Ante la generalización del uso de drones y su crecimiento exponencial, la AEPD ha creído necesario publicar una nueva guía que ofrece recomendaciones específicas para todos aquellos que los utilizan, tanto sea para un uso deportivo o recreativo como a los que hacen un uso profesional. Esta guía analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan datos, las que eventualmente podrían captar información y aquellas cuyo fin implica un tratamiento de datos personales, como en el caso de la videovigilancia o la grabación de eventos.
Los drones incluyen, hoy en día y por defecto, al menos un GPS y una cámara de video configurados, y a partir de ahí, los usuarios pueden añadir todo tipo de dispositivos de adquisición y procesamiento de datos como sistemas de detección de dispositivos móviles, cámaras termográficas, cámaras de visión nocturna, escáner 3D, dispositivos WIFI y/o Bluetooth, etc…
El empleo de estos dispositivos puede suponer un impacto en el derecho a la protección de datos de las personas y, por extensión, una lesión de sus derechos y libertades, y ahora explicamos el porqué: El derecho a la protección de datos es un derecho fundamental que garantiza la capacidad de cualquier persona a decidir sobre su propia información personal. Según la definición de dato personal, éste es “toda información sobre una persona física identificada o identificable”. Como los drones pueden registrar y/o procesar imágenes, vídeos, sonido, datos biométricos, datos de geolocalización, datos de telecomunicaciones relacionados con una persona identificada o identificable están sujetos a la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD).
En ocasiones, un dato puede identificar directamente a una persona como, por ejemplo, su fotografía, pero en otras ocasiones la identificación no es directa y requiere de un tratamiento adicional (como, por ejemplo, la información de geolocalización) cuyo resultado final sería su identificación. En ambos casos la normativa legal vigente en materia de protección de datos es obligatoriamente aplicable.
Asimismo, la normativa específica para la utilización del espacio aéreo trabaja en paralelo con la normativa que defiende el derecho a la protección de datos personales de acuerdo con las obligaciones establecidas por el art. 26 del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, donde se establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad.
Por tanto, además de las previsiones que establece la normativa aeronáutica mencionada, deberá tenerse en cuenta la normativa de protección de datos (RGPD y LOPDGDD) para cualquier tratamiento de datos personales que tenga lugar con el uso de un dron con independencia del ámbito deportivo, recreativo o profesional al que esté asociado la operación de aquel.
La utilización de drones puede tener múltiples aplicaciones, siendo las principales la videovigilancia, la inspección de infraestructuras, levantamientos topográficos, inspecciones y/o tratamientos en agricultura de precisión, y otros servicios de fotografía y vídeo (para cine y tv, servicios inmobiliarios, …), servicios de acceso a internet, etc, aunque cada vez más, y debido al crecimiento de las Apps existentes en el mercado, puede haber un sinfín de aplicaciones.
Desde la perspectiva de la protección de datos, hay tres tipos de categorías de operaciones que pueden realizarse con drones: de un lado están aquellas en las que la finalidad de la operación implica por sí misma un tratamiento de datos personales (por ejemplo la videovigilancia, grabación de eventos o seguimiento de dispositivos móviles); también nos encontramos con las operaciones en las que la finalidad del uso a priori no es el tratamiento de datos personales, como por ejemplo, la inspección de infraestructuras, levantamientos topográficos, inspecciones del terreno y otros servicios de fotografía y vídeo pero que podrían, en un momento dado, tener impacto sobre el derecho a la protección de datos y la intimidad de las personas, en este caso se puede producir una captura de datos personales de forma no intencionada; y por último las operaciones con configuraciones muy básicas, que carecen o no hacen uso de dispositivos de captación de imágenes, sonido o cualquier otro tipo de información personal.
En los tres casos, la AEPD ofrece recomendaciones para uso particular y para operadores profesionales de drones, tanto en aquellos casos en los que decidan sobre la finalidad del tratamiento de datos como en los que llevan a cabo un encargo de tratamiento.
La guía publicada por la AEPD destina un apartado específico con recomendaciones previas para el manejo de drones cuando sea aplicable la normativa de protección de datos personales. Entre ellas, será necesario comprobar que no haya prohibiciones por parte de la legislación aeronáutica o necesario pedir la autorización para su uso; evaluar y analizar los riesgos que pueda implicar el tratamiento para los derechos y libertades de las personas el uso de estos dispositivos y, si fuera necesario, realizar una evaluación de impacto sobre la protección de datos (EIPD); o tener en cuenta que, si se captan imágenes para uso personal, éstas no deben publicarse en internet de manera que sean accesibles indiscriminadamente cuando sea posible identificar a personas o se muestren espacios privados, como viviendas, jardines o terrazas.
