Opiniones AEPD sobre uso de drones y privacidad

Ante el crecimiento del uso de vehículos aéreos no tripulados (drones), la Agencia Española de Protección de Datos ha publicado una guía en la que explica sus opiniones y recomendaciones sobre el uso de estos dispositivos y el impacto que pueden tener con el derecho a la protección de datos de las personas y de la intimidad. En este post de Conversia resumimos el contenido de esta publicación.

Opiniones y recomendaciones acerca del uso de los drones

La Agencia Española de Protección de Datos (AEPD) ha elaborado la guía Drones y protección de datos, en la que muestra sus opiniones acerca los peligros del uso de drones en relación con la protección de datos, teniendo en cuenta que disponen de tecnologías como GPS, cámaras de vídeo o escáner 3D. La guía también ofrece recomendaciones específicas a las personas que utilizan estos dispositivos tanto para un uso deportivo o recreativo como para un uso profesional.

La guía ha sido publicada por la AEPD teniendo en cuenta lo que dispone el Real Decreto 1036/2017, de 15 de diciembre, que regula la utilización civil de las aeronaves pilotadas por control remoto. En su artículo 26, se establece la obligación de los operadores de drones de “adoptar medidas necesarias para garantizar el cumplimiento de los dispuesto en materia de protección de datos personales y protección de la intimidad”.

El documento establece tres tipos de operaciones concretas que se pueden realizar con drones y destaca a qué peligros pueden derivar en materia de privacidad y protección de datos:

Operaciones que no incluyen un tratamiento de datos personales.
Operaciones con riesgo de tratamiento colateral o inadvertido.
Operaciones que tienen por finalidad un tratamiento de datos personales.

Operaciones que no incluyen un tratamiento de datos personales

Estos casos son los menos frecuentes ya que se trata de drones con configuraciones muy básicas que pueden incluir (o no) sistemas de posicionamiento GPS, pero no tienen dispositivos de captación de imágenes, sonido o cualquier otro tipo de datos o información personal. En esta categoría también se incluyen aquellas aeronaves que incluyen cámara pero en las que el uso de las imágenes capturadas se restringe al uso doméstico o no permiten la identificación de las personas.

Según publica la AEPD, “antes de compartir en internet imágenes o videos capturados con un dron es necesario asegurarse de que no contienen imágenes o datos relativos a personas, vehículos, viviendas u otros objetos que puedan conducir a la identificación de sujetos, y en caso afirmativo anonimizarlas mediante técnicas de difuminado o similares”.

Operaciones con riesgo de tratamiento de forma colateral o inadvertida

En actividades como pueden ser la inspección de infraestructuras, levantamientos topográficos, inspecciones y/o tratamientos en agricultura o servicios de fotografía y vídeo para cine, TV o publicidad, a pesar de que el objetivo de la operación no sea la captación de datos personales, esta puede producirse de forma involuntaria. Ante este riesgo, la AEPD recomienda:

Minimizar la presencia de personas y objetos (por ejemplo matrículas de vehículos) que permitan su identificación, realizando los vuelos en horarios en los que no exista gran afluencia de público o controlando el acceso a la zona, si fuera posible.

Minimizar la captura de imágenes a lo necesario, reduciendo las posibilidades de que puedan aparecer personas y editar el resultado final de manera que solo se difundan los momentos necesarios.

Promover y aplicar características de privacidad desde el diseño: aplicar técnicas para anonimizar las imágenes o mecanismos para iniciar y detener la captura de datos, implantar protocolos de comunicaciones seguras que impidan el acceso a terceros o incluir mecanismos que permitan el cifrado de los datos capturados y almacenados.

Para sitios en los que hay personas de forma inevitable, realizar la captura de imágenes de forma que no puedan ser identificadas como, por ejemplo, a una distancia suficiente para que no puedan ser reconocidas.

Evitar el almacenamiento de información innecesaria relativa a personas.

Operaciones que tienen por finalidad un tratamiento de datos personales

Este es el caso de la videovigilancia, la grabación de eventos o cualquier otra actividad en la que la finalidad de la operación implica el tratamiento de datos personales. En este tipo de operaciones es de aplicación el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). También es de aplicación la guía sobre el uso de videocámaras para seguridad y otras finalidades de la AEPD. Además, se debe tener en cuenta que la instalación de videocámaras en lugares públicos con fines de seguridad es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad. Asimismo, la Agencia también aconseja:

En el caso de que un tercero realice un encargo de grabación, se debería firmar un contrato o acto jurídico entre el operador del dron (encargado del tratamiento) y el tercero que realiza el encargo y que decide acerca de la finalidad de las imágenes (responsable del tratamiento).

Habilitar mecanismos para cumplir con el derecho de información en relación al tratamiento de datos personales que se realiza: informar mediante señalizaciones u hojas informativas, publicaciones en redes, etc. en los que conste la identidad del responsable del tratamiento, su finalidad y facilitando a los afectados indicaciones claras y específicas para ejercer sus derechos.

Tomar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos para los derechos y libertades de las personas.