Drones y protección de datos


Maite Morera Fontanet     15/04/2020

La Agencia Española de Protección de Datos (AEPD) publicó una guía con recomendaciones sobre protección de datos en la utilización de drones, la cual vamos a resumir para dar una información general sobre este tratamiento.

Teniendo en cuenta la definición de dato personal como “toda información sobre una persona física identificada o identificable”, los operadores de drones que registren y/o procesen imágenes, vídeos, sonido, datos biométricos, datos de geolocalización, y/o datos de telecomunicaciones relacionados con una persona identificada o identificable están sujetos a las previsiones que establece:

  • la normativa aeronáutica, Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, donde se establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad,
  • la normativa en protección datos, el GDPR y la LOPDGDD que son de plena aplicación a cualquier tratamiento de datos personales que tenga lugar con el uso de un dron con independencia del ámbito profesional o aficionado al que esté asociada la operación del dron.

El uso de drones puede ser con:

  • Fines recreativos, para lo que será necesario:
    • tener conocimientos para pilotar la aeronave con seguridad, por ejemplo, mediante una habilitación de una organización de formación ATO aprobada por AESA.
    • que el dron utilizado no supere los 2 kg de peso.
  • Fines profesionales, para lo que será obligatorio:
    • tener licencia de drones
    • estar dado de alta como operador de drones ante la Agencia Estatal de Seguridad Aérea (AESA).
    • estar en posesión de un certificado médico de clase LAPL para drones de hasta 25 kg. de peso, y un certificado de clase II para RPAS con un peso mayor de 25 kg.

Desde el punto de vista de la protección de datos personales, las operaciones con drones se pueden clasificar en dos categorías según su finalidad:

  • Operaciones en las que la finalidad, inicialmente, no implicaría un tratamiento de datos personales, como es el caso de las inspecciones de terreno o tratamientos agrícolas, pero que podrían tener impacto sobre el derecho a la protección de datos personales. Dentro de esta categoría podemos encontrar dos variantes:
    • Operaciones que no incluyen un tratamiento de datos personales, aunque son las menos frecuentes. Aquí no habría ningún problema, pero se está obligado a difuminar las imágenes de personas, matrículas o cualquier dato que permita su identificación, en el caso que involuntariamente se capturasen.
    • Operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida, es decir, operaciones como la inspección de infraestructuras, levantamientos topográficos, inspecciones y/o tratamientos en agricultura u otros servicios de fotografía y vídeo (para cine, TV, publicidad, etc.…); aunque su objetivo no es capturar datos personales, existe el riesgo de que se produzca. Igualmente tendríamos que difuminar la presencia de personas y objetos que permitan su identificación (bañistas, matrículas de vehículos, transeúntes, etc.) en el lugar de la operación y grabar lo estrictamente necesario.
  • Operaciones que tienen por finalidad un tratamiento de datos personales. Este es el caso de la videovigilancia, grabación de eventos o cualquier otra aplicación en la que la finalidad de la operación implica el tratamiento de datos personales de forma intrínseca.
    Además de la normativa expresada anteriormente, en este caso, también resultaría aplicable la “Guía sobre el uso de videocámaras para seguridad y otras finalidades” de la AEPD. Y por tanto se tendrá en cuenta, en particular, que la instalación de videocámaras en lugares públicos con fines de seguridad, tanto fijas como móviles, es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad.

Las recomendaciones de la AEPD para este tipo de operaciones son:

  • Si el tratamiento se realiza por encargo de un tercero que decide acerca de la finalidad de las imágenes (por ejemplo, con propósito de videovigilancia), este tercero será el responsable del tratamiento (RT), el operador del dron actuará como encargado de tratamiento (ET) de datos personales y debe asegurarse de que su relación con el responsable esté regida por un contrato o un acto jurídico que lo vincule con el RT y que actué solo siguiendo órdenes de este.
  • Licitud y lealtad: usar la tecnología adecuada en atención a la finalidad del uso del dron.
  • Protección de datos por defecto: aplicar el principio de protección de datos por defecto con la finalidad de tratar solo los datos personales que sean necesarios para la finalidad que corresponda.
  • Información sobre el tratamiento: se debe utilizar un medio de información mediante señalizaciones u hojas informativas, publicaciones en redes sociales, periódicos, folletos, pósteres, etc. en los que conste la identidad del RT, la finalidad del tratamiento y se facilite a los interesados indicaciones claras y específicas para el ejercicio de sus derechos.
  • Seguridad de la información: aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos para los derechos y libertades de las personas, en particular para prevenir cualquier tratamiento no autorizado durante la fase de transmisión de los datos capturados.
  • Minimización del tratamiento: eliminar o anonimizar cualquier dato innecesario.
  • Protección de datos desde el diseño: aplicar la protección de datos desde el diseño, ajustando las opciones de configuración al respecto.
  • Transparencia: hacer que los drones y sus operadores sean lo más visibles e identificables posibles.

Pautas para seguir antes de manejar un dron

  • Comprobar si la legislación nacional permite el uso de drones y si es necesario solicitar algún tipo de autorización.
  • Analizar la necesidad de llevar a cabo una evaluación de impacto que suponga el tratamiento para los derechos y libertades de las personas.
  • En el caso que no sea necesario realizar una evaluación de impacto, se deberá llevar a cabo un análisis de riesgos con el fin de adoptar todas las garantías necesarias para paliar dichos riesgos y sus consecuencias.

Preguntas frecuentes

La AEPD, en esta guía, responde a varias preguntas que pueden resolver dudas recurrentes en este campo de actuación, que resumimos a continuación:

  • Un hotel, ¿puede publicar en su web un vídeo publicitario que incluye imágenes de personas capturadas con un dron? Y la empresa encargada de realizar el vídeo publicitario, ¿puede publicar en YouTube las imágenes para promocionar sus servicios de reportaje fotográfico?
    • En ambos casos solo se podrán publicar las imágenes si obtienen el consentimiento expreso de las personas que puedan identificarse en el vídeo publicitario. Si no es posible obtener el consentimiento, deberían añadir máscaras, pixelado o algún otro recurso, como la captura a baja resolución, para evitar que las personas sean identificables.
  • Una empresa que se dedica a operar con drones para inspeccionar vías públicas, ¿puede captar imágenes de las matrículas de los vehículos o incluso de sus ocupantes?
    • Podrá realizar este tratamiento siempre que minimice la grabación de imágenes de personas o de matrículas de vehículos llevando a cabo un postproceso de imágenes destinado a eliminar cualquier dato que permita la identificación de las personas, al igual que en la respuesta anterior.
  • Una empresa utiliza un dron para videovigilar su propiedad, ¿puede captar imágenes de las personas que acceden a la propiedad sin su consentimiento?
    • Podrá realizar este tratamiento siempre que se realice con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones (art. 22 LOPDGDD), previa información colocación de un cartel de videovigilancia en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos de los interesados.
  • A las personas que realizan grabaciones de imágenes con un dron para uso familiar o doméstico, o con fines deportivos o de aeromodelismo, ¿se les aplica la normativa de protección de datos personales?
    • El GDPR no se aplica a los tratamientos efectuados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas (art. 2 GDPR), aunque igualmente deberán garantizar el derecho al honor y la intimidad de las personas, respetando la grabación de zonas privadas (jardines, patios, terrazas, interior de viviendas, etc.) y todas aquellas áreas en las que exista una expectativa razonable de privacidad, incluso en zonas públicas.
    • Solo será de aplicación la excepción doméstica siempre que la recogida de imágenes se realice sin asociar las imágenes de sujetos a una identificación adicional o indexación de los contenidos de la grabación, sin que se realice un seguimiento sistemático de áreas o personas (por ejemplo, mediante zoom o creación de bancos de grabaciones), y si la distribución tiene un carácter realmente limitado a un círculo doméstico que no afecte a los derechos y libertades de las personas.

REFERENCIAS BIBLIOGRÁFICAS

AEPD: Guía drones y protección de datos
BOE: Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, y se modifican el Real Decreto 552/2014, de 27 de junio, por el que se desarrolla el Reglamento del aire y disposiciones operativas comunes para los servicios y procedimientos de navegación aérea y el Real Decreto 57/2002, de 18 de enero, por el que se aprueba el Reglamento de Circulación Aérea.
Art. 29 WP: Dictamen 01/2015 sobre la privacidad y la protección de datos en relación con la utilización de aviones no tripulados (drones)
SESAR: European Drones. Outlook Study

ARTÍCULOS RELACIONADOS:

Recomendaciones sobre protección de datos en los drones