en Protección de datos de carácter personal

Uso de drones y protección de datos personales

Autora: Lilian Issa Contreras. Abogada en Derecho.com


Las Autoridades de Protección de Datos europeas han adoptado recientemente un dictamen sobre el uso de drones para la vigilancia de espacios geográficos. La necesidad de elaborar este dictamen surge de la gran controversia que se está generando por la proliferación del uso de este tipo de aeronaves, tanto por parte de empresas y servicios públicos como privados, para la captación de vídeo y audio mediante unos sistemas capaces de procesar información de las personas sin apenas ser vistos.

En este sentido, el Grupo de Trabajo del Artículo 29 ha emitido el Dictamen WP-231 de fecha 16 de junio de 2015 sobre privacidad y protección de datos en el uso de drones, donde se resalta cómo puede verse vulnerada la privacidad por el uso de unos sistemas de captación de imágenes a través de pequeñas aeronaves no tripuladas, donde la transparencia para el afectado en el conocimiento de que se están captando imágenes es muy reducida comparada con los sistemas de captación de imágenes en un circuito cerrado.

 

Por ello, y teniendo en cuenta la importancia de la privacidad en relación a este tipo de sistemas de captación de imágenes, en el referido Dictamen WP-231, el Grupo de Trabajo del Artículo 29 establece que en términos generales “… los drones son vehículos aéreos que pueden pertenecer a diferentes categorías con una amplia variedad en las especificaciones, características y capacidades, pudiendo no captar datos personales, captar sólo imágenes, o bien audio y vídeo, en función del tipo de sensores que lleven incorporados”.

 

Por tanto, los equipos que sí podrían tener un impacto en la privacidad serían aquellos que permitan la grabación mediante “cámaras inteligentes con distancia focal fija o variable capaz de almacenar imágenes en vivo, con capacidades de reconocimiento facial, lo que permitiría a estas aeronaves no tripuladas identificar y realizar un seguimiento a personas, objetos y situaciones concretas, identificar patrones de movimiento, leer matrículas de vehículos, entre otros, garantizando al mismo tiempo una visión de 360º, permitiendo detectar la energía térmica de un objeto, lo que permite el vuelo y la grabación de imágenes en pobres condiciones de visibilidad”.

 

De esta manera, los equipos que tendrían un impacto sobre la privacidad, a parte de los equipos que reúnan las características ya descritas en el apartado anterior, serían los drones de detección que incorporan escáneres infrarrojos que permiten obtener información sobre la posición de personas u objetos captando imágenes, incluso a través de paredes u otros obstáculos; así como los drones de radio frecuencia capaces de captar redes de telecomunicaciones y permitir su control.

 

En este sentido, el Dictamen también hace hincapié en la necesidad de evaluar la proporcionalidad en el uso de este tipo de aeronaves en función de la finalidad perseguida y la existencia otros sistemas menos intrusivo e igual de efectivos para cumplir el objetivo perseguido. Por tanto, para cumplir con la normativa de protección de datos en el uso de drones o aeronaves no tripuladas, el Grupo de Trabajo del Artículo 29 establece que su uso debe estar justificado y que el uso de otros sistemas alternativos menos intrusivos no ofrezcan, en función del fin perseguido, el propósito establecido.

 

Por tanto, en primer lugar debería evaluarse si se puede cumplir el objetivo perseguido mediante la utilización de otros sistemas de captación de imágenes menos intrusivos. Un ejemplo sería el uso de drones con fines policiales donde su uso debería ser justificado a la finalidad concreta y proporcional al objetivo perseguido.

 

Otro ejemplo, en el caso de que sean utilizados drones por servicios gubernamentales será necesario que estos sistemas no sean utilizados para realizar una vigilancia indiscriminada, procesando datos a granel”, siendo necesario, en todo caso, que su uso esté limitado geográficamente así como limitado en el tiempo”.

 

A parte de la proporcionalidad en el uso de dichos sistemas en función de la finalidad e interés perseguido, el Grupo de Trabajo del Artículo 29 establece que debe cumplirse con el principio de calidad de los datos estableciendo que como los datos personales sólo pueden ser procesados ​​si son adecuados, pertinentes y no excesivos en relación con los fines para los que se recabandeberá realizarse una evaluación rigurosa de la necesidad y la proporcionalidad de la utilización de dichos sistemas.

 

Respecto a los afectados, éstos deben poder ser conscientes de la recogida de los datos y de su tratamiento, por lo que deben ser informados en consonancia con el artículo 10 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, sin perjuicio de las excepciones previstas en los artículos 11 y 13 de la misma. Por tanto, tan pronto como sea razonablemente posible deberá informarse a los interesados de la información prevista en el artículo 10 de la Directiva (artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en el caso del uso de drones en España).

 

En este sentido, el Grupo de Trabajo del Artículo 29 reconoce que el uso de drones plantea un desafío sobre cómo proporcionar información a los afectados sobre un dispositivo que es a veces tan invisible que el afectado será incapaz de percibir su presencia y, por consiguiente, conocer que se están recogiendo datos personales. En este sentido, dependiendo de la situación concreta será más o menos fácil dar cumplimiento a este deber de información. Un  ejemplo sería la utilización de drones para cubrir la celebración de un evento comercial, deportivo, social, entre otros; en tales casos, en la inscripción del participante al evento se le debería informar de la existencia de tales sistemas de captación de datos en el área geográfica donde tenga lugar dicho acto o celebración. Por tanto, en cada situación en la que se utilice una aeronave no tripulada capaz de captar datos personales deberá evaluarse cómo dar cumplimiento al deber de información previsto en la normativa de protección de datos, dada la dificultad de que los afectados puedan ser conscientes de que se están captando sus datos personales a través de estos sistemas casi “invisibles”.

 

Finalmente, el Grupo de Trabajo del Artículo 29 hace hincapié en la aplicación de las medidas técnicas y organizativas adecuadas para proteger los datos personales recogidos a través de los drones en función de la naturaleza de los datos captados y a su finalidad.

 

A modo de conclusiones, el Grupo de Trabajo del Artículo 29, a la luz de los posibles riesgos que puede suponer el uso de estos sistemas de captación de audio y vídeo para la intimidad de las personas y la privacidad de sus datos personales, realiza las siguientes recomendaciones para todas aquellas personas, físicas o jurídicas, públicas o privada, que quieran operar con un dron:

 

  1. 1. Comprobar que la legislación nacional permite el uso de estos aviones no tripulados.
  2. 2. Determinar los roles de cada actor en el sentido de que deberá diferenciarse quién es el Responsable del tratamiento (controlador de datos) y quien es el Encargado del tratamiento, siendo necesario regular esta relación mediante un contrato específico.
  3. 3. En el caso de que el uso de drones esté sujeto a la obtención de las correspondientes licencias administrativas, debería valorarse la necesidad de incluir dentro del temario para la obtención de las licencias un conocimiento básico sobre privacidad y protección de datos, para asegurarse de que las personas de “piloten” dichas aeronaves son conscientes de las obligaciones legales en caso de un tratamiento de datos personales.
  4. 4. Evaluar el impacto en la protección de los datos personales teniendo en cuenta la finalidad de la operación que se quiera llevar a cabo, siendo necesario el uso de drones que incorporen unas especificaciones y tengan una tecnología proporcional a las finalidades por las cuales se utilizan estos sistemas. En caso de poder conseguir los mismos objetivos utilizando otros sistemas menos intrusivos, deberían utilizarse esos otros sistemas en lugar de drones.
  5. 5. Determinar la mejor manera de informar de manera previa a los afectados de que se van a utilizar drones en un evento, acto, celebración, entre otros (ej: señales visuales, hojas informativas y/o carteles, a través de redes sociales mediante las que se dé publicidad al evento, página web del organizador, etc).
  6. 6. Adoptar todas las medidas de seguridad técnicas y organizativas adecuadas necesarias para garantizar un nivel de seguridad adecuado a los riesgos que presente el tratamiento y la naturaleza de los datos y, en particular, para evitar cualquier tratamiento no autorizado también durante la Fase de «transmisión» de la información.
  7. 7. Eliminar o anonimizar los datos personales innecesarios poco después de la recogida o tan pronto como sea posible.

 
Finalmente, el Dictamen WP-231 del Grupo de Trabajo del Artículo 29 también realiza recomendaciones para los fabricantes y operadores de drones, siendo las más destacadas las siguientes:

  1. 1.La necesidad de involucrar a las autoridades de protección de datos de su país en el diseño e implementación de las políticas relacionadas con el uso de este tipo de aviones no tripulados.
  2. 2.Promover y adoptar códigos de conducta para prevenir y mejorar la aceptabilidad social del uso de estos aviones no tripulados.
  3. 3.En la medida de lo posible, fabricar aviones no tripulados lo más posiblemente visibles e identificables (incorporando luces intermitentes o colores brillantes).

 

Consulta el texto íntegro del Dictamen WP-231 del Grupo de Trabajo del Artículo 29 aquí.

Si necesita asistencia legal sobre éste u otros asuntos, puede contactar con nosotros llamando al 902 01 44 02