La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha publicado recientemente la guía “Drones y Protección de Datos”, que establece una serie de pautas y recomendaciones específicas para el uso de dichos dispositivos. La elaboración de esta guía es consecuencia de la generalización del uso de drones en el ámbito civil y su crecimiento exponencial.

La AEPD pone de manifiesto que estos dispositivos incluyen, por defecto, al menos un GPS y una cámara de vídeo, pudiendo añadirse todo tipo de equipos para la obtención y el procesamiento de datosde carácter personal. Entre estos equipos podemos mencionar, por ejemplo, cámaras de visión nocturna, dispositivos WIFI, dispositivos Bluetooth, etc.

El uso de estos drones puede entrar en colisión con el derecho a la protección de datos de las personas físicas, ya que puede implicar lesiones en los derechos y libertades de las mismas.

En primer lugar, es necesario tener en cuenta la definición de dato de carácter personal, que indicalo siguiente: “toda información sobre una persona física identificada o identificable”. Los drones pueden registrar y/o procesar datos personales de diferente tipología: imágenes, sonido, datos de geolocalización, etc. relacionados con una persona identificada o identificable y, por lo tanto, sujetos a la aplicación del Reglamento General de Protección de Datos (en adelante, “RGPD”) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (en adelante, “LOPDGDD”).

Tanto si el dato obtenido a través de la utilización de un dron identifica inequívocamente a una persona como si ese permite su identificación a posteriori mediante el enriquecimiento con información adicional de otras fuentes, la normativa en materia de protección de datos resulta de aplicación.

El Real Decreto 1036/2017, de 15 de diciembre por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, establece, concretamente en su artículo 26, la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y de protección de la intimidad.

Por lo que, a modo de síntesis, deberá tenerse en cuenta el RGPD, la LOPDGDD y la normativa aeronáutica citada en el párrafo anterior. Esta normativa resulta de aplicación con independencia de que el uso de un dron se realice en el ámbito profesional o en un ámbito recreativo.

Los drones tienen aplicaciones muy diversas en la práctica: videovigilancia, tratamientos en el sector agrícola, servicios para el cine y la televisión, así como levantamientos topográficos.

Desde el punto de vista de la protección de datos, las operaciones con drones se pueden clasificar en dos categorías según su finalidad:

  1. Aquellas en las que la finalidad de la operación implica por sí misma un tratamiento de datos de carácter personal, como es el caso de la videovigilancia. Además de la normativa expresada anteriormente, en este caso, también resultaría aplicable la “Guía sobre el uso de videocámaras para seguridad y otras finalidades”de la AEPD.

La instalación de videocámaras en lugares públicos con fines de seguridad es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad. Las recomendaciones de la AEPD para este tipo de operaciones son:

    • En el caso de que exista la realización de un tratamiento por encargo de un tercero, el tercero será el responsable del tratamiento y el operador del dron actuará como encargado, debiendo regir su relación un contrato de encargado del tratamiento;
    • Eliminar o anonimizar cualquier dato innecesario;
    • Funciones predeterminadas respetuosas con la privacidad;
    • Hacer que los drones sean lo más visibles e identificables posibles. En este sentido, resulta de aplicación el Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto que recoge requisitos de identificación y matriculación de estos equipos.En algunos países de la Unión Europea, y así parece que el Consejo de la Unión está preparando la regulación, es obligatorio poder identificar los drones fácilmente desde tierra, ya sea por dispositivosde radio frecuencia o por distintivos visuales (matrículas).

2.  Aquellas en las que la finalidad de la operación, inicialmente, no implicaría un tratamiento de datos personales,como es el caso de las inspecciones de terreno o tratamientos agrícolas, pero que podrían tener impacto sobre el derecho a la protección de datos personales. Dentro de esta categoría podemos encontrar dos variantes:

  • Operaciones que no incluyen un tratamiento de datos personales: son poco frecuentes y en ellas se pueden circunscribir operaciones con drones con configuraciones muy básicas, careciendo o, no haciendo uso de dispositivos para la captación de imágenes o cualquier otro tipo de datos o información de carácter personal. En el supuesto de que estos drones dispongan de cámaras, su uso debe estar restringido al uso doméstico oquedichas imágenes no permitanidentificar a la persona.

En estos casos, la recomendación de la AEPD esque, antes de compartir en internet los vídeos o imágenes capturados con un dron,es necesario verificar que no contienen datos personales relativos a personas, vehículos, viviendas o cualquier otro objeto que pueda facilitar la identificación de sujetos. Si contienen este tipo de información será necesario anonimizarlas utilizando, por ejemplo, técnicas de difuminado;

Podríamos poner como ejemplo de este tipo de operaciones: una imagen que no permite identificar al conductor, pero sí registrar su matrícula, siendo éste, por lo tanto, identificable.

  • Operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida: en este supuesto podemos incluir operaciones como, tratamientos en agricultura o inspecciones de terreno que, aunque su objetivo no es capturar datos personales, existe el riesgo de que se produzca. Las recomendaciones de la AEPD para este tipo de operaciones son:
    • Minimizar la presencia de personas y objetos que permitan su identificación, realizando los vuelos en horarios con poca afluencia de público, por ejemplo;
    • Minimizar la captura de imágenes a lo estrictamente necesario;
    • Aplicar medidas de privacidad desde el diseño, como, por ejemplo, ajustar la resolución de la cámara al mínimo necesario.

Por último, la AEPD establece unas pautas a seguir antes de manejar un dron:

  • Comprobar si la legislación nacional permite el uso de drones y si es necesario solicitar algún tipo de autorización;
  • Se analizará la necesidad de llevar a cabo una evaluación de los riesgos que suponga el tratamiento para los derechos y libertades de las personas;
  • Si no fuera necesario realizar una evaluación de impacto, se deberá llevar a cabo un análisis de riesgos con el fin de adoptar todas las garantías necesarias para paliar dichos riesgos y sus consecuencias.

Además, la AEPD, en esta guía, responde a varias preguntas frecuentes que pueden resolver dudas recurrentes en este campo de actuación.

Si tienes dudas acerca de las consecuencias de volar un dron en relación con la protección de datos, no dudes en ponerte en contacto con nosotros