La Agencia Española de Datos (AEPD) ya analizó en su guía “Drones y Protección de Datos” de 30 de mayo de 2019, la sujeción al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD), de las operaciones con drones que registren y/o procesen imágenes, videos, sonido, datos biométricos, datos de geolocalización, datos de telecomunicación relacionados con una persona identificada o identificable.
Por lo anterior, lo que vamos a trasladar en este post no es nuevo, pero es muy importante que los operadores de drones conozcan y comprendan el alcance de sus obligaciones y se “autorregulen” para cumplir con la normativa de protección de datos personales.
Analicemos entonces los aspectos esenciales de esta incidencia y de la guía de la AEPD.
¿POR QUÉ A LAS OPERACIONES CON DRONES SE LES APLICA LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES?
Primeramente, debes saber que el RGPD y la LOPDGDD se aplican a todos los tratamientos, automatizados o no, totales o parciales, de datos personales contenidos, o destinados a ser incluidos, en un fichero.
Un fichero es conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
Un dato personal es “toda información sobre una persona física identificada o identificable” (art. 4.1 RGPD).
La persona identificada no ofrece mayores problemas, es aquella cuya identidad está determinada. Tratamos, por ejemplo, los datos de Ana y Pedro trabajadores de la empresa o clientes.
La persona identificable es aquella “cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona” (art. 4.1 RGPD).
Pensemos por ejemplo en una fotografía que de forma directa puede determinar a una persona en principio no identificada, o en el enriquecimiento de datos que permite que, con un dato de geolocalización, por ejemplo, más otros datos disponibles en Internet lleguen a determinar a una persona. A esto último se le conoce como cruce de datos.
Los drones por defecto incluyen al menos un GPS y una cámara de vídeo. También se les puede añadir otro tipo de dispositivos que procesan datos como el escáner 3D, cámaras nocturnas, Bluetooth, etc. Por tanto, ya sea porque se utilizan con el objetivo específico de recabar datos personales en operaciones o porque potencialmente pueden hacerlo, los drones cuentan con los medios para identificar inequívocamente a una persona o determinarla a posteriori.
La conclusión es evidente, se les aplica la normativa de protección de datos personales.
¿QUE OPERACIONES CON DRONES ESTÁN AFECTADAS POR LA NORMATIVA DE PROTECCIÓN DE DATOS?
Los ejemplos siempre son clarificadores y la AEPD ha clasificado las operaciones de drones según la finalidad especifica que persiguen en materia de protección de datos.
De esta forma estarían las operaciones cuyo fin directo o específico comprende el tratamiento de datos personales y aquellas cuyo fin no es en sí este tratamiento, pero que potencialmente tendrían impacto sobre el derecho a la protección de datos y a la intimidad de las personas:
EJEMPLOS DE OPERACIONES CUYO FIN ESPECÍFICO COMPRENDE EL TRATAMIENTO DE DATOS PERSONALES:
- Videovigilancia
- Grabación de eventos
- Control de aforos
- Vigilancia de personas por cualquier otro tipo de sensor diferente a a la videograbación (ejemplo seguimiento de dispositivos móviles…)
EJEMPLOS DE OPERACIONES QUE A PRIORI NO INCLUYEN EL TRATAMIENTO DE DATOS PERSONALES:
- Inspección de infraestructuras
- Levantamientos topográficos
- Inspecciones del terreno
- Otros servicios de fotografía y vídeo
¿HAY OPERACIONES NO AFECTADAS POR EL TRATAMIENTO DE DATOS PERSONALES?
Si analizamos la respuesta a la primera pregunta de este post, la conclusión más lógica es que si los dispositivos que potencialmente pueden captar datos personales (imagen, sonido, etc.) no están habilitados, no trataré ningún dato personal con la operación.
Por otro lado, las operaciones en el ámbito recreativo con drones que tienen habilitado los dispositivos antes indicados siempre que el uso de las imágenes sea doméstico o personal (nunca profesional), o no permitan en ningún caso la identificación de una persona, quedan extramuros de la normativa de protección de datos.
Para mayor claridad, el uso doméstico o personal puede ser, por ejemplo, videos caseros, álbumes de fotos familiares, etc.
Tienes que tener en cuenta que en el momento en que estas imágenes o videos se publican en Internet sin el consentimiento de una persona identificada o identificable que aparezca en ellos, se aplicaría inmediatamente la normativa de protección de datos personales porque estás afectando derechos de terceros.
Por lo anterior, antes de compartir imágenes o videos asegúrate que no contienen imágenes o datos relativos a personas, vehículos, viviendas u otros objetos que puedan conducir a la identificación de sujetos, y en caso afirmativo anonimizarlas mediante técnicas de difuminado o similares.
MI OPERACIÓN PUEDE QUEDAR AFECTADA ¿QUÉ HAGO?
En las operaciones que a priori no incluyen el tratamiento de datos personales pero que potencialmente pueden quedar afectadas (inspecciones de infraestructuras, levantamientos topográficos, inspecciones y/o tratamientos en agricultura u otros servicios de fotografía y vídeo (para cine, TV, publicidad, etc.…) porque en segundo plano, por ejemplo, puede salir un vehículo, o viviendas o zonas de recreo, etc. los operadores deberán adoptar las medidas técnicas y de seguridad necesarias para la protección de estos datos.
Ello implica que, entre otros, evaluemos primeramente la operación e identifiquemos los posibles riesgos y amenazas, así como los sistemas con los que trabajamos, los fines perseguidos y las bases legales que nos habilitan. Debemos prepararnos para un tratamiento incidental de datos.
Las políticas que adopte el operador deberán aplicarse en cada vuelo y recomendamos encarecidamente que sean protocolizadas y seguidas.
La AEPD ofrece algunas recomendaciones para este tipo de operaciones:
1. Minimizar la presencia de personas y objetos que permitan su identificación (bañistas, matrículas de vehículos, transeúntes, etc.) en el lugar de la operación. Para ello puedes realizar los vuelos en horarios en los que no exista gran afluencia de público o controlando el acceso a la zona de vuelo si fuera posible
2. Minimizar la captura de imágenes a lo absolutamente necesario, reduciendo las posibilidades de que puedan aparecer personas inadvertidamente en las imágenes, y considerando la posibilidad de no capturar el vuelo completo, sino solo aquellos momentos que sean necesarios.
3. Promover y aplicar características de privacidad desde el diseño, como, por ejemplo, ajustar la resolución de la imagen al mínimo necesario para ejecutar el propósito del tratamiento, reducir la granularidad de la geolocalización con el mismo propósito; aplicar técnicas para anonimizar imágenes (automáticamente durante la captura o procedimientos para hacerlo inmediatamente después) o mecanismos para iniciar y detener la captura de datos en cualquier momento durante la operación; implantar protocolos de comunicaciones seguros que impidan a terceros el acceso a las transmisiones de los datos capturados o incluso al control del propio dispositivo, o incluir mecanismos que permitan el cifrado de los datos capturados y almacenados en el propio dron.
4. Para lugares en los que inevitablemente habrá personas realizar la captura de imágenes de forma que las personas no puedan ser identificadas, por ejemplo, realizando capturas únicamente a distancia suficiente para que la identificación de estas no sea posible.
5. Evitar el tratamiento de otro tipo de datos personales como, por ejemplo, la captura indiscriminada de identificadores de dispositivos móviles.
6. Evitar el almacenamiento de información innecesaria relativa a personas. Por ejemplo, si las imágenes tienen por finalidad un levantamiento topográfico de una zona de costa, carecería de sentido almacenar imágenes que permitan la identificación de los bañistas que se encuentren en dicha zona.
«Drones y Protección de Datos», AEPD, 30/5/2019
MI OPERACIÓN TIENE POR FINALIDAD EL TRATAMIENTO DE DATOS PERSONALES ¿QUÉ HAGO?
Si en el apartado anterior recomendamos que evalúes tus operaciones, protocolices y te prepares para tratamientos incidentales de datos, aquí no hay escapatoria posible, tendrás que autorregularte para cumplir con el RGPD y la LOPDGDD.
Deberás revisar cada tratamiento y adoptar las medidas y procedimientos necesarios para asegurar los datos. En especial tendrás que realizar:
- Gestión de riesgos (análisis básico, descripción de actividades, análisis de evaluación de impacto sobre la protección de datos personales (EIPD), EIPD en su caso…)
- Registro de tratamientos
- Políticas de seguridad (con medidas técnicas y organizativas)
- Política de conservación de datos
- Procedimiento para encargados del tratamiento o política de seguridad de proveedores
- Procedimiento para el ejercicio de los derechos de los interesados
- Política de auditoría
- Política de formación
- Procedimiento de notificación y respuesta ante brechas de seguridad con su registro de incidencias
- Procedimiento para la transferencia internacional de datos personales
Además, para estas operaciones deberás revisar la guía sobre el uso de videocámaras para seguridad y otras finalidades de la AEPD donde se establecen las limitaciones a la videovigilancia a través de sistemas de cámaras o videocámaras o el seguimiento de identificadores de dispositivos móviles.
Ten en cuenta que hablamos directamente de las operaciones, pero una empresa o un autónomo por defecto tratarán datos personales en su devenir diario. Por tanto, les resultará de aplicación la normativa aquí analizada. En este caso, a las acciones anteriores se sumará los procedimientos y políticas de trabajadores.
¿SE SANCIONA EL INCUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES?
¡Claro que hay sanciones por incumplimiento del RGPD y la LOPPDG! De hecho, son bastante cuantiosas así que no ganas nada incumpliendo tus obligaciones.
Las multas administrativas que impone el RGPD están relacionadas con infracciones catalogadas graves o muy graves. Estas multas van desde los 10 millones de euros o el 2% del volumen de negocio total anual del ejercicio financiero anterior la que sea de mayor cuantía, hasta los 20 millones de euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior la que sea de mayor cuantía.
Por ejemplo, debes tener en cuenta que lo primero que debes hacer antes de una operación con dron es comprobar si la legislación nacional permite manejar drones y si es necesario solicitar la autorización de las Autoridades Aeronáuticas.
Cuando la operación de un dron viole la normativa nacional de aviación a la que está sujeta, o cualquier otra a la que deba atenerse, se considerará que la captación de datos y el tratamiento de estos realizado durante las operaciones aéreas no cumple con el principio de licitud recogido en el RGPD, siendo esta una infracción muy grave que estará sujeta al régimen sancionador en materia de protección de datos.
Todo lo anterior sin perjuicio del resarcimiento de los daños y perjuicios que hayan sufrido los interesados, lo dispuesto en el régimen sancionador en materia de navegación aérea u otros regímenes adicionalmente aplicables y lo dispuesto por nuestras normas penales (delitos contra la intimidad, inviolabilidad de domicilio etc.).
Si tienes dudas o necesitas ayuda, contacta con nosotros en el teléfono 697 452 150, a través del correo info@legalamedida.com o por el formulario de esta web.
Esa consulta es gratuita.
