Drones y protección de datos

Cada vez son más utilizados los drones por ciudadanos, empresas e instituciones, tanto para fines profesionales como para fines recreativos y en este artículo intentaremos aclarar las incidencias y riesgos que entrañan en materia de seguridad y protección de datos, así como la legislación aplicable. Al finalizar encontrará unos pasos que deberá tener en cuenta antes de manejar un dron.

  • ¿Qué datos puede recoger un dron y para qué finalidades?
  • Incidencias en materia de privacidad.
  • Tipos de tratamiento de datos. Clasificación Agencia Española de Protección de Datos (AEPD).
  • Regulación aplicable.
  • Pasos a tener en cuenta antes de manejar un dron según AEPD.

¿Qué datos puede recoger un dron y para qué finalidades?

Los dispositivos básicos que forman parte de cualquier dron, un GPS y una cámara. No obstante hay aparatos que vienen o se le pueden agregar otros accesorios como puede ser cámaras termodinámicas, cámaras de visión nocturna, dispositivos WIFI y/o Bluetooth, escáner 3D, entre otros. Estos dispositivos permiten registrar imágenes, vídeos, sonidos, datos de telemetría y/o datos de telecomunicaciones.

Las finalidades para las cuales son utilizados estos tipos de dispositivos son variadas, entre las principales podemos mencionar seguridad, prevención de catástrofes naturales, usos recreativos, control laboral, cartografía, comunicaciones, , entre otras que deberán ser definidas e identificadas previamente por el Responsable.

Incidencias en materia de privacidad

Tal como indica el artículo 4.1 del Reglamento General de Protección de Datos (RGPD), un dato personal es “toda información sobre una persona física identificada o identificable” y como hemos adelantado anteriormente, los drones pueden servir para identificar o ayudar a obtener datos personales, permitiendo identificar a una persona, por lo que debe tenerse siempre en cuenta que su uso afecta directamente a los derechos fundamentales de las personas.

En particular, los drones pueden obtener imágenes extremadamente nítidas de personas, de lugares o de objetos que permitan directa o indirectamente la identificación de personas físicas y por lo tanto, resulta aplicable el Reglamento General de Protección de Datos (en adelante, “RGPD”) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (en adelante, “LOPDGDD”).

Tipos

Tipos de tratamiento de datos. Clasificación Agencia Española de Protección de Datos (AEPD)

La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha publicado una guía “Drones y Protección de Datos”, donde clasifica las operaciones con drones se pueden clasificar en categorías según su finalidad:

Operaciones que tienen por finalidad el tratamiento de datos personales, como es el caso de la videovigilancia. Además de la normativa expresada anteriormente, en este caso, también resultaría aplicable la “Guía sobre el uso de videocámaras para seguridad y otras finalidades” de la AEPD. Las recomendaciones de la AEPD para este tipo de operaciones son:

  • En el caso de que exista la realización de un tratamiento por encargo de un tercero, el tercero será el responsable del tratamiento y el operador del dron actuará como encargado, debiendo regir su relación un contrato de encargado del tratamiento;
  • Eliminar o anonimizar cualquier dato innecesario;
  • Funciones predeterminadas respetuosas con la privacidad;
  • Hacer que los drones sean lo más visibles e identificables posibles.

Operaciones que no incluyen un tratamiento de datos personales: son poco frecuentes y en ellas se pueden circunscribir operaciones con drones con configuraciones muy básicas, careciendo o, no haciendo uso de dispositivos para la captación de imágenes o cualquier otro tipo de datos o información de carácter personal. En el supuesto de que estos drones dispongan de cámaras, su uso debe estar restringido al uso doméstico o que dichas imágenes no permitan identificar a la persona. La recomendación de la AEPD es:

  • Antes de compartir en internet los vídeos o imágenes capturados con un dron, es necesario verificar que no contienen datos personales relativos a personas, vehículos, viviendas o cualquier otro objeto que pueda facilitar la identificación de sujetos. Si contienen este tipo de información será necesario anonimizarlas utilizando, por ejemplo, técnicas de difuminado;

Operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida: en este supuesto podemos incluir operaciones como, tratamientos en agricultura o inspecciones de terreno que, aunque su objetivo no es capturar datos personales, existe el riesgo de que se produzca. Las recomendaciones de la AEPD para este tipo de operaciones son:

  • Minimizar la presencia de personas y objetos que permitan su identificación, realizando los vuelos en horarios con poca afluencia de público, por ejemplo;
  • Minimizar la captura de imágenes a lo estrictamente necesario;
  • Aplicar medidas de privacidad desde el diseño, como, por ejemplo, ajustar la resolución de la cámara al mínimo necesario.
¿Quieres saber si tu empresa cumple con la LOPD?¿Quieres saber si tu empresa cumple con la LOPD?

¿Quieres saber si tu empresa cumple con la LOPD?

CONTACTA AHORA CON UN EXPERTO
Regulación

Regulación aplicable

La regulación específica de los drones viene determinada tanto por la normativa aeronáutica específica para la utilización del espacio aéreo y en este sentido, deberá tenerse en cuenta la regulación comunitaria de uso de drones, Reglamento Delegado (UE) 2019/945 de la Comisión y el Reglamento de Ejecución (UE) 2019/947 de la Comisión para garantizar la seguridad en el uso de drones en toda la Unión Europea. Esta normativa persigue proteger la seguridad y privacidad de los ciudadanos y permitir la libre circulación de drones en la Unión Europea. Desde junio de 2020, los operadores de drones deben registrarse en el Estado miembro donde realicen su actividad. De esta forma, Europa se convirtió en la primera región del mundo en contar con una normativa completa sobre la seguridad y privacidad del uso de drones. Asimismo, el RGPD asegura la privacidad de los datos personales y de su tratamiento. Asimismo, la regulación nacional del uso de drones en España está dada por el Real Decreto 1036/2017, de 15 de diciembre, que modifica el Reglamento de Circulación Aérea y que regula la utilización de drones por parte de civiles, tanto para uso profesional como para uso recreativo.

Está ultima normativa española seguirá vigente hasta el 1 de enero de 2022 y se está esperando a un nuevo RD que regule el vuelo de drones en España y actualice la normativa vigente con respecto a los reglamentos europeos antes mencionados. El organismo encargado de regular el uso de drones en España es la Agencia Estatal de Seguridad Aérea (AESA), quien no se ha pronunciado respecto de muchos aspectos a tener en cuenta para volar drones.

Pasos

Pasos que deben darse antes de manejar un dron según la AEPD

La AEPD establece una serie de pasos a tener en cuenta antes de manejar un dron:

  • Comprobar si la legislación nacional permite manejar drones y si es necesario solicitar una autorización a las Autoridades Aeronáuticas: Si un dron viola la normativa a la que esté sujeto en el territorio en el que sea utilizado, estará sujeto al régimen sancionador tanto en materia de protección de datos como en materia de navegación aérea.
  • Al definir la campaña o servicio a ser ejecutado mediante drones, previamente al desarrollo de la operación, se debe analizar la necesidad de evaluar los riesgos que suponga el tratamiento de datos de carácter privado para los derechos y libertades de las personas afectadas: En caso de que el tratamiento esté dentro de los supuestos establecidos por el RGPD o en la lista de la Agencia Española de Protección de Datos, será necesario realizar una evaluación del impacto y de los riesgos. Aunque no existiese obligación, llevar a cabo esta evaluación siempre se considerará una buena práctica.
  • Si en el análisis de necesidad se concluye que no es necesario realizar una evaluación del impacto, pero fuera posible que la operación entrañase posibles riesgos para la protección de datos o la privacidad, se deberá realizar un análisis de riesgos que intente paliar estos riesgos en la medida de lo posible: Se aconseja consultar a tal fin la Guía de análisis de riesgos de la Agencia Española de Protección de Datos.
  • Si se obtuvieran datos de carácter personal, conviene tener en cuenta que no deben ser publicados en Internet ni hacerlos accesibles cuando se pueda identificar a personas o se interfiera en su privacidad.
  • Evaluar previamente los objetivos de la operación, garantizando la seguridad física del vuelo y el cumplimiento de la normativa aeronáutica.
Tratamiento de datos

Tratamiento de datos de los drones

El derecho a la protección de datos es un derecho fundamental que garantiza la capacidad de cualquier persona a decidir sobre su propia información personal. El uso de drones con dispositivos puede suponer o supone un impacto en el derecho a la protección de datos de las personas y, por lo tanto, puede implicar una lesión de sus derechos y libertades. Teniendo en cuenta la definición de dato personal como «toda información sobre una persona física identificada o identificable», los operadores de drones que registren y/o procesen imágenes, vídeos, sonido, datos biométricos, datos de geolocalización, datos de telecomunicaciones relacionados con una persona identificada o identificable están sujetos a la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD).

Hay que tener en cuenta que en ocasiones un dato puede identificar directamente a una persona como, por ejemplo, su fotografía, pero en otras ocasiones la identificación no es directa y requiere de un tratamiento adicional, como puede ser información de geolocalización, o mediante el enriquecimiento con información adicional de otras fuentes como, por ejemplo, internet, y aunque a priori la persona no fuera identificable el resultado final sería que la identificación es posible gracias al cruce de informaciones de distintas fuentes. Tanto si el dato recogido mediante drones identifica inequívocamente a una persona como si su identificación se pueda realizar a posteriori, la normativa de protección de datos es aplicable.

La normativa específica para la utilización del espacio aéreo trabaja en paralelo con la normativa que defiende el derecho a la protección de datos personales de acuerdo con las obligaciones generales que señala el artículo 26 del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, donde se establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad. Por tanto, además de las previsiones que establece la normativa aeronáutica mencionada, deberá tenerse en cuenta que el RGPD y la LOPDGDD son de plena aplicación a cualquier tratamiento de datos personales que tenga lugar con el uso de un dron con independencia del ámbito profesional o aficionado al que esté asociada la operación del dron.

Operaciones sin tratamiento

Operaciones sin tratamiento de datos de los drones

Antes de compartir en internet imágenes o vídeos capturados con un dron es necesario asegurarse de que no contienen imágenes o datos relativos a personas, vehículos, viviendas u otros objetos que puedan conducir a la identificación de sujetos, y en caso afirmativo anonimizarlas mediante técnicas de difuminado o similares.

  • Si aún dudas, ¡estás en el sitio correcto! El «Grupo Adaptalia» te resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía
  • Nuestra Consultoría en Protección de Datos es la solución perfecta para que nada te inquiete. Nuestras herramientas y servicios se adaptan completamente a tus necesidades.

Operaciones de forma colateral

Operaciones con tratamiento de datos de los drones de forma colateral o inadvertida

Se deben seguir las siguientes recomendaciones, según señala la AEPD.

  • Minimizar la presencia de personas y objetos que permitan su identificación.
  • Minimizar la captura de imágenes a lo absolutamente necesario, reduciendo las posibilidades de que puedan aparecer personas inadvertidamente en las imágenes.
  • Promover y aplicar características de privacidad desde el diseño.
  • Para lugares en los que inevitablemente habrá personas realizar la captura de imágenes de forma que las personas no puedan ser identificadas.
  • Evitar el tratamiento de otro tipo de datos personales.
  • Evitar el almacenamiento de información innecesaria relativa a personas.
Operaciones con finalidad tratamiento datos

Operaciones que tienen por finalidad tratamiento de datos de los drones

Resulta totalmente aplicable la normativa sobre protección de datos y se debe tener en cuenta las siguientes obligaciones:

  • Si el tratamiento se realiza por encargo de un tercero que decide acerca de la finalidad de las imágenes (por ejemplo, con propósito de videovigilancia), este tercero será el responsable del tratamiento, el operador del dron actuará como encargado de un tratamiento de datos personales y debe asegurarse de que su relación con el responsable esté regida por un contrato.
  • Si el operador actúa como responsable deberá determinar la base jurídica más apropiada para llevar a cabo el tratamiento.
  • Elegir la tecnología a bordo más adecuada a la finalidad que se persigue con la operación y adoptar todas las medidas adecuadas de privacidad por defecto.
  • Habilitar mecanismos para llevar a cabo el derecho de información con relación al tratamiento de datos personales que se realiza, teniendo en cuenta la peculiaridad de los drones.
  • Tomar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos.
  • Eliminar o anonimizar cualquier dato personal innecesario lo antes posible tras la recopilación.
  • Incorporar opciones de configuración respetuosas con la privacidad y funciones predeterminadas como parte de un enfoque de privacidad desde el diseño.
  • Hacer que los drones sean lo más visibles e identificables posibles, con características asociadas al responsable, haciendo que el operador sea también visible e identificable como responsable del dron.
Contáctenos

Me interesa, quiero más información

Consúltenos sin compromiso e infórmese de nuestros servicios de Consultoría Protección de Datos.

legales(Obligatorio)
INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS. Responsables: Grupo Adaptalia LEGAL- FORMATIVO S.L. | Finalidad principal: Gestionar la potencial relación comercial/profesional; atender a sus consultas y remitirle la información que nos solicita; facilitarle información respecto a los servicios y actividades de su interés | Derechos: Acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan. | Información adicional: Puede consultar la información adicional y detallada sobre nuestra Política de Privacidad
Suscribete a nuestra Newsletter