Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Drones y privacidad

Los drones o VANT (Vehículo Aéreo No Tripulado), también denominados RPA (por sus siglas en inglés Remotely Piloted Aircraft) o UAV (por sus siglas en inglés Unmanned Aerial Vehicle) están de moda, aunque no son una novedad, pues se vienen empleando en el ámbito militar desde hace décadas. 

El uso civil de drones es cada vez más habitual, ya sea con fines profesionales, comerciales o lúdicos, y hemos de ser conscientes de que pueden causar más de un problema si se hace un mal uso de ellos. Desde luego son dispositivos que pueden resultar realmente útiles y que, en un futuro, no muy lejano estarán muy presentes en nuestras vidas.

Recientemente, se señaló como un hecho histórico el que un dron llevara –con éxito– el 19 de abril de 2019 un riñón para ser trasplantado desde el Hospital de St. Agnes en Baltimore al Centro Médico de la Universidad de Maryland en menos de diez minutos, siendo la distancia entre ambos centros de cinco kilómetros.

Se ha demostrado, sobradamente, la utilidad de los drones en trabajos agrícolas para la fumigación y el control de plagas, en labores de rescate y en situaciones de emergencia como operaciones en alta mar, en la lucha contra los incendios forestales, en trabajos de construcción con accesos imposibles, en la realización de levantamientos topográficos… Hasta la Dirección General de Tráfico los emplea desde el 1 de agosto de 2019 para sancionar el uso del móvil, por no utilizar el cinturón de seguridad, no respetar señales como ceda al paso o línea continua, circular sobre zonas cebradas, etc. 

Un ejemplo de uso civil, que está al caer, es el uso de drones para el reparto comercial. Amazon lleva años planteándolo y ya tiene varias patentes. Una de ellas cuenta con la particularidad, respecto a los miles de drones que ya existen, de que es capaz de reconocer gestos manuales y comandos de voz. 

No soy experto en drones, ni siquiera aficionado, pero me consta que hay gran variedad de prototipos, que van desde dispositivos básicos hasta equipos dotados de instrumentación muy perfeccionada con cámaras de alta resolución, visión nocturna, imágenes térmicas, etc.

Cautelas en el uso de drones

La normativa aeronáutica trabaja en paralelo con la normativa que defiende el derecho a la protección de datos personales. El artículo 26.f) del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto establece la obligación de «adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad» con independencia del ámbito al que esté asociada la operación del dron.

Hay una excepción: el uso de drones en un contexto privado asociado al ocio y como parte de la vida privada o familiar del usuario queda fuera del ámbito de aplicación de la normativa de protección de datos. El problema viene cuando ese uso excede el ámbito privado, pudiendo afectar al derecho a la intimidad y a la propia imagen de terceros. Esto puede ocurrir bien porque sea inevitable capturar en segundo plano determinadas imágenes de personas, bien por la captura de otro tipo de información (viviendas próximas, zonas de recreo, vehículos, etc.) o bien por las características concretas de la operación, por ejemplo, la realización de operaciones fuera del alcance visual del operador.

En estos casos es necesario observar las siguientes recomendaciones pronunciadas por la AEPD:

  • Minimizar la presencia de personas y objetos que permitan su identificación en el lugar de la operación, realizando los vuelos en horarios en los que no exista gran afluencia de público o controlando el acceso a la zona de vuelo si fuera posible.
  • Minimizar la captura de imágenes a lo absolutamente necesario, reduciendo las posibilidades de que puedan aparecer personas inadvertidamente en las imágenes y considerando la posibilidad de no capturar el vuelo completo, sino solo aquellos momentos que sean necesarios. 
  • Promover y aplicar características de privacidad desde el diseño como, por ejemplo, ajustar la resolución de la imagen al mínimo necesario para ejecutar el propósito del tratamiento, reducir la granularidad de la geolocalización con el mismo propósito; aplicar técnicas para anonimizar imágenes; establecer mecanismos para detener la captura de datos en cualquier momento; implantar protocolos de comunicaciones seguras que impidan a terceros el acceso a los datos capturados, incluir mecanismos que permitan el cifrado de los datos, etc.
  • Para lugares en los que inevitablemente habrá personas realizar la captura de imágenes de forma que las personas no puedan ser identificadas, por ejemplo, realizando capturas a una distancia tal que la identificación de estas no sea posible. Una práctica que evitaría problemas pasaría por pixelar los rostros, lo mismo que hace Google en Street View de Google Maps.
  • Evitar el almacenamiento de información innecesaria relativa a personas. Por ejemplo, si las imágenes tienen por finalidad un levantamiento topográfico de la costa, carecería de sentido almacenar imágenes de los bañistas. 
  • En determinados eventos habrá que tener especial cuidado cuando la captación de las imágenes pudiera revelar la ideología, la afiliación sindical, la religión o creencias u orientación sexual de las personas afectadas. 

La afectación al derecho a la protección de datos personales en el uso de drones deberá analizarse caso a caso y en función de diversos factores (no plantea los mismos problemas un dron que se utiliza para vigilar la evolución de los cultivos que uno que se emplea para realizar tareas de vigilancia).

Cuando se pueda invadir la intimidad de las personas, el operador del dron tendrá especial cuidado, pues puede incurrir en un delito de intromisión en la intimidad. Al respecto, el artículo 197 apartado 7 dice: «Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona. La pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el cónyuge o por persona que esté o haya estado unido a él por análoga relación de afectividad, aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad necesitada de especial protección, o los hechos se hubieran cometido con una finalidad lucrativa».

El rol del operador

Si el tratamiento de datos personales se realiza por encargo de un tercero, que decide acerca de la finalidad de las imágenes, por ejemplo, con propósito de vigilancia, este tercero será el responsable del tratamiento y el operador del dron actuará como encargado del tratamiento. La relación entre ambos estará regida por un contrato escrito o un acto jurídico que lo vincule con el responsable del tratamiento (si quieren saber más sobre la figura del encargado del tratamiento hagan clic aquí).

Pongamos un ejemplo para entenderlo. Un concierto en un recinto privado. El organizador del evento es el responsable del tratamiento y como tal deberá habilitar mecanismos para informar a todos los asistentes acerca de la identidad del responsable del tratamiento, la base jurídica que lo justifica, la finalidad perseguida, el plazo de conservación de las imágenes, las posibles cesiones y transferencias internacionales, la forma en la que ejercer los derechos reconocidos por la normativa de protección de datos y la posibilidad de formular una reclamación ante la autoridad de control para el caso de disconformidad con el tratamiento realizado. Como mecanismos válidos estaría el ticket de entrada, la web oficial, redes sociales, periódicos, hojas informativas, carteles, etc. 

Evaluaciones de impacto

Si prevén la posibilidad de captar, de forma sistemática y exhaustiva, la imagen y la voz de personas, pudiendo deducirse sus preferencias personales y comportamientos, de forma que se puedan ver afectados los derechos y libertades de estos, necesariamente deberán realizar, con carácter previo, una evaluación de impacto en la protección de datos personales.

Dicha evaluación deberá analizar si el tratamiento es legítimo, necesario y proporcionado. Una ventaja de la evaluación de impacto es que introduce una actuación preventiva que minimiza los posibles efectos negativos que el uso de los drones puede provocar en la esfera privada de los afectados, por ejemplo, mediante la descripción de los límites geográficos y la delimitación de espacios públicos y privados.

Los datos personales sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades, explícitas y legítimas para las que se hayan obtenido, borrando aquellos datos que resulten innecesarios. 

La AEPD apenas ha desarrollado este tema: una breve guía sobre drones y protección de datos, una alusión a los drones en el punto 5.2 de la guía sobre el uso de videocámaras para seguridad y otras finalidadesun informe del gabinete jurídico tras la consulta planteada por una empresa que se definía a sí misma como «operador de drones». A mayores, tenemos el dictamen nº 1/2015, de 16 de junio, relativo a la utilización de drones, del Grupo de Trabajo del Artículo 29.

Si quieren saber más sobre la normativa aplicable al uso y vuelo de drones hagan clic aquí.

En no muchos años, es probable que veamos a grandes drones surcando el cielo. La Policía Nacional ya está ensayando con un modelo chino.

No es el único modelo, hay varios modelos en proyecto con mayor capacidad de carga y autonomía.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).