță cu
ajutorul dispozitivului fie pentru a prelua controlul complet sau parțial, fie pentru a obține acces la
senzori sau la datele stocate).
Protecția ar trebui asigurată, de asemenea, pentru etapa de transmitere a datelor cu caracter personal
de la dronă la stația de bază. Se recomandă ca proiectanții dronelor și echipamentelor adaptate
pentru a fi instalate pe dronă să angajeze experți în securitate adecvați pentru a garanta abordarea în
mod corespunzător a vulnerabilităților legate de securitate.
În plus, datele cu caracter personal prelucrate prin intermediul dronelor nu pot fi stocate pentru o
perioadă de timp mai lungă decât este necesară în scopul prelucrării 48. Datele care nu sunt legate de
nicio plângere sau problemă ar trebui să fie șterse sau anonimizate în momentul imediat ulterior.
Este recomandabilă încorporarea de programe de stocare și de ștergere. Astfel, dispozitivele purtate
de drone ar trebui să fie concepute într-un mod care să permită stabilirea unei perioade de stocare
definite pentru datele cu caracter personal colectate și, prin urmare, ștergerea automată periodică a
datelor cu caracter personal care nu mai sunt necesare în conformitate programele de eliminare.
În legătură cu toate aceste aspecte, WP29 ar dori să atragă atenția operatorilor de date cel puțin
asupra următoarelor aspecte:
• un număr limitat de persoane autorizate, care urmează a se specifica, trebuie să dispună de
dreptul de a vizualiza sau de a accesa imaginile înregistrate;
• persoanelor sus-menționate ar trebui să li se acorde acces limitat, bazat pe necesitatea de a
cunoaște (need-to-know);
• stocarea și transmiterea criptată de informații, atunci când este necesar;
• registre cu toate cazurile de acces la materialele înregistrate și de utilizare a acestora;
• perioadele stricte de stocare a datelor și ștergerea sau anonimizarea automată odată ce
perioada de stocare a datelor a expirat;
• notificarea încălcării protecției datelor către APD (în măsura în care este obligatoriu din
punct de vedere legal).

47
În anumite contexte deosebit de sensibile, s-ar putea avea în vedere, de asemenea, introducerea unor mecanisme de feedback prin
care să se verifice îndeplinirea anumitor măsuri legate de protecția datelor. În ceea ce privește acțiunile specifice avute în vedere în
cadrul Orizont 2020 și al COSME pentru a sprijini dezvoltarea pieței RPAS, a se vedea Comisia Europeană, Comunicarea „O nouă
eră pentru aviație - Deschiderea într-un mod sigur și sustenabil a pieței aeronautice pentru utilizarea civilă a sistemelor de aeronave
pilotate de la distanță”, ibid., acțiunea 6. Sarcina de a menține această resursă (care ar putea fi un site internet dedicat unde dronele
ar putea fi urmărite în avans, la timp, ulterior și/sau un registru central pus la dispoziția publicului) ar putea fi încredințată, de
exemplu, AESA sau autorităților aeronautice naționale sau autorităților responsabile cu protecția datelor și o obligație de a raporta
acestora ar putea fi, de asemenea, introdusă de legiuitori – nu numai în ceea ce privește zborurile planificate, ci și în ceea ce privește
scopul prelucrării datelor cu caracter personal care va fi efectuată. În această privință, este necesar să se amintească faptul că, în cele
mai multe cazuri, AAC trebuie să fie informate cu privire la orice activitate cu drone în scopul acordării unei autorizații. A se vedea,
în acest sens, punctul 3.8 din prezentul aviz.
48
De exemplu, imaginile sau înregistrările video captate cu ajutorul dronelor în scopul asigurării securității unui festival în aer liber
trebuie păstrate numai pentru perioada de timp necesară pentru a investiga eventualele reclamații sau chestiuni legate de securitate.
18
În conformitate cu legile relevante naționale în materie de protecție a datelor, măsuri și dispoziții
suplimentare ar putea rezulta din evaluarea preliminară a prelucrării, în conformitate cu mecanismul
de verificare prealabilă (a se vedea articolul 20 din directivă).
4. Rolul cooperării dintre diferiți actori și importanța instrumentelor de autoreglementare
Un rol important în creșterea gradului de conștientizare în rândul producătorilor, operatorilor și
piloți cu privire la aspectele de protecție a datelor legate de utilizarea de drone prevăzute cu senzori
de echipamente va fi jucat de cooperarea dintre APD și autoritățile aeronautice civile. Pentru a
aborda acest subiect ar putea fi utilizate cursuri de instruire, evenimente publice, pliante comune. În
plus, ar trebui, de asemenea, să se aibă în vedere dacă există stagii în cadrul prelucrării existente
efectuate de AAC pentru acordarea de licențe pentru piloții de drone și pentru certificarea
operatorilor de drone, care ar putea oferi o bună ocazie pentru abordarea aspectelor privind protecția
vieții private și a datelor legate de utilizarea de drone.
În cele mai multe cazuri, certificările sau autorizațiile foarte specifice sunt acordate de autoritățile
aeronautice civile care reglementează utilizarea dronelor civile: zona și traiectoria de zbor,
dispozitivul și operatorul și operatorul de date sunt toate deseori examinate în acest context 49. În
unele țări, respectarea cerințelor de protecție a datelor este deja parte dintr-o examinare
discreționară care este efectuată de autoritățile aeronautice civile competente atunci când se acordă
permisiunea de a opera aeronave 50. Acesta fiind cadrul, informarea autoritățile aeronautice civile
competente privind luarea în considerare a tuturor cerințelor prevăzute de legislația privind protecția
datelor, prelucrarea datelor cu caracter personal prevăzută și scopurile lor constituie o bună practică
care trebuie să fie sprijinită întrucât aceasta ar putea ajuta, de asemenea, la atragerea atenției
operatorilor asupra aspectelor legate de protecția datelor, înainte de orice zbor autorizat 51 și ar putea
ajuta la realizarea unei baze de date centrale pusă la dispoziția publicului, în care ar putea fi păstrată
cel puțin o listă a operatorilor (inclusiv o descriere generică a scopurilor pentru care ar putea fi
prelucrate date cu caracter personal) 52. Acest lucru nu înseamnă că autoritățile aeronautice civile
vor avea responsabilitatea verificării dacă operatorul dronei a luat măsurile necesare pentru a
respecta legislația națională privind protecția datelor cu caracter personal, însă reprezintă un punct
de control util, care va determina operatorul dronei să ia o decizie conștientă cu privire la etapele pe
care va trebui să le urmeze și dacă le consideră ca fiind suficiente.
Promovarea codurilor de conduită și/sau a sistemelor de certificare pentru producători și operatori
ar putea fi avută în vedere în vederea îmbunătățirii gradului de conștientizare și a înțelegerii
operatorilor de drone civile a aspectelor legate de protecția datelor, precum și pentru a sprijini APD

49
A se vedea, cu privire la acest aspect, rezultatele unui studiu realizat în rândul autorităților aeronautice civile publicat în Rachel L.
Finn, David Wright and Anna Donovan (Trilateral Research & Consulting, LLP), Laura Jacques și Paul De Hert (Vrije Universiteit
Brussel), “Privacy, data protection and ethical risks in civil RPAS operations”, pagina 145 et seq. pentru o descrierea cadrului de
reglementare existent la nivel european și național în materie de drone, pagina 363 et seq.
50
Ibid. De exemplu, examenul de acordare a licenței pentru un pilot RPAS ar putea include unele cunoștințe de bază cu privire la
legislația privind confidențialitatea și protecția datelor, pentru a se asigura că piloții sunt conștienți de obligațiile juridice în cazul
prelucrării de date cu caracter personal.
51
De exemplu, în Germania, reglementările în materie de trafic aerian [Luftverkehrs-Ordnung (luftVO)] au fost modificate în 2012
pentru a include respectarea cerințelor privind protecția datelor în cadrul unei examinări discreționare de către autoritățile aeronautice
competente ale statelor federal în momentul acordării de autorizații pentru operarea aeronavelor.
În mod similar, regulamentul privind vehiculele aeriene pilotate de la distanță adoptat în Italia, la 16 decembrie 2013, prevede că „în
cazul în care operațiunile efectuate de un RPAS ar putea duce la prelucrarea de date cu caracter personal, acest lucru trebuie
menționat în documentația depusă pentru acordarea autorizației relevante” (articolul 22).
52
Acest lucru poate, de asemenea, să abordeze preocupările legate de securitate, întrucât informațiile recente au arătat că au fost
identificate drone care zburau ilegal deasupra unor clădiri strategice din zone urbane fără nicio posibilitate de a identifica persoanele
responsabile pentru operarea respectivelor drone.
19
în vederea monitorizării conformității. Rolul important pe care codurile de conduită îl pot avea în
acest cadru este chiar mai ușor de imaginat având in vedere ca APD nu poate evalua sau urmări
încălcări ale vieții private mai ample în cazul în care acestea sunt cu mult în afara competențelor lor
legale, aceasta fiind situația în care poate fi utilă responsabilizarea operatorilor de drone.
În cele din urmă, un rol util ar putea fi jucat, de asemenea, de mărcile de protecție a vieții private.
Chiar dacă astfel de sisteme nu ar scuti operatorii de date de la cunoașterea dispozițiilor legate de
protecția datelor și a vieții private, implicarea operatorilor și producătorilor de drone în abordarea
generală a mărcilor de protecție a vieții private poate fi susținută ca mijloc în sensul
responsabilizării și asigurării conformității.
5. Indicații și recomandări finale
În lumina riscurilor și consecințelor potențiale pe care deschiderea pieței aviației pentru drone le-ar
putea avea în ceea ce privește viața privată, libertățile civile și politice ale persoanelor, WP29
intenționează să atragă atenția legiuitorilor, producătorilor de drone și de echipamente relevante și
operatorilor/utilizatorilor de drone, de la nivel european și național, asupra următoarelor indicații și
recomandări menite să ofere îndrumări, în plus față de cele deja conținute în avizele și documentele
WP29 la care se face trimitere în prezentul aviz.
5.1 Măsurile necesare înainte de operarea unei drone:
1. a se verifica dacă legislația națională permite operarea de drone și a se verifica necesitatea
unei autorizații specifice din partea autorităților aeronautice civile;
2. a se clarifica rolurile diferiților actori posibili: în măsura în care prelucrarea nu este efectuată
direct de către operator, a se asigura că prelucrarea este reglementată prin intermediul unui
contract sau al unui act juridic cu caracter obligatoriu pentru operator și pentru persoana
împuternicită de operator și că persoana împuternicită de operator acționează numai pe baza
instrucțiunilor de la operator;
3. a se evalua impactul asupra protecției datelor, ținând cont de scopul operațiunilor și de tipul
de drone (dimensiune, vizibilitate etc.) și de combinațiile specifice ale tehnologiei de
detectare la bord; a se identifica temeiul juridic cel mai adecvat (acordul persoanelor vizate,
executarea unui contract, obligație legală, interes legitim etc.), precum și eventuala
necesitate de a notifica/consulta APD competente în conformitate cu legislația națională
privind protecția datelor;
4. a se alege tehnologia cea mai potrivită la bord și a se adopta toate măsurile adecvate legate
de protecția implicită a vieții private: servicii și produse stabilite astfel încât să se evite
colectarea și/sau prelucrarea ulterioară a datelor cu caracter personal care nu sunt necesare;
5. a se găsi cel mai potrivit mod de a notifica în prealabil persoanele care pot fi afectate de
prelucrarea datelor cu caracter personal: informarea prin panouri de semnalizare sau fișe de
informare în cazul operării vizuale într-o zonă specificată; în cazul unui eveniment, a se
informa public prin intermediul mijloacelor de comunicare sociale, ziare, pliante sau afișe; a
se furniza întotdeauna informații clare pe site-ul în cauză: anunțul ar trebui să conțină o
indicație clară a operatorului și a scopurilor prelucrării și ar trebui să ofere persoanelor
vizate indicii clare și specifice privind exercitarea dreptului de acces la înregistrările vizuale
și nevizuale care le privesc;
6. a se lua toate măsurile tehnice și organizatorice necesare pentru a asigura un nivel de
securitate corespunzător riscurilor reprezentate de prelucrarea și natura datelor care trebuie
protejate, în special, pentru a preveni orice prelucrare neautorizată, de asemenea, în timpul
etapei de „transmitere”;
7. a se șterge sau a se anonimiza orice dată cu caracter personal care nu este necesar la scurt
timp după colectare sa sau cât mai curând posibil.

20
5.2 Recomandări pentru factorii de decizie și autoritățile de reglementare din sector
Deschiderea pieței aviatice către utilizarea civilă a dronelor ar trebui să fie corelată cu:
1. Promovarea, la nivel european și național, a unui cadru pentru a garanta nu doar siguranța
zborului, ci și respectarea tuturor drepturilor fundamentale. În această privință, WP29 invită
la o implicare a părților interesate relevante în dezbaterea legată de integrarea dronelor în
spațiul aerian civil;
2. Armonizarea și modernizarea politicilor relevante în raport cu dronele, inclusiv în ceea ce
privește problema legii aplicabile operațiunilor transfrontaliere cu drone ale
statelor membre;
3. Introducerea, ca parte a cadrului de mai sus, de norme specifice care să garanteze o utilizare
responsabilă a dronelor, care trebuie să includă în mod necesar respectarea spațiilor private
(precum grădini, curți, terase etc.); în acest scop, ar putea fi avută în vedere introducerea,
atunci când este necesar, de perimetre virtuale sau de zone cu interdicție de zbor. În plus,
întrucât utilizarea dronelor poate fi limitată la domenii foarte specifice în multe state
membre, publicarea de hărți de către autoritățile aeronautice civile ar ajuta utilizatorii să
înțeleagă unde este permisă utilizarea dronelor (cu condiția ca celelalte principii să fie
respectate);
4. Introducerea unei obligații, la nivel european și/sau național pentru producători de a
comercializa numai drone de mici dimensiuni ambalate și însoțite de informații suficiente
(pentru exemple în cadrul instrucțiunilor de operare) cu privire la potențialul caracter
intruziv al acestor tehnologii și reamintind necesitatea de a respecta legislația și
reglementările de protecție a vieții private, datele cu caracter personal și alte drepturi
fundamentale europene și naționale;
5. Dezvoltarea și introducerea de către factorii de decizie competenți, de la nivel european
și/sau național, în strânsă consultare cu reprezentanții industriei, a unor criterii de evaluare a
impactului asupra protecției datelor pe care industria și operatorii să le poată utiliza cu
ușurință;
6. Introducerea aspectelor legate de protecția datelor între caracteristicile-cheie ale dispozițiilor
naționale care reglementează utilizarea comercială a dronelor (legate de calificarea și
formarea piloților, printre cerințele de navigabilitate și de certificare, de eliberare/revocare a
licențelor de operare și a permiselor de muncă pentru spațiul aerian etc.); în special,
declarațiile privind luarea în considerare cerințele de protecție a datelor ar putea face parte
din condițiile în baza cărora să se acorde o autorizație;
7. Promovarea certificărilor legate de protecția datelor, în scopul îmbunătățirii gradului de
conștientizare și a înțelegerii de către operatorii de drone a chestiunilor legate de protecția
datelor, precum și în vederea monitorizării conformității;
8. Mai mult decât atât, WP29 recomandă Comisiei Europene să recurgă la programe de
finanțare pentru a sprijini cercetările și investițiile privind noile tehnologii destinate să
sporească transparența (noile tehnologii de informare a publicului larg cu privire la dronele
în zbor, scopurile acestora și exercitarea drepturilor lor de acces), inclusiv, de exemplu,
plăcuțele de înmatriculare inteligente sau site-ul care va publica informații în timp real cu
privire la toate operațiunile cu drone.
5.3 Recomandări pentru producători și/sau operatori
1. Integrarea de opțiuni de proiectare ușor de utilizat și care să protejeze viața privată începând
de la nivelul conceperii;
2. Implicarea unei persoane responsabile cu protecția datelor (acolo unde este cazul) în
proiectarea și punerea în aplicare a politicilor legate de utilizarea dronelor;

21
 3. Promovarea și adoptarea de coduri de conduită care să poată ajuta industria și diferitele
categorii de operatori în vederea prevenirii încălcării legii și a creșterii nivelului de
acceptabilitate socială a dronelor; astfel de coduri ar trebui să conțină sancțiuni în cazul în
care semnatarii nu respectă codul;
4. Trebuie asigurat faptul că drona este cât mai vizibilă și identificabilă posibil (folosind
emiterea de semnale fără fir, lumini intermitente sau sonerii, culori luminoase);
5. Atunci când se află în raza vizuală, operatorul trebuie să fie vizibil și identificabil cu ajutorul
semnalizării ca fiind persoana responsabilă pentru dronă;
6. Atunci când este planificat și operat un zbor, chiar în cazul în care este permisă operarea de
drone în zone populate, trebuie să se evite pe cât posibil a zbura peste sau în apropierea
zonelor private și a clădirilor.
5.4 Recomandări privind utilizarea datelor cu caracter personal colectate cu ajutorul dronelor în
scopul aplicării legii
În mod similar cu utilizarea dronelor în scopuri comerciale, utilizarea datelor cu caracter personal
colectate cu ajutorul dronelor de către poliție și de către alte autorități responsabile cu aplicarea legii
ar trebui să asigure următoarele:
1. Trebuie respectate principiile necesității, proporționalității, limitării scopului, minimizării
datelor și protecției vieții private începând de la nivelul conceperii; trebuie să se stabilească
o perioadă strictă și justificată de păstrare a datelor;
2. Trebuie respectat principiul transparenței: prelucrarea datelor efectuată prin utilizarea de
drone ar trebui să fie stabilită/prevăzută de lege și trebuie să fie transparentă și previzibilă
pentru persoanele vizate; în măsura în care este posibil, acestea din urmă ar trebui să fie
informate cu privire la prelucrare și la drepturile lor corespunzătoare;
3. Legea privind prelucrarea datelor efectuată prin intermediul dronelor nu ar trebui să permită
urmărirea constantă a persoanelor sau, cel puțin, în cazul în care urmărirea constantă se
dovedește a fi strict necesară, acest lucru ar trebui să se limiteze la investigații justificate de
aplicare a legii. Echipamente tehnice și de detectare utilizate trebuie să fie în conformitate cu
scopul prelucrării;
4. Interdicția de aplicare automată a deciziilor, de asemenea, se aplică acestor utilizări. Datele
prelucrate cu ajutorul dronelor ar trebui să fie analizate ulterior de către un operator uman,
înainte de a se lua orice decizie care poate afecta o persoană;
5. Instanțele ar trebui să aibă, în general, posibilitatea de a revizui utilizarea dronelor în scopuri
de colectare de informații și de aplicare a legii, în conformitate cu practicile naționale;
6. Trebuie efectuată o revizuire periodică a necesității de prelucrare de date cu caracter
personal prin utilizarea de drone și a conformității acestei utilizări cu evoluția cadrului
juridic;
7. În plus, utilizarea de drone pentru aplicarea legii, chiar și în cazul unor investigații justificate
- precum supravegherea specifică -, ar trebui să necesite un regim suficient de ridicat de
aprobare la nivelul ierarhiei organizaționale. În funcție de legislația națională, datele cu
caracter personal colectate prin intermediul utilizării de drone pentru aceste tipuri de
investigații trebuie să fie încorporate în dosare administrative care să poată fi utilizate în
instanța de judecată.

22