Drones y Protección de Datos
Cada vez son más utilizados los drones por los ciudadanos, empresas e instituciones, tanto para fines profesionales como para fines recreativos y en este artículo intentaremos aclarar las incidencias y riesgos que entrañan en materia de seguridad y protección de datos, así como la legislación aplicable. Al finalizar encontrará unos pasos que deberá tener en cuenta antes de manejar un dron.
¿Qué datos puede recoger un dron y para qué finalidades?
Los dispositivos básicos que forman parte de cualquier dron: un GPS y una cámara. No obstante hay aparatos que vienen o se le pueden agregar otros accesorios como pueden ser cámaras termodinámicas, cámaras de visión nocturna, dispositivos WIFI y/o Bluetooth, escáner 3D, entre otros. Estos dispositivos permiten registrar imágenes, vídeos, sonidos, datos de telemetría y/o datos de telecomunicaciones.
Las finalidades para las cuales son utilizados estos tipos de dispositivos son variadas, entre las principales podemos mencionar seguridad, prevención de catástrofes naturales, usos recreativos, control laboral, cartografía, comunicaciones, entre otras que deberán ser definidas e identificadas previamente por el responsable.
Incidencias en materia de privacidad
Tal como indica el artículo 4.1 del Reglamento General de Protección de Datos (RGPD), un dato personal es “toda información sobre una persona física identificada o identificable” y como hemos adelantado anteriormente, los drones pueden servir para identificar o ayudar a obtener datos personales, permitiendo identificar a una persona, por lo que debe tenerse siempre en cuenta que su uso afecta directamente a los derechos fundamentales de las personas.
En particular, los drones pueden obtener imágenes extremadamente nítidas de personas, de lugares o de objetos que permitan directa o indirectamente la identificación de personas físicas y por lo tanto, resulta aplicable el Reglamento General de Protección de Datos (en adelante, “RGPD”) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (en adelante, “LOPDGDD”).
Tipos de tratamiento de datos. Clasificación Agencia Española de Protección de Datos (AEPD)
La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha publicado una guía “Drones y Protección de Datos” donde clasifica las operaciones con drones en categorías según su finalidad:
Operaciones que tienen por finalidad el tratamiento de datos personales: es el caso de la videovigilancia. Además de la normativa expresada anteriormente, en este caso, también resultaría aplicable la “Guía sobre el uso de videocámaras para seguridad y otras finalidades” de la AEPD.
Las recomendaciones de la AEPD para este tipo de operaciones son:
- En el caso de que exista la realización de un tratamiento por encargo de un tercero, el tercero será el responsable del tratamiento y el operador del dron actuará como encargado, debiendo regir su relación un contrato de encargado del tratamiento.
- Eliminar o anonimizar cualquier dato innecesario.
- Funciones predeterminadas respetuosas con la privacidad.
- Hacer que los drones sean lo más visibles e identificables posibles.
Operaciones que no incluyen un tratamiento de datos personales: son poco frecuentes y en ellas se pueden circunscribir operaciones con drones con configuraciones muy básicas, careciendo o, no haciendo uso de dispositivos para la captación de imágenes o cualquier otro tipo de datos o información de carácter personal. En el supuesto de que estos drones dispongan de cámaras, su uso debe estar restringido al uso doméstico o que dichas imágenes no permitan identificar a la persona.
La recomendación de la AEPD es:
- Antes de compartir en internet los vídeos o imágenes capturados con un dron, es necesario verificar que no contienen datos personales relativos a personas, vehículos, viviendas o cualquier otro objeto que pueda facilitar la identificación de sujetos. Si contienen este tipo de información será necesario anonimizarlas utilizando, por ejemplo, técnicas de difuminado.
Operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida: en este supuesto podemos incluir operaciones como, tratamientos en agricultura o inspecciones de terreno que, aunque su objetivo no es capturar datos personales, existe el riesgo de que se produzca.
Las recomendaciones de la AEPD para este tipo de operaciones son:
- Minimizar la presencia de personas y objetos que permitan su identificación, realizando los vuelos en horarios con poca afluencia de público, por ejemplo.
- Minimizar la captura de imágenes a lo estrictamente necesario.
- Aplicar medidas de privacidad desde el diseño, como, por ejemplo, ajustar la resolución de la cámara al mínimo necesario.
Pasos que deben darse antes de manejar un dron según la AEPD
La AEPD establece una serie de pasos a tener en cuenta antes de manejar un dron:
- Comprobar si la legislación nacional permite manejar drones y si es necesario solicitar una autorización a las Autoridades Aeronáuticas: Si un dron viola la normativa a la que esté sujeto en el territorio en el que sea utilizado, estará sujeto al régimen sancionador tanto en materia de protección de datos como en materia de navegación aérea.
- Al definir la campaña o servicio a ser ejecutado mediante drones, previamente al desarrollo de la operación, se debe analizar la necesidad de evaluar los riesgos que suponga el tratamiento de datos de carácter privado para los derechos y libertades de las personas afectadas: En caso de que el tratamiento esté dentro de los supuestos establecidos por el RGPD o en la lista de la Agencia Española de Protección de Datos, será necesario realizar una evaluación del impacto y de los riesgos. Aunque no existiese obligación, llevar a cabo esta evaluación siempre se considerará una buena práctica.
- Si en el análisis de necesidad se concluye que no es necesario realizar una evaluación del impacto, pero fuera posible que la operación entrañase posibles riesgos para la protección de datos o la privacidad, se deberá realizar un análisis de riesgos que intente paliar estos riesgos en la medida de lo posible: Se aconseja consultar a tal fin la Guía de análisis de riesgos de la Agencia Española de Protección de Datos.
- Si se obtuvieran datos de carácter personal, conviene tener en cuenta que no deben ser publicados en Internet ni hacerlos accesibles cuando se pueda identificar a personas o se interfiera en su privacidad.
- Evaluar previamente los objetivos de la operación, garantizando la seguridad física del vuelo y el cumplimiento de la normativa aeronáutica.
Puede contactar con nosotros si desea mas información.