La abogada del portal Derecho.com, Lilian Issa, escribió un artículo en el que explica la legislación europea sobre el uso de drones y la protección de datos personales.
Las autoridades europeas han decidido realizar un dictamen sobre la materia ante la gran controversia que se ha generado por la masificación del uso de este tipo de aeronaves por parte de servicios públicos y empresas privadas, donde muchas veces tienen la capacidad de captar vídeo y audio mediante sistemas capaces de procesar información de las personas sin apenas ser vistos.
Issa explica que «el grupo de trabajo del Artículo 29 ha emitido el Dictamen WP-231 de fecha 16 de junio de 2015 sobre privacidad y protección de datos en el uso de drones, donde se resalta cómo puede verse vulnerada la privacidad por el uso de unos sistemas de captación de imágenes a través de pequeñas aeronaves no tripuladas, donde la transparencia para el afectado en el conocimiento de que se están captando imágenes es muy reducida comparada con los sistemas de captación de imágenes en un circuito cerrado».
El dictamen habla de drones que tengan «cámaras inteligentes con distancia focal fija o variable capaz de almacenar imágenes en vivo, con capacidades de reconocimiento facial, lo que permitiría a estas aeronaves no tripuladas identificar y realizar un seguimiento a personas, objetos y situaciones concretas, identificar patrones de movimiento, leer matrículas de vehículos, entre otros, garantizando al mismo tiempo una visión de 360º, permitiendo detectar la energía térmica de un objeto, lo que permite el vuelo y la grabación de imágenes en pobres condiciones de visibilidad».
En primera instancia se debe evaluar si se puede cumplir el objetivo perseguido mediante la utilización de otros sistemas de captación de imágenes menos intrusivos. Un ejemplo sería el uso de drones con fines policiales donde su uso debería ser justificado a la finalidad concreta y proporcional al objetivo perseguido.
En el caso del uso por parte de servicios gubernamentales se exige que los aparatos no sean «utilizados para realizar una vigilancia indiscriminada, procesando datos a granel», siendo necesario, en todo caso, que «su uso esté limitado geográficamente así como limitado en el tiempo».
Los afectados deben poder ser conscientes de la recogida de los datos y de su tratamiento, por lo que deben ser informados en consonancia con el artículo 10 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
El uso de drones plantea un desafío sobre cómo proporcionar información a los afectados sobre un dispositivo que es a veces tan invisible que el afectado será incapaz de percibir su presencia y, por consiguiente, conocer que se están recogiendo datos personales.
En este sentido, dependiendo de la situación concreta será más o menos fácil dar cumplimiento a este deber de información. Un ejemplo sería la utilización de drones para cubrir la celebración de un evento comercial, deportivo, social, entre otros; en tales casos, en la inscripción del participante al evento se le debería informar de la existencia de tales sistemas de captación de datos en el área geográfica donde tenga lugar dicho acto o celebración.
Como conclusión, el Grupo de Trabajo del Artículo 29, realiza las siguientes recomendaciones para todas aquellas personas, físicas o jurídicas, públicas o privada, que quieran operar con un dron:
1. Comprobar que la legislación nacional permite el uso de estos aviones no tripulados.
2. Determinar los roles de cada actor en el sentido de que deberá diferenciarse quién es el Responsable del tratamiento (controlador de datos) y quien es el Encargado del tratamiento, siendo necesario regular esta relación mediante un contrato específico.
3. En el caso de que el uso de drones esté sujeto a la obtención de las correspondientes licencias administrativas, debería valorarse la necesidad de incluir dentro del temario para la obtención de las licencias un conocimiento básico sobre privacidad y protección de datos, para asegurarse de que las personas de “piloten” dichas aeronaves son conscientes de las obligaciones legales en caso de un tratamiento de datos personales.
4. Evaluar el impacto en la protección de los datos personales teniendo en cuenta la finalidad de la operación que se quiera llevar a cabo, siendo necesario el uso de drones que incorporen unas especificaciones y tengan una tecnología proporcional a las finalidades por las cuales se utilizan estos sistemas. En caso de poder conseguir los mismos objetivos utilizando otros sistemas menos intrusivos, deberían utilizarse esos otros sistemas en lugar de drones.
5. Determinar la mejor manera de informar de manera previa a los afectados de que se van a utilizar drones en un evento, acto, celebración, entre otros (ej: señales visuales, hojas informativas y/o carteles, a través de redes sociales mediante las que se dé publicidad al evento, página web del organizador, etc).
6. Adoptar todas las medidas de seguridad técnicas y organizativas adecuadas necesarias para garantizar un nivel de seguridad adecuado a los riesgos que presente el tratamiento y la naturaleza de los datos y, en particular, para evitar cualquier tratamiento no autorizado también durante la Fase de “transmisión” de la información.
7. Eliminar o anonimizar los datos personales innecesarios poco después de la recogida o tan pronto como sea posible.