¿Cómo te sentirías si un dron vuela sobre tu casa y graba a tus hijos mientras ellos juegan en el jardín? Algo similar sucedió en Kentucky, cuando William H. Merideth decidió derribar el dron de su vecino con su escopeta, argumentando que estaba espiando a su hija de 16 años mientras ella tomaba sol junto a la piscina. El juez que vio el caso lo liberó de responsabilidad al señalar que tenía el derecho a dispararle debido a que estaban violando su derecho a la privacidad.
a configuración por defecto de cualquier dron incluye al menos un GPS y una cámara de video por lo que a través de esta tecnología se pueden realizar funciones de supervisión, vigilancia o control, dado que producen unas imágenes extremadamente nítidas. Se puede añadir todo tipo de dispositivos de adquisición y procesamiento de datos como cámaras termográficas, cámaras de visión nocturna, escáner 3D, dispositivos WIFI y/o Bluetooth, sistemas de detección de dispositivos móviles, entre otros. En otras palabras, los drones pueden llevar instalados equipos de grabación de sonido, muy sensibles y hasta cámaras de infrarrojos o sistemas de interceptación de comunicaciones móviles. Esto permite que se pueda monitorear personas en sus casas, en la calle, en sus centros de trabajo e incluso en sus lugares de esparcimiento.
Asimismo, los drones pueden ser equipados con aparatos de reconocimiento facial o biométrico lo que permite que se pueda rastrear o seguir a personas basados en parámetros como altura, edad, raza o sexo. Evidentemente, el propietario de un dron puede realizar tratamientos de datos personales que afecte la privacidad de las personas. Cabe señalar que, a diferencia de una cámara de videovigilancia instalada en una fachada, los drones pueden volar y moverse por los cielos, lo que implica que pueden pasar desapercibidos por los ciudadanos mientras los filman. Esto nos lleva a la siguiente pregunta: ¿Cómo se puede tutelar el derecho a la protección de datos personales sin frenar el desarrollo de esta tecnología?
Cabe recordar que el derecho a la protección de datos es un derecho fundamental que garantiza la capacidad de cualquier persona natural a decidir y tener control sobre su propia información personal. El uso de drones con dispositivos como los que se mencionan en los párrafos anteriores puede suponer o supone un impacto en el derecho a la protección de datos de las personas y, por lo tanto, puede implicar una lesión de sus derechos y libertades. Estamos ante un escenario donde, potencialmente, pueden producirse grandes abusos en materia de protección de datos personales, pues es fácticamente imposible que las personas puedan ejercer un control real sobre quién los graba desde un dron.
¿Quiénes están obligados a cumplir con la normativa de protección de datos personales? Tomando en consideración que un dato personal es toda información sobre una persona natural que lo identifica o lo hace identificable, los operadores de drones que recopilen, almacenen, registren y/o procesen imágenes, videos, sonidos, datos biométricos, datos de geolocalización relacionados con una persona identificada o identificable, están sujetos a la aplicación de la Ley N° 29733 – Ley de Protección de Datos Personales. En otras palabras, tanto si el dato recogido mediante drones identifica inequívocamente a una persona como si su identificación requiera de información adicional (cruce de información) para identificarlo, la normativa de protección de datos personales es aplicable.
Desde la perspectiva que atañe estrictamente a la protección de datos, las operaciones con drones se pueden clasificar en:
1) Aquellas en las que la finalidad de la operación implica por sí misma un tratamiento de datos personales. Por ejemplo, la videovigilancia de personas o el monitoreo o rastreo de personas a través de los drones.
Respecto al manejo de drones con fines de videovigilancia, la Directiva N° 01-2020-DGTAIPD – Directiva sobre Tratamiento de Datos Personales mediante Sistemas de Videovigilancia – establece que las personas que, con fines de seguridad privada, por razón de sus funciones, tengan a su cargo el sistema de videovigilancia a través de drones, deben contar con formación especializada en el manejo de estos equipos, garantizando reserva y confidencialidad.
El responsable del tratamiento o el encargado debe implementar las medidas necesarias para prevenir la captación de imágenes de terceros ajenos a los fines de la captación, para no afectar sus derechos. Asimismo, debe cumplir con el principio de información contemplado en el artículo 18° de la Ley de Protección de Datos Personales. Es por ello, que se recomienda la utilización de un cartel o folleto que permita informar que la zona es videovigilada por drones. Los titulares de datos personales o encargados de tratamiento, en caso cuenten con una página web, deben publicar información que permita conocer los diferentes tipos de operaciones realizadas o las que se proponen realizar en el futuro cercano con los datos captados. Resulta imperativo que los responsables o encargados de tratamiento cuenten en su sitio web, con mecanismos necesarios que faciliten el ejercicio de los derechos ARCO de los titulares.
Adicionalmente, el responsable del tratamiento deberá elegir la tecnología más adecuada a la finalidad que se persigue con la operación y adoptar todas las medidas apropiadas de “privacy by design” (privacidad por defecto), evitando la recopilación y tratamiento posterior de datos innecesarios. También deberá adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado minimizando los riesgos de vulneración de los derechos y libertades de las personas, en particular para prevenir cualquier tratamiento no autorizado durante la fase de transmisión de los datos capturados.
2) Aquellas operaciones en las que la finalidad de la operación a priori no incluiría el tratamiento de datos personales, como puede ser la inspección de construcciones, levantamientos topográficos, inspecciones del terreno y otros servicios de fotografía y vídeo. Sin embargo, en este supuesto nos enfrentamos a dos eventos:
2.1) Que, efectivamente, no se trate ningún dato personal. Por ejemplo, que el tratamiento se realice para el uso doméstico o que, debido a las circunstancias no se recopile ninguna información personal. En este supuesto, sólo habría que tener cuidado en caso se quiera compartir la filmación en redes sociales o en internet y habría que asegurarse de que no contienen imágenes o datos relativos a personas, vehículos, viviendas u otros objetos que puedan conducir a la identificación de sujetos, y en caso afirmativo anonimizarlas mediante técnicas de difuminado o similares.
2.2) Que, exista el riesgo de ocurrencia de tratamientos de datos personales de forma inintencionada o inadvertida. Por ejemplo, al momento de filmar la construcción de un edificio. En este supuesto, aunque no sea el objetivo de la grabación, existe el riesgo de que se produzca la captura de datos personales en forma inintencionada o inadvertida. Esto puede ocurrir bien porque sea inevitable capturar en segundo plano determinadas imágenes de personas, o bien por la captura de otro tipo de información (viviendas próximas, zonas de recreo, vehículos, etc.).
En estos casos, el operador del dron deberá respetar el principio de proporcionalidad y minimizar la captura de imágenes a lo absolutamente necesario, reduciendo las posibilidades de que puedan aparecer personas inadvertidamente en las imágenes, y considerando la posibilidad de no capturar el vuelo completo, sino solo aquellos momentos que sean necesarios.
Asimismo, deberá tener un dron que cumpla con el principio de “privacy by design” como, por ejemplo, ajustar la resolución de la imagen al mínimo necesario para ejecutar el propósito del tratamiento, reducir la granularidad de la geolocalización con el mismo propósito; aplicar técnicas para anonimizar imágenes (automáticamente durante la captura o procedimientos para hacerlo inmediatamente después) o mecanismos para iniciar y detener la captura de datos en cualquier momento durante la operación; implantar protocolos de comunicaciones seguros que impidan a terceros el acceso a las transmisiones de los datos capturados o incluso al control del propio dispositivo, o incluir mecanismos que permitan el cifrado de los datos capturados y almacenados en el propio dron.
A modo de reflexión, la normativa de protección de datos personales vigente tal y como está planteada, no resulta suficiente para proteger a los ciudadanos de un tratamiento indebido por parte de los operadores de drones. Para ello, se necesita, en primer lugar, que, el Estado capacite más a las personas acerca de su derecho a la protección de datos personales. En segundo lugar, se necesitan multas más elevadas para desincentivar el tratamiento indebido. Finalmente, urgen incentivos para que los empresarios decidan invertir en tecnología que cumpla con el principio de privacidad desde el diseño. Tal vez una norma que permita que aquellas empresas que tengan una certificación en materia de protección de datos personales puedan tener algún tipo de beneficio tributario o que esto le de mayores posibilidades de ser contratadas con el Estado estimule el cumplimiento de la Ley de Protección de Datos Personales.
1] La expresión “dron” se refiere a todo vehículo aéreo no tripulado (“Unmanned Aerial Vehicle”, UAS). Bajo este concepto cabe entender todo “vehículo aéreo propulsado que no lleva personal como operador a bordo”.
que la utilizan para hacer envíos. En Dubai, se piensa utilizar esta tecnología para transportar a gente. También sirve para situaciones de emergencia tales como la búsqueda de personas perdidas o llevando recursos a aquellos lugares que han sufrido una catástrofe natural debido a que su velocidad de vuelo les permite recorrer áreas enormes en muy poco tiempo. En España se están comenzando a utilizar a los drones para controlar los ingresos marítimos. Los constructores, los utilizan para grabar sus obras; los agricultores, para localizar las plagas; los bomberos, para combatir los incendios forestales; los geólogos, para tomar muestras del interior del volcán u otros lugares de difícil acceso; los arqueólogos, para estudiar las ruinas. Inclusive los drones podrían ser la solución para garantizar el acceso a internet en las zonas rurales, los cuales podrían funcionar con energía solar.
Guía con recomendaciones sobre protección de datos en la utilización de drones. Agencia Española de Protección de Datos Personales, p.4.
El principio de “privacy by design” o “privacidad es un principio que es recogido en el Reglamento General de Protección de Datos de la Unión Europea el cual se puede aplicar a nuestro ordenamiento, que determina que antes de poner en marcha un producto o servicio se debe tener en cuenta el impacto de este, respecto a la privacidad de las personas. Esto supone una reflexión con carácter preventivo en relación a la finalidad de lo que se va a construir y las consecuencias posibles que pudiera tener para la privacidad del usuario. Se basa en medidas proactivas, es decir, previene y anticipa problemas de privacidad antes de que ocurran. Es decir, no espera a que los riesgos se materialicen. La clave de este principio es que un producto o servicio desarrollado bajo este concepto, no requiere ninguna acción por parte del usuario para proteger su privacidad. Aunque la persona no realice ninguna acción la privacidad se mantiene intacta, ya que se encuentra predeterminada. Los datos personales deben estar automáticamente protegidos en cualquier sistema tecnológico.
Leer la noticia completa aquí.