GUIA DE LA AEPD

La Agencia Española de Protección de Datos (AEPD), ha publicado la Guía ‘Drones y Protección de Datos’, que analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan datos, las que eventualmente podrían captar información y aquellas cuyo fin implica un tratamiento de datos personales, como en el caso de la videovigilancia o la grabación de eventos.

CONDICIONES

Para comprobar si el tratamiento de los datos realizado por un vehículo aéreo no tripulado ha sido un tratamiento lícito debemos comprobar que dicho tratamiento de datos cumple:

  • condiciones de licitud y
  • criterios de calidad.

Consentimiento del interesado

El consentimiento libre, específico e informado del interesado es el elemento esencial en el tratamiento de datos personales.

En materia de drones, cumplir con esos requisitos no es una tarea fácil ya que ese consentimiento:

  • No será dado libremente si, por ejemplo, el sujeto no es libre de entrar o salir de un área determinada sin estar bajo vigilancia.
  • Tampoco será totalmente informado si a ese individuo no se le ofrece toda la información necesaria sobre el tratamiento de sus datos personales. O si, simplemente, no se le ofrece ninguna información al utilizar un dron de manera oculta.
  • No será específico si no puede identificar la finalidad del tratamiento.

Pongamos un ejemplo.

Un individuo acude a un festival de música donde los promotores del evento notifican al titular de los datos de que utilizarán drones para grabar a la multitud.

¿se considera consentimiento inequívoco el hecho de comprar una entrada?

¿O debería incluirse en el ticket un aviso sobre la utilización de drones durante el mismo?

Si la compra de la entrada es online, una casilla no marcada podría solucionar el problema.

Tratamiento necesario

Un tratamiento de datos recogidos a través de drones se considerará legítimo cuando sea necesario para:

  •  Ejecutar un contrato en el que el interesado sea parte. Por ejemplo, si alguien comprara un producto que se entregase a domicilio a través de un dron.
  • Cumplir una obligación jurídica a la que está sujeto el responsable del tratamiento. Por ejemplo, la vigilancia de un yacimiento arqueológico, o en algunos usos relacionados con la seguridad como el control del contrabando.
  • Proteger el interés vital del interesado. Por ejemplo, disminución de desastres, rescates de víctimas o el examen de la escena de un incendio.

Principio de finalidad

El responsable del tratamiento debe indicar en el momento de la recogida de los datos y por los medios que considere oportunos, la finalidad del mismo de forma nítida y precisa.

En el caso de los drones, los intereses económicos derivados de la compra-venta de datos pueden provocar que el encargado de recabar los datos prefiera venderlos a cumplir con la normativa.

Por ejemplo, una inmobiliaria puede realizar grabaciones en una zona urbana para promocionar viviendas de lujo.

Y, más tarde el Ayuntamiento puede comprar esos datos con el fin de imponer tasas más elevadas a los propietarios cuya vivienda tenga piscina.

En este caso, la dificultad de detectar al dron y, en el caso de detectarlo, conocer para qué y por quién se está utilizando, puede provocar un mayor incumplimiento de la normativa.

Necesidad, proporcionalidad y minimización de los datos

Respecto a los datos obtenidos a través de drones, deben cumplir cuatro requisitos:

  • la recogida de datos por el dron debe ser susceptible de conseguir el objetivo propuesto,
  • no exista una medida más moderada para la consecución de tal propósito con igual eficacia,
  • la recogida de datos es ponderada o equilibrada, por derivarse de ella más beneficios que perjuicios y
  • no exista un medio menos intrusivo que tenga mejores resultados.

Otro ejemplo.

Si se utiliza un dron para tomar imágenes aéreas, y por error toma fotografías de personas, esos terceros deben aparecer difuminados.

Si el dron no tuviera los sensores o dispositivos necesarios para difuminar a terceros, la obtención y tratamiento de esos datos sería contrario a la normativa de protección de datos.

Transparencia

Las peculiaridades de los drones los pueden hacer invisibles a los sentidos del individuo titular de los datos. Por tanto, es relativamente fácil que los controladores de dichos aparatos sean inidentificables aunque el titular de los datos sea consciente de la existencia del dron.

Para solucionar esto podría establecerse la necesidad de garantizar que el operador del dron sea visible. O que el dron posea una marca de registro.

Pero esto solo serviría si el dron es visible desde el suelo.

Responsabilidad activa (Accountability)

Este principio exige a los responsables del tratamiento el establecimiento de medidas que garanticen y permitan demostrar el cumplimiento del RGPD.

Se concreta en la obligación de los responsables de tener en cuenta la protección de datos desde el momento del diseño de productos y servicios. Y que, por defecto, solo sean objeto de tratamiento los datos personales mínimos, necesarios para alcanzar el fin legítimo perseguido.

En el caso de responsables del tratamiento de datos que trabajen con drones, el reto será, sin lugar a dudas, probar el consentimiento de los titulares de los datos.

Para los ciudadanos, sin embargo, la dificultad estará en determinar quién es el responsable del tratamiento.

¿QUÉ SON LOS DRONES?

Un drone es un vehículo aéreo no tripulado (VANT por sus siglas en español), y que en la actualidad tiene diferentes funciones que son fundamentales dentro de la sociedad, desde propuestas comerciales hasta el rescate de personas.

Para entenderlo, un drone vendría a ser como el clásico avión de aeromodelismo pero mucho más sofisticado. Su diseño con cámaras, GPS y sensores de todo tipo, fue inicialmente desarrollado para ser usado en los círculos militares, como misiones espías y hasta portando misiles de guerra para disparar contra blancos teledirigidos.

Los drones pueden incorporar no solo GPS y cámaras sino también escáner 3D o sistemas de detección de dispositivos móviles, , y su empleo puede suponer un impacto en el derecho a la protección de datos de las personas y, por extensión, una lesión de sus derechos y libertades.

La Guía publicada por la AEPD proporciona orientaciones a los operadores de drones que registren o procesen imágenes, vídeos, sonido, datos biométricos, de geolocalización o de telecomunicaciones, entre otros, relacionados con personas identificadas o identificables para cumplir con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.

LA GUIA DE LA AEPD

El documento está dividido en cinco secciones.

Las tres primeras están dedicadas a los tipos de operaciones que se pueden llevar a cabo con drones, clasificándolos según el tratamiento de datos.

Así, distingue un primer tipo que comprende operaciones con configuraciones muy básicas, que carecen o no hacen uso de dispositivos de captación de imágenes, sonido o cualquier otro tipo de información personal. En esta categoría podrían incluirse usos de ámbito recreativo o deportivo.

Un segundo tipo comprende casos como el empleo de drones para la inspección de infraestructuras, la confección de planos de terrenos u otros servicios de vídeo para cine, televisión o publicidad, en los que se puede producir una captura de datos personales de forma no intencionada.

Una tercera posibilidad es que la finalidad para la que se usa el dron implique un tratamiento de datos personales de forma inherente.

En los tres casos, la AEPD ofrece recomendaciones para aficionados y para operadores profesionales de drones, tanto en aquellos casos en los que decidan sobre la finalidad del tratamiento de datos como en los que llevan a cabo un encargo de tratamiento.

CONSEJOS PREVIOS

La Guía destina un apartado específico a ofrecer recomendaciones previas al manejo de un dron cuando sea de aplicación la normativa de protección de datos personales.

Entre ellas, valorar la necesidad de evaluar los riesgos que pueda implicar el tratamiento para los derechos y libertades de las personas y, si fuera necesario, realizar una evaluación de impacto sobre la protección de datos (EIPD);

llevar a cabo un análisis de riesgos si la EIPD no fuera precisa, o tener en cuenta que, si se captan imágenes para uso personal, éstas no deben publicarse en internet de manera que sean accesibles indiscriminadamente cuando sea posible identificar a personas o se muestren espacios privados, como viviendas, jardines o terrazas.

Finalmente, la Guía recoge un apartado con preguntas frecuentes donde se plantean dudas prácticas relacionadas con los posibles tratamientos de datos personales captados desde un dispositivo de este tipo.