La utilización de «drones» y el derecho fundamental a la protección de datos

A estas alturas de la película, para nadie es desconocido el uso, cada vez más prolífico, de estos «juguetes» que sobrevuelan nuestras cabezas.

Originalmente diseñados para cumplir tareas de carácter militar, hoy en día los drones se están utilizando para una gran variedad de usos civiles, comerciales o, incluso, policiales, como por ejemplo, la supervisión y la inspección de infraestructuras o instalaciones industriales, publicidad, ocio y entretenimiento, cartografía, para control fronterizo, para la seguridad y la vigilancia por parte de las Fuerzas y Cuerpos de Seguridad, entre otros muchos usos.

Pero, ¿qué son los llamados VANT o dones?

El Real Decreto 1489/1994, de 1 de julio, por el que se aprueba el Reglamento de la Circulación Aérea Operativa define como Vehículo aéreo no tripulado (VANT) a aquél vehículo aéreo propulsado que no lleva personal como operador a bordo. Los vehículos aéreos no tripulados incluyen solo aquellos vehículos controlables en los tres ejes. Además:

a) Es capaz de mantenerse en vuelo por medios aerodinámicos.
b) Es pilotado de forma remota o incluye un programa de vuelo automático.
c) Es reutilizable.
d) No está clasificado como un arma guiada o un dispositivo similar de un solo uso diseñado para el lanzamiento de armas.

En principio, y así se ha llegado a entender durante algún tiempo es que la mayor parte de los fines civiles o comerciales para las que se empleaban los «drones» no comportaban la captación o grabación de imágenes (voces) de personas físicas identificadas o identificables, por tanto, no implicaban la existencia de un tratamiento de datos personales a los efectos de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).

Sin embargo, a medida que el uso de estas aeronaves se fue poniendo de moda, y su utilización en el ocio, los servicios y la fotografía aumentaba, hicieron surgir las dudas y plantearse la posibilidad de que en su uso se pudieran captar imágenes de personas físicas identificadas o identificables, lo que obligaría a tener presentes los principios y obligaciones de la LOPD.

Pues bien, en junio de este mismo año, las autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29, del que forma parte la AEPD) aprobaban el primer Dictamen conjunto sobre drones, en el cual ya se alerta categóricamente de que la utilización de estas aeronaves plantea riesgos para la privacidad y la protección de datos y por ello recoge las obligaciones que deben cumplirse.

En el propio Dictamen se resalta que existe una verdadera necesidad de centrarse en los desafíos que el uso a gran escala de aviones no tripulados equipadas con tecnología de sensor, pueden provocar para la intimidad y las libertades civiles y políticas y que se deben evaluar las medidas necesarias para garantizar el respeto de los derechos fundamentales y la protección de datos.

De hecho, pueden surgir varios riesgos, para la privacidad, en relación con el tratamiento de los datos (por ejemplo, imágenes, sonido y geolocalización relativos a una persona física) llevadas a cabo por el equipo de a bordo de un dron. Tales riesgos pueden ir desde la falta de transparencia de los tipos de tratamientos que se están realizando, debido a la dificultad de poder ver drones desde el suelo hasta, en cualquier caso, una dificultad para saber cómo, por quién y con qué propósito están siendo recogidos los datos.

El GT29 incluye recomendaciones a legisladores, reguladores del sector, fabricantes y operadores, así como a las autoridades que utilicen estas aeronaves en sus funciones de vigilancia y control.

A juicio de las autoridades de protección de datos, los legisladores y reguladores del sector aéreo deben promover tanto en el ámbito nacional como en el europeo un marco que garantice no sólo la seguridad en vuelo sino el respeto por todos los derechos fundamentales.

Para los fabricantes, inciden en la necesidad de que éstos adopten medidas de privacidad desde el diseño y por defecto, y sugieren realizar evaluaciones de impacto en la protección de datos y aconsejan que se incluya información para los usuarios sobre la posible intrusión que sobre la privacidad puedan llevar a cabo con el uso de estos vehículos.

A este respecto la Autoridad Catalana de Protección de Datos ha manifestado, en varios informes, que la utilización de drones que conlleve la captación de imágenes de personas físicas identificadas o identificables se regirá por los principios y obligaciones de la LOPD. Además, entiende que a pesar de las particularidades de este tratamiento de datos no exime, en principio, al responsable de cumplir con el deber de información a los afectados (artículo 5 LOPD). Y establece posibilidades para informar atendiendo a dos escenarios:

1. En el caso de espacios abiertos no delimitados (espacios públicos, edificios o monumentos por ejemplo) y partiendo de la premisa de que cuando se sobrevuelan espacios públicos con «drones» difícilmente se podrá solicitar el consentimiento de los afectados (artículo 6.1 de la LOPD: (…) cualquier tratamiento de datos personales requiere contar con el consentimiento inequívoco del afectado, salvo que una ley disponga otra cosa»). El l hecho de que exista la posibilidad de captar y grabar imágenes de personas físicas «identificadas o identificables» que afectan al derecho a la propia imagen de estas personas, conviene hacer referencia a la Ley orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (en adelante, LO 1/1982).

Por otro lado la misma LO 1/1982 establece la excepción de que el derecho a la propia imagen no impedirá «la información gráfica sobre un suceso o acaecimiento público, cuando la imagen de una persona determinada aparezca como meramente accesoria», pero dada la complejidad de poder determinar, con antelación al inicio del uso de los drones, si la captación de imágenes de personas físicas será meramente incidental o accidental, al APDCAT indica que el responsable podrá plantear ante esta ella, a la vista de las circunstancias concretas concurrentes en cada caso, si las medidas que pretende adoptar para facilitar a los interesados la información relativa al ejercicio de los derechos ARCO se adecuan a la normativa de protección de datos.

2. Para los casos de uso de drones en espacios cerrados, la APDCAT indica que la información podría facilitarse en el mismo momento en que se solicita el consentimiento de los afectados, o mediante la colación de carteles informativos y en el supuesto de uso de drones en espacios abiertos delimitados, la información también podría facilitarse mediante la colocación de estos carteles informativos (art. 3 Instrucción 1/2006).

La APDCAT en su informe aconseja, y con el fin de concienciar a los usuarios, que en el caso de dispositivos de pequeñas dimensiones, se incluya información suficiente relativa al potencial intrusivo de estas tecnologías y, cuando sea posible, mapas que identifiquen claramente dónde está permitido su uso y se deberá evitar en lo posible volar sobre zonas privadas y edificios, incluso cuando esté permitido su uso.

Respecto de los operadores de drones, el Dictamen recoge una serie de obligaciones tales como verificar si se requiere autorización por parte de aviación civil, la legitimidad del tratamiento y cumplir con los principios de transparencia y proporcionalidad.

Finalmente, se hace hincapié en que la recolección de datos personales de drones por parte de autoridades de orden público que los utilizan con fines de vigilancia y control no debe permitir el rastreo constante y, en caso de que este fuera necesario, debe quedar restringido al marco de las investigaciones encaminadas a garantizar el cumplimiento de las normas legales.