Caso dónde se valora la concepción de un dron como un sistema de videovigilancia en relación a las normas de protección de datos

PLANTEAMIENTO

Una empresa que se dedica a operar con drones quiere saber si se les ha de dar el mismo tratamiento que a las cámaras de videovigilancia o no, toda vez que en las grabaciones pueden aparecer personas, matrículas de vehículos, etc.

RESPUESTA

Sí, cualquier procedimiento utilizado para recoger imágenes, sonidos, datos de geolocalización, etc., de una persona física identificada o identificable llevado a cabo por un dron determinará la existencia de un tratamiento de datos y, en consecuencia, la aplicación de la normativa de protección de datos.

Para dar respuesta a la cuestión planteada hay que analizar distintos aspectos.

En primer lugar, conviene indicar qué se entiende por dron, y para ello es variada la normativa a la que atender.

Por un lado, la OACI (Organización de la Aviación Civil Internacional) lo define como «sistema de aeronave pilotada a distancia» y, concretamente, como «conjunto de elementos configurables integrado por una aeronave pilotada a distancia, sus estaciones de piloto remoto conexas, los necesarios enlaces de mando y control y cualquier otro elemento de sistema que pueda requerirse en cualquier punto durante la operación de vuelo».

Por otro lado, la Ley 48/1960, de 21 de julio, sobre Navegación Aérea, en su artículo 11, lo define como «b) Cualquier máquina no tripulada que pueda sustentarse en la atmósfera por reacciones del aire que no sean las reacciones de la misma contra la superficie de la tierra y opere o esté diseñada para operar de forma autónoma o para ser pilotada a distancia sin un piloto a bordo».

Dicho esto, la realidad es que un dron es un vehículo aéreo que puede llevar o no, sistemas de procesamiento de información (procesamiento de datos en general) de muy diversos tipos: sistemas de grabación de imagen, sistemas de detección (sensores ópticos o electrónicos, infrarrojos, de humos, etc.), equipos de radiofrecuencia (antenas para capturar emisiones de radio o de wifi), etc. Lo relevante es, entonces, el equipamiento de captación y procesamiento de datos que lleve el dron y su posterior tratamiento.

Además, no hay que olvidar una peculiaridad muy destacable de los drones: en muchos casos el sujeto afectado desconoce tanto la existencia del dron como el tratamiento de datos. Efectivamente, el dron puede volar y recoger datos sin ser visto.

Por lo anterior, se puede concluir que cuando un dron realiza funciones de captación de imágenes para fines de videovigilancia, le resulta de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), lo que implica, entre otras cuestiones:

- Cumplir con el derecho de información del artículo 13.

- Hacer el registro de actividades de tratamiento del artículo 30.

- Adoptar las correspondientes medidas de seguridad en función del análisis de riesgos realizado del artículo 32.

En cuanto a cómo cumplir, por ejemplo, con el derecho de información del artículo 13, es lo cierto que en este caso no es sencillo. Por ello, la Agencia Española de Protección de Datos recomienda que los operadores de drones publiquen en su web información que permita conocer los vuelos que han llevado a cabo o los que tienen programados próximamente, así como la inserción de anuncios en periódicos, folletos o posters, o incluso mediante buzoneo. Todo ello, sin perder de vista lo establecido en el artículo 14.5 del Reglamento general de protección de datos que establece que no se cumplirá con este derecho de información «cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información». Será el responsable quien habrá de valorarlo. No obstante, lo anterior, la valoración sobre el cumplimiento del derecho de información también puede incluirse en una evaluación de impacto de protección de datos (EIPD).

En cuanto a las medidas de seguridad, tanto el responsable como el encargado del tratamiento tienen que implantar aquellas medidas técnicas y organizativas que correspondan a los riesgos derivados de los análisis realizados (también frente a ataques remotos (ciberataques) que pretendan tomar el control del aparato o acceder a su información). La protección y las medidas de seguridad tienen que extenderse tanto a la fase de vuelo como a la fase de transmisión de los datos. 

El resto de los principios establecidos en el Reglamento General de Protección de Datos respecto del tratamiento de datos han de aplicarse sin excepción a la operativa de drones, incluidos, por ejemplo, los principios de limitación de la finalidad y minimización de datos.