Hoy en día nos encontramos ante la eclosión del uso de los drones, es decir, las aeronaves pilotadas por control remoto. En las noticias podemos asistir a sucesos en los que aparecen drones, desde personas que han sido grabadas en distintas situaciones sin su consentimiento hasta aviones que tiene que abortar el aterrizaje donde tienen previsto por la presencia indebida de un dron, lo cual lleva a pensar que los drones pasarán a formar parte de la vida de todos de una manera u otra.
Concretamente, la aparición de los drones en el espacio aéreo civil y el aumento de las aplicaciones de los drones han dado lugar a la necesidad de hacer frente a posibles situaciones que hacen peligrar la privacidad y las libertades de las personas así como la necesidad de evaluar las medidas necesarias para que no se vulneren algunos derechos fundamentales, como la intimidad o la inviolabilidad del domicilio.
A pesar de que ya contamos con una norma específica, a día de hoy sigue habiendo otro tipo de problemas como la aparición de personas que aprovechando los vacíos legales aun existentes hacen mal uso de los drones poniendo así en peligro ciertos derechos fundamentales.
No obstante el uso ilícito de los drones, muchas veces puede realizarse sin esa intención, ya que es inevitable que, por ejemplo, en las imágenes captadas por los drones puedan aparecer personas y objetos personales, lo que en este caso ha llevado a que muchas empresas operadoras de drones hayan solicitado a la Asociación Española de Protección de Datos (AEPD) que aclare si los drones hay que considerarlos cámaras de videovigilancia con sus respectivas consecuencias legales.
Concretamente, una empresa operadora de drones planteó a la AEPD una aclaración solicitando aclaraciones respecto de “si es necesario gestionar el dron como una cámara de videovigilancia y por lo tanto dar de alta a éste con su archivo correspondiente o solamente es necesario realizar un estudio de impacto en la protección de datos”. Tal y como puso de relieve la AEPD a través de un informe emitido en el 2019 al respecto,
«Cualquier procedimiento utilizado para recoger imágenes, sonidos, datos de geolocalización o cualquier otra señal electromagnética relacionada con una persona física identificada o identificable llevada a cabo por el equipo a bordo de un dron determinará la existencia de un tratamiento de datos y en consecuencia la aplicación de la legislación de protección de datos»
Así, por ejemplo, ello tiene lugar en caso de captar y grabar imágenes de rostros o matrículas de vehículos. Cabe resaltar en este sentido la sentencia del Tribunal de Justicia de la Unión Europea de 14 de febrero de 2019 que establece que «una grabación de vídeo, en la que quedan almacenadas imágenes de personas en la memoria de una cámara digital, constituye un tratamiento de datos personales automatizado».
El problema está en que, como hemos dicho anteriormente, el afectado o interesado no va a ser consciente de si el dron tiene los datos o los ha tratado.
Los límites al uso de los drones como dispositivos de videovigilancia
Teniendo en cuenta todos los posibles usos de los drones, uno de ellos es la videovigilancia que puede llevarse a cabo en lugares públicos y privados. La ley establece que únicamente las Fuerzas y Cuerpos de Seguridad del estado tienen permitido llevar a cabo la videovigilancia mediante cámaras fijas o móviles en lugares públicos, de forma que la instalación de videocámaras en lugares públicos es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad, de ahí que la legitimación para el tratamiento de dichas imágenes se complete en la Ley Orgánica 4/1997. Puesto que la ley no permite la instalación de cámaras de videovigilancia en lugares públicos, con carácter general, ya sean fijas o móviles, por analogía tampoco está permitida la captación de imágenes de personas por la vía pública mediante sistemas de captación de datos instalados en un dron.
No obstante, la AEPD ha admitido una legitimación limitada para la captación de imágenes en la vía pública siempre que se garantice el cumplimiento de los principios de limitación de la finalidad y minimización de datos del artículo 5.1 del RGPD, apartados b y c. Por tanto, cuando un dron realice funciones de captación de imágenes para fines de videovigilancia de lugares privados, le será de aplicación el RGPD y ello implica cumplir con el derecho de información del artículo 13, el cual en ocasiones siendo cumplido con facilidad mediante distintivos informativos o impresos, en otras no será fácil de cumplir, y aun así la ley prevé el derecho de información de los afectados.
Además de para la vigilancia, los drones tienen otros muchos usos como puede ser la supervisión de obras, grabación de eventos etc. La licitud del tratamiento de los datos la determinará la licitud de su obtención, es decir, a pesar de que se traten unos datos de manera lícita, si no se han obtenido de la misma manera, todo ello será ilícito. No se puede entender que la captación y tratamiento de datos es lícita si no se ha cumplido en su totalidad la legislación y regulación relativa a la utilización de los drones.
El caso de los drones destinados a usos recreativos
En el caso de los drones destinados a usos recreativos, ya que se sitúan en un contexto de ocio y entretenimiento que puede calificarse como parte de la vida privada o familiar de los particulares, quedan excluidos del ámbito de aplicación de la normativa de protección de datos, pero hay que tener en cuenta la doctrina sentada por el TJUE a través de la Sentencia de 6 de noviembre de 2003, en la que se niega que pueda apreciarse la excepción doméstica cuando el tratamiento de datos consiste en «la difusión de dichos datos por Internet de modo que resulten accesibles a un grupo indeterminado de personas». De manera que deberá aplicarse la normativa, relativa a la protección de datos, siempre que los datos personales recogidos, por medio del dron, se difundan a través de una página de libre acceso para cualquier personal.
Por otra parte, la sentencia del TJUE (Sala Cuarta) de 11 de diciembre de 2014, en la que se afirma que «la obtención de imágenes de personas por medio de un sistema de videovigilancia, instalado por una persona física en su vivienda familiar y que cubre también el espacio público, no constituye un tratamiento de datos efectuado en el ejercicio de actividades exclusivamente personales o domésticas». Por tanto, en la medida que un dron obtenga imágenes en un espacio público, tampoco podrá acogerse a dicha excepción. Así pues, puede concluirse que en la gran mayoría de los casos no podrá acogerse a la excepción doméstica.
En relación con los drones recreativos, existen dos aspectos de la normativa en materia de protección de datos de carácter personal que merecen ser objeto de estudio: la obtención del consentimiento por parte del titular de los datos personales y el cumplimiento con el principio de minimización de datos.
Respecto del consentimiento del titular de los datos personales, el responsable debe ser capaz de demostrar que el afectado accedió (art. 7.1 RGPD). Es necesario que su consentimiento sea libre, específico, inequívoco e informado (arts. 3 letra h y 6.1 LOPD), como consecuencia de los deberes de información que recaen sobre el responsable del tratamiento. Cumplir con dicho deber de información puede resultar complicado. Una propuesta interesante es la formulada por la Agencia Catalana de Protección de Datos en su informe CNS 12/2014, de 17 de marzo de 2014. En este, defiende que se podría informar a los afectados a través de la colocación de carteles informativo. Sin embargo, para los drones destinados a fines recreativos, cumplir con dicho deber de información resulta excesivamente gravoso. Es, por esta razón, que la opción adoptada en Francia es especialmente atractiva. Conforme con el folleto informativo, distribuido por el Ministerio del Medio Ambiente, resulta suficiente que se informe a las personas físicas, que se encuentran dentro de su alcance, y se responda a sus preguntas con el fin de obtener su consentimiento.
Ahora bien, es necesario señalar que no siempre se precisa del consentimiento del afectado. En este punto, cabe hacer mención a la doctrina establecida por el TJUE en su sentencia de 24 de noviembre de 2011, conforme a la cual cuando el tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable y no prevalezcan los derechos y libertades fundamentales del interesado no es necesario que el afectado. consienta. En este sentido, la AEPD concluyó en 2013 que la campaña de Google, Inc. y Google Spain, S.L. de recogida de imágenes y su posterior tratamiento para la prestación del servicio Google Street View no vulnera la normativa española de protección de datos.
(noticia completa: https://www.farodevigo.es/vida-y-estilo/tecnologia/2013/03/15/google-street-view-vulnera-proteccion-17502808.html)
Respecto del principio de minimización de datos, el responsable del tratamiento debe adoptar las medidas técnicas y organizativas apropiadas en aras de la protección de datos desde el diseño (art. 25.1 RGPD). Ello implica que, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento hay que tener en cuenta los principios que rigen la protección legal de datos personales, los cuales se encuentran contenidos en el art. 5 RGPD.
En atención a la gran capacidad que algunos drones tienen de recopilar datos de carácter personal, cobra una relevancia especial cumplir con el principio de minimización de datos. En virtud de este, el responsable del tratamiento solamente puede recoger para su tratamiento aquellos que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. De modo que, por ejemplo, en caso de querer tomar imágenes en un espacio público, deberá optar por una cámara fotográfica a una térmica o infrarroja. O, en caso de haber recopilado datos de carácter personal durante la operación de vuelo, deberá proceder a la destrucción de aquellas partes que permitan la identificación del afectado en un momento posterior. Ello resulta absolutamente necesario, puesto que los datos de carácter personal deben ser cancelados y no pueden conservarse cuando han dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados.
Bibliografía
- Castells, M. (2019). Drones recreativos. Normativa aplicable, responsabilidad civil y protección de datos. Revista de Derecho Civil, volumen VI, nº1, pp. 297-333.
- Rodríguez, P. (2019). Regulación del uso de drones y sus límites en el ámbito penal. Trabajo de Fin de Master para el Acceso a la Profesión de Abogado.
- Reglamento General de Protección de Datos.
- Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.
- Informe del Gabinete Jurídico de la Agencia Española de Protección de Datos.
Sistemas de Información Empresariales 