Los drones y la protección de datos de carácter personal

¿Qué son los drones?

Los drones  son vehículos aéreos no tripulados que tienen su origen en el ámbito militar de la II Guerra Mundial y la posterior Guerra Fría. La tecnología dron ha dado un salto del uso militar al civil, siendo actualmente una industria foco de grandes inversiones  y expectativas en la que empresas trabajan para transformar este artilugio militar en una herramienta útil para la sociedad civil, pudiendo ser utilizadas para fines muy variopintos: seguridad, prevención de catástrofes naturales, control laboral, cartografía, comunicaciones, difusión de ondas de radio … Con esta diversidad de posibilidades las empresas tienen por delante un gran reto legal, ya que el espacio aéreo regulado exige unos estándares de control y seguridad muy exigentes y ni Estados Unidos ni Europa permiten el vuelo de aviones totalmente autónomos y drones, en general.

La regulación comunitaria sobre el uso de los drones

El 11 de junio de 2019 se publicaron las normas europeas comunes sobre drones, el Reglamento Delegado (UE) 2019/945 de la Comisión y el Reglamento de Ejecución (UE) 2019/947 de la Comisión , para garantizar que las operaciones de drones en toda Europa sean seguras. Las normas, entre otras cosas, ayudarán a proteger la seguridad y la privacidad de los ciudadanos de la UE al tiempo que permiten la libre circulación de drones y la igualdad de condiciones dentro de la Unión Europea.

Según Patrick Ky, Director Ejecutivo de EASA (European Aviation Safety Agency), ‘’Europa será la primera región del mundo en tener un conjunto completo de reglas que garanticen operaciones de drones seguras y sostenibles, tanto para actividades comerciales como de ocio. Las reglas comunes ayudarán a fomentar la inversión, la innovación y el crecimiento en este sector prometedor ”.

Dicho reglamento de la UE entrará en vigor a partir de junio de 2020 y será desde entonces que los operadores de drones deberán registrarse en el Estado miembro donde tienen su residencia o su principal lugar de negocios.

La regulación nacional

España cuenta con una regulación específica del uso civil de las aeronaves pilotadas por control remoto en espacios públicos, se trata del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, y se modifican el Real Decreto 552/2014, de 27 de junio, por el que se desarrolla el Reglamento del aire y disposiciones operativas comunes para los servicios y procedimientos de navegación aérea y el Real Decreto 57/2002, de 18 de enero, por el que se aprueba el Reglamento de Circulación Aérea.

En este real decreto se regula el uso de aeronaves tanto para uso profesional como recreativo. La anterior legislación que databa del 2014 y que ha sido derogada por la nueva era bastante restrictiva con el uso profesional y dejaba fuera de su ámbito el uso recreativo. Al contrario, el nuevo marco legal amplía el uso profesional a zonas de vuelo antes prohibidas como el vuelo en ciudades o los vuelos nocturnos, lo que sin duda impulsará la industria de los drones con nuevas actividades como el control de tráfico o la seguridad, por decir sólo algunas.

Para operar profesionalmente con drones es necesario estar en posesión del título de piloto de drones y que el mismo cuente con una placa identificativa, entre otros requisitos. Del otro lado, para volar drones de uso recreativo no es necesario tener título de piloto, pero si es necesario tener los conocimientos para pilotarlo con seguridad. Las normas de uso van a variar dependiendo del peso del aparato, siendo de 2 kg. el peso máximo para considerar un dron de uso recreativo.

La problemática de privacidad en el vuelo de los drones

Según la Agencia Española de Protección de Datos no cabe duda de que los datos recopilados por un dron pueden entrar en el ámbito de aplicación de la normativa de protección de datos de carácter personal. En concreto, la AEPD en su respectiva guía publicada, ‘‘Drones y protección de datos’’, ( https://www.aepd.es/sites/default/files/2019-09/guia-drones.pdf ) deja muy claro que ‘Teniendo en cuenta la definición de dato personal como “toda información sobre una persona física identificada o identificable”, los operadores de drones que registren y/o procesen imágenes, videos, sonido, datos biométricos, datos de geolocalización, datos de telecomunicaciones relacionados con una persona identificada o identificable están sujetos a la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD)’’.

Desde el punto de vista de la privacidad y la protección de datos, podríamos hablar de dos categorías principales de operaciones con uso de drones según la finalidad de la operación. De un lado tenemos aquellas en las que la finalidad de la operación implica por sí misma un tratamiento de datos personales, como es el caso de la videovigilancia o la vigilancia de personas por cualquier otro tipo de sensor (por ejemplo, el seguimiento de dispositivos móviles) y, por otro lado, estarían aquellas operaciones en las que la finalidad de la operación a priori no incluiría el tratamiento de datos personales, como puede ser la inspección de infraestructuras, levantamientos topográficos, inspecciones del terreno y otros servicios de fotografía y vídeo pero que podrían, en un momento dado, tener impacto sobre el derecho a la protección de datos y la intimidad de las personas.

Operaciones con drones que no implican tratamiento de datos de carácter personal

De esta manera, en el segundo caso, operaciones que no tienen como finalidad el tratamiento de datos de carácter personal, lo que se tiene que asegurar antes de compartir en internet imágenes o videos capturados con un dron es de que no contienen imágenes o datos relativos a personas, vehículos, viviendas u otros objetos que puedan conducir a la identificación de sujetos, y en caso afirmativo anonimizarlas mediante técnicas de difuminado o similares.

Operaciones con drones que implican un tratamiento colateral o inadvertido de datos de carácter personal

Asimismo, en una categoría parecida de casuísticas, podríamos encontrar operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida. Este es el caso de operaciones como la inspección de infraestructuras, levantamientos topográficos, inspecciones y/o tratamientos en agricultura u otros servicios de fotografía y vídeo (para cine, TV, publicidad, etc.) En estos casos, la AEPD en su guía propone una serie de medidas para minimizar el impacto a la privacidad de los posibles afectados, tales como:

• Minimizar la presencia de personas y objetos que permitan su identificación (bañistas, matrículas de vehículos, transeúntes, etc.) en el lugar de la operación (por ejemplo, realizando los vuelos en horarios en los que no exista gran afluencia de público o controlando el acceso a la zona de vuelo si fuera posible).
• Minimizar la captura de imágenes a lo absolutamente necesario, reduciendo las posibilidades de que puedan aparecer personas inadvertidamente en las imágenes, y considerando la posibilidad de no capturar el vuelo completo, sino solo aquellos momentos que sean necesarios.
• Promover y aplicar características de privacidad desde el diseño, como, por ejemplo, ajustar la resolución de la imagen al mínimo necesario para ejecutar el propósito del tratamiento, reducir la granularidad de la geolocalización con el mismo propósito; etc.
• Para lugares en los que inevitablemente habrá personas realizar la captura de imágenes de forma que las personas no puedan ser identificadas, por ejemplo, realizando capturas únicamente a distancia suficiente para que la identificación de estas no sea posible.

Operaciones con drones que tienen por finalidad un tratamiento de datos personales

Al contrario, en el caso de operaciones que tienen por finalidad un tratamiento de datos personales, como puede ser el caso de la videovigilancia, grabación de eventos o cualquier otra aplicación en la que la finalidad de la operación implica el tratamiento de datos personales de forma intrínseca, en estas operaciones es de aplicación el RGPD y la LOPDGDD, así como lo establecido en la guía sobre el uso de videocámaras para seguridad y otras finalidades de la Agencia Española de Protección de Datos. En particular, se tendrá en cuenta, que la instalación de videocámaras en lugares públicos con fines de seguridad, tanto fijas como móviles, es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad.

En este último caso de operaciones, unos puntos para tener en cuenta son:

• Antes de iniciar el tratamiento de los datos, es decir, la operación del vuelo de dron, el responsable de tratamiento debe realizar un análisis de riesgos, y en su caso, llevar a cabo, una evaluación de impacto según lo establecido en el RGPD.
• Si el tratamiento se realiza por encargo de un tercero que decide acerca de la finalidad de las imágenes (por ejemplo, con propósito de videovigilancia), este tercero será el responsable del tratamiento, el operador del dron actuará como encargado de un tratamiento de datos personales y debe asegurarse de que su relación con el responsable esté regida por un contrato o un acto jurídico que lo vincule con el responsable y que actúe solo siguiendo órdenes de este.
• Si el operador actúa como responsable: Deberá determinar la base jurídica más apropiada para llevar a cabo el tratamiento (consentimiento, contrato, obligación legal, interés legítimo, etc…). En general deberán cumplir las obligaciones a las que se refiere el RGPD.
• Habilitar mecanismos para llevar a cabo el derecho de información con relación al tratamiento de datos personales que se realiza, teniendo en cuenta la peculiaridad de los drones, pero sin olvidar que la información proporcionada deberá ser clara y transparente, y puede proporcionarse por medios electrónicos. Por lo tanto, se deberá de encontrar el modo más apropiado de informar a quienes van a verse afectados por el tratamiento de datos: informar mediante señalizaciones u hojas informativas, publicaciones en redes sociales, periódicos, folletos, pósteres, etc. en los que conste la identidad del responsable del tratamiento, su finalidad y se facilite a los afectados indicaciones claras y específicas para el ejercicio de sus derechos.
• Tomar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos para los derechos y libertades de las personas, en particular para prevenir cualquier tratamiento no autorizado durante la fase de transmisión de los datos capturados.

Fuentes

• Guía ‘Drones y protección de datos’, AEPD https://www.aepd.es/sites/default/files/2019-09/guia-drones.pdf
• Civil drones (Unmanned aircraft), EASA https://www.easa.europa.eu/easa-and-you/civil-drones-rpas