Cómo respetar la ley de protección de datos cuando volamos nuestro dron

5/5 - (5 votos)

En esta entrada realizamos un análisis de la Guía de Drones y Protección de Datos publicada por la Agencia Española de Protección de Datos.

Desde DronProfesional.com estamos muy comprometidos con la protección de datos, y como ya sabemos, este es un tema que actualmente está muy en boca de todos. Tenemos en la cabeza muchos vídeos y noticias con respecto a los drones y la protección de los datos personales. Ya apuntamos algo de esta información en nuestra entrada Vuelos aéreos vs. Derecho a la intimidad, y es que no debemos perder de vista que esta herramienta se puede utilizar para obtener datos sensibles y privados. Si vuelas drones y te preocupa respetar la legalidad, recuerda que además de tener mucho cuidado con dónde vuelas, tienes que tener en cuenta el derecho de los demás a preservar su intimidad. Incluso, por puro desconocimiento, podemos incumplir la Ley de Protección de Datos subiendo vídeos a las redes sociales con nuestro dron y ser, en consecuencia, sancionados.

Es por esto que la Agencia Española de Protección de Datos ha publicado una guía llamada “Drones y Protección de datos” que vamos a ir repasando en detalle. Podemos descargarla en PDF aquí.

¿Cómo afectan los drones a nuestros datos personales?

Esta guía define los datos personales como “toda información sobre una persona física identificada o identificable”. Por lo tanto, los operadores de drones que capten prácticamente cualquier cosa con su dron, ya sea fotografía, vídeo, sonido, datos biométricos, geolocalización, etc., están sujetos al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de derechos digitales (LOPDGDD).

El documento separa las operaciones con drones en dos categorías:

1. Las que no incluyen el tratamiento de datos personales, por ejemplo, inspección de infraestructuras, levantamientos topográficos, inspecciones y/o tratamientos del terreno, otros servicios de fotografía o vídeo, que a su vez pueden ser también de dos tipos:

2. 
   

3. Sin riesgo de tratamiento de datos personales

4. Con riesgo de ocurrencia de tratamientos de datos personales de forma inintencionada o inadvertida

5. Las que incluyen el tratamiento de datos personales de forma intrínseca, como videovigilancia o grabación de eventos.

¿Qué precauciones debemos tener en cada caso?

1. Las que no incluyen un tratamiento de datos personales: este tipo de operaciones no son demasiado frecuentes, pero en ellas se incluye una situación muy común: los vuelos recreativos en los que el uso de las imágenes se restringe al ámbito doméstico. Es decir, salimos en nuestras vacaciones a volar nuestro dron y grabamos un vídeo para tener un recuerdo, por ejemplo.
   

2. Lo que debemos hacer en este caso para cumplir la normativa si queremos subir nuestros vídeos a internet es lo siguiente: es asegurarnos de que en nuestro vídeo no aparecen imágenes ni datos de personas, vehículos, viviendas u otros objetos que puedan identificar a sujetos, y si existieran, editar el vídeo para anonimizarlas con difuminados, pixelados o similares.

3. Operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida: son las operaciones que, aunque el objetivo de la misma no sea captar datos personales, existe el riesgo de que se capturen de forma accidental. Por ejemplo, imágenes de personas en segundo plano, viviendas, vehículos, o bien cuando la operación se realiza en BVLOS, fuera del alcance visual del piloto.

4. 
   

5. Minimizar la presencia de personas y objetos que permitan su identificación en el lugar de la operación, por ejemplo, realizando los vuelos en el horario con menor afluencia de personas o controlando el acceso a la zona si es posible.

6. Minimizar la captura de imágenes a lo absolutamente necesario.

7. Reducir resolución de la imagen para evitar la identificación.

8. Aumentar la distancia a las personas o datos sensibles.

9. No capturar identificadores de dispositivos móviles.

10. Evitar el almacenamiento de información innecesaria relativa a personas.

11. Operaciones que tienen como finalidad el tratamiento de datos personales: Este es el caso de la videovigilancia, grabación de eventos, etc.

Como ejemplo, veremos el caso de las bodas. Si la edición o tratamiento de las imágenes está a cargo de un tercero, imaginemos, una productora audiovisual que contrata a un piloto de dron para una boda, el operador del dron actuará como encargado de un tratamiento de datos personales y debe asegurarse de que su relación con el videógrafo esté regida por un contrato o un acto jurídico que lo vincule con el videógrafo y que actúe siguiendo órdenes de éste. El responsable de los datos será la persona que decide acerca de la finalidad del tratamiento de los mismos, es decir, los novios, mientras que el encargado es el que procesa los datos siguiendo las pautas e instrucciones marcadas en una relación contractual entre ambos. Por otro lado, si el operador de dron es el responsable de los datos, deberá cumplir en general el RGPD.

Ejemplos prácticos de la protección de datos

La guía aporta un ejemplo muy claro a este respecto, que probablemente es uno de los casos más comunes que podemos encontrarnos:

“Mi cliente me ha encargado un trabajo para promocionar su hotel, he realizado un reportaje en el que aparecen huéspedes en las zonas del spa, piscina y en instalaciones deportivas ¿Puede mi cliente publicarlo en su página web? ¿Puedo publicarlo en YouTube para promocionar mis servicios de reportaje fotográfico?

Respuesta: En este caso tu cliente es el responsable del tratamiento de las imágenes que has capturado porque es quien decide sobre la finalidad de las mismas. Para publicar las imágenes de sus clientes en la web de su hotel necesitaría disponer del consentimiento expreso de dichos clientes, la ausencia del consentimiento podría significar una infracción del RGPD. Además, las imágenes de personas, por ejemplo, en zonas de spa o de piscina pueden afectar a su derecho al honor, a su intimidad y a su imagen, además de implicar un riesgo mayor con relación al derecho a la protección de datos. Si se publican en YouTube o en cualquier portal de acceso público las imágenes de los clientes del hotel para promocionar tus servicios, estarás tomando una decisión sobre la finalidad de dichas imágenes y eso te convierte en responsable del tratamiento y, al igual que el propietario del hotel para el que trabajas, necesitarás el consentimiento expreso de todas y cada una de las personas cuyas imágenes vayas a publicar o añadir máscaras o pixelado para evitar que las personas sean identificables. En este caso, lo recomendable es capturar las imágenes desde una distancia o con una resolución que impida identificar a las personas.”

Después de toda esta información, cabe preguntarnos:

¿Qué pasos debo dar con mi dron para cumplir la RGPD?

1. El primer paso es poner en práctica lo que ya sabemos: comprobar y cumplir la legislación aeronáutica. Puedes consultar nuestras entradas al respecto: Cuál es la situación legal de los drones en España en Marzo de 2019 y La Unión Europea anuncia una normativa europea para drones. La Agencia Española de Protección de Datos indica que si la operación de un dron viola la normativa nacional de aviación a la que está sujeta, no cumple con el principio de licitud del RGPD, por lo que además de la correspondiente sanción por la norma aérea, puede sumarse a la sanción producida en materia de protección de datos.

2. Se realizará un análisis para ver si es necesario realizar una evaluación del impacto sobre la protección de datos con la formalidad exigida en el RGPD. Sabremos si es necesario realizar esta evaluación si nuestra operación se encuentra dentro de esta lista de tipos de tratamientos de datos. La propia AEPD tiene otra guía al respecto que podemos consultar aquí:

3. Si no fuera necesaria la evaluación de impacto pero existiera la posibilidad de riesgo para la protección de datos con el dron, habrá que realizar otro tipo de análisis: el análisis de riesgos, para adoptar las garantías necesarias para evitar y paliar estos riesgos y sus consecuencias en la medida de lo posible. Podemos aprender cómo hacer este análisis en la Guía de análisis de riesgos de la AEPD:

4. No publicar en Internet vídeos que incumplan la RGPD.

En conclusión, tratar de cumplir la normativa en protección de datos es un proceso denso y complejo, pero merece la pena tratar de proteger la privacidad de todos. Es cierto que hay mucho desconocimiento sobre este tema, a pesar de que la Agencia Española de Protección de Datos tiene publicada una gran cantidad de material, muy pocas escuelas enseñan a sus pilotos sobre esta legislación y sobre su importancia, por lo que, si no aparece una necesidad, la protección de datos es una gran desconocida. Desde DronProfesional.com iremos publicando más información de actualidad al respecto de cumplir la RGPD siendo piloto de drones. Mientras tanto os recomendamos echar un vistazo a las guías de la AEPD, y si tenéis alguna duda, ¡no dudéis en dejarla en comentarios!