Guía sobre el uso de drones (Irlanda)

La Comisión de Protección de Datos de Irlanda (Data Protection Commission) publicó recientemente en su sitio web una Guía sobre el uso de drones (Guidance on the use of drones). Según refiere la Guía, los drones comprenden una categoría amplia de sistemas aéreos no tripulados (Unmanned Aerial Systems – UAS) de distintos tamaños, que son susceptibles de pilotearse de forma remota y los cuales se encuentran equipados comúnmente con tecnología para recopilar imágenes, videos, sonidos y/u otra información, y que poseen la capacidad para transmitir dichos datos a dispositivos inteligentes (por ejemplo, al almacenamiento en la nube).

La Guía ha sido elaborada para operadores de drones con fines distintos a los de uso público, así como para responder diversas consultas presentadas por los interesados, teniendo en cuenta que los drones pueden convertirse de manera efectiva en un sistema de vigilancia móvil, ya que es muy probable que capturen los datos de las personas que transitan sin que estos puedan advertirlo.

Independientemente de la naturaleza (profesional o recreativa) de la actividad que se lleve a cabo, según la legislación de la Unión Europea (UE), la Guía recuerda que la recolección de información relacionada con personas físicas de tal manera que sean identificadas o identificables, a través de aeronaves no tripuladas, constituye potencialmente un tratamiento de datos personales.

Una persona que determina los fines y los medios de la actividad de tratamiento de datos recabados a través de un dron está obligada a cumplir (y ser capaz de demostrar que cumple) con todas las normas de protección de datos aplicables, a menos que la actividad efectuada con el dron pueda considerarse una actividad puramente doméstica o personal.

Al igual que con cualquier tratamiento de datos personales, la grabación de imágenes identificables de personas a través de drones debe tener una base legal bajo los marcos legislativos de protección de datos (incluyendo la posibilidad de recurrir al interés legítimo de los propietarios de los drones, siempre y cuando los intereses de los responsables del tratamiento están balanceados, y sobre los cuales no prevalezcan los intereses o los derechos y libertades fundamentales de los individuos cuyos datos personales se están procesando).

La Guía apunta algunas cuestiones clave para los operadores de drones. Sin ánimo de exhaustividad se pueden señalar las siguientes:

• Cumplir con todas las leyes aplicables, no solo de protección de datos (incluyendo las de responsabilidad o ley aeronáutica), para que las actividades de tratamiento de datos se consideren lícitas.

• Establecer claramente los fines para los que se recopilan los datos personales a través del dron, y eventualmente tratarlos para fines iguales o compatibles, incluida la divulgación de datos a terceros.

• Confiar en una base legítima para llevar a cabo las actividades de tratamiento de datos, que dependerá de las circunstancias del caso.

• Proporcionar a los interesados o titulares de los datos ​​la información requerida, y en la forma prevista por la ley de protección de datos, tan pronto como se recaben sus datos personales (al momento de registrar la información con el dron), para que estén en la posibilidad de ejercer sus derechos. Las medidas específicas dependerán del contexto y del entorno en el que se recolecten los datos.

• Recabar y usar los datos personales solo en la medida en que sea estrictamente necesarios de acuerdo con sus propósitos ("minimización de datos").

• Configurar el sistema de recolección de datos del dron y los sistemas de almacenamiento de datos de manera que, por defecto, se evite la recolección innecesaria y su tratamiento posterior, por ejemplo, mediante la anonimización de los datos.

La Guía enfatiza que el uso del dron es responsabilidad del operador, quien deberá asegurarse de que el dron que utiliza cumpla con la privacidad por diseño y por defecto. Al comprar el equipo, deberá verificar si el dispositivo se ha manufacturado teniendo en cuenta las obligaciones de protección de datos.

Asimismo, es responsabilidad del operador del dron asegurarse que se implementen las medidas técnicas y organizativas apropiadas para la seguridad del tratamiento de los datos, teniendo en cuenta que, en caso de falla de cualquiera de tales medidas, es posible que se incumpla la obligación de tratar datos personales de acuerdo con el principio de integridad y confidencialidad, y se puede estar obligado a informar una violación de datos personales (brecha de seguridad). Al respecto, el operador deberá prestar atención especial a las características tecnológicas de seguridad integradas en el sistema del dron relativas a la recolección y el almacenamiento de datos.

Por otra parte, teniendo en cuenta que, al configurar un dron, pueden utilizarse servicios de terceros, como el almacenamiento en la nube, es importante almacenar de forma segura y sencilla los datos recabados. Para tal efecto, los proveedores de estos servicios pueden ser calificados como “encargados” cuando lleven a cabo el tratamiento por cuenta del operador del dron, en su carácter de responsable del tratamiento, quien deberá procurar establecer las responsabilidades de los encargados para cada operación del sistema de recolección y almacenamiento de datos personales a través de drones, por escrito.

Finalmente, no se omite señalar que la Comisión de Protección de Datos de Irlanda es la autoridad nacional independiente responsable de defender el derecho fundamental de las personas a que se protejan sus datos personales. Asimismo, es la autoridad supervisora ​​del Reglamento General de Protección de Datos en dicho país.