Fuente: eleconomista.es
Autor: Patricia del Águila Barbero
Fecha: 15 de agosto de 2018
Link de consulta: http://www.eleconomista.es/legislacion/noticias/9332047/08/18/Los-drones-no-se-libran-de-la-nueva-Proteccion-de-Datos.html
Cualquier procedimiento utilizado para recoger imágenes, sonidos, datos de geolocalización o cualquier otra señal electromagnética relacionada con una persona física identificada o identificable llevada a cabo por el equipo a bordo de un dron conlleva el tratamiento de datos y en consecuencia la aplicación de la legislación de protección de datos.
Por este motivo, dado que la tecnología va a muchas más revoluciones que la legislación, el ciudadano tiene el derecho de conocer cómo, cuándo, y dónde se roban sus datos personales sobre todo con el nuevo marco normativo europeo, el Reglamento General de Protección de Datos (RGPD). En muchos casos ni la misma existencia del dron ni el tratamiento de los datos realizados por el mismo será conocido por el interesado o afectado dadas las propias características del aparato, que pueden volar y recoger datos sin necesidad de ser visto por las personas y sin estar sujeto a concretas barreras físicas al desplazarse por el aire.
El pasado 29 de Diciembre de 2017 se publicaba en el Boletín Oficial del Estado (BOE) el nuevo marco normativo que regula la utilización civil de las aeronaves pilotadas por control remoto en España que tendrá que lidiar directamente con el RGPD. Se trata de una nueva normativa que introduce un nuevo escenario en los que hasta la fecha no era posible realizar vuelos en ciudad, vuelos nocturnos, vuelos en espacio aéreo controlado, vuelos más allá del alcance visual para aeronaves de más de dos kilos y vuelos de alcance visual aumentado. Pese a la legislación, lo relevante en la utilización de drontes a efectos de la Agencia de Protección de datos será el equipamiento de captación y procesamiento de datos que lleve el dron y el consiguiente posterior tratamiento de los mismos, ya que ¿para qué se expone un dron si no es para recoger información?
En un informe jurídico se le plantea a la Agencia española de Protección de Datos si se ha de gestionar el dron como una cámara de videovigilancia y por lo tanto dar de alta a ésta con su archivo correspondiente. La función de videovigilancia es sólo una de los múltiples usos que puede darse a un dron, y a este respecto cabe distinguir entre videovigilancia de espacios públicos y de espacios privados, que suponen un tratamiento de datos de carácter personal. La instalación de videocámaras en lugares públicos es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad, por lo tanto, se puede decir que la ley no permite con carácter general, sin cumplir los requisitos previstos en la legislación citada, la instalación de cámaras de videovigilancia en lugares públicos, ya sean fijas o móviles, lo que en consecuencia cabe aplicar a la captación de imágenes de personas en la vía pública a través de sistemas de captación de datos instalados en un dron. La Agencia admite una «legitimación limitada cumpliendo los principios de limitación de la finalidad y minimización de datos del artículo 5.1 del RGPD. Es decir, cuando un dron realice funciones de captación de imágenes para fines de videovigilancia de lugares privados, le será de aplicación el RGPD, y ello implica, entre otras cuestiones, tanto cumplir con el derecho de información del artículo 13, el registro de actividades de tratamiento del artículo 30, o adoptar las correspondientes medidas de seguridad en función del análisis de riesgos realizado del artículo 32.
Autoridades europeas
El grupo de trabajo del 29, es decir, el grupo de representantes de la autoridad de protección de datos de cada Estado miembro de la UE, el Supervisor Europeo de Protección de Datos y la Comisión Europea, recomendó una aproximación «multicanal» y recomienda, como buena práctica adicional, que los operadores de drones publiquen en su página web información que permita conocer las diferentes operaciones que han realizado o las que se proponen realizar en el futuro cercano, así como la posibilidad de insertar anuncios en periódicos, folletos o posters, o incluso mediante buzoneo.
El artículo 14.5 del RGPD establece que no se cumplirá con el derecho de información «cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado». Añade la AEPD que habida cuenta de que en todo caso se requiere el derecho de información en la recogida de datos a los interesados, corresponde al responsable valorar si se trataría de un esfuerzo desproporcionado cumplir con este derecho, y en todo caso, de ser así, tendría que adoptar las correspondientes medidas, incluso haciendo pública la información. La Ley no establece una excepción para tratar datos recogidos por drones, por lo que el derecho de información habrá de ser cumplido.
Cualquier operación de un dron que suponga tratamiento de datos deberá cumplir con la legislación aplicable, incluyendo la regulación de videovigilancia así como la legislación específica relativa al uso de los drones, fundamentalmente en materia de protección de derechos fundamentales a la propia imagen, privacidad, o intimidad. Por ello, cuando la operación de un dron viole la normativa nacional de aviación a la que está sujeta, o cualquier otra, se considerará que la captación de datos y el tratamiento de los mismos realizados durante las operaciones aéreas no cumple con el principio de licitud recogido en el RGPD, y estará por tanto sujeto al régimen de infracciones y sanciones que proceda en materia de protección de datos. En consecuencia, tanto el responsable del tratamiento como el encargado deberán implantar medidas técnicas y organizativas en función del análisis de riesgos realizado, yaplica de manera específica a la protección frente a ciberataques que pretendan tomar el control operativo del aparato o tener acceso a su información almacenada.