11.- DRONES Y PROTECCIÓN DE DATOS. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. ACTUALIZACIÓN DE JUNIO 2019. PRIMERA PARTE

La Agencia Española de Protección de Datos ha elaborado una guía específica para drones, publicada en junio de 2019, en las que se analiza el tratamiento de las imágenes grabadas por éstos y aclara situaciones tales como grabaciones de personas, matrículas, etc bien de forma accidental o premeditada y cómo poder evitar posibles sanciones en el tratamiento de dichas imágenes.

La Agencia indica lo siguiente:

“Teniendo en cuenta la definición de dato personal como “toda información sobre una persona física identificada o identificable”, los operadores de drones que registren y/o procesen imágenes, videos, sonido, datos biométricos, datos de geolocalización, datos de telecomunicaciones relacionados con una persona identificada o identificable están sujetos a la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD).

Señala que un dato puede identificar al 100% a una persona (dicho tratamiento es claro según la LOPDGDD), pero en ocasiones hay otros captados de forma indirecta como puede ser información de geolocalización o enriquecidos por consultas en internet que permiten también identificar a la persona grabada no objetivo de la grabación lo que obliga a un tratamiento adicional.

En resumen, tanto si la imagen grabada desde un drone identifica de forma inequívoca a una persona como si tras búsqueda en internet o por geolocalización o por cualquier otro método o combinación de todos ellos se puede realizar dicha identificación a posteriori, la normativa de protección de datos es aplicable.

Por lo tanto, independientemente de que la operación realizada con el drone sea profesional o de ámbito aficionado, estará sujeto al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD). sin olvidar los reglamentos y leyes que afectan a todo lo relacionado con los drones como es toda la normativa específica para la utilización del espacio aéreo y que podemos ver en la página web de la Agencia Estatal de Seguridad Aérea (AESA) y por supuesto con el Real Decreto 1036/2017, de 15 de diciembre que regula la utilización civil de aeronaves pilotadas por control remoto donde se establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad.

Lo que hace la guía es identificar los tipos de operaciones con drones en función del tratamiento de datos:

            1.- OPERACIONES QUE NO INCLUYEN UN TRATAMIENTO DE DATOS PERSONALES:

            A priori NO incluye el tratamiento de datos personales  operaciones como inspección de infraestructuras, levantamientos topográficos, inspecciones y/o tratamientos del terreno, otros servicios de fotografía y vídeo, entre otros. Básicamente no usan dispositivos de captación de imágenes y sonido o cualquier otro tipo de datos o información personal.

            También incluye en este apartado vuelos recreativos con drones provistos de dispositivos GPS y cámaras pero que el uso de las imágenes grabadas se circunscribe al ámbito doméstico o no permite en ningún caso la identificación de una persona.

            Es decir: Antes de publicar un video en internet (por ejemplo, en Facebook, Youtube o Instagram) hay que asegurarse de que no contienen imágenes o datos de personas, vehículos, viviendas u otros objetos que puedan llevar a la identificación de personas. En el caso de que los contenga, hay que realizar una edición de las imágenes a través de técnicas de difuminado u otras.

Ejemplo: Si se realiza una grabación en muy baja resolución y aparecen personas pero que no se les puede identificar de una forma directa pero esa persona aparece en su vivienda y por lo tanto es identificable sería necesaria una edición de imágenes con el fin de evitar poder identificar a dichas personas.

Ejemplo: Si se realiza una grabación en la que aparece una persona conduciendo un vehículo y puede leerse la matrícula, sería necesario una edición de imágenes con el fin de evitar poder identificar a dichas personas.

            2.- OPERACIONES CON RIESGO DE TRATAMIENTO DE DATOS PERSONALES DE FORMA COLATERAL O INADVERTIDA:

            Para operaciones del tipo inspección de infraestructuras, levantamientos topográficos, inspecciones y/o tratamientos en agricultura u otros servicios de fotografía y vídeo (para TV, cine, publicidad, etc), aunque no sea objeto de la operación, existe la posibilidad de que se realice de forma inintencionada o inadvertida la captura de datos personales. Esto puede ocurrir por ejemplo cuando no se pueda evitar la captura en segundo plano de personas, viviendas próximas, zonas de recreo, vehículos, etc o también puede ocurrir cuando las características de la operación a realizar imposibilita una supervisión total de la misma, como ocurre por ejemplo en operaciones BVLOS (Beyond Visual Line of Sight) u operaciones que se realizan sin contacto visual directo con la aeronave pilotada por control remoto (RPA).

            En todos estos casos es necesario observar las siguientes recomendaciones:

  1. Realizar la operación con drones intentando minimizar la aparición de personas y objetos que hagan posible su identificación, por ejemplo, realizando la mencionada operación en un horario en el que no haya mucha afluencia de personas. Otra forma es realizando un control de los accesos a la zona en la que se va a realizar la operación.
  1. Circunscribir la captura de imágenes a lo estrictamente necesario reduciendo las posibilidades de que aparezcan personas inadvertidas, incluso llegando a no realizar capturas de toda la operación completa sino de los momentos necesarios. Todo esto es extensible a cualquier clase de captura de datos.
  1. Aplicar características de privacidad desde el diseño de la operación como puede ser realizar un ajuste de resolución de imagen al mínimo para ejecutar el propósito del tratamiento o reducir la granularidad de la geolocalización con el mismo propósito. Aplicar filtros o herramientas para anonimizar imágenes, bien de forma automática durante su captura o bien en postproducción. Aplicar mecanismos para iniciar y detener la captura de datos en cualquier momento durante la operación. Establecer protocolos de comunicaciones seguros que impidan el acceso por parte de terceros a las transmisiones de datos capturados o incluso al control del propio dispositivo de grabación o al propio drone. Incorporar técnicas que permitan el cifrado o encriptado de la información capturada y/o almacenada en el propio drone.
  1. Para operaciones en las que de forma inevitable habrá personas, se realizará la captura de imágenes de manera que no puedan ser identificadas, es decir, realizando dichas capturas a distancia suficiente para que la identificación de dichas personas sea imposible.
  1. Evitar el tratamiento de otro tipo de datos personales como la captura masiva de identificadores de dispositivos móviles.
  1. Evitar el almacenamiento de información innecesaria relativa a personas, sobre todo en imágenes que nada tienen que ver con la operación realizada. Por ejemplo, en un levantamiento topográfico, no tiene sentido el almacenamiento de imágenes que permitan identificar a las personas que fueron grabadas durante la operación.
  1. OPERACIONES QUE TIENEN POR FINALIDAD UN TRATAMIENTO DE DATOS PERSONALES:

            Nos referimos a la videovigilancia, grabación de eventos o cualquier otra operación que implique tratamiento de datos de forma intrínseca. En estas operaciones será de aplicación el Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD). También será de aplicación lo establecido en la guía sobre el uso de videocámaras para seguridad y otras finalidades de la Agencia Española de Protección de Datos. La instalación de videocámaras en lugares públicos con fines de seguridad, ya sean fijas o móviles, es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado.

Aparte de todo lo anterior, conviene observar las siguientes recomendaciones adicionales:

            1.- Siendo operador:

  1. Si el tratamiento se realiza por encargo de un tercero que es quien decide acerca de la finalidad de las imágenes (por ejemplo, una videovigilancia), este tercero será el responsable del tratamiento y el operador actuará como encargado del tratamiento de datos personales y debe asegurarse de que la relación con el responsable esté regida por un contrato o acto jurídico que lo vincule con el responsable y que actúe solo siguiendo órdenes de este. El responsable en materia de protección de datos es la persona que decide acerca de la finalidad del tratamiento, mientras que el encargado es el que procesa los datos personales siguiendo las pautas y/o instrucciones establecidas en un contrato entre ambos. Para más información sobre cómo elaborar un contrato de encargado de tratamiento consulta la guía sobre Directrices para la elaboración de contratos entre responsables y encargados de tratamiento.
  1. Si el operador actúa como responsable: Deberá determinar la base jurídica más apropiada para llevar a cabo el tratamiento (consentimiento, contrato, obligación legal, interés legítimo, etc…). En general deberán cumplir con las obligaciones a las que se refiere el RGPD.

2.- Optimizar la elección de la tecnología más adecuada en relación a la finalidad que se persigue con la operación y adoptar todas las medidas adecuadas de privacidad por defecto, evitando la recopilación y tratamiento posterior de datos innecesarios.

3.- Articular mecanismos para evidenciar el derecho a la información en relación con el tratamiento de datos personales. Habilitar mecanismos para llevar a cabo el derecho de información con relación al tratamiento de datos personales que se realiza, sin dejar de tener en cuenta que la información proporcionada deberá ser clara y transparente y puede transmitirse por medios electrónicos. Por todo ello, se deberá buscar y encontrar la forma más apropiada de informar a quienes van a verse afectados por el tratamiento de datos mediante hojas informativas o señalizaciones, publicaciones en redes sociales, periódicos, folletos, carteles, etc. en los que aparezca la identidad del responsable del tratamiento de los datos de carácter personal, su finalidad y se facilite a los afectados instrucciones claras y específicas para el ejercicio de sus derechos. Más información en la Guía para el cumplimiento del deber de informar.

4.- Habrá que tomar las medidas técnicas y organizativas convenientes para garantizar un nivel de seguridad adecuado en relación a los riesgos para los derechos y libertades de las personas, sobre todo para prevenir cualquier tratamiento no autorizado durante la fase de transmisión de los datos capturados.

5.- Eliminar o anonimizar todos los datos personales innecesarios lo antes posible.

6.- Realizar configuraciones respetuosas con la privacidad preferiblemente de forma predeterminada a poder ser desde el diseño de la operación.

7.- Hacer los drones lo más visibles e identificables posible, siendo identificable tanto el operador como el responsable del drone. Cuando sea de aplicación, deben ser tenidos en cuenta los requisitos de identificación y matriculación tal y como indican los artículos 8, 9 y 10 del Real Decreto 1036/2017, de 15 de diciembre.

  1. PASOS QUE DEBEN DARSE ANTES DE MANEJAR UN DRON:

Cuando sea de aplicación la normativa de protección de datos de carácter personal se debe:

            4.1.- Comprobar la legislación del país en cuestión en el tema de manejo de drones y si fuera necesario solicitar las autorizaciones pertinentes a las autoridades aeronáuticas. Si se viola la normativa nacional, toda captura de datos y su posterior tratamiento no cumplirá el principio de licitud recogido en el Reglamento General de Protección de Datos (RGPD) y por lo tanto, será objeto de sanción en materia de protección de datos, sin descartar que pueda ser objeto de sanción también en materia de navegación aérea.

            4.2.- Cuando se esté realizando el análisis de la operación a realizar y con anterioridad al desarrollo de la operación en cuestión y que tenga que realizarse un tratamiento de datos personales, se tiene que valorar la necesidad de la realización de un tratamiento de datos personales analizando la necesidad de realizar una evaluación de los riesgos para los derechos y libertades de las personas que salgan en la operación ya de forma directa o indirecta.

Si el tratamiento está entre los supuestos establecidos por el RGPD o en los de la lista de tratamientos obligados establecida por la AEPD, será necesario la realización de una evaluación de impacto sobre la protección de datos (EIPD) cumpliendo los requisitos exigidos en el RGPD.

Si no existiera la obligación explícita de realizar una EIPD, si se lleva a cabo se considerará una buena práctica por parte del responsable del tratamiento. Es importante que se realice teniendo en cuenta el propósito de la operación, el tipo de drones a utilizar o las tecnologías utilizadas. La evaluación de impacto se realizará para cada tipo de operación que se realice, aunque no sea necesario llevar a cabo la evaluación tantas veces como se realice un determinado tipo de operación.

Si fuera necesario, se realizará una consulta previa a la que se refiere el art. 36 del RGPD a la autoridad de control competente en materia de protección de datos de carácter personal.

4.3.- Si tras el análisis de necesidad se llega a la conclusión de que no se hace necesaria la realización de una evaluación de impacto pero se apreciara que la operación puede suponer riesgos para la protección de datos personales, se llevará a cabo un análisis de riesgos con el fin de  adoptar todas las garantías necesarias para evitar, en la medida de lo posible, dichos riesgos y sus posibles consecuencias para los derechos y libertades de las personas. Para su realización se puede consultar la Guía de análisis de la Agencia Española de Protección de Datos.

4.4.- En el caso de captación de imágenes de uso personal, hay que aclarar que no deben publicarse en internet de manera accesible a todo el mundo en el caso de que se pueda identificar a personas o cuando se muestren espacios de uso privado (viviendas, terrazas, jardines, etc). Incluso en los casos en los que se trate de un tratamiento personal o doméstico al que no sea aplicable la normativa de protección de datos, toda información recopilada por el drone puede afectar al derecho al honor, la intimidad personal y familiar y a la propia imagen de las personas.

4.5.- Evaluar con carácter previo los objetivos de la operación a realizar con el drone para garantizar la seguridad física del vuelo y cumplir con la normativa aeronáutica.