La Agencia Española de Protección de Datos (AEPD) es consciente del cada vez mayor auge que los drones están teniendo en nuestra sociedad.
Debido a la gran cantidad de información que estas aeronaves no tripuladas pueden recabar, mediante su uso se corre un mayor riesgo de hacer públicos datos personales de individuos que no han dado su consentimiento, ya sea de manera intencionada o no. Por ello, la AEPD ha publicado una guía con la que ayudar a pilotos y operadores de drones a hacer uso de estas aeronaves sin dañar la privacidad e intimidad de terceros.
- Introducción: ¿Qué es un dato personal?
- ¿Y si los datos recabados con drones son para uso doméstico?
- Relación entre la protección de datos y la normativa para pilotar drones
- Precauciones antes de volar un dron para garantizar la protección de datos
- Recomendaciones de la AEPD según el tipo de operación con drones
- Operaciones con drones que no incluyen un tratamiento de datos personales
- Operaciones con drones con riesgo de tratamiento de datos personales de forma colateral o inadvertida
- Operaciones que tienen por finalidad un tratamiento de datos personales
- Contacto de la AEPD
ÍNDICE (desplegar / ocultar)
A lo largo de este artículo resumimos las notas más importantes que la AEPD señala en dicha guía.
1. Introducción: ¿Qué es un dato personal?
La AEPD define «dato personal» como toda información sobre una persona identificada o identificable.
Debido a la gran variedad de sensores y otros dispositivos de recopilación de datos que puede llevar un dron, la protección de datos frente al uso de drones se extiende no solamente a aquella información que identifique de manera directa a una persona («persona identificada»: por ejemplo, una fotografía con la suficiente resolución), sino también a los datos que de manera indirecta permitan identificar a una persona («persona identificable»), como por ejemplo datos de geolocalización o matrículas de vehículos que, cruzándolos con otros datos disponibles en otras fuentes, permitan la identificación no autorizada.
Ya sea en operaciones profesionales o lúdicas, en todos los casos en los que un dron recoja datos personales que permitan la identificación de una persona de manera directa o indirecta, es de aplicación la normativa de protección de datos, a destacar:
- Reglamento General de Protección de Datos (RGPD);
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD).
2. ¿Y si los datos recabados con drones son para uso doméstico?
Si los datos captados con la aeronave no tripulada van a ser para uso personal, la normativa sobre protección de datos no será tan restrictiva siempre y cuando:
- Los datos tomados no vulneren el derecho al honor y la intimidad de las personas;
- Los datos tomados no sean accesibles a un número indeterminado de personas (por ejemplo, internet);
- Cuando sea posible identificar a personas;
- Incidimos en que los datos tomados con el dron no son solamente fotografías y vídeos que permitan una identificación directa de personas, sino también datos que permitan una identificación indirecta;
- Cuando se muestren espacios privados como patios, terrazas o jardines;
- Se ha de respetar en todo momento cualquier zona en la que «exista una expectativa razonable de privacidad».
- Cuando sea posible identificar a personas;
3. Relación entre la protección de datos y la normativa para pilotar drones
LA AEPD también señala que el incumplimiento de las reglas y normativa para pilotar drones en España, lleva aparejada la vulneración del principio de licitud que recoge el Reglamento General de Protección de Datos (artículo 5.1 y 6 del RGPD).
De esta manera, infringir las reglas españolas sobre pilotaje de drones no implica solamente la sanción oportuna, sino que toda captación y tratamiento de datos realizado durante dicho vuelo ilegal también se someterá al régimen sancionador en materia de protección de datos.
Os recomendamos echarle un vistazo al artículo en el que explicamos la normativa española para pilotar drones.
4. Precauciones antes de volar un dron para garantizar la protección de datos
Antes de iniciar ninguna clase de operación con un dron, se debe llevar a cabo una evaluación de riesgos que permita sopesar si la captación y tratamiento de datos que se realizará con la aeronave pueden vulnerar los derechos de terceros.
La AEPD señala que, si dicho tratamiento está dentro de su lista (basada en los supuestos del RGPD), el responsable deberá llevar a cabo una «Evaluación de Impacto sobre la Protección de Datos» (EIPD). La AEPD tiene otra guía para realizar adecuadamente una EIPD en base al RGPD.
Destacar que en caso de requerirse una EIPD, ésta se deberá realizar obligatoriamente por cada tipo de operación, y no por cada operación individual.
Por el contrario, si el tratamiento de datos no está dentro de la lista de la AEPD y por tanto no es necesario realizar ninguna EIPD, pero existe la posibilidad de que se vulnere el derecho a la protección de datos personales mediante el uso de drones, se deberá hacer un análisis de riesgos que permita reducir y paliar tanto como sea posible dicha posibilidad de vulneración. La AEPD también pone a disposición del ciudadano una guía con la que realizar el mencionado análisis de riesgos.
5. Recomendaciones de la AEPD según el tipo de operación con drones
En su guía la AEPD distingue tres tipos de operaciones con drones, basándose en el riesgo que entraña cada una de ellas a la hora de infringir el derecho a la protección de datos personales de terceros. Éstas son:
- Operaciones que no incluyen un tratamiento de datos personales;
- Operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida;
- Operaciones que tienen por finalidad un tratamiento de datos personales.
La AEPD da una serie de recomendaciones y pautas a pilotos y operadores de drones en base al tipo de operación. Pasamos a resumirlas a continuación.
5.1. Operaciones con drones que no incluyen un tratamiento de datos personales
Se refiere a todas aquellas en las que el dron no dispone de ninguna clase de dispositivo que permita recabar información que permita la identificación de personas, al igual que aquellas operaciones en la que los datos tomados vayan a ser utilizados de manera exclusiva en el ámbito doméstico.
En estos casos, la AEPD recomienda que, en caso de compartir dichos datos en lugares como internet (acceso a tales datos por un número indeterminado de personas), el responsable ha de evitar que se expongan datos (por ejemplo, imágenes) que permitan o faciliten la identificación de personas. En caso de ser inevitable, se ha de realizar un trabajo de postprocesado que impida la identificación de personas (por ejemplo, mediante difuminación).
5.2. Operaciones con drones con riesgo de tratamiento de datos personales de forma colateral o inadvertida
Estas operaciones engloban todas aquellas que, de manera no intencionada, se tomen datos que transgredan los derechos estipulados por la normativa de protección de datos personales.
Algunos ejemplos de este tipo de operaciones son aquéllas dedicadas a la inspección de infraestructuras, levantamientos topográficos, agricultura de precisión y, en definitiva, operaciones que puedan tomar en segundo plano datos protegidos.
Para estos casos, la AEPD hace las siguientes recomendaciones:
- Realizar las operaciones con drones en momentos en los que haya poca afluencia de personas en el lugar del vuelo;
- Realizar la captura de datos únicamente en los momentos estrictamente necesarios y no durante todo el vuelo;
- Ajustar la resolución de la imagen al mínimo necesario para la correcta realización de la operación con el dron;
- Aplicar técnicas que permitan anonimizar imágenes de manera automática;
- Implantar protocolos de protección de comunicaciones que impidan el acceso a los datos tomados por parte de terceros no autorizados;
- Realizar la toma de fotografías lo suficientemente lejos de personas como para que no sea posible su identificación;
- Eliminar información innecesaria para la operación que contenga datos de personas que no hayan dado su autorización.
5.3. Operaciones que tienen por finalidad un tratamiento de datos personales
La AEPD engloba dentro de este tipo de operaciones a todas aquéllas en las que los drones se utilizan expresamente para tomar datos personales, como por ejemplo en labores de vigilancia o grabación de eventos.
Las recomendaciones de la AEPD para este tipo de operaciones con drones son:
- El operador del dron, si trabaja para un tercero, debe dejar claro mediante contrato que el responsable del tratamiento final de los datos tomados con el dron es su cliente;
- Si el operador del dron no está trabajando para un tercero, deberá cumplir con las obligaciones indicadas por el RGPD;
- Utilizar en el dron solamente los sensores imprescindibles para la realización de la operación;
- Informar a quienes se verán afectados por el tratamiento de datos;
- La AEPD tiene una guía para cumplir con el deber de informar;
- Tomar las medidas oportunas para que terceros no autorizados no puedan acceder a los datos captados;
- Tras la finalización de la operación con el dron, eliminar cualquier dato innecesario.
6. Contacto de la AEPD
Para cualquier duda que podáis tener, podéis contactar con la AEPD a través de los siguientes teléfonos:
- +34 901 100 099
- +34 91 266 35 17
También podéis hacerlo mediante sede electrónica o presencialmente en sus oficinas, tal y como se indica en este enlace.
¿Qué te pareció este artículo?
¡Clica en las estrellas para darnos tu opinión!
¡Lamentamos que el artículo no te haya sido muy útil!
¿Nos ayudas a mejorarlo, por favor?
¡Gracias por tu ayuda!
