Dictamen 01/2015 sobre la privacidad y la protección de datos en relación con la utilización de aviones no tripulados (drones)

Publicado el 28 junio 2015 por Jlcolom

Resumen: Por su interés y actualidad se presenta la traducción “no oficial” del Dictamen 01/2015 del Grupo de Trabajo del artículo 29 (GT29) sobre la utilización de drones. El editor lo adapta al formato del Blog y aprovecha para referenciar bibliografía relacionada.

Autor del artículo Colaboración

GRUPO DE TRABAJO DEL ARTÍCULO 29. COMISIÓN EUROPEA

Actualizado 28 de junio de 2015


Índice 1. Introducción 2. Descripción del fenómeno y del impacto sobre la privacidad y la protección de datos 2.1 Definición, características y potencialidades de los drones 2.2 Riesgos para la protección de datos 3. Análisis jurídico 3.1 Aplicabilidad de la Directiva de Protección de Datos 3.2 Tratamiento de datos personales con fines policiales 3.3 Legalidad del principio procesamiento y limitación de la finalidad 3.4 Principios de proporcionalidad, calidad de los datos y minimización de los datos: el papel relevante de la privacidad desde el diseño y por defecto. 3.5 Transparencia e información a los interesados 3.6 Seguridad del tratamiento de datos y cuestiones relacionadas, períodos de almacenamiento, control previo 4. Papel de la cooperación entre los diferentes actores y la importancia de las herramientas de autorregulación 5. indicaciones finales y recomendaciones 5.1 Pasos a seguir antes de operar un avión no tripulado 5.2 Recomendaciones a los responsables políticos y los reguladores del sector 5.3 Recomendaciones a los fabricantes y operadores 5.4 Recomendaciones para el uso de los datos personales recogidos por medio de aviones no tripulados para fines policiales 6. Bibliografía recomendada (Por el editor de éste Blog) 7. Derechos de autor
Resumen ejecutivo
Nota del editor: Entendemos por “drone” todo “avión no tripulado desde su interior”, normalmente de reducidas dimensiones, aunque sí que puede dirigirlo el piloto desde un centro de control. En muchos casos, no es necesaria mucha sofisticación, bastando un centro de control virtual implementado mediante una “tableta” + una App específica, digitalizando de forma táctil los mandos de gobierno en una porción de la pantalla y visualizando, en otra, lo captado por la cámara frontal de la “aeronave”.
A la luz de la progresiva integración de drones en el espacio aéreo civil europeo y la aparición de numerosas aplicaciones de los drones (que abarcan el ocio, los servicios, la fotografía, la logística, la vigilancia de las infraestructuras…) existe una verdadera necesidad de centrarse en los desafíos que un despliegue a gran escala de drones, junto a tecnologías de sensores, podrían provocar para la privacidad y las libertades civiles y políticas y también para evaluar las medidas necesarias que garanticen el respeto de los derechos fundamentales y la protección de datos.
De hecho, pueden surgir diferentes riesgos para la privacidad en relación con el tratamiento de los datos (por ejemplo, imágenes, sonido y geolocalización relativos a una persona física identificada o identificable) llevadas a cabo por el equipo de a bordo de un drone. Tales riesgos pueden ir desde la falta de transparencia de los tipos de tratamiento, debido a la dificultad de poder ver drones desde el suelo, hasta, en cualquier caso, la dificultad para saber qué equipo de tratamiento de datos llevan a bordo y con qué fines están siendo recogidos los datos personales y por quién.
Por otra parte, las prestaciones de los drones y la posibilidad de interconectar varios de ellos facilita aún más su capacidad de alcanzar puntos de vista únicos, por ejemplo evitando obstáculos o no estando limitados por barreras, muros o cercas, permitiendo el fácil recabado de una amplia variedad de información, incluso sin la necesidad de una línea directa de visión, durante largos períodos de tiempo y abarcando una gran superficie de exploración (con un alto riesgo de una excesiva e ilícita recopilación de datos para posibles usos multipropósito).
Incluso los mayores riesgos para los derechos y libertades de las personas surgen cuando el tratamiento de datos personales por medio de drones se lleva a cabo con fines policiales.
Con el fin de abordar adecuadamente estas preocupaciones, después de haber aclarado el alcance de las conclusiones a la luz de las excepciones previstas en la Directiva 95/46/CE (exención doméstica para el tratamiento con fines periodísticos y con fines policiales), este Dictamen proporciona directrices con el fin de abordar correctamente las normas de protección de datos en el contexto de lo drones.
Debe verificarse:
  • La necesidad de una autorización específica de las Autoridades de Aviación Civil (AAC) cuando la legislación nacional permita operar un drone.
  • La búsqueda de los criterios más adecuados para el tratamiento legítimo, cumpliendo con el principio de limitación de finalidad, el principio de minimización de los datos y el principio de proporcionalidad (mediante la elección de la tecnología más apropiada junto a las medidas para evitar la recogida de datos personales innecesarios) del modo más equilibrado para el caso que nos ocupa.
  • El principio de transparencia (informando a los interesados ​​de los tratamientos llevados a cabo) son obligaciones que deben cumplirse antes de operar un drone.

Del mismo modo, es necesario adoptar todas las medidas de seguridad adecuadas y eliminar o anonimizar los datos personales que no son estrictamente necesarios.
Además, el Grupo de Trabajo del artículo 29 (GT29) recomienda la adopción de las medidas de privacidad desde el diseño (PbD) [1]y la privacidad por defecto y sugiere la evaluación de impacto de protección de datos (PIA) como una herramienta apropiada para evaluar el impacto de la aplicación de la tecnología de drones sobre el derecho a la intimidad y a la protección de datos.
Por otra parte, con el fin de concienciar a los usuarios, se propone una recomendación específica a los fabricantes de drones para proporcionar información suficiente dentro del embalaje (por ejemplo dentro de las instrucciones de servicio) en relación con la intrusión potencial de estas tecnologías y, cuando sea posible, de los mapas identificando claramente donde se permite su uso...
Entre otros, este Dictamen también aborda recomendaciones a los responsables políticos, tanto europeos como nacionales, para el fortalecimiento de un marco que garantice el respeto de todos los derechos fundamentales en juego, no sólo la protección de datos, introduciendo normas específicas que garanticen un uso responsable de los drones (que debe necesariamente incluir el respeto a la propiedad privada). Además, el GT29 pide a los responsables políticos la introducción de los principios de protección de datos entre las principales características de las disposiciones nacionales que regulen el uso comercial de drones (en relación con la cualificación del piloto y su capacitación, junto a requisitos y certificaciones de aeronavegabilidad, pasando por la emisión / renovación de licencias de operación y permisos de trabajo aéreo), que piden una cooperación estrecha entre las autoridades de protección de datos y las AAC.
El GT29 también recomienda a fabricantes y a operadores que elijan diseños que incorporen de forma embebida la privacidad, basándose en un enfoque de privacidad desde el diseño y por defecto, involucrando a un Delegado de Protección de Datos (DPO) en el diseño e implementación de políticas relacionadas con el uso de drones (donde esta figura esté contemplada)y para promover la adopción de códigos de conducta que puedan ayudar a los diversos actores, de la industria y los operadores, para prevenir las infracciones y mejorar la aceptación social de los drones.
Las recomendaciones específicas para el uso de los datos personales recogidos por medio de drones, para fines policiales, también se exponen en este Dictamen. En particular, el tratamiento de datos llevado a cabo por medio de drones para la aplicación de la Ley por parte de los cuerpos policiales debe, por regla general, evitar el seguimiento constante, debiendo el equipo técnico y de detección utilizado a bordo estar en consonancia con la finalidad del tratamiento.
1. Introducción
Con vistas a permitir la integración progresiva de los sistemas de aeronaves pilotadas de forma remota (RPAS) en el espacio aéreo civil, la Comisión Europea adoptó la Comunicación COM (2014) 207 [2]"Una nueva era para la aviación - La apertura del mercado de la aviación para el uso civil de los sistemas de aeronaves pilotadas remotamente [dirigidas por control remoto] de una manera segura y sostenible” que responde a la llamada de la industria manufacturera y de servicios de Europa para eliminar los obstáculos a la introducción de drones para uso civil en el mercado único europeo.
La apertura del mercado a los drones requeriría la introducción de un marco regulatorio adecuado por la adopción de, en su caso, las políticas nacionales necesarias y las normas europeas comunes, a desarrollar por la Agencia Europea de Seguridad Aérea (AESA). Las notas del Grupo de Trabajo del Artículo 29 (GT29), en este sentido, denotan la falta de un marco regulatorio adecuado en los Estados miembros. En este contexto, debe alentarse la armonización y la modernización de las políticas de aviación de los Estados miembros en relación con drones.
El GT29 reconoce los beneficios sociales y económicos del uso civil de drones, y su potencial de crecimiento y generador de empleo, pero considera que es igualmente importante resaltar todas las amenazas y riesgos para la protección de datos y privacidad que resultan de un despliegue a gran escala de la tecnología de drones, debiendo evaluarse las medidas necesarias para garantizar el respeto de todos los otros derechos fundamentales en juego.
De hecho, el tratamiento de datos personales por parte de drones tiene una naturaleza peculiar debido al punto de vista único que aumenta la eficacia de los sensores de a bordo e implica una transparencia reducida y una mayor intrusión de la privacidad en comparación con sensores fijos similares.Por sus similitudes percibidas puede considerarse, por ejemplo, la videovigilancia mediante drones versus el empleo de una cámara de videovigilancia terrestre fija.
La integración de los aviones no tripulados en el mercado europeo de la aviación y sus diferentes usos civiles (incluyendo el uso de apoyo al cumplimiento de la ley) planteará desafíos específicos que deben superarse con el fin de "respetar los derechos y principios consagrados en la Carta de Derechos Fundamentales de la Unión Europea, y en particular el derecho a la vida privada y la vida familiar (artículo 7) y la protección de datos personales (artículo 8)" y, desde esta perspectiva, la participación de los legisladores en el debate relativo a la integración de los drones en el espacio aéreo civil será indispensable.
Equilibrar todos los derechos e intereses en juego será un reto que no puede ser ignorado por los responsables políticos, a fin de garantizar que Europa pueda estar a la vanguardia en este nuevo sector, sin olvidar que "la Unión se basa en los valores indivisibles y universales de la dignidad humana, la libertad, la igualdad y la solidaridad y en los principios de la democracia y el Estado de Derecho".
El presente Dictamen responde a la convocatoria realizada por la Comisión Europea con el fin de proporcionar indicaciones prácticas a los legisladores y reguladores (tanto a nivel europeo como nacional, incluyendo las Autoridades de Aviación Civil (AACs), la industria, los políticos y la ciudadanía en general. Éstas incluyen abordar el impacto sobre la privacidad y protección de datos y las consecuencias del uso prolongado de las diferentes aplicaciones basadas en drones para los diversos usos civiles.
Se consideran las peculiaridades y criticidades relacionadas con el cumplimiento de requisitos específicos en el marco jurídico de protección de datos existente. El Dictamen concluye con recomendaciones sobre la forma de abordar adecuadamente los riesgos que puedan surgir en relación con drones, y los efectos de su uso, con el fin de efectuar un tratamiento de datos personales lícito y compatible con el marco jurídico de protección de datos.
2. Descripción del fenómeno y del impacto sobre la privacidad y la protección de datos
2.1 Definición, características y potencialidades de los drones
De acuerdo con la Organización de Aviación Civil Internacional (OACI), un sistema de aviones pilotados a distancia (denominado aquí como un drone) es "un conjunto de elementos configurables que consisten en un avión pilotado a distancia, su estación de pilotaje remoto asociada, los enlaces necesarios para su gobierno y control y otros elementos del sistema según sean necesarios en cualquier momento durante la operación de vuelo".
En términos generales, los drones son vehículos aéreos que pueden pertenecer a diferentes categorías con una amplia variedad de especificaciones, características y capacidades. Los drones pueden ser diseñados para soportar múltiples cargas útiles por lo que varían en tamaño y capacidad técnica. El tipo más básico de los drones, constituido únicamente por componentes vitales, no puede procesar datos personales, pero aun así puede causar molestias e inconvenientes a terceros.
La adición de sensores para diferentes fines, como para grabar datos de audio o vídeo, plantean preocupaciones obvias sobre la protección de datos y la privacidad. Sin embargo, es importante recordar que los drones disponibles en el mercado no necesariamente están equipados con cámaras de a bordo u otros sensores de forma predeterminada y puede ser el operador del drone quién decida incluir tal capacidad adicionalmente al diseño original, dependiendo del tipo de uso. En otras palabras, un drone puede ser diseñado y construido por el propio operador abasteciéndose de los componentes a partir de una variedad de proveedores.
Algunos ejemplos de equipos que podrían tener un impacto en la privacidad y protección de datos son:
  • Equipo de grabación visual: cámaras inteligentes con distancia focal fija o variable, capaz de almacenar y transmitir imágenes en vivo, mediante capacidades a bordo de reconocimiento facial en tierra, permitiendo a los drones identificar y rastrear personas, objetos o situaciones concretas, identificar los patrones de movimiento, leer las matrículas de los vehículos, obtener simultáneamente una visión de 360°, detectar la energía térmica emitida por un objetivo, lo que permite el vuelo y la grabación de imágenes en condiciones de poca visibilidad (debido a la niebla, humo, o residuos) o durante horas de la noche;
  • Equipos de detección: sensores óptico-electrónicos, escáneres infrarrojos, radares de apertura sintética para identificar objetos, vehículos y embarcaciones y obtener información sobre su posición y por supuesto, incluso detrás de las paredes, humo u otros obstáculos;
  • El equipo de radio-frecuencia: como antenas que capturan la ubicación de los puntos de acceso Wi-Fi, estaciones de teléfonos celulares, reducidas estaciones base interiores (femtoceldas) y receptores IMSI utilizados por las fuerzas del orden para controlar los teléfonos y las redes de telefonía celular o el proveedor de servicios de enlaces de comunicaciones entre las redes y los usuarios de terminales;
  • Sensores específicos: para la detección de trazas nucleares, rastros biológicos, material químico, artefactos explosivos.

Además, el grado en que los drones pueden ser modificados y adaptados a las situaciones específicas y su bajo coste relativo se traduce en que los drones se están aplicando a una serie de nuevos escenarios.
No obstante, tiene que quedar claro que el aspecto relevante, desde el punto de vista de privacidad y protección de datos, no es el uso de drones per se, sino el equipo de tratamiento de datos a bordo del drone y el posterior tratamiento de datos personales que pueden tener lugar. De hecho, es el procesado de imágenes (incluyendo imágenes de personas, casas, vehículos, conducción matrículas, etc.), el sonido, los datos de geolocalización o cualesquiera otras señales electromagnéticas relacionados con una persona física identificada o identificable llevado a cabo por el equipo de tratamiento de datos a bordo de un drone, el que puede tener un impacto en la privacidad y protección de datos y, por lo tanto, desencadenar la aplicación de la legislación en materia de protección de datos.
2.2 Riesgos para la protección de datos
A la luz de todas las aplicaciones existentes y otras que surgirán previsiblemente en el futuro, varios riesgos ya se han puesto de manifiesto en términos de seguridad, responsabilidad civil y privacidad. De hecho, en cuanto a este último aspecto, es probable, en diferentes de casos, que los titulares de los datos no sean conscientes de la presencia del drone o de que se esté llevando a cabo en el mismo cualquier tratamiento de sus datos personales, teniendo en cuenta que estos dispositivos pueden ser difíciles de ver desde el suelo.
En cualquier caso, incluso si las personas son conscientes de que un drone se encuentra en su posición, será difícil saber qué datos serán tratados por los equipos de a bordo, con qué fines serán recogidos y por quién. Esto dará lugar a un aumento de la sensación de estar bajo vigilancia y una posterior disminución en el ejercicio legítimo de las libertades y los derechos civiles, más conocido como "efecto escalofriante".
Nota del editor: Desde un punto de vista jurídico, el “efecto escalofriante (chilling effect)” es la inhibición o el desaliento en el ejercicio legítimo de los derechos naturales y constitucionales debido al temor de una sanción legal. El derecho que más a menudo se encuentra amenazado por el “efecto escalofriante” en este contexto es el derecho constitucional a la libertad de expresión.
Las prestaciones de los drones facilitan aún más su capacidad de alcanzar puntos de observación únicos, por ejemplo, evitando los obstáculos al no verse limitados por barreras, muros o cercas. En consecuencia, los drones pueden entrar sin dificultad en áreas privadas, lo que habilitará la posibilidad de recabado de una amplia variedad de datos desde una diversidad de fuentes.
En función de las tecnologías de a bordo, los datos podrían ser recogidos sin la necesidad de una línea de visión directa (es decir, a través de los techos, escombros o las nubes), durante largos períodos de tiempo, abarcando una gran superficie y sin interrupción (con el alto riesgo de la recolección de grandes volúmenes de datos, y sus múltiples usos posibles, de forma ilegal).
También se debe considerar la posibilidad de interconectar una serie de drones para llevar a cabo la vigilancia en una gran área. Enjambres de drones, con los canales de comunicación en tiempo real entre ellos y las partes interesadas, desencadenan riesgos aún más elevados de protección de datos, ya que podrían permitir fácilmente la vigilancia coordinada, es decir, los movimientos de seguimiento de personas o vehículos a lo largo y ancho de grandes áreas.
En consecuencia, existe un alto riesgo de que el tratamiento de datos personales por parte de drones se convierta en encubierto y cause una interferencia importante con la esfera más íntima de las personas.
Al mismo tiempo, existe también un innegable alto riesgo de desviación (los riesgos de cambio o ampliación de los usos previstos inicialmente para fines incompatibles con éstos), teniendo en cuenta el equipo potencialmente sofisticado de a bordo y la facilidad con que los datos personales recogidos pueden vincularse con otras piezas de información.
Además, el impacto potencial de intrusión en la privacidad se ve agravado por la amplia constelación de actores y entidades implicadas en su uso. Los fabricantes de drones, por ejemplo, tienen también un papel que desempeñar en la fase de diseño de los mismos, como son las características operacionales que, en mayor o menor medida, permitan utilizarlos en aplicaciones de privacidad intrusiva (por ejemplo, en el caso de los drones pequeños o de micro-tamaño, capaces de volar dentro de los edificios).
La percepción de los drones por parte de las personas está inexorablemente ligada a la sostenibilidad social.
En este sentido, la aplicación efectiva de las leyes de protección de datos puede contribuir a la aceptación de los drones. Por lo tanto, el GT29 alienta las iniciativas y proyectos de sensibilización que acompañan a la introducción de drones en el mercado civil de la UE.
3. Análisis jurídico
Aunque no existe una legislación específica sobre las implicaciones de protección de datos en relación al uso de drones en los Estados miembros, el marco jurídico pertinente se compone por la Directiva 95/46/CE (en lo sucesivo, la Directiva) y, como los drones también pueden ser utilizado por los proveedores de servicios de comunicaciones electrónicas disponibles al público (por ejemplo, para extender el alcance de dichos servicios), la Directiva 2002/58/CE, modificada por la 2009/136/CE.
Nota del editor: Las Directivas referenciadas son las siguientes: -Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
- Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25  de  noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los consumidores.
Por otra parte, a pesar de los diferentes impactos que el uso de drones puede tener sobre la privacidad y la libertad de las personas, en comparación con los sistemas de videovigilancia estática, puede haber circunstancias en las disposiciones legales nacionales aplicables a los sistemas de circuito cerrado de televisión que también se aplicarán al uso de drones, en particular en el caso de drones utilizados con fines de videovigilancia. A la luz de esto, el GT29 desea referirse a su Dictamen sobre el tratamiento de datos personales por medio de videovigilancia [3]destacando la actualidad del análisis jurídico y las recomendaciones proporcionadas en él.
Sin embargo, debido a las peculiaridades y los riesgos de las aplicaciones antes mencionadas mediante aviones no tripulados, el GT29 considera importante dar una orientación específica sobre cómo cumplir con las normas de protección de datos en este contexto.
En este marco, debe prestarse mucha atención a la cuestión de la responsabilidad en los tratamientos de datos, especialmente teniendo en cuenta la amplia gama de servicios basados ​​en drones, que ya son ofrecidos por empresas especializadas para organizaciones públicas y privadas. A la luz de esto, es de la mayor importancia que el Responsable del tratamiento y el Encargado del tratamiento deben estar claramente identificados para cada tipo de operación llevada a cabo por drones, mediante la consideración de los elementos clave para distinguir al Responsable del tratamiento de otros actores.
Una guía clara para identificar las diferentes combinaciones de responsabilidades entre las diferentes entidades que participan en la tramitación conjunta se puede encontrar en el Dictamen 1/2010 del GT29 en los conceptos de "Responsable del tratamiento" y "Encargado del tratamiento".
3.1 Aplicabilidad de la Directiva de Protección de Datos
Mientras que la Comisión Europea está centrando su atención en los aviones no tripulados accionados mediante control remoto, estas conclusiones no difieren entre los sistemas de aeronaves no tripuladas totalmente autónomos y no autónomos, teniendo en cuenta que este aspecto no es relevante en relación a las cuestiones de protección de los datos derivadas de la utilización de este tipo de tecnología. Además, deben aplicarse las directrices - con los ajustes necesarios - para el tratamiento de datos derivados de la utilización de cualquier tipo de vehículo aéreo (tripulados o no tripulados, aéreo o espacial) para las operaciones civiles.
Sin embargo, cabe destacar que algunos casos de tratamiento de datos personales que se derivan de la utilización de aviones no tripulados para operaciones civiles pueden caer fuera del ámbito de aplicación de estas directrices a la luz de las exenciones o excepciones que, de acuerdo con la Directiva, los Estados miembros podrían establecer (véanse, en particular, los artículos 3, 9 y 13).
De conformidad con el artículo 3.2 de la Directiva, el tratamiento de datos personales por parte de una persona física en el ejercicio de actividades exclusivamente personales o domésticas estará fuera del alcance de las presentes conclusiones.
Sin embargo, la disposición establecida en el artículo 3.2 es una excepción y, como tal, debe ser interpretada restrictivamente. Por lo tanto, examinado por el Tribunal Europeo de Justicia (TJUE), la llamada "exención doméstica" debe "interpretarse que se refiere únicamente a las actividades que se llevan a cabo en el curso de la vida privada o familiar de los individuos, lo que claramente no es el caso del tratamiento de datos personales consistente en su publicación en Internet de manera que los datos sean accesibles a un número indeterminado de personas".
Además, si las operaciones mediante un drone equipado con dispositivos a bordo preparados para potenciar un sistema de videovigilancia, en la medida en que implica el registro y almacenamiento de datos personales y registro constante, aunque sea parcialmente de un espacio público, y está, en consecuencia, dirigido hacia el exterior desde el entorno privado de la persona que trata los datos de esa manera, no puede considerarse como una actividad puramente "personal o doméstica” en el sentido del segundo apartado del artículo 3 de la Directiva 95/46/CE.
Por otra parte, de acuerdo con el artículo 9 de la Directiva de protección de datos, los Estados miembros podrían prever exenciones o excepciones a algunas de sus disposiciones en caso de tratamientos de datos personales llevados a cabo exclusivamente con fines periodísticos o con el propósito de expresiones artísticas o literarias.
No obstante, las exenciones y excepciones sólo deben ser las "necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión".
El tratamiento de datos personales realizado por medio de drones por razones periodísticas, por tanto, debe tener en cuenta las diferentes leyes y disposiciones nacionales aplicables a este tipo de tratamiento. Sin embargo, los Estados miembros deben ser conscientes de la intrusión potencial de estos instrumentos, especialmente si se utiliza de una manera irresponsable y poco ética, y debe identificar claramente los deberes y responsabilidades realizadas con el ejercicio de la libertad de expresión mediante la ayuda de drones.
El GT29 concede la máxima importancia a la introducción de un marco adecuado a nivel nacional (si no está ya en su ordenamiento jurídico), de modo que el uso de drones con fines estrictamente personales y recreativos y para propósito periodístico no afecte a los derechos fundamentales, a la intimidad o al secreto de las comunicaciones y al respeto de una expectativa razonable de protección de la vida privada, incluso en el caso de la recolección de los datos personales que se efectúe en lugares públicos.
Como recordó el Tribunal Europeo de Derechos Humanos (TEDH), hay una "zona de interacción de una persona con los demás, incluso en un contexto público, que puede entrar en el ámbito de la vida privada". Por lo tanto, los principios generales y algunas sugerencias específicas establecidas en el presente Dictamen deben también tenerse en cuenta por los legisladores y reguladores (tanto a nivel nacional como europeo) cuando lo que se establecen son los requisitos que han de cumplirse para el uso de drones por el público en general, con el fin de evitar la violación de la legislación de protección de datos, y otras piezas de los ordenamientos jurídicos nacionales, que salvaguarden otros derechos de las personas.
3.2 Tratamiento de datos personales con fines policiales
Los drones puede ser motivo de una transformación profunda de la aplicación práctica en el cumplimiento de la ley, en particular, con respecto al papel de los datos en la orientación de las acciones policiales, que van desde determinar los objetivos hasta para hacer el seguimiento de las actividades de una población específica basándose en la vigilancia continua.
Por lo tanto, el uso de drones operados directamente por la policía y otras autoridades de orden público - o su solicitud de acceso a los datos recogidos por los drones operados por entidades privadas para sus propios fines - crea un alto riesgo para los derechos y libertades de las personas e interfiere directamente con los derechos al respeto de la vida privada y a la protección de los datos personales amparados en el artículo 8 del Convenio Europeo de Derechos Humanos (CEDH) y en el artículo 7 y 8 de la Carta Europea de Derechos Fundamentales.
En consecuencia, en base al artículo 52 de la Carta y el artículo 8 CEDH, esta limitación al ejercicio de los derechos y libertades reconocidos por la Carta deberá ser establecida por la ley ("de acuerdo con la ley"), únicamente si es necesario y realmente cumple con los objetivos de interés general reconocidos por la Unión y la necesidad de proteger los derechos y libertades de los demás ("en la búsqueda de uno de los objetivos legítimos establecidos en el artículo 8 de la CEDH y necesario en una sociedad democrática ").
Como resultado, la policía y demás autoridades policiales utilizando drones deben asegurarse de que tienen una base jurídica válida para el procesamiento de datos personales.
Los drones sólo se utilizarán, donde se demuestre su necesidad concreta e idoneidad para los fines específicos que se persiguen. En este sentido, llama la atención el GT29 en su Dictamen 01/2014 sobre la aplicación de los conceptos de necesidad y proporcionalidad y protección de datos en el sector de aplicación de la ley.
Las citadas autoridades deberán justificar por qué los instrumentos existentes hasta ahora a su disposición, como alternativas menos intrusivas, no logran dicho propósito. (Una evaluación previa por parte de las autoridades de protección de datos podría ser aplicable, y pertinente para este propósito, donde las prácticas nacionales promuevan dicha evaluación previa).
Además, cuando las autoridades policiales procesen los datos recogidos por drones para la instrucción de delitos civiles, deben cumplir con los requisitos establecidos por la Directiva. En particular, dichos usos de drones deben limitarse a los casos en que es necesario el tratamiento con el fin de proteger los intereses vitales del interesado o para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al tratamiento por parte de un tercero a quien se comuniquen los datos.
Una vez establecida la necesidad de drones para la policía para hacer cumplir la ley, como se dispone en el artículo 52 de la Carta y el artículo 8 del CEDH, su uso debe cumplir con los requisitos específicos de protección de datos y el principio de proporcionalidad: No debe ir más lejos de lo necesario para cumplir con el objetivo legítimo que se persigue.
En esta perspectiva, deben seguirse los principios establecidos en el Convenio número 108 del Consejo de Europa y la Recomendación número R (87) 15 que regula el uso de los datos personales en el sector policial, aprobada por el Consejo de Ministros el 17 de septiembre 1987, así como los principios pertinentes de la Decisión marco de Protección de Datos 977/2008.
Además, el GT29 recuerda que el tratamiento de datos obtenidos mediante drones por los servicios gubernamentales se debe realizar para los fines establecidos en la legislación pertinente y no debe ser utilizado para:
  • La vigilancia indiscriminada.
  • El tratamiento analítico de datos.
  • La puesta en común de datos para el trazado de perfiles.

Deben imponerse límites en el uso de drones para las actividades de vigilancia, con el objetivo de evitar que se conviertan en algo generalizado o que se utilicen para la señalización de objetivos basados ​​en el análisis de datos. Por lo tanto, los drones sólo deben utilizarse para fines estrictamente enumerados y justificados que se fijen con antelación y, en todo caso, el uso debe ser limitado geográficamente y en el tiempo.
Con miras al "efecto escalofriante" que el uso de drones puede tener sobre los derechos a la libertad de expresión y la libertad de reunión, se debe prestar especial atención a la necesidad de proteger, en la medida de lo posible, las manifestaciones públicas y reuniones similares de cualquier tipo de vigilancia.
3.3 Legalidad del principio procesamiento y limitación de la finalidad
Con el fin de que sea lícito el tratamiento de datos personales que conlleva la aplicación de la tecnología civil de drones, éste debe basarse en uno de los criterios para el recabado y posterior tratamiento legítimo de datos que se establecen en el artículo 7 de la Directiva. Recordando el Dictamen sobre el interés legítimo que proporciona una amplia orientación sobre este aspecto y teniendo en cuenta las peculiaridades del tratamiento de los datos personales que se efectúe por medio de equipos de a bordo en drones, podrían considerarse como relevantes diferentes principios jurídicos de acuerdo con los propósitos del tratamiento en juego:
  • Consentimiento libre, específico e informado (Art. 7 bis). Mientras que el consentimiento es un principio jurídico habitual para la legitimación, parece que en este contexto podría considerarse apropiado sólo en pocos casos, sobre todo cuando los datos se recaben en zonas públicas. El consentimiento debe darse e forma libre, específica e informada. En la mayoría de los casos en cuestión, sería muy difícil cumplir con todos estos requisitos ya que el consentimiento, por ejemplo, no sería "dado libremente" cuando un individuo no es libre de entrar o salir de un área estudiada sin estar bajo la vigilancia; el consentimiento no será "informado" si a ese individuo no se le ofrece toda la información necesaria sobre el tratamiento, ni va a ser "específico" si no le es posible al individuo identificar cada finalidad del tratamiento para el que a él/ella se le solicita el consentimiento. El consentimiento podría ser un principio jurídico adecuado para el tratamiento de datos personales realizado por medio de una cámara a bordo de un dron, por ejemplo, en el caso de una sesión de entrenamiento de un equipo deportivo (es decir, sin espectadores presentes).
  • Tratamiento necesario para el cumplimiento de un contrato en el que el interesado sea parte (Art. 7b). El tratamiento de los datos personales es lícito en base al artículo 7 ter de la Directiva, por ejemplo, cuando alguien compra un producto que se entrega a su domicilio por el vendedor a través de un dron, o cuando los servicios de grabación de vídeo, únicamente relativos a las propiedades de los interesados, son ofrecidos por las empresas que operan drones; sin embargo, debe tenerse en cuenta que el tratamiento inherente de los datos de terceros, no vinculados por la relación contractual, no está cubierto por el cumplimiento de las obligaciones de las partes en un contrato y por lo tanto, en los ejemplos anteriores, la recogida de datos personales de terceros debe ser evitado o debería encontrarse un fundamento jurídico distinto para legitimarlo.
  • Es el tratamiento necesario para el cumplimiento de una obligación legal o necesario para el desempeño de una misión de interés público o inherente al ejercicio del poder público conferido al Responsable del tratamiento o a un tercero a quien se comuniquen los datos (Art. 7c y 7e). Estos fundamentos jurídicos podrían ser invocados en los casos en que la obligación legal impuesta por la ley debe ser cumplida por el Responsable del tratamiento, tales como la vigilancia de un yacimiento arqueológico requerido por una disposición específica o, por ejemplo, en algunos "usos relacionados con la seguridad", tales como el control del contrabando, sólo cuando sea estrictamente necesario y proporcionado el uso de drones.
  • Es necesario el tratamiento con el fin de proteger el interés vital del interesado (art. 7d). Esta base jurídica podría ser relevante en algunos casos de "usos relacionados con la seguridad" mediante un dron, como la mitigación de desastres, la inspección de la escena de un incendio, el rescate de víctimas de accidentes de montaña, etc. Sin embargo, teniendo en cuenta que el (art. 7d) tiene la intención de interpretarse de manera estricta, un mejor enfoque puede ser la de tener en consideración estos usos en aplicación del artículo 7 (c), 7 (e) o 7 (f), en función de las circunstancias concretas del caso.
  • Es necesario para los fines de un interés legítimo de tratamiento (Art. 7f. Los datos personales también pueden ser tratados ​​si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento, o por un tercero, excepto cuando sobre dichos intereses prevalezcan los intereses del interesado o los derechos y las libertades fundamentales (es previsible que un criterio de este tipo podría contemplarse, por ejemplo, en caso de emplear un drone para inspeccionar el interior de una tubería, en detalle una línea de alta tensión, la vigilancia de determinadas infraestructuras críticas, fotogrametría aérea, la investigación meteorológica y del medio ambiente, el seguimiento de la energía eólica, el seguimiento de huracanes y tifones, la cartografía de un yacimiento arqueológico, el seguimiento de los icebergs y la investigación de la fauna), si las salvaguardias apropiadas son implementadas en el sistema.

Además, y con la mirada puesta en uno de los riesgos mencionados provocados por la recogida de una gran cantidad de datos en aplicaciones de drones y la llamada "función de arrastre", cabe recordar que los datos personales deben ser recabados para fines determinados, explícitos y legítimos y no ser tratados posteriormente de manera incompatible con dichos fines (artículo 6.1.b) de la Directiva 32.
Por lo tanto, cualquier tratamiento posterior de los datos personales para un fin distinto de aquel para el cual han sido recabados debe hacerse de conformidad con las disposiciones de la Directiva y, por tanto, debe tener una base jurídica autónoma y su compatibilidad con el propósito original también deberá evaluarse caso por caso.
Además, de conformidad con el principio de legalidad (artículo 6.1.a de la Directiva), cualquier operación mediante drones que implique el tratamiento de datos personales debe, en primer lugar, cumplir con la legislación aplicable en general, incluyendo las regulaciones nacionales sobre CCTV y sobre el uso de drones.
3.4 Principios de proporcionalidad, calidad de los datos y minimización de los datos: el papel relevante de la privacidad desde el diseño y por defecto.
Como únicamente podrán tratarse los datos personales si son adecuados, pertinentes y no excesivos en relación con los fines para los que se recaban, debe evaluarse de forma rigurosa su necesidad y proporcionalidad (artículo 6 de la Directiva). Los datos personales sólo podrán tratarse si, y siempre y cuando, los fines no podrían cumplirse mediante el tratamiento de la información que no implique datos personales.
Por otra parte, el principio de minimización de los datos podría ser respetado mediante la elección de la tecnología adecuada y mediante la adopción de medidas de protección de datos y privacidad por defecto, es decir, configurando la privacidad en los servicios y productos que deberían de forma predeterminada evitar el recabado y/o el tratamiento ulterior de datos personales innecesarios. Una carga de datos menos intrusiva debe preferirse siempre y, en su caso, por ejemplo, la implementación de técnicas de anonimización - según lo establecido en el Dictamen 05/2014 sobre Técnicas de Anonimato - podría preverse cuando el tratamiento de datos personales es innecesario.
Por otra parte, en relación con las diversas tecnologías que son capaces de interpretar electrónicamente y procesar los datos biométricos (reconocimiento facial, de identificación del comportamiento), un análisis actualizado y aclaraciones y recomendaciones útiles se pueden encontrar en el Dictamen del GT29 sobre la evolución de tecnologías biométricas [4]. Por ejemplo, cuando se utilizan drones equipados con cámaras de vídeo, podrían ser utilizadas por los Responsables del tratamiento instrucciones técnicas para procesar automáticamente las imágenes mediante el uso de visión borrosa u otros efectos gráficos, a fin de evitar la colección de imágenes de personas identificables siempre que no fueran necesarias.
La aplicación de la protección de datos a través de medidas predeterminadas implica que, de antemano, el principio de privacidad por diseño (PbD) es respetado por los fabricantes y operadores. La protección de datos debe estar integrada dentro de todo el ciclo de vida de la tecnología, desde la etapa inicial de diseño, hasta su despliegue, uso y disposición final; dicha tecnología debe ser diseñada de tal manera que se evite el tratamiento de datos personales innecesarios (por ejemplo, en el caso de las infraestructuras críticas o estratégicas, podría ser aconsejable emplearingeniería en el firmware de los drones con el fin de inhibir la recogida de datos definidos previamente dentro de determinadas zonas de exclusión aérea).
Dada la variedad de aplicaciones de drones, con el fin de evaluar su impacto en los derechos y libertades de las personas y en particular sobre el derecho a la privacidad y protección de datos, podría llevarse a cabo una evaluación de impacto en la protección de datos (PIA). Ésta ayudaría a los operadores para descubrir los riesgos de privacidad (si existen) asociados con el uso de nuevas aplicaciones y evaluar si el tratamiento de datos personales a través de drones es legítimo, necesario y proporcionado a la finalidad, al tiempo que cubre, entre otros, los aspectos relacionados con los principios de transparencia, seguridad y documentación de las medidas adoptadas para hacer frente a los riesgos.
A la luz de esto, el GT29 quiere llamar la atención a los responsables políticos competentes, tanto nacionales como de la Unión Europea, para evaluar la posibilidad de un nuevo marco legal para la integración de los drones en el espacio aéreo europeo civil, para fomentar la adopción, como una buena práctica, de una evaluación de impacto en la privacidad (PIA) para cada tipo de operación de drones que pueda implicar el tratamiento de datos personales, a la luz de los riesgos apreciados que se deriven de las aplicaciones previstas, que también se deberían proporcionar a las partes interesadas (fabricantes y operadores), mediante un conjunto de criterios de fácil implementación.
En particular, como las normas de protección de datos deben ser respetadas en la medida en que se procesan los datos personales, una evaluación de impacto en la privacidad debería preverse para los fabricantes en los casos de drones "diseñados y producidos" con fines de vigilancia y para los operadores que utilizan drones que llevan a bordo cualquier tipo de equipo "audiovisual", teniendo en cuenta - como se decía antes - los efectos de la carga y el propósito del recabado y tratamiento posterior de datos personales.
En los casos en que los drones tengan un sistema de reconocimiento de imágenes, podría implementarse un mecanismo que facilitara el ejercicio de la objeción del interesado, quizá en forma de etiquetas activas o pasivas que indiquen claramente las intenciones de los interesados en relación al tratamiento de su imagen, cómo actualmente se emplean las etiquetas visuales cuyo objetivo es mostrar a los fotógrafos en las conferencias públicas cómo puede ser utilizada la imagen de las diferentes personas fotografiadas.
3.5 Transparencia e información a los interesados
De acuerdo con el principio de tratamiento justo –leal y lícito- (artículo 6 (a) de la Directiva), los interesados ​​deben ser conscientes de la recogida y tratamiento de sus datos personales y por lo tanto deben ser informados de acuerdo con el artículo 10 de la Directiva, sin perjuicio de la las exenciones previstas en los artículos 11 y 13. Tan pronto como sea razonablemente posible, especialmente si se prevé una divulgación a un tercero, o a más tardar cuando los datos sean cedidos por primera vez, de conformidad con el artículo 11 de la Directiva, los interesados ​​deben tener la siguiente información:
  • La identidad del Responsable del tratamiento de los drones y de su representante.
  • Los fines del tratamiento al que van destinados los datos.
  • Cualquier información adicional, como las categorías de datos, los destinatarios o categorías de destinatarios de los datos.
  • La existencia del derecho de acceso y el derecho a especificar y corregir los datos que les conciernen.

Para cumplir con este requisito de transparencia e información a los interesados, los Responsables del tratamiento deben considerar una aproximación multicanal. Las soluciones habituales tales como carteles indicadores o folletos de información para un evento (por ejemplo, explicitado en la entrada de una competición) o en la información del evento (por ejemplo, en la propia programación de deportes) podrían utilizarse fácilmente para informar de las operaciones de aviones no tripulados en ubicaciones fijas (con motivo de eventos deportivos, conciertos, en las excavaciones arqueológicas, parques naturales, etc.) y puede emplearse simbología o iconografía concreta para facilitar el reconocimiento preciso.
También podrían preverse los medios de comunicación social, áreas de exhibición pública en lugares cerrados (por ejemplo, las pantallas de televisión en un estadio deportivo), la emisión de una señal inalámbrica, dotarlos de luces intermitentes, timbres y colores brillantes…
Por otra parte, garantizar que el operador de drones sea muy visible facilita el ejercicio de los derechos de otras personas.
El requisito para que aparezca una marca de registro (similar a una placa de matrícula del vehículo) sólo es relevante en la medida en que los drones son visibles desde el suelo o, si hay una pérdida de control, los datos almacenados tienen que poder estar vinculados al operador. Exigir la transmisión de una señal inalámbrica a modo de registro de marca, que podría ser cruzada con una base de datos en línea de referencia, es otra solución interesante.
Sin embargo, los problemas de protección de datos y su seguridad, que surgen a partir de un sistema de registro, también deben tenerse en consideración.
Además, como buena práctica, el GT29 recomienda que los operadores de drones publiquen información en su página web o en plataformas dedicadas a fin de informar constantemente sobre las diferentes operaciones que han tenido lugar y/o se desarrollarán en el futuro, mientras que, en las zonas remotas o donde es poco probable que los individuos accedan a una página web, la información puede ser publicada en periódicos, folletos o carteles, o por carta en un envío postal masivo (mailing).
En algunos Estados miembros, la Civil Aviation Authority (AAC) publica la lista de los operadores autorizados a hacer un uso profesional de los drones y/o de la autorización concedida para cada operación. Ese tipo de listas deben ser puestas en valor, ya que pueden facilitar el acceso a información relativa a las operaciones de tratamiento de datos.
Además, dado que en muchos Estados miembros, donde se regula el uso de drones, por diferentes razones las operaciones mediante drones no están permitidas en algunas áreas, la publicación de mapas (que los fabricantes puede indicar, por ejemplo, mediante la publicación de un enlace a un recurso de información gestionada por AAC) que mostrara las áreas donde los drones pueden ser utilizados sería muy útil (es decir, la publicación de este mapa ayudaría a las personas a identificar las áreas en las que los drones pueden estar operativos).
El mismo enfoque multicanal podría ser aconsejable en los casos en los que los drones se utilicen para llevar a cabo la vigilancia de grandes infraestructuras (por ejemplo, redes de ferrocarril o las redes eléctricas). La información podría proporcionarse mediante señales y símbolos y, cuando sea posible, en los sitios web. Esta información podría mostrarse de forma general, por ejemplo, simplemente explicando que la infraestructura está siendo supervisada, sin detalles necesarios sobre los próximos vuelos o los pasados.
Por último, en cuanto a las aplicaciones de drones que pueden cubrir áreas más grandes, donde el suministro de información a los interesados ​​resulte difícil o imposible, ha sido sugerida la creación de un recurso nacional o transnacional de información (más fáciles de encontrar que los sitios web de los operadores individuales) que permitan a los individuos identificar las misiones y los operadores asociados con drones individuales.
El GT29 reconoce la conveniencia de esta solución y pide a la Comisión Europea haga uso de los instrumentos de financiación para apoyar las investigaciones e inversiones en este aspecto, en relación a las posibles placas de circulación inteligente para drones y similares.
3.6 Seguridad del tratamiento de datos y cuestiones relacionadas, períodos de almacenamiento, control previo
De conformidad con el artículo 17 de la Directiva, los responsables del tratamiento y los procesadores, en su caso, debe aplicar las medidas técnicas y organizativas adecuadas para proteger el tratamiento de datos personales de la destrucción accidental o ilícita, la pérdida accidental, su alteración, sin autorización.
Divulgación o acceso. Esta disposición también se aplica a los ataques cibernéticos y electrónicos (es decir, la manipulación a distancia sobre el dispositivo, ya sea para tomar el control completo o parcial sobre él, o acceder a los sensores y/o a los datos almacenados).
Esta protección también debe preverse en la fase de transmisión de datos personales desde el dron hacia la estación base.
Se recomienda que los diseñadores de los, y de los equipos adaptados para ser montados en el drone, se involucren con expertos de seguridad necesarios para poder garantizar que las vulnerabilidades a la seguridad se traten adecuadamente.
Además, los datos personales tratados a través de drones no se pueden almacenar durante un período más largo que lo necesario para el propósito del tratamiento. Esos datos, si no están vinculados a cualquier reclamación o problema, se deben eliminar o anonimizar inmediatamente después.
La incorporación de la programación del almacenamiento y eliminación podría ser aconsejable. Por lo tanto, los dispositivos realizados para drones deben ser diseñados de forma tal que permitan el establecimiento de un período de retención definido para los datos personales recogidos y, como consecuencia, la eliminación automática regular de los datos personales que ya no sea necesario conservar, de acuerdo con la eliminación programada.
En relación con todos estos aspectos, el GT29 desea llamar la atención de los Responsables del tratamiento, por lo menos, a los siguientes:
  • Únicamente a un número limitado de personas autorizadas, que se especifiquen, se les debe permitir que vean o accedan a las imágenes grabadas.
  • Debe concederse acceso limitado a las personas antes mencionadas, sobre la base de la estricta necesidad de conocer.
  • Cuando se requiera, el almacenamiento y la transmisión de información debe cifrarse.
  • Debe llevarse un registro de todas las instancias de acceso y uso del material grabado.
  • Deben programarse períodos rigurosos de retención de datos y prever la eliminación automática o la anonimización una vez vencido el período de retención.
  • Notificación de brechas o violaciones de datos a la DPA (por lo que legalmente sea obligatorio).

De acuerdo con las leyes nacionales pertinentes de protección de datos, algunas medidas y disposiciones adicionales podrían decidirse como resultado de la evaluación preliminar de la tramitación de conformidad con el mecanismo de control previo (véase el artículo 20 de la Directiva).
4. Papel de la cooperación entre los diferentes actores y la importancia de las herramientas de autorregulación
La cooperación entre las autoridades de control y la AACjugará un importante papel en la sensibilización de los fabricantes, operadores y pilotos, en relación a las cuestiones de protección de datos asociadas al uso de drones montados con equipos sensores. Para abordar este tema puede disponerse de cursos de capacitación, eventos públicos y folletos comunes. Además, también se debe considerar si hay aspectos en la tramitación de las licenciasexistentes, llevadas a cabo por las AAC, y en la certificación de los pilotos operadores de drones que pueden ofrecer una buena oportunidad para hacer frente a la privacidad o protección de datos en los aspectos relacionados con el uso de drones.
En la mayoría de los casos, las certificaciones o autorizaciones específicas se conceden por la AAC que regula el uso de drones civiles: Los aspirantes son habitualmente examinados en relación a las zonas de vuelo, las rutas, el tipo de dispositivo y la unidad de control. No obstante, en algunos países, el cumplimiento de los requisitos de protección de datos es ya parte del examen discrecional que se lleva a cabo por las autoridades aeronáuticas competentes en la concesión de permisos para operar aeronaves.
Este es el marco, informar a la AAC competente que tener en cuenta para la concesión del permiso el conocimiento de los requisitos establecidos por la legislación de protección de datos sobre el tratamiento previsto de los datos personales, y su propósito, es una buena práctica a ser adoptada, ya que también podría ayudar a llamar la atención de los operadores en los aspectos relacionados con la protección de datos antes de cualquier vuelo autorizado y podría ayudar a confeccionar y mantenerse una base de datos central a disposición del público en la que constara, al menos, una lista de los operadores (incluyendo una descripción genérica de los propósitos para procesar datos personales).
Esto no quiere decir que las AACs asuman la responsabilidad de verificar que el operador del drone ha tomado las medidas adecuadas para cumplir con la legislación nacional de protección de datos, sino que se trata de un requerimiento previo útil que obligará al operador de drones a adoptar una decisión consciente en cuanto a los pasos que tomará en, relación a la privacidad, y si éstos se consideran suficientes.
Podría preverse la promoción de códigos de conducta y/o esquemas de certificación para los fabricantes y operadores, con el fin de mejorar el conocimiento y la comprensión de los operadores de drones civiles en relación a la protección de datos, así como con el fin de ayudar a las autoridades de control a supervisar el cumplimiento.
El importante papel que los códigos de conducta podrían tener en este marco es aún mayor teniendo en cuenta que las autoridades de control no pueden evaluar o perseguir las infracciones de privacidad más allá de sus facultades legales, mientras que aquí es donde la responsabilidad de los operadores de drones puede resultar muy útil.
Por último, un papel útil también podría ser jugado en relación a la protección de la intimidad. A pesar de que estos esquemas no excusarán del tratamiento de datos a partir del conocimiento de sus compromisos de protección de datos y privacidad, la participación de los operadores y fabricantes de drones en un sello de privacidad de enfoque general, podría ser como un medio en que poyarse la rendición de cuentas y el cumplimiento.
5. indicaciones finales y recomendaciones
A la luz de los posibles riesgos y consecuencias que la apertura del mercado de la aviación para drones supondría en relación con la intimidad y las libertades civiles y políticas, el GT29 quiere llamar la atención de los legisladores europeos y nacionales, los fabricantes de drones y de los equipos pertinentes, y operadores de drones/usuarios, las siguientes indicaciones y recomendaciones, que están destinadas a proporcionar una guía que es adicional a la que ya figura en las diferentes opiniones y documentos del GT29 a los que se hace referencia en el presente dictamen.
5.1 Pasos a seguir antes de operar un avión no tripulado
  • Comprobar si la legislación nacional permite operar drones y verificar la necesidad de una autorización específica de la AAC.
  • Aclarar los roles de los diferentes actores posibles: en cuanto al tratamiento, si este no es llevado a cabo directamente por el Responsable, asegurarse de que se rige por un contrato o acto jurídico que vincule al Encargado con el Responsable y que el Encargado actúe únicamente siguiendo las instrucciones del Responsable.
  • Evaluar el impacto en la protección de datos teniendo en cuenta la finalidad de las operaciones y el tipo de drones (dimensión, visibilidad, etc.) y las combinaciones específicas de la tecnología de detección de a bordo; identificar el fundamento jurídico más adecuado (consentimiento de los titulares de los datos, ejecución de un contrato, obligación legal, legítimo interés, etc.) y la posible necesidad de notificar/consultar las autoridades de control competentes conforme a la ley nacional de protección de datos;
  • Elegir la tecnología a bordo que sea más proporcionada según el tipo de operación y adoptar todas las medidas adecuadas de privacidad por defecto: establecer servicios y productos de una manera que se evite la recogida y/o el tratamiento posterior de los datos personales innecesarios;
  • Encontrar la manera más adecuada para notificar previamente a los que puedan verse afectados por el tratamiento de la información: informar a través de carteles o folletos informativos en caso de acceso visual en una zona determinada; en caso de un evento, informar al público por medio de las redes sociales, periódicos, folletos o carteles; dar información clara siempre en el sitio web correspondiente: el anuncio de información debe contener una indicación clara del Responsable, los fines del tratamiento y debe aportar a los interesados indicaciones claras y específicas para el ejercicio del derecho de acceso a los registros visuales, y no visuales, que les conciernen;
  • Adoptar todas las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado con los riesgos que presente el tratamiento y con la naturaleza de los datos que deben protegerse, en particular para evitar cualquier tratamiento no autorizado también durante la fase de "transmisión";
  • Eliminar o anonimizar los datos personales innecesarios poco después del recabado o tan pronto como sea posible.

5.2 Recomendaciones a los responsables políticos y los reguladores del sector
La apertura del mercado de la aviación en el uso civil de drones debe ir de la mano con:
  • La promoción, a nivel europeo y nacional, de un marco con el fin de garantizar no sólo la seguridad de vuelo, sino también el respeto de todos los derechos fundamentales. En esta perspectiva, el GT29 exige una implicación de las partes interesadas en el debate relativo a la integración de los drones en el espacio aéreo civil;
  • La armonización y la modernización de las políticas pertinentes de los Estados miembros en relación con drones, incluyendo cuestiones respecto a la ley aplicable a las operaciones con drones transfronterizas;
  • La introducción, como parte del marco anterior, de las normas específicas que garanticen un uso responsable de los drones, que debe incluir necesariamente el respeto a las áreas privadas (tales como jardines, patios, terrazas, etc.); a tal fin, puede preverse la introducción, cuando sea necesario, de los perímetros virtuales - o zonas de exclusión aérea -. Además, dado que el uso de drones pueden limitarse a áreas muy específicas en muchos Estados miembros, la publicación de mapas por la AAC ayudaría a los usuarios a entender donde se permite el uso de drones (dado que los otros principios sí que son respetados);
  • La introducción de una obligación, a nivel europeo y/o nacional, para que los fabricantes de pequeños drones para el mercado único los envase ​​junto a información suficiente (por ejemplo dentro de las instrucciones de servicio) en relación con la intrusión potencial de estas tecnologías y recordando la necesidad de respetar la legislación y los reglamentos que protegen la privacidad, la protección de datos personales y otros derechos fundamentales.
  • El desarrollo y la introducción por parte de los responsables políticos competentes, a nivel europeo y/o nacional, en estrecha consulta con los representantes de la industria, de criterios de evaluación de impacto en la protección de datos que la industria y los operadores pueden utilizar fácilmente;
  • La introducción de los aspectos de protección de datos entre las principales características de las disposiciones nacionales que regulan el uso comercial de drones (en relación con la competencia del piloto y la formación, entre los requisitos de aeronavegabilidad y certificación, además de la emisión/revocación de licencias de explotación y permisos de trabajo aéreas, etc.) ; en particular, las declaraciones de haber tenidos en cuenta los requisitos de protección de datos podrían ser parte de las condiciones en que se concederá un permiso;
  • La promoción de certificaciones de protección de datos con el fin de mejorar la concienciación y la comprensión de las cuestiones de protección de datos de los operadores de drones civiles, así como con el fin de supervisar su cumplimiento;
Además, el GT29 recomienda que la Comisión Europea haga uso de programas de financiación para apoyar las investigaciones e inversiones para nuevas tecnologías destinadas a aumentar la transparencia (nuevas tecnologías para informar al público en general de la existencia de drones voladores, y sus fines, y poder así ejercer sus derechos de acceso), incluyendo, por ejemplo, placas de matrícula inteligentes o disponer de un sitio web que publique la información en tiempo real acerca de todas las operaciones mediante drones.
5.3 Recomendaciones a los fabricantes y operadores
  • Integrar la privacidad de forma amigable en las opciones del diseño, y la privacidad por defecto, como parte de un enfoque de privacidad en el diseño (PbD).
  • Involucrar a un Delegado de Protección de Datos (DPO), donde esté disponible, en el diseño e implementación de políticas relacionadas con el uso de drones;
  • Promover y adoptar códigos de conducta que pueden ayudar a la industria, y a las diferentes categorías de operadores, a prevenir las infracciones y mejorar la aceptabilidad social de los drones; tales códigos deben contener las sanciones en caso de que los firmantes no cumplan con el código;
  • Hacer que los drones sean, en lo posible, visibles e identificables (mediante señal inalámbrica emitida, luces intermitentes o zumbadores y colores brillantes);
  • En la misma línea, hacer mediante señalización que el operador sea claramente visiblee identificable como la persona responsable del drone;
  • Al organizar y operar un vuelo, aun cuando esté permitido operar drones sobre áreas pobladas, evitar en la medida de lo posible volar sobre o cerca de áreas privadas y edificios.

5.4 Recomendaciones para el uso de los datos personales recogidos por medio de aviones no tripulados para fines policiales
Al igual que el uso de drones con fines comerciales, el uso de los datos personales recogidos por medio de drones por parte de la policía y otras autoridades policiales deben:
  • Cumplir con los principios de necesidad, proporcionalidad, limitación de la finalidad, minimización de datos y privacidad desde el diseño; debe establecerse un período de retención, estricto y justificado, de la información personal;
  • Debe ser respetado el principio de transparencia: el tratamiento de datos llevado a cabo mediante el uso de drones debe atenerse a las disposiciones que establece la ley para ser transparente y previsible respecto a los interesados; en la medida de lo posible, estos últimos deberán ser informados de los tratamientos y de sus correspondientes derechos;
  • La aplicación de la ley a los tratamientos de datos llevados a cabo mediante drones no debe permitir el seguimiento continuado de los individuos, a no ser que ese seguimiento continuo se considere que es estrictamente necesario. En ese caso éste debe limitarse a garantizar las investigaciones para hacer cumplir la ley. El equipo técnico y de detección utilizado debe estar en consonancia con la finalidad del tratamiento;
  • La prohibición de aplicar decisiones automáticas también se aplica a estos usos. Los datos tratados ​​mediante el uso de drones deben ser estudiados por un operador humano antes de tomar cualquier decisión que afecte negativamente a una persona;
  • Los tribunales deben ser capaces de revisar el uso de drones para fines de inteligencia y de aplicación de la ley, de conformidad con las prácticas nacionales;
  • Debe llevarse a cabo un examen periódico respecto a la necesidad de tratar datos personales mediante el uso de drones y del cumplimiento de este uso con la evolución de los marcos legales;

Además, el uso de drones con la finalidad de aplicar o hacer cumplir la ley, incluso en el caso de investigaciones justificadas - tales como la vigilancia específica -, deberán exigir como mínimo un alto nivel de aprobación en la jerarquía organizacional. Dependiendo de la legislación nacional, los datos personales recogidos para este tipo de investigaciones mediante el uso de drones, deben incorporarse a los expedientes administrativos que puedan ser utilizados en los tribunales.
6. Bibliografía recomendada (Por el editor de éste Blog)
- ARTICLE 29 DATA PROTECTION WORKING PARTY. “Opinion 01/2015 on Privacy and Data Protection Issues relating to the utilisation of Drones”. Adopted on 16 June 2015. 01673/15/EN. WP 231. Dictamen original (en inglés)
- LIBE committee. “Privacy and data protection implications of the civil use of drones”. Directorate General for Internal Polices. Policy Department. Citizens’ Rights and Constitutional Affairs. Justice, Freedom and Security. 2015. In-depth analysis for the LIBE Committee (en inglés)
- [1] José Luis Colom.“Recopilación de entradas sobre Privacidad desde el Diseño (PbD)”. Blog Aspectos Profesionales. Junio 2015. Entradas sobre PbD

 
 
- [2] Comisión Europea. “Una nueva era de la aviación - Abrir el mercado de la aviación al uso civil de sistemas de aeronaves pilotadas de forma remota de manera segura y sostenible. COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO. Bruselas, 8.4.2014. COM (2014) 207 final.
Una nueva era de la aviación
- Francisco Javier Sempere. “Uso y régimen jurídico aplicable a los drones”. Blog Privacidad Lógica. Mayo 2014. Régimen jurídico aplicable a los drones
- [3] Grupo del artículo 29 sobre protección de datos. “Dictamen 4/2004 relativo al tratamiento de datos personales mediante vigilancia por videocámara”. Adoptado el 11 de febrero de 2004. 11750/02/ES. WP 89. Vigilancia por videocámara
- [4] GRUPO DE TRABAJO DEL ARTÍCULO 29. “Dictamen 3/2012 sobre la evolución de las tecnologías biométricas”. Adoptado el 27 de abril de 2012. 00720/12/ES. WP193. Dictamen biometría
7. Derechos de autor
Imágenes bajo licencia 123RF internacional.
This Working Party was set up under Article 29 of Directive 95/46/EC. It is an independent European advisory body on data protection and privacy. Its tasks are described in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.
Copyright notice: © European Union, 1995-2015
Reuse is authorised, provided the source is acknowledged. The reuse policy of the European Commission is implemented by a Decision of 12 December 2011.
The general principle of reuse can be subject to conditions which may be specified in individual copyright notices. Therefore users are advised to refer to the copyright notices of the individual websites maintained under Europa and of the individual documents. Reuse is not applicable to documents subject to intellectual property rights of third parties.
Twittear