Protección de datos en el uso de drones

Además, la legislación aeronáutica española (Real Decreto 1036/2017) exige a los operadores de drones “adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad”.

Por tanto, la normativa no solo considera la seguridad del vuelo, sino también la privacidad de las personas que podrían verse afectadas.

Tipos de operaciones con drones según el tratamiento de datos

La AEPD clasifica las operaciones con drones en tres grandes categorías, dependiendo de cómo y por qué se tratan datos personales:

Operaciones sin tratamiento de datos personales

Son las menos frecuentes. Aquí se incluyen drones muy básicos (sin cámara, sin sensores), o drones usados recreativamente donde no se pretende identificar personas.

Aunque no se busque recoger datos, la guía recomienda tener cuidado si se van a publicar las imágenes: antes de subir vídeos o fotos a Internet, es imprescindible verificar que no contengan elementos que puedan identificar personas (matrículas, viviendas, rostros…), y, de ser así, anonimizar (por ejemplo, difuminando) dichos elementos.

Operaciones con riesgo de tratamiento colateral o inadvertido

Este es un escenario muy común: el objetivo principal del vuelo no es captar información personal, pero puede suceder de forma no intencionada (por ejemplo, en la inspección de infraestructuras, agricultura de precisión, grabaciones para cine o publicidad).

Para estos casos, la AEPD sugiere varias medidas para mitigar el riesgo:

Minimizar la presencia de personas: planificar los vuelos en momentos de menor afluencia o restringir el acceso a la zona de vuelo.

Reducir la captación de imágenes a lo estrictamente necesario: no grabar más tiempo o contenido del que es imprescindible para el fin de la operación.

Privacidad por diseño: ajustar la resolución de la cámara, reducir la precisión de la geolocalización, usar cifrado de datos, permitir detener la captura en cualquier momento, etc.

Evitar el almacenamiento de datos innecesarios: si se graban imágenes de personas, solo conservar lo esencial; por ejemplo, si el objetivo es hacer un levantamiento topográfico, no tiene sentido guardar imágenes en las que se puedan identificar bañistas o transeúntes.

Capturar a distancia cuando haya personas: realizar las tomas desde una distancia tal que no sea posible identificar rasgos personales.

Operaciones cuyo fin es el tratamiento de datos personales

Aquí es donde el dron se utiliza explícitamente para recopilar datos personales: videovigilancia, grabación de eventos, detección de dispositivos móviles, etc.

En estos casos aplica plenamente el RGPD y la LOPDGDD. La guía recomienda:

Definir claramente quién es el responsable del tratamiento (quién decide por qué se graban los datos) y quién es el encargado (quién pilota el dron y procesa los datos). Si el dron actúa por encargo de otro (por ejemplo, una empresa que contrata imágenes para vigilancia), debe haber un contrato formal entre ellos.

Minimizar la captura de imágenes: grabar solo lo estrictamente necesario para cumplir la finalidad del tratamiento.

Incorporar medidas de privacidad desde el diseño, como resolución adecuada, anonimización automática, cifrado, comunicaciones seguras, encendido/apagado de captura durante el vuelo, etc.

Facilitar la información a los afectados: aunque el dron esté en vuelo, es necesario dar visibilidad sobre quién está detrás del tratamiento, con qué propósito, y cómo ejercer los derechos (acceso, rectificación, supresión…). Esto se puede hacer a través de señalización, páginas web, folletos o cualquier canal adecuado.

Limitar el tiempo de almacenamiento: anonimizar o eliminar los datos personales lo antes posible si ya no son necesarios para la finalidad.

¿Necesito pedir consentimiento para grabar con un dron?

Dependiendo de la finalidad (por ejemplo, intereses legítimos, cumplimiento de una obligación legal o prestación de un servicio), pueden aplicarse otras bases diferentes del consentimiento. Sin embargo, cuando la captación de imágenes afecta directamente a personas identificables y no existe otra base legal válida, sí puede ser necesario.

¿Qué ocurre si mi dron capta accidentalmente datos personales de terceros?

Si la captación es involuntaria y no es necesaria para la finalidad del vuelo, el operador debe eliminar esos datos lo antes posible. Además, es recomendable ajustar la configuración o planificación futura del vuelo para reducir la probabilidad de grabaciones no deseadas.

¿Se aplica la normativa de protección de datos si vuelo por ocio?

La normativa no se aplica si el uso es estrictamente personal o doméstico y las imágenes no se difunden más allá del ámbito privado. Pero, si se publican en redes sociales o plataformas abiertas, el tratamiento deja de considerarse doméstico y debe cumplir la normativa.

¿Qué responsabilidades tiene el piloto frente a la empresa que solicita las grabaciones?

Cuando el piloto realiza el vuelo por encargo, su figura suele corresponder a la de encargado del tratamiento. Esto implica seguir estrictamente las instrucciones del responsable y no utilizar las imágenes para fines propios. Debe existir un contrato que formalice estas obligaciones.

En Forlopd ayudamos a empresas, profesionales y entidades a mejorar la privacidad de la información, adaptando sus procesos a las normativas vigentes en materia de protección de datos. Puedes solicitarnos un análisis de cumplimiento sin coste a través del formulario de solicitud y nuestros especialistas te guiarán en el proceso.