Drones y protección de datos

La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha publicado una guía “Drones y Protección de Datos”, donde clasifica las operaciones con drones se pueden clasificar en categorías según su finalidad:

Operaciones que tienen por finalidad el tratamiento de datos personales, como es el caso de la videovigilancia. Además de la normativa expresada anteriormente, en este caso, también resultaría aplicable la “Guía sobre el uso de videocámaras para seguridad y otras finalidades” de la AEPD. Las recomendaciones de la AEPD para este tipo de operaciones son:

• En el caso de que exista la realización de un tratamiento por encargo de un tercero, el tercero será el responsable del tratamiento y el operador del dron actuará como encargado, debiendo regir su relación un contrato de encargado del tratamiento;
• Eliminar o anonimizar cualquier dato innecesario;
• Funciones predeterminadas respetuosas con la privacidad;
• Hacer que los drones sean lo más visibles e identificables posibles.

Operaciones que no incluyen un tratamiento de datos personales: son poco frecuentes y en ellas se pueden circunscribir operaciones con drones con configuraciones muy básicas, careciendo o, no haciendo uso de dispositivos para la captación de imágenes o cualquier otro tipo de datos o información de carácter personal. En el supuesto de que estos drones dispongan de cámaras, su uso debe estar restringido al uso doméstico o que dichas imágenes no permitan identificar a la persona. La recomendación de la AEPD es:

• Antes de compartir en internet los vídeos o imágenes capturados con un dron, es necesario verificar que no contienen datos personales relativos a personas, vehículos, viviendas o cualquier otro objeto que pueda facilitar la identificación de sujetos. Si contienen este tipo de información será necesario anonimizarlas utilizando, por ejemplo, técnicas de difuminado;

Operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida: en este supuesto podemos incluir operaciones como, tratamientos en agricultura o inspecciones de terreno que, aunque su objetivo no es capturar datos personales, existe el riesgo de que se produzca. Las recomendaciones de la AEPD para este tipo de operaciones son:

• Minimizar la presencia de personas y objetos que permitan su identificación, realizando los vuelos en horarios con poca afluencia de público, por ejemplo;
• Minimizar la captura de imágenes a lo estrictamente necesario;
• Aplicar medidas de privacidad desde el diseño, como, por ejemplo, ajustar la resolución de la cámara al mínimo necesario.

¿Quieres saber si tu empresa cumple con la LOPD?

CONTACTA AHORA CON UN EXPERTO

La regulación específica de los drones viene determinada tanto por la normativa aeronáutica específica para la utilización del espacio aéreo y en este sentido, deberá tenerse en cuenta la regulación comunitaria de uso de drones, Reglamento Delegado (UE) 2019/945 de la Comisión y el Reglamento de Ejecución (UE) 2019/947 de la Comisión para garantizar la seguridad en el uso de drones en toda la Unión Europea. Esta normativa persigue proteger la seguridad y privacidad de los ciudadanos y permitir la libre circulación de drones en la Unión Europea. Desde junio de 2020, los operadores de drones deben registrarse en el Estado miembro donde realicen su actividad. De esta forma, Europa se convirtió en la primera región del mundo en contar con una normativa completa sobre la seguridad y privacidad del uso de drones. Asimismo, el RGPD asegura la privacidad de los datos personales y de su tratamiento. Asimismo, la regulación nacional del uso de drones en España está dada por el Real Decreto 1036/2017, de 15 de diciembre, que modifica el Reglamento de Circulación Aérea y que regula la utilización de drones por parte de civiles, tanto para uso profesional como para uso recreativo.

Está ultima normativa española seguirá vigente hasta el 1 de enero de 2022 y se está esperando a un nuevo RD que regule el vuelo de drones en España y actualice la normativa vigente con respecto a los reglamentos europeos antes mencionados. El organismo encargado de regular el uso de drones en España es la Agencia Estatal de Seguridad Aérea (AESA), quien no se ha pronunciado respecto de muchos aspectos a tener en cuenta para volar drones.

La AEPD establece una serie de pasos a tener en cuenta antes de manejar un dron:

• Comprobar si la legislación nacional permite manejar drones y si es necesario solicitar una autorización a las Autoridades Aeronáuticas: Si un dron viola la normativa a la que esté sujeto en el territorio en el que sea utilizado, estará sujeto al régimen sancionador tanto en materia de protección de datos como en materia de navegación aérea.
• Al definir la campaña o servicio a ser ejecutado mediante drones, previamente al desarrollo de la operación, se debe analizar la necesidad de evaluar los riesgos que suponga el tratamiento de datos de carácter privado para los derechos y libertades de las personas afectadas: En caso de que el tratamiento esté dentro de los supuestos establecidos por el RGPD o en la lista de la Agencia Española de Protección de Datos, será necesario realizar una evaluación del impacto y de los riesgos. Aunque no existiese obligación, llevar a cabo esta evaluación siempre se considerará una buena práctica.
• Si en el análisis de necesidad se concluye que no es necesario realizar una evaluación del impacto, pero fuera posible que la operación entrañase posibles riesgos para la protección de datos o la privacidad, se deberá realizar un análisis de riesgos que intente paliar estos riesgos en la medida de lo posible: Se aconseja consultar a tal fin la Guía de análisis de riesgos de la Agencia Española de Protección de Datos.
• Si se obtuvieran datos de carácter personal, conviene tener en cuenta que no deben ser publicados en Internet ni hacerlos accesibles cuando se pueda identificar a personas o se interfiera en su privacidad.
• Evaluar previamente los objetivos de la operación, garantizando la seguridad física del vuelo y el cumplimiento de la normativa aeronáutica.

El derecho a la protección de datos es un derecho fundamental que garantiza la capacidad de cualquier persona a decidir sobre su propia información personal. El uso de drones con dispositivos puede suponer o supone un impacto en el derecho a la protección de datos de las personas y, por lo tanto, puede implicar una lesión de sus derechos y libertades. Teniendo en cuenta la definición de dato personal como «toda información sobre una persona física identificada o identificable», los operadores de drones que registren y/o procesen imágenes, vídeos, sonido, datos biométricos, datos de geolocalización, datos de telecomunicaciones relacionados con una persona identificada o identificable están sujetos a la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD).

Hay que tener en cuenta que en ocasiones un dato puede identificar directamente a una persona como, por ejemplo, su fotografía, pero en otras ocasiones la identificación no es directa y requiere de un tratamiento adicional, como puede ser información de geolocalización, o mediante el enriquecimiento con información adicional de otras fuentes como, por ejemplo, internet, y aunque a priori la persona no fuera identificable el resultado final sería que la identificación es posible gracias al cruce de informaciones de distintas fuentes. Tanto si el dato recogido mediante drones identifica inequívocamente a una persona como si su identificación se pueda realizar a posteriori, la normativa de protección de datos es aplicable.

La normativa específica para la utilización del espacio aéreo trabaja en paralelo con la normativa que defiende el derecho a la protección de datos personales de acuerdo con las obligaciones generales que señala el artículo 26 del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, donde se establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad. Por tanto, además de las previsiones que establece la normativa aeronáutica mencionada, deberá tenerse en cuenta que el RGPD y la LOPDGDD son de plena aplicación a cualquier tratamiento de datos personales que tenga lugar con el uso de un dron con independencia del ámbito profesional o aficionado al que esté asociada la operación del dron.

Antes de compartir en internet imágenes o vídeos capturados con un dron es necesario asegurarse de que no contienen imágenes o datos relativos a personas, vehículos, viviendas u otros objetos que puedan conducir a la identificación de sujetos, y en caso afirmativo anonimizarlas mediante técnicas de difuminado o similares.

• Si aún dudas, ¡estás en el sitio correcto! El «Grupo Adaptalia» te resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía
• Nuestra Consultoría en Protección de Datos es la solución perfecta para que nada te inquiete. Nuestras herramientas y servicios se adaptan completamente a tus necesidades.

Se deben seguir las siguientes recomendaciones, según señala la AEPD.

• Minimizar la presencia de personas y objetos que permitan su identificación.
• Minimizar la captura de imágenes a lo absolutamente necesario, reduciendo las posibilidades de que puedan aparecer personas inadvertidamente en las imágenes.
• Promover y aplicar características de privacidad desde el diseño.
• Para lugares en los que inevitablemente habrá personas realizar la captura de imágenes de forma que las personas no puedan ser identificadas.
• Evitar el tratamiento de otro tipo de datos personales.
• Evitar el almacenamiento de información innecesaria relativa a personas.

Resulta totalmente aplicable la normativa sobre protección de datos y se debe tener en cuenta las siguientes obligaciones:

• Si el tratamiento se realiza por encargo de un tercero que decide acerca de la finalidad de las imágenes (por ejemplo, con propósito de videovigilancia), este tercero será el responsable del tratamiento, el operador del dron actuará como encargado de un tratamiento de datos personales y debe asegurarse de que su relación con el responsable esté regida por un contrato.
• Si el operador actúa como responsable deberá determinar la base jurídica más apropiada para llevar a cabo el tratamiento.
• Elegir la tecnología a bordo más adecuada a la finalidad que se persigue con la operación y adoptar todas las medidas adecuadas de privacidad por defecto.
• Habilitar mecanismos para llevar a cabo el derecho de información con relación al tratamiento de datos personales que se realiza, teniendo en cuenta la peculiaridad de los drones.
• Tomar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos.
• Eliminar o anonimizar cualquier dato personal innecesario lo antes posible tras la recopilación.
• Incorporar opciones de configuración respetuosas con la privacidad y funciones predeterminadas como parte de un enfoque de privacidad desde el diseño.
• Hacer que los drones sean lo más visibles e identificables posibles, con características asociadas al responsable, haciendo que el operador sea también visible e identificable como responsable del dron.