El uso de drones para videovigilancia y su encuadre en el RGPD
Cuando el dron capte imágenes de lugares privados, hay que aplicar la normativa de protección de datos y más concretamente, el RGPD.
Antes de hablar de los drones para videovigilancia específicamente, explicaremos qué es un dron. Partiendo de la definición que la OACI (Organización de la Aviación Civil Internacional) da al dron, se puede decir que es un “Sistema de aeronave pilotada a distancia”, y más concretamente un “Conjunto de elementos configurables integrado por una aeronave pilotada a distancia, sus estaciones de piloto remoto conexas, los necesarios enlaces de mando y control y cualquier otro elemento de sistema que pueda requerirse en cualquier punto durante la operación de vuelo”.
Los drones, entre sus funciones, tienen la de recoger imágenes, sonidos o datos de geolocalización. Dicha función conlleva el tratamiento de datos de carácter personal, toda vez que puede estar relacionada con personas físicas identificadas o fácilmente identificables.
Hay que tener en cuenta que, en la mayoría de las ocasiones, las personas que pueden ser grabadas por el dron desconocen la existencia del mismo, ya que puede recoger datos sin ser visto por las personas y sin estar sujeto a barreras físicas concretas para desplazarse.
Cuando se utilicen los drones para videovigilancia y capte imágenes de lugares privados, hay que aplicar la normativa de protección de datos y más concretamente, el RGPD.
Obligaciones en el uso de drones para videovigilancia
– Llevar un registro de actividades y realizar un análisis de riesgo donde se recojan las medidas de seguridad que se deben aplicar.
– Cuando por el tipo de dron y la tecnología que use el mismo para recabar datos sea necesario, habrá que realizar una evaluación de impacto.
– Habrá que evitar captar o tratar datos que no sean necesarios ni acordes con el fin perseguido, así como borrar y/o anonimizar cualquier dato innecesario.
– Dar la información a que se refiere el art.13 RGPD. En este sentido habrá que indicar quien es el responsable del tratamiento, la finalidad del tratamiento de las imágenes y dar la posibilidad de que los interesados ejerzan sus derechos, dando para ello las indicaciones necesarias.
Si tenemos en cuenta el art.14.5 RGPD, no hay que cumplir con el deber de información “cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos… o en la medida en que la obligación mencionada pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento«. Y continúa diciendo el artículo «en tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información”.
El responsable del tratamiento de los datos recogidos por los drones para videovigilancia será quien valore si dar dicha información supone un esfuerzo desproporcionado, y si así fuera, adoptar las medidas necesarias, incluso haciendo pública la información. Además, ese estudio o valoración se podría incluir en la evaluación de impacto de protección de datos, con el fin de ver los riesgos y, en su caso, minimizarlos.
La recomendación en estos casos, es que los operadores de los drones hagan una publicación en su web dando información acerca de las diferentes operaciones que han realizado o las que se propongan realizar. Junto a esto, como añadido, está la posibilidad de insertar anuncios en periódicos, folletos o posters, o incluso mediante buzoneo.
El cumplimiento de la legislación específica relativa al uso de drones
No podemos olvidar, que junto a la normativa de protección de datos, se debe cumplir también con la legislación específica relativa al uso de los drones para videovigilancia (autorizaciones de operación, reglas de despegue y uso, navegación aérea etc.). El hecho de que no se cumpla con su normativa específica, supondrá que no se cumple tampoco con el principio de licitud que se recoge en el RGPD, y se podrán imponer las correspondientes sanciones por ello.
El responsable y el encargado del tratamiento de los datos
Por lo que se refiere a la situación entre el responsable y el encargado del tratamiento, ésta deberá ser clarificada a través del contrato de encargado de tratamiento (art.28.3 RGPD). Este contrato será adicional al contrato de arrendamiento de servicios que entre las partes se pacte.
Lo normal es que el operador de los drones para videovigilancia lo haga por encargo de un tercero, mediante el arrendamiento de servicios. En ese caso, dicho operador será el encargado del tratamiento y, por su parte, el responsable del tratamiento será dicho tercero, pues da las indicaciones del trabajo que ha de realizarse, su contenido y extensión.
En dicho contrato de encargado de tratamiento habrá que especificar lo que ocurrirá con los datos personales (imágenes) una vez finalizada la prestación del servicio. A elección del responsable se podrán suprimir o devolver. No obstante, las copias existentes se deberán suprimir, salvo que se requiera su conservación en virtud del Derecho de la Unión o de los Estados miembros.
Será obligación de ambas partes el implantar las medidas de seguridad necesarias para proteger los datos de carácter personal, tanto en la fase de vuelo como en la de transmisión de los datos desde el dron hasta la estación base.
También puede interesarte:
Cambios en la normativa de Protección de Datos