El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta de una empresa operadora de drones sobre la gestión de datos captados por estos dispositivos. La consulta se centra en si un dron debe ser gestionado como una cámara de videovigilancia y, por tanto, registrado con su correspondiente archivo, o si basta con realizar un estudio de impacto en la protección de datos.
El informe comienza definiendo un dron como un «Sistema de aeronave pilotada a distancia» según la Organización de la Aviación Civil Internacional (OACI). En España, la Ley de Navegación Aérea incluye a los drones dentro de la definición de «aeronave». Los drones pueden llevar diversos sistemas de captación y procesamiento de datos, como cámaras de grabación, sensores ópticos o equipos de radiofrecuencia.
El Reglamento General de Protección de Datos (RGPD) define «datos personales» de manera amplia, incluyendo cualquier información sobre una persona física identificada o identificable. Por lo tanto, cualquier procedimiento que capture imágenes, sonidos o datos de geolocalización relacionados con una persona física identificable mediante un dron implica un tratamiento de datos y la aplicación de la legislación de protección de datos.
El informe distingue entre la videovigilancia en espacios públicos y privados. La instalación de cámaras de videovigilancia en lugares públicos es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad. Sin embargo, la AEPD ha admitido la legitimación limitada para la captación de imágenes en la vía pública si se garantiza el cumplimiento de los principios de limitación de la finalidad y minimización de datos del RGPD.
En cuanto a la información a los interesados, el RGPD establece que se debe facilitar toda la información necesaria para garantizar un tratamiento de datos leal y transparente. El grupo de trabajo del artículo 29 recomienda una aproximación «multicanal» para cumplir con este derecho de información, incluyendo la publicación de información en la página web del operador y el uso de anuncios en periódicos o folletos.
El informe también aborda la utilización de drones para funciones diferentes a la vigilancia, como eventos, gestión de infraestructuras o supervisión de obras. En todos estos casos, el RGPD establece principios esenciales para el tratamiento de datos, como la licitud, lealtad, transparencia, limitación de la finalidad y minimización de datos.
La licitud del tratamiento de datos vendrá determinada por el cumplimiento de la legislación aplicable en materia de drones y protección de datos. En España, la regulación actual está establecida en la ley 18/2014 y el Real Decreto 1036/2017. Cualquier operación de un dron que suponga tratamiento de datos debe cumplir con esta normativa, así como con la legislación específica relativa al uso de drones y la protección de derechos fundamentales.
El informe define al responsable del tratamiento como la persona que determina los fines y medios del tratamiento, y al encargado del tratamiento como quien trata datos personales por cuenta del responsable. Normalmente, el operador del dron será el encargado del tratamiento, actuando mediante un encargo de un tercero, que será el responsable del tratamiento.
Finalmente, el informe subraya la importancia de cumplir con los principios del RGPD en el tratamiento de datos mediante drones, incluyendo la limitación de la finalidad, minimización de datos, seguridad del tratamiento y borrado de datos innecesarios. Se recomienda realizar una evaluación de impacto en la protección de datos y establecer medidas de seguridad adecuadas para proteger los datos captados por los drones.