Protección de datos en el uso de drones

Lunes por la mañana.

Estoy en la oficina frente al ordenador pensando en un café calentito que me despierte.

Y leo una noticia sobre el uso de drones para llevar café a aquellas personas a las que se detecte que necesitan cafeína.

¿Ciencia ficción?

Parece que no, dentro de no mucho podremos ver algo así.

La generalización en el uso de drones aéreos con diversos fines supone un nuevo desafío para la protección de datos personales.

Estos artilugios aéreos no tripulados van camino de invadir por completo el espacio público, ya sea en tareas de vigilancia o puramente comerciales. Esto afecta al derecho de las personas a la intimidad y a la propia imagen.

En este post tienes toda la información sobre cómo cumplir la ley de Protección de Datos en el uso de drones.

Normativa sobre drones

Al hablar de las normas que regulan el uso de estos aparatos hay que diferenciar entre la regulación a nivel europeo y la existente en España.

Europa

La UE ha establecido un marco normativo que regule de forma uniforme las operaciones de los drones civiles en todo el espacio comunitario. Para evitar regulaciones diferentes en los países miembros.

El objetivo es doble:

• lograr que la industria europea llegue a ser líder mundial en el mercado de esta tecnología emergente y
• garantizar que se adopten todas las medidas necesarias para proteger los derechos de los ciudadanos de la UE.

A falta de una regulación específica, el Reglamento General de Protección de Datos es la norma que determina con claridad los principios básicos sobre los que se asienta la regulación del derecho a la protección de datos. Así pues, pese a que la normativa europea vigente no menciona el uso civil de drones, sus principios son aplicables.

España

Nuestro país cuenta ya con una primera regulación específica del uso civil de las aeronaves pilotadas por control remoto en espacios públicos desde el 2014. A través del Real Decreto-Ley 8/2014.

Esta ley tiene fecha de caducidad cuando reglamentariamente se desarrolle una norma específica que, una vez aprobada, la derogaría.

La regulación se completa con la Ley 48/1960, de 21 de julio, sobre Navegación Aérea.

Las aplicaciones civiles de drones todavía están siendo desarrolladas.

De momento, según nuestra normativa, la utilización de los drones sólo podrá ser autorizada por la Dirección General de Aviación Civil Española para operar con fines experimentales. Y bajo un «Certificado de Aeronavegabilidad Especial Experimental«.

¿Cuánto cuesta cumplir la LOPD?

Los drones y la protección de datos

Para comprobar si el tratamiento de los datos realizado por un vehículo aéreo no tripulado ha sido un tratamiento lícito debemos comprobar que dicho tratamiento de datos cumple:

• condiciones de licitud y
• criterios de calidad.

Vamos al lío!

Consentimiento del interesado

El consentimiento libre, específico e informado del interesado es el elemento esencial en el tratamiento de datos personales.

En materia de drones, cumplir con esos requisitos no es una tarea fácil ya que ese consentimiento:

• No será dado libremente si, por ejemplo, el sujeto no es libre de entrar o salir de un área determinada sin estar bajo vigilancia.
• Tampoco será totalmente informado si a ese individuo no se le ofrece toda la información necesaria sobre el tratamiento de sus datos personales. O si, simplemente, no se le ofrece ninguna información al utilizar un dron de manera oculta.
• No será específico si no puede identificar la finalidad del tratamiento.

Pongamos un ejemplo.

Un individuo acude a un festival de música donde los promotores del evento notifican al titular de los datos de que utilizarán drones para grabar a la multitud.

¿se considera consentimiento inequívoco el hecho de comprar una entrada?

¿O debería incluirse en el ticket un aviso sobre la utilización de drones durante el mismo?

Si la compra de la entrada es online, una casilla no marcada podría solucionar el problema.

Tratamiento necesario

Un tratamiento de datos recogidos a través de drones se considerará legítimo cuando sea necesario para:

•  Ejecutar un contrato en el que el interesado sea parte. Por ejemplo, si alguien comprara un producto que se entregase a domicilio a través de un dron.
• Cumplir una obligación jurídica a la que está sujeto el responsable del tratamiento. Por ejemplo, la vigilancia de un yacimiento arqueológico, o en algunos usos relacionados con la seguridad como el control del contrabando.
• Proteger el interés vital del interesado. Por ejemplo, disminución de desastres, rescates de víctimas o el examen de la escena de un incendio.

Principio de finalidad

El responsable del tratamiento debe indicar en el momento de la recogida de los datos y por los medios que considere oportunos, la finalidad del mismo de forma nítida y precisa.

En el caso de los drones, los intereses económicos derivados de la compra-venta de datos pueden provocar que el encargado de recabar los datos prefiera venderlos a cumplir con la normativa.

Por ejemplo, una inmobiliaria puede realizar grabaciones en una zona urbana para promocionar viviendas de lujo.

Y, más tarde el Ayuntamiento puede comprar esos datos con el fin de imponer tasas más elevadas a los propietarios cuya vivienda tenga piscina.

En este caso, la dificultad de detectar al dron y, en el caso de detectarlo, conocer para qué y por quién se está utilizando, puede provocar un mayor incumplimiento de la normativa.

Necesidad, proporcionalidad y minimización de los datos

Respecto a los datos obtenidos a través de drones, deben cumplir cuatro requisitos:

• la recogida de datos por el dron debe ser susceptible de conseguir el objetivo propuesto,
• no exista una medida más moderada para la consecución de tal propósito con igual eficacia,
• la recogida de datos es ponderada o equilibrada, por derivarse de ella más beneficios que perjuicios y
• no exista un medio menos intrusivo que tenga mejores resultados.

Otro ejemplo.

Si se utiliza un dron para tomar imágenes aéreas, y por error toma fotografías de personas, esos terceros deben aparecer difuminados.

Si el dron no tuviera los sensores o dispositivos necesarios para difuminar a terceros, la obtención y tratamiento de esos datos sería contrario a la normativa de protección de datos.

Transparencia

Las peculiaridades de los drones los pueden hacer invisibles a los sentidos del individuo titular de los datos. Por tanto, es relativamente fácil que los controladores de dichos aparatos sean inidentificables aunque el titular de los datos sea consciente de la existencia del dron.

Para solucionar esto podría establecerse la necesidad de garantizar que el operador del dron sea visible. O que el dron posea una marca de registro.

Pero esto solo serviría si el dron es visible desde el suelo.

Responsabilidad activa (Accountability)

Este principio exige a los responsables del tratamiento el establecimiento de

Se concreta en la obligación de los responsables de tener en cuenta la protección de datos desde el momento del diseño de productos y servicios. Y que, por defecto, solo sean objeto de tratamiento los datos personales mínimos, necesarios para alcanzar el fin legítimo perseguido.

En el caso de responsables del tratamiento de datos que trabajen con drones, el reto será, sin lugar a dudas, probar el consentimiento de los titulares de los datos.

Para los ciudadanos, sin embargo, la dificultad estará en determinar quién es el responsable del tratamiento.

Seguridad del tratamiento de datos

Una de las novedades que presenta la regulación de la seguridad de los datos en el RGPD es la necesidad de realizar una evaluación de riesgos, que permita adoptar las medidas para proteger los datos contra su:

• destrucción,
• pérdida o alteración accidental o ilícita, o
• cualquier tratamiento ilícito como la comunicación, la difusión, el acceso no autorizado o la alteración de los datos personales.

Además, se establece la obligación de notificación de la violación de los datos personales (más conocidas como brechas de seguridad). A la autoridad de control y su comunicación al interesado.

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

¿Qué incidentes de seguridad pueden afectarles?

En el caso de los drones, aparte de las habituales brechas de seguridad (intrusos, malware o fallos electrónicos o lógicos), se podría manipular la aeronave a distancia, para tomar el control del dron o para acceder a los sensores o a los datos almacenados.

Para evitar esto es recomendable una protección de los equipos a través del diseño.

Respecto al periodo de almacenamiento, los datos no se pueden almacenar durante un período más largo que lo necesario para el propósito del tratamiento.

Aquí se recomienda programar estos dispositivos para almacenar los datos y eliminarlos o hacerlos anónimos inmediatamente después.

Código de conducta

Las principales compañías del sector han elaborado un Código de conducta relativo a las actuaciones con drones.

Este código tiene tres apartados:

• seguridad,
• profesionalidad y
• respeto.

La primera sección se ocupa de afirmar que las operaciones de vuelo de los drones se llevarán a cabo minimizando cualquier riesgo para las personas a través de:

• evaluación continua de las mismas,
• formación de los operadores,
• cumplimiento de las normas de aviación y
• supervisión técnica constante.

En el apartado de profesionalidad,

• asegura el cumplimiento de cualquier normativa que impacte en la utilización de estos aparatos,
• colaboración con cualquier autoridad en situaciones de emergencia,
• investigación de accidentes y
• relaciones con los medios.

Finalmente, en el capítulo dedicado al respeto,

• se asegura dicho respeto a todos los usuarios del espacio aéreo y
• a la privacidad de las personas.

Recomendaciones

Para intentar solucionar los riesgos sobre el uso de drones y la protección de los datos que recopilan se distinguen tres tipos de medidas:

Legislativas

Los operadores de drones tendrán que, por el momento, cumplir con las disposiciones aplicables en materia de protección de datos.

El RGPD servirá para hacer frente a los desafíos que el uso civil y comercial de los drones plantea para el derecho a la protección de datos. En concreto, se confía en el papel positivo de figuras como el Delegado de Protección de datos o en las evaluaciones de impacto.

Sin embargo, desde Europa se señala la necesidad de:

• Aprobar una ley específica que regule las obligaciones y condiciones a cumplir por los operadores de drones para uso civil. Y las categorías de datos que un dron estaría autorizado para recopilar o el plazo máximo de almacenamiento de datos.
• Armonizar la legislación entre los Estados miembros en relación con los drones. Incluyendo las leyes aplicables a operaciones transfronterizas con este tipo de tecnología.
• Crear y publicar mapas oficiales por la autoridad competente que marquen zonas específicas donde se permita la utilización de estos vehículos aéreos.
• Distribución de guías de buenas prácticas entre los consumidores para aumentar su concienciación sobre el carácter intrusivo de estos aparatos.

Tecnológicas

Es necesario considerar las siguientes medidas de tipo tecnológico,

• privacidad por diseño: incorporación de controles en el dispositivo para mitigar las posibles vulnerabilidades de protección de datos e intimidad,
• privacidad por defecto y
• evaluaciones de impacto de la protección de datos.

Y tener en cuenta las siguientes propuestas:

• incorporación de programas que garanticen el almacenamiento seguro y el borrado automático de los datos,
• posibilidad de que el comprador pueda elegir los sensores del aparato para evitar la venta de drones con excesivas aplicaciones que no se correspondan estrictamente con el uso que les va a ser asignado, o
• fabricar los drones de tal forma que sea sencilla su visibilidad y, si es posible, la identidad del receptor de los datos.

Éticas

Debe permitirse a los ciudadanos conocer las consecuencias y responsabilidades que se derivan de sus actividades sobre los derechos a la protección de datos.

E invitar a los Estados miembros a que instruyan a sus ciudadanos a través de cursos de formación específica sobre protección de datos en esta materia.

El esfuerzo que realiza la Unión Europea para desarrollar un marco normativo que permita la evolución y expansión del uso civil de drones y, por tanto, un aumento de las inversiones, puede contribuir a paliar toda inseguridad e incertidumbre de los ciudadanos en relación a la intimidad y la protección de sus datos personales.

Guía de la AEPD sobre el uso de drones

La AEPD ha elaborado una Guía sobre Protección de datos en el uso de drones donde se analizan todas las actividades efectuadas con drones. Dentro de esas actividades se distinguen las que no tratan ningún dato, aquellas que ocasionalmente pueden recopilar alguna información y las realizadas con la única finalidad de recoger datos personales, como puede ser la grabación de eventos o la videovigilancia.

En los últimos años ha crecido notablemente el uso de estas naves no tripuladas en el ámbito civil. Estos dispositivos pueden incluir GPS, cámaras de vídeo, sistemas de localización de dispositivos móviles o escáner 3D. Por eso el uso de estos aparatos puede suponer un riesgo para la Protección de datos y vulnerar los derechos y libertades de las personas.

La ley que regula el uso de drones impone la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de la normativa de Protección de datos. En la guía de la AEPD se establecen recomendaciones a los operadores de drones que traten vídeos, sonidos, imágenes, datos de geolocalización, biométricos o de telecomunicaciones de personas físicas para adaptarse a la LOPDGDD y al RGPD.

Estructura

La Guía se divide en cinco secciones. En las tres primeras se especifican los tipos de acciones que pueden realizarse con los drones y las distingue según el tratamiento de datos en:

• Operaciones básicas que no utilizan dispositivos de captación de imágenes, sonidos u otra clase de información personal. Aquí se incluye el uso de drones para fines deportivos o de recreo.
• Operaciones de inspección de infraestructuras, servicios de vídeo para publicidad o televisión o elaboración de planos de terrenos en las que pueden recogerse datos personales ocasionalmente y de manera no intencionada.
• Acciones en las que el dron es usado con el fin específico de tratar datos personales.

En todos esos supuestos se ofrecen consejos, tanto a profesionales como a aficionados que usen estos dispositivos, para garantizar la protección de esos datos personales, tanto si son responsables como encargados del tratamiento.

La cuarta sección se refiere a las actuaciones que los operadores de drones deben realizar antes de comenzar a utilizar esos dispositivos. Y en la sección quinta responde a preguntas frecuentes sobre el tratamiento de datos personales obtenidos a través del uso de estas naves no tripuladas.

Recomendaciones

Dentro de las recomendaciones específicas establecidas antes de comenzar a utilizar un dron están:

• Averiguar si la normativa nacional permite el uso de drones y si es necesario solicitar alguna autorización para ello.
• Valorar la necesidad de realizar una Evaluación del impacto que el tratamiento de los datos personales recogidos a través del dron pueda suponer para los derechos y libertades de las personas.
• En caso de que no sea necesario realizar esa Evaluación de impacto, se realizará un análisis de los riesgos existentes sobre el tratamiento de los datos personales para aplicar las medidas necesarias para mitigar esos riesgos.
• Si se recogen imágenes para un uso personal, estas no deben publicarse en Internet para que cualquiera pueda acceder a ellas en caso de que puedan identificarse perfectamente a personas o se enseñen espacios privados (casas, terrazas o jardines).
• Cumplir la legislación aeronáutica para garantizar la seguridad física del vuelo.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos