Que tus drones no incumplan la Ley: cómo debes tratar los datos que grabas

Drones

Mirlos, gorriones y jilgueros se han visto obligados a compartir su espacio de vuelo con una creciente población de drones. Las personas también, pero con la diferencia de que la Ley protege su intimidad de las grabaciones que captan los más de 4.300 operadores de estas aeronaves no tripuladas.

Ante su proliferación y, por qué no decirlo, cierto abuso por parte de algunos, la Ley regula la privacidad del vuelo y la grabación del dron.

Se trata de un proceso complejo, ya que incluye derechos tan fundamentales como el del honor e intimidad, el derecho a la imagen y la privacidad y, objeto de interés en este post, la protección de datos de las personas captadas en las imágenes.

Resulta revelador saber que 4.340 organizaciones, en su mayoría empresas, están en diciembre de 2019 habilitadas por la Agencia Estatal de Seguridad Aérea de España (AESA), para operar con aeronaves no tripuladas (UAV, en sus siglas en inglés). En 2015, cuando se registró el primer boom de esta tecnología eran solo 940. 

El GPS y la cámara de vídeo forman parte de la anatomía de cualquier dron profesional. Pero además puede incorporar todo tipo de dispositivos de adquisición y procesamiento de datos, como cámaras termográficas, de visión nocturna, escáner 3D, dispositivos Wifi o Bluetooth, sistemas de detección de dispositivos móviles, etc.

Estas capacidades pueden suministrar “información sobre una persona física o identificable” o, lo que es lo mismo, esas utilidades pueden suministrar datos personales a terceros.

Por esta razón un dron, además de cumplir con la normativa específica para la utilización del espacio aéreo, está sujeto a la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD).

Tipos de operaciones según el tratamiento de datos

Para saber cómo debe actuar la empresa, lo primero es diferenciar el objetivo del trabajo del dron y el tipo de información que de él se deriva.

La Agencia Española de Protección de Datos (AEPD) distingue entre tres situaciones:

1. Operaciones que tienen por finalidad un tratamiento de datos personales

Empezamos por el supuesto más complejo, cuando la grabación tiene como finalidad la videovigilancia o registrar eventos, como una fiesta popular o un concierto al aire libre. Son casos en los que el trabajo del dron implica obligatoriamente el tratamiento de datos personales.

Las empresas deben saber que para este tipo de encargos se aplican el RGPD y la LOPDGDD, así como la regulación sobre el uso de videocámaras. Además hay que saber:

Operador del dron

Supongamos que la empresa de aeronaves no tripuladas realiza grabaciones de videovigilancia por encargo de otra empresa.

En este caso, será este tercero el responsable de que el tratamiento de las grabaciones sea conforme prevé la Ley.

Por su parte, el operador del dron debe asegurarse de que su relación con el cliente está protegida por un contrato o acto jurídico que determina que actúa siguiendo sus órdenes.

Cuando el operador del dron también es el responsable de la grabación, debe determinar la base jurídica más apropiada que la Ley recoge para llevar el tratamiento de datos. Las más habituales de las recogidas por el RGPD son por consentimiento, contrato, obligación legal o interés legítimo.

Elegir la tecnología a bordo más apropiada

El dron debe estar provisto de las utilidades acordes con la finalidad del trabajo y no capturar datos innecesarios.

Por ejemplo, si no es preciso que se identifique a las personas que asisten a un concierto, la grabación se hace desde mayor altura, para que no se reconozcan sus rostros. Esta medida tan sencilla evitará la recopilación y tratamiento posterior de datos.

Informar a quienes afecta el tratamiento de datos

En cumplimiento con el derecho a la información, la empresa debe encontrar el modo de informar a los interesados sobre el tratamiento de datos personales “de forma clara y transparente”.

Esto incluye medios electrónicos, señalizaciones, hojas informativas, publicaciones en redes sociales, etc. En cualquiera de estos canales siempre debe figurar la identidad del responsable del tratamiento de los datos personales y la finalidad.

Medidas técnicas y de organización

El objetivo es prevenir cualquier tratamiento no autorizado durante la fase de transmisión de los datos capturados, pero también durante la grabación.

Es importante elegir la configuración del dron acorde con el objetivo de la grabación, pero más respetuosa con la transmisión (por ejemplo, bajando la resolución, para que no se identifiquen los rostros).

Eliminar o anonimizar cualquier dato personal innecesario

El neologismo anonimizar significa, según Fundéu, “expresar un dato relativo a entidades o personas eliminando la referencia a su identidad”.

El dron debe ser visible

Hay que facilitar la identificación del dron y de su operador. Y, por supuesto, siempre cumpliendo con los requisitos de matriculación e identificación de los artículos 8, 9 y 10 del Real Decreto 1036/2017.

2. Operaciones con drones que no incluyen tratamiento de datos personales

Es el ejemplo de drones que inspeccionan infraestructuras y terrenos o vuelan para levantamientos topográficos.

Antes de compartir esas imágenes en Internet u otros canales públicos, las empresas deben asegurarse de que las grabaciones no aportan imágenes o datos que puedan conducir a identificar a las personas.

Imaginemos que en la grabación aparece un coche en el que no se puede identificar al conductor, pero sí la matrícula del vehículo, o una persona a la que no se ve la cara pero se puede ubicar la vivienda. En ambos casos sería necesario una edición de imágenes que mediante difuminado, pixelado u otra técnica anonimice a las personas.  

3. Operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida

Hay muchos trabajos de drones, por ejemplo en el área de agricultura, el cine o la publicidad, con riesgo de captura de datos personales de forma no intencionada.

En estos casos, las recomendaciones son:

Exit mobile version