Drons i protecció de dades


Maite Morera Fontanet     15/04/2020

L'Agència Espanyola de Protecció de Dades (AEPD) va publicar una guia amb recomanacions sobre protecció de dades en la utilització de drones, la qual anem a resumir per donar una informació general sobre aquest tractament.

Tenint en compte la definició de dada personal com "tota informació sobre una persona física identificada o identificable", els operadors de drones que registrin i / o processin imatges, vídeos, so, dades biomètriques, dades de geolocalització, i/o dades de telecomunicacions relacionats amb una persona identificada o identificable estan subjectes a les previsions que estableix:

  • la normativa aeronàutica, Reial Decret 1036/2017, de 15 de desembre, pel qual es regula la utilització civil de les aeronaus pilotades per control remot, on s'estableix l'obligació d'adoptar les mesures necessàries per garantir el compliment del que disposa matèria de protecció de dades personals i protecció de la intimitat,
  • la normativa de protecció dades, el GDPR i la LOPDGDD que són de plena aplicació a qualsevol tractament de dades personals que tingui lloc amb l'ús d'un dron amb independència de l'àmbit professional o aficionat a què estigui associada l'operació del dron.

L'ús de drons pot ser amb:

  • Fins recreatius, pel que serà necessari:
    • tenir coneixements per pilotar l'aeronau amb seguretat, per exemple, mitjançant una habilitació d'una organització de formació ATO aprovada per AESA.
    • que el dron utilitzat no superi els 2 kg de pes.
  • Fins professionals, pel que serà necessari:
    • tenir llicència de drons
    • estar donat d'alta com a operador de drons davant l'Agència Estatal de Seguretat Aèria (AESA).
    • estar en possessió d'un certificat mèdic de classe LAPL per drons de fins a 25 kg. de pes, i un certificat de classe II per RPAS amb un pes major de 25 kg.

Des del punt de vista de la protecció de dades personals, les operacions amb drons es poden classificar en dues categories segons la seva finalitat:

  • Operacions en les que la finalitat, inicialment, no implicaria un tractament de dades personals, com és el cas de les inspeccions de terreny o tractaments agrícoles, però que podrien tenir impacte sobre el dret a la protecció de dades personals. Dins d'aquesta categoria podem trobar dues variants:
    • Operacions que no inclouen un tractament de dades personals, encara que són les menys freqüents. Aquí no hi hauria cap problema, però s'està obligat a difuminar les imatges de persones, matrícules o qualsevol dada que permeti la seva identificació, en el cas que involuntàriament es capturen.
    • Operacions amb risc de tractament de dades personals de forma col·lateral o inadvertida, és a dir, operacions com la inspecció d'infraestructures, aixecaments topogràfics, inspeccions i/o tractaments en agricultura o altres serveis de fotografia i vídeo (per a cinema, TV, publicitat, etc.); encara que el seu objectiu no és capturar dades personals, hi ha el risc que es produeixi. Igualment hauríem de difuminar la presència de persones i objectes que en permetin la identificació (banyistes, matrícules de vehicles, transeünts, etc.) en el lloc de l'operació i gravar l'estrictament necessari.
  • Operacions que tenen per finalitat un tractament de dades personals. Aquest és el cas de la videovigilància, enregistrament d'esdeveniments o qualsevol altra aplicació en la que la finalitat de l'operació implica el tractament de dades personals de forma intrínseca.
    A més de la normativa expressada anteriorment, en aquest cas, també resultaria aplicable la "Guia sobre l'ús de videocàmeres per seguretat i altres finalitats" de l'AEPD. I per tant es tindrà en compte, en particular, que la instal·lació de càmeres de vídeo en llocs públics amb fins de seguretat, tant fixes com mòbils, és competència exclusiva de les Forces i Cossos de Seguretat.

Les recomanacions de l'AEPD per a aquest tipus d'operacions són:

  • Si el tractament es realitza per encàrrec d'un tercer que decideix sobre la finalitat de les imatges (per exemple, amb propòsit de videovigilància), aquest tercer serà el responsable del tractament (RT), l'operador del dron actuarà com a encarregat de tractament (ET) de dades personals i s'ha d'assegurar que la seva relació amb el responsable estigui regida per un contracte o un acte jurídic que el vinculi amb el RT i que vaig actuar només seguint ordres d'aquest.
  • Licitud i lleialtat: utilitzar la tecnologia adequada en atenció a la finalitat de l'ús del dron.
  • Protecció de dades per defecte: aplicar el principi de protecció de dades per defecte amb la finalitat de tractar només les dades personals que siguin necessàries per a la finalitat que correspongui.
  • Informació sobre el tractament: s'ha d'utilitzar un mitjà d'informació mitjançant senyalitzacions o fulls informatius, publicacions en xarxes socials, diaris, fullets, pòsters, etc. en els quals consti la identitat del RT, la finalitat del tractament i es faciliti als interessats indicacions clares i específiques per a l'exercici dels seus drets.
  • Seguretat de la informació: aplicar mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat als riscos per als drets i llibertats de les persones, en particular per prevenir qualsevol tractament no autoritzat durant la fase de transmissió de les dades capturades.
  • Minimització del tractament: eliminar o anonimitzar qualsevol dada innecessària.
  • Protecció de dades des del disseny: aplicar la protecció de dades des del disseny, ajustant les opcions de configuració al respecte.
  • Transparència: fer que els drons i els seus operadors siguin el més visibles i identificables possible.

Pautes per seguir abans de conduir un dron

  • Comprovar si la legislació nacional permet l'ús de drons i si cal demanar algun tipus d'autorització.
  • Analitzar la necessitat de dur a terme una avaluació d'impacte que suposi el tractament per als drets i llibertats de les persones.
  • En el cas que no sigui necessari realitzar una avaluació d'impacte, s'haurà de dur a terme una anàlisi de riscos amb la finalitat d'adoptar totes les garanties necessàries per a pal·liar aquests riscos i les seves conseqüències.

Preguntes freqüents

L'AEPD, en aquesta guia, respon a diverses preguntes que poden resoldre dubtes recurrents en aquest camp d'actuació, que resumim a continuació:

  • Un hotel, pot publicar al seu web un vídeo publicitari que inclou imatges de persones capturades amb un dron? I l'empresa encarregada de realitzar el vídeo publicitari, pot publicar a YouTube les imatges per promocionar els seus serveis de reportatge fotogràfic?
    • En els dos casos només es podran publicar les imatges si obtenen el consentiment exprés de les persones que puguin identificar-se al vídeo publicitari. Si no és possible obtenir el consentiment, d'afegir màscares, pixelat o algun altre recurs, com la captura a baixa resolució, per evitar que les persones siguin identificables.
  • Una empresa que es dedica a operar amb drons per inspeccionar vies públiques, pot captar imatges de les matrícules dels vehicles o fins i tot dels seus ocupants?
    • Podrà realitzar aquest tractament sempre que minimitzi l'enregistrament d'imatges de persones o de matrícules de vehicles duent a terme un post-procés d'imatges destinat a eliminar qualsevol dada que permeti la identificació de les persones, a l'igual que en la resposta anterior.
  • Una empresa utilitza un dron per videovigilar la seva propietat, pot captar imatges de les persones que accedeixen a la propietat sense el seu consentiment?
    • Podrà realitzar aquest tractament sempre que es realitzi amb la finalitat de preservar la seguretat de les persones i béns, així com de les seves instal·lacions (art. 22 LOPDGDD), prèvia informació col·locació d'un cartell de videovigilància en lloc prou visible identificant, a el menys, l'existència del tractament, la identitat del responsable i la possibilitat d'exercitar els drets dels interessats.
  • A les persones que realitzen gravacions d'imatges amb un dron per a ús familiar o domèstic, o amb fins esportius o d'aeromodelisme, se'ls aplica la normativa de protecció de dades personals?
    • El GDPR no s'aplica als tractaments efectuats per una persona física en l'exercici d'activitats exclusivament personals o domèstiques (art. 2 GDPR), tot i que igualment han de garantir el dret a l'honor i la intimitat de les persones, respectant la gravació de zones privades (jardins, patis, terrasses, interior d'habitatges, etc.) i totes aquelles àrees en què hi hagi una expectativa raonable de privacitat, fins i tot en zones públiques.
    • Només és aplicable l'excepció domèstica sempre que la recollida d'imatges es realitzi sense associar les imatges de subjectes a una identificació addicional o indexació dels continguts de l'enregistrament, sense que es realitzi un seguiment sistemàtic d'àrees o persones (per exemple, mitjançant zoom o creació de bancs d'enregistraments), i si la distribució té un caràcter realment limitat a un cercle domèstic que no afecti els drets i llibertats de les persones.

REFERÈNCIES BIBLIOGRÀFIQUES

AEPD: Guía drones y protección de datos
BOE: Real Decreto 1036/2017, de 15 de diciembre, pel qual es regula la utilització civil de les aeronaus pilotades per control remot, i es modifiquen el Reial Decret 552/2014, de 27 de juny, pel qual es desenvolupa el Reglament de l'aire i disposicions operatives comunes per als serveis i procediments de navegació aèria i el Reial Decret 57/2002, de 18 de gener, pel qual s'aprova el Reglament de Circulació Aèria.
Art. 29 WP: Dictamen 01/2015 sobre la privacitat i la protecció de dades en relació amb l'ús d'avions no tripulats (drons)
SESAR: European Drones. Outlook Study

ARTICLES RELACIONATS:

Recomanacions sobre protecció de dades als drons