Ayuda Ley Protección Datos

Protección de datos en el uso de drones

Lunes por la mañana.

Estoy en la oficina frente al ordenador pensando en un café calentito que me despierte.

Y leo una noticia sobre el uso de drones para llevar café a aquellas personas a las que se detecte que necesitan cafeína.

¿Ciencia ficción?

Parece que no, dentro de no mucho podremos ver algo así.

La generalización en el uso de drones aéreos con diversos fines supone un nuevo desafío para la protección de datos personales.

Estos artilugios aéreos no tripulados van camino de invadir por completo el espacio público, ya sea en tareas de vigilancia o puramente comerciales. Esto afecta al derecho de las personas a la intimidad y a la propia imagen.

En este post tienes toda la información sobre cómo cumplir la ley de Protección de Datos en el uso de drones.

Normativa sobre drones

Al hablar de las normas que regulan el uso de estos aparatos hay que diferenciar entre la regulación a nivel europeo y la existente en España.

Europa

La UE ha establecido un marco normativo que regule de forma uniforme las operaciones de los drones civiles en todo el espacio comunitario. Para evitar regulaciones diferentes en los países miembros.

El objetivo es doble:

A falta de una regulación específica, el Reglamento General de Protección de Datos es la norma que determina con claridad los principios básicos sobre los que se asienta la regulación del derecho a la protección de datos. Así pues, pese a que la normativa europea vigente no menciona el uso civil de drones, sus principios son aplicables.

España

Nuestro país cuenta ya con una primera regulación específica del uso civil de las aeronaves pilotadas por control remoto en espacios públicos desde el 2014. A través del Real Decreto-Ley 8/2014.

Esta ley tiene fecha de caducidad cuando reglamentariamente se desarrolle una norma específica que, una vez aprobada, la derogaría.

La regulación se completa con la Ley 48/1960, de 21 de julio, sobre Navegación Aérea.

Las aplicaciones civiles de drones todavía están siendo desarrolladas.

De momento, según nuestra normativa, la utilización de los drones sólo podrá ser autorizada por la Dirección General de Aviación Civil Española para operar con fines experimentales. Y bajo un «Certificado de Aeronavegabilidad Especial Experimental«.

Los drones y la protección de datos

Para comprobar si el tratamiento de los datos realizado por un vehículo aéreo no tripulado ha sido un tratamiento lícito debemos comprobar que dicho tratamiento de datos cumple:

Vamos al lío!

Consentimiento del interesado

El consentimiento libre, específico e informado del interesado es el elemento esencial en el tratamiento de datos personales.

En materia de drones, cumplir con esos requisitos no es una tarea fácil ya que ese consentimiento:

Pongamos un ejemplo.

Un individuo acude a un festival de música donde los promotores del evento notifican al titular de los datos de que utilizarán drones para grabar a la multitud.

¿se considera consentimiento inequívoco el hecho de comprar una entrada?

¿O debería incluirse en el ticket un aviso sobre la utilización de drones durante el mismo?

Si la compra de la entrada es online, una casilla no marcada podría solucionar el problema.

Tratamiento necesario

Un tratamiento de datos recogidos a través de drones se considerará legítimo cuando sea necesario para:

Principio de finalidad

El responsable del tratamiento debe indicar en el momento de la recogida de los datos y por los medios que considere oportunos, la finalidad del mismo de forma nítida y precisa.

En el caso de los drones, los intereses económicos derivados de la compra-venta de datos pueden provocar que el encargado de recabar los datos prefiera venderlos a cumplir con la normativa.

Por ejemplo, una inmobiliaria puede realizar grabaciones en una zona urbana para promocionar viviendas de lujo.

Y, más tarde el Ayuntamiento puede comprar esos datos con el fin de imponer tasas más elevadas a los propietarios cuya vivienda tenga piscina.

En este caso, la dificultad de detectar al dron y, en el caso de detectarlo, conocer para qué y por quién se está utilizando, puede provocar un mayor incumplimiento de la normativa.

Necesidad, proporcionalidad y minimización de los datos

Respecto a los datos obtenidos a través de drones, deben cumplir cuatro requisitos:

Otro ejemplo.

Si se utiliza un dron para tomar imágenes aéreas, y por error toma fotografías de personas, esos terceros deben aparecer difuminados.

Si el dron no tuviera los sensores o dispositivos necesarios para difuminar a terceros, la obtención y tratamiento de esos datos sería contrario a la normativa de protección de datos.

Transparencia

Las peculiaridades de los drones los pueden hacer invisibles a los sentidos del individuo titular de los datos. Por tanto, es relativamente fácil que los controladores de dichos aparatos sean inidentificables aunque el titular de los datos sea consciente de la existencia del dron.

Para solucionar esto podría establecerse la necesidad de garantizar que el operador del dron sea visible. O que el dron posea una marca de registro.

Pero esto solo serviría si el dron es visible desde el suelo.

Responsabilidad activa (Accountability)

Este principio exige a los responsables del tratamiento el establecimiento de

Se concreta en la obligación de los responsables de tener en cuenta la protección de datos desde el momento del diseño de productos y servicios. Y que, por defecto, solo sean objeto de tratamiento los datos personales mínimos, necesarios para alcanzar el fin legítimo perseguido.

En el caso de responsables del tratamiento de datos que trabajen con drones, el reto será, sin lugar a dudas, probar el consentimiento de los titulares de los datos.

Para los ciudadanos, sin embargo, la dificultad estará en determinar quién es el responsable del tratamiento.

Seguridad del tratamiento de datos

Una de las novedades que presenta la regulación de la seguridad de los datos en el RGPD es la necesidad de realizar una evaluación de riesgos, que permita adoptar las medidas para proteger los datos contra su:

Además, se establece la obligación de notificación de la violación de los datos personales (más conocidas como brechas de seguridad). A la autoridad de control y su comunicación al interesado.

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

¿Qué incidentes de seguridad pueden afectarles?

En el caso de los drones, aparte de las habituales brechas de seguridad (intrusos, malware o fallos electrónicos o lógicos), se podría manipular la aeronave a distancia, para tomar el control del dron o para acceder a los sensores o a los datos almacenados.

Para evitar esto es recomendable una protección de los equipos a través del diseño.

Respecto al periodo de almacenamiento, los datos no se pueden almacenar durante un período más largo que lo necesario para el propósito del tratamiento.

Aquí se recomienda programar estos dispositivos para almacenar los datos y eliminarlos o hacerlos anónimos inmediatamente después.

Código de conducta

Las principales compañías del sector han elaborado un Código de conducta relativo a las actuaciones con drones.

Este código tiene tres apartados:

La primera sección se ocupa de afirmar que las operaciones de vuelo de los drones se llevarán a cabo minimizando cualquier riesgo para las personas a través de:

En el apartado de profesionalidad,

Finalmente, en el capítulo dedicado al respeto,

Recomendaciones

Para intentar solucionar los riesgos sobre el uso de drones y la protección de los datos que recopilan se distinguen tres tipos de medidas:

Legislativas

Los operadores de drones tendrán que, por el momento, cumplir con las disposiciones aplicables en materia de protección de datos.

El RGPD servirá para hacer frente a los desafíos que el uso civil y comercial de los drones plantea para el derecho a la protección de datos. En concreto, se confía en el papel positivo de figuras como el Delegado de Protección de datos o en las evaluaciones de impacto.

Sin embargo, desde Europa se señala la necesidad de:

Tecnológicas

Es necesario considerar las siguientes medidas de tipo tecnológico,

Y tener en cuenta las siguientes propuestas:

Éticas

Debe permitirse a los ciudadanos conocer las consecuencias y responsabilidades que se derivan de sus actividades sobre los derechos a la protección de datos.

E invitar a los Estados miembros a que instruyan a sus ciudadanos a través de cursos de formación específica sobre protección de datos en esta materia.

El esfuerzo que realiza la Unión Europea para desarrollar un marco normativo que permita la evolución y expansión del uso civil de drones y, por tanto, un aumento de las inversiones, puede contribuir a paliar toda inseguridad e incertidumbre de los ciudadanos en relación a la intimidad y la protección de sus datos personales.

Guía de la AEPD sobre el uso de drones

La AEPD ha elaborado una Guía sobre Protección de datos en el uso de drones donde se analizan todas las actividades efectuadas con drones. Dentro de esas actividades se distinguen las que no tratan ningún dato, aquellas que ocasionalmente pueden recopilar alguna información y las realizadas con la única finalidad de recoger datos personales, como puede ser la grabación de eventos o la videovigilancia.

En los últimos años ha crecido notablemente el uso de estas naves no tripuladas en el ámbito civil. Estos dispositivos pueden incluir GPS, cámaras de vídeo, sistemas de localización de dispositivos móviles o escáner 3D. Por eso el uso de estos aparatos puede suponer un riesgo para la Protección de datos y vulnerar los derechos y libertades de las personas.

La ley que regula el uso de drones impone la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de la normativa de Protección de datos. En la guía de la AEPD se establecen recomendaciones a los operadores de drones que traten vídeos, sonidos, imágenes, datos de geolocalización, biométricos o de telecomunicaciones de personas físicas para adaptarse a la LOPDGDD y al RGPD.

Estructura

La Guía se divide en cinco secciones. En las tres primeras se especifican los tipos de acciones que pueden realizarse con los drones y las distingue según el tratamiento de datos en:

En todos esos supuestos se ofrecen consejos, tanto a profesionales como a aficionados que usen estos dispositivos, para garantizar la protección de esos datos personales, tanto si son responsables como encargados del tratamiento.

La cuarta sección se refiere a las actuaciones que los operadores de drones deben realizar antes de comenzar a utilizar esos dispositivos. Y en la sección quinta responde a preguntas frecuentes sobre el tratamiento de datos personales obtenidos a través del uso de estas naves no tripuladas.

Recomendaciones

Dentro de las recomendaciones específicas establecidas antes de comenzar a utilizar un dron están:

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos