Resumen: Por su interés y actualidad se
presenta la traducción “no oficial” del Dictamen 01/2015 del Grupo de Trabajo
del artículo 29 (GT29) sobre la
utilización de drones. El editor lo adapta al formato del Blog y aprovecha para referenciar
bibliografía relacionada.
Autor del artículo
|
Colaboración
|
|
GRUPO DE TRABAJO DEL ARTÍCULO 29. COMISIÓN EUROPEA
|
||
Actualizado
|
29 de junio de 2015
|
|
Índice
1. Introducción
2. Descripción del fenómeno y del impacto sobre la privacidad y la
protección de datos
2.1 Definición,
características y potencialidades de los drones
2.2 Riesgos
para la protección de datos
3. Análisis jurídico
3.1 Aplicabilidad
de la Directiva de Protección de Datos
3.2
Tratamiento de datos personales con fines policiales
3.3 Legalidad
del tratamiento y principio de limitación de la finalidad
3.4 Principios
de proporcionalidad, calidad de los datos y minimización de los datos: el papel
relevante de la privacidad desde el diseño y por defecto.
3.5
Transparencia e información a los interesados
3.6 Seguridad
del tratamiento de datos y cuestiones relacionadas, períodos de almacenamiento,
control previo
4. Papel de la cooperación entre los diferentes actores y la importancia
de las herramientas de autorregulación
5. indicaciones finales y recomendaciones
5.1 Pasos a
seguir antes de operar un avión no tripulado
5.2 Recomendaciones
a los responsables políticos y los reguladores del sector
5.3
Recomendaciones a los fabricantes y operadores
5.4
Recomendaciones para el uso de los datos personales recogidos por medio de
aviones no tripulados para fines policiales
6. Bibliografía recomendada (Por el editor de este Blog)
7. Derechos de autor
Resumen
ejecutivo
A la luz de la progresiva integración de drones en el espacio aéreo civil europeo y la
aparición de numerosas aplicaciones de los drones (que abarcan el ocio, los
servicios, la fotografía, la logística, la vigilancia de las infraestructuras…)
existe una verdadera necesidad de centrarse en los desafíos que un despliegue a
gran escala de drones, junto a tecnologías de sensores, podrían provocar para
la privacidad y las libertades civiles y políticas y también para evaluar las
medidas necesarias que garanticen el respeto de los derechos fundamentales y la
protección de datos.
De hecho, pueden surgir diferentes riesgos para la privacidad
en relación con el tratamiento de los datos (por ejemplo, imágenes, sonido y
geolocalización relativos a una persona física identificada o identificable)
llevadas a cabo por el equipo de a bordo de un drone. Tales riesgos pueden ir desde la falta de transparencia de
los tipos de tratamiento, debido a la dificultad de poder ver drones desde el
suelo, hasta, en cualquier caso, la dificultad para saber qué equipo de tratamiento
de datos llevan a bordo y con qué fines están siendo recogidos los datos personales
y por quién.
Por otra parte, las prestaciones de los drones y la
posibilidad de interconectar varios de ellos facilita aún más su capacidad de
alcanzar puntos de vista únicos, por ejemplo evitando obstáculos o no estando
limitados por barreras, muros o cercas, permitiendo el fácil recabado de una
amplia variedad de información, incluso sin la necesidad de una línea directa
de visión, durante largos períodos de tiempo y abarcando una gran superficie de
exploración (con un alto riesgo de una excesiva e ilícita recopilación de datos
para posibles usos multipropósito).
Incluso los mayores riesgos para los derechos y libertades de
las personas surgen cuando el tratamiento de datos personales por medio de drones
se lleva a cabo con fines policiales.
Con el fin de abordar adecuadamente estas preocupaciones,
después de haber aclarado el alcance de las conclusiones a la luz de las
excepciones previstas en la Directiva 95/46/CE (exención doméstica para el tratamiento
con fines periodísticos y con fines policiales), este Dictamen proporciona
directrices con el fin de abordar correctamente las normas de protección de
datos en el contexto de lo drones.
Debe verificarse:
- La necesidad de una autorización específica de las Autoridades de Aviación Civil (AAC) cuando la legislación nacional permita operar un drone.
- La búsqueda de los criterios más adecuados para el tratamiento legítimo, cumpliendo con el principio de limitación de finalidad, el principio de minimización de los datos y el principio de proporcionalidad (mediante la elección de la tecnología más apropiada junto a las medidas para evitar la recogida de datos personales innecesarios) del modo más equilibrado para el caso que nos ocupa.
- El principio de transparencia (informando a los interesados de los tratamientos llevados a cabo) son obligaciones que deben cumplirse antes de operar un drone.
Del mismo modo, es necesario adoptar todas las medidas de
seguridad adecuadas y eliminar o anonimizar los datos personales que no son
estrictamente necesarios.
Además, el Grupo de Trabajo del artículo 29 (GT29) recomienda
la adopción de las medidas de privacidad
desde el diseño (PbD) [1] y la privacidad por defecto y sugiere la evaluación de impacto de protección de
datos (PIA) como una herramienta apropiada para evaluar el impacto de la
aplicación de la tecnología de drones sobre el derecho a la intimidad y a la protección
de datos.
Por otra parte, con el
fin de concienciar a los usuarios, se propone una recomendación específica a
los fabricantes de drones para proporcionar información suficiente dentro del
embalaje (por ejemplo dentro de las instrucciones de servicio) en relación con
la intrusión potencial de estas tecnologías y, cuando sea posible, de los mapas
identificando claramente donde se permite su uso...
Entre otros, este Dictamen también aborda recomendaciones a
los responsables políticos, tanto europeos como nacionales, para el
fortalecimiento de un marco que garantice el respeto de todos los derechos
fundamentales en juego, no sólo la protección de datos, introduciendo normas
específicas que garanticen un uso responsable de los drones (que debe
necesariamente incluir el respeto a la propiedad privada). Además, el GT29 pide
a los responsables políticos la introducción de los principios de protección de
datos entre las principales características de las disposiciones nacionales que
regulen el uso comercial de drones (en relación con la cualificación del piloto
y su capacitación, junto a requisitos y certificaciones de aeronavegabilidad, pasando
por la emisión / renovación de licencias de operación y permisos de trabajo
aéreo), que piden una cooperación estrecha entre las autoridades de protección
de datos y las AAC.
El GT29 también recomienda a fabricantes y a operadores que elijan
diseños que incorporen de forma embebida la privacidad, basándose en un enfoque
de privacidad desde el diseño y por
defecto, involucrando a un Delegado de
Protección de Datos (DPO) en el diseño e implementación de políticas
relacionadas con el uso de drones (donde esta figura esté contemplada) y para promover la adopción de códigos de conducta que puedan ayudar a
los diversos actores, de la industria y los operadores, para prevenir las
infracciones y mejorar la aceptación social de los drones.
Las recomendaciones específicas para el uso de los datos
personales recogidos por medio de drones, para fines policiales, también se
exponen en este Dictamen. En particular, el tratamiento de datos llevado a cabo
por medio de drones para la aplicación de la Ley por parte de los cuerpos
policiales debe, por regla general, evitar el seguimiento constante, debiendo
el equipo técnico y de detección utilizado a
bordo estar en consonancia con la finalidad del tratamiento.
1. Introducción
Con vistas a permitir la integración progresiva de los
sistemas de aeronaves pilotadas de forma remota (RPAS) en el espacio aéreo
civil, la Comisión Europea adoptó la Comunicación COM (2014) 207 [2] "Una
nueva era para la aviación - La apertura del mercado de la aviación para el uso
civil de los sistemas de aeronaves pilotadas remotamente [dirigidas por control
remoto] de una manera segura y sostenible” que responde a la llamada de la
industria manufacturera y de servicios de Europa para eliminar los obstáculos a
la introducción de drones para uso civil en el mercado único europeo.
La apertura del mercado a los drones requeriría la
introducción de un marco regulatorio adecuado por la adopción de, en su caso,
las políticas nacionales necesarias y las normas europeas comunes, a desarrollar
por la Agencia Europea de Seguridad Aérea (AESA). Las notas del Grupo de
Trabajo del Artículo 29 (GT29), en este sentido, denotan la falta de un marco
regulatorio adecuado en los Estados miembros. En este contexto, debe alentarse
la armonización y la modernización de las políticas de aviación de los Estados
miembros en relación con drones.
El GT29 reconoce los beneficios sociales y económicos del uso
civil de drones, y su potencial de crecimiento y generador de empleo, pero considera que es igualmente
importante resaltar todas las amenazas y riesgos para la protección de datos y
privacidad que resultan de un despliegue a gran escala de la tecnología de drones,
debiendo evaluarse las medidas necesarias para garantizar el respeto de
todos los otros derechos fundamentales en juego.
De hecho, el tratamiento de datos personales por parte de drones
tiene una naturaleza peculiar debido al punto de vista único que aumenta la
eficacia de los sensores de a bordo e
implica una transparencia reducida y una mayor intrusión de la privacidad en
comparación con sensores fijos similares.
Por sus similitudes percibidas puede considerarse, por ejemplo, la videovigilancia
mediante drones versus el empleo de una cámara de videovigilancia terrestre fija.
La integración de los aviones no tripulados en el mercado
europeo de la aviación y sus diferentes usos civiles (incluyendo el uso de apoyo
al cumplimiento de la ley) planteará desafíos específicos que deben superarse
con el fin de "respetar los derechos
y principios consagrados en la Carta de Derechos Fundamentales de la Unión
Europea, y en particular el derecho a la vida privada y la vida familiar
(artículo 7) y la protección de datos personales (artículo 8)" y, desde
esta perspectiva, la participación de los legisladores en el debate relativo a
la integración de los drones en el espacio aéreo civil será indispensable.
Equilibrar todos los derechos e intereses en juego será un
reto que no puede ser ignorado por los responsables políticos, a fin de
garantizar que Europa pueda estar a la vanguardia en este nuevo sector, sin
olvidar que "la Unión se basa en los
valores indivisibles y universales de la dignidad humana, la libertad, la
igualdad y la solidaridad y en los principios de la democracia y el Estado de
Derecho".
El presente Dictamen responde a la convocatoria realizada por
la Comisión Europea con el fin de proporcionar indicaciones prácticas a los
legisladores y reguladores (tanto a nivel europeo como nacional, incluyendo las
Autoridades de Aviación Civil (AACs), la industria, los políticos y la
ciudadanía en general. Éstas incluyen abordar el impacto sobre la privacidad y
protección de datos y las consecuencias del uso prolongado de las diferentes
aplicaciones basadas en drones para los diversos usos civiles.
Se consideran las peculiaridades y criticidades relacionadas
con el cumplimiento de requisitos específicos en el marco jurídico de
protección de datos existente. El Dictamen concluye con recomendaciones sobre
la forma de abordar adecuadamente los riesgos que puedan surgir en relación con
drones, y los efectos de su uso, con el fin de efectuar un tratamiento de datos
personales lícito y compatible con el marco jurídico de protección de datos.
2.
Descripción del fenómeno y del impacto sobre la privacidad y la protección de
datos
2.1
Definición, características y potencialidades de los drones
En términos generales, los drones son vehículos aéreos que
pueden pertenecer a diferentes categorías con una amplia variedad de
especificaciones, características y capacidades. Los drones pueden ser
diseñados para soportar múltiples cargas útiles por lo que varían en tamaño y
capacidad técnica. El tipo más básico de los drones, constituido únicamente por
componentes vitales, no puede procesar datos personales, pero aun así puede
causar molestias e inconvenientes a terceros.
La adición de sensores para diferentes fines, como para
grabar datos de audio o vídeo, plantean preocupaciones obvias sobre la
protección de datos y la privacidad. Sin embargo, es importante recordar que
los drones disponibles en el mercado no necesariamente están equipados con
cámaras de a bordo u otros sensores
de forma predeterminada y puede ser el operador del drone quién decida incluir
tal capacidad adicionalmente al diseño original, dependiendo del tipo de uso. En
otras palabras, un drone puede ser
diseñado y construido por el propio operador abasteciéndose de los componentes a
partir de una variedad de proveedores.
Algunos ejemplos de equipos que podrían tener un impacto en
la privacidad y protección de datos son:
- Equipo de grabación visual: cámaras inteligentes con distancia focal fija o variable, capaz de almacenar y transmitir imágenes en vivo, mediante capacidades a bordo de reconocimiento facial en tierra, permitiendo a los drones identificar y rastrear personas, objetos o situaciones concretas, identificar los patrones de movimiento, leer las matrículas de los vehículos, obtener simultáneamente una visión de 360°, detectar la energía térmica emitida por un objetivo, lo que permite el vuelo y la grabación de imágenes en condiciones de poca visibilidad (debido a la niebla, humo, o residuos) o durante horas de la noche;
- Equipos de detección: sensores óptico-electrónicos, escáneres infrarrojos, radares de apertura sintética para identificar objetos, vehículos y embarcaciones y obtener información sobre su posición y por supuesto, incluso detrás de las paredes, humo u otros obstáculos;
- El equipo de radio-frecuencia: como antenas que capturan la ubicación de los puntos de acceso Wi-Fi, estaciones de teléfonos celulares, reducidas estaciones base interiores (femtoceldas) y receptores IMSI utilizados por las fuerzas del orden para controlar los teléfonos y las redes de telefonía celular o el proveedor de servicios de enlaces de comunicaciones entre las redes y los usuarios de terminales;
- Sensores específicos: para la detección de trazas nucleares, rastros biológicos, material químico, artefactos explosivos.
Además, el grado en que los drones pueden ser modificados y
adaptados a las situaciones específicas y su bajo coste relativo se traduce en que
los drones se están aplicando a una serie de nuevos escenarios.
No obstante, tiene que
quedar claro que el aspecto relevante, desde el punto de vista de privacidad y
protección de datos, no es el uso de drones per
se, sino el equipo de tratamiento de datos a bordo del drone y el posterior tratamiento de datos personales que pueden
tener lugar. De hecho, es el procesado de imágenes (incluyendo imágenes de
personas, casas, vehículos, conducción matrículas, etc.), el sonido, los datos
de geolocalización o cualesquiera otras señales electromagnéticas relacionados
con una persona física identificada o identificable llevado a cabo por el
equipo de tratamiento de datos a bordo
de un drone, el que puede tener un
impacto en la privacidad y protección de datos y, por lo tanto, desencadenar la
aplicación de la legislación en materia de protección de datos.
2.2 Riesgos
para la protección de datos
A la luz de todas las aplicaciones existentes y otras que
surgirán previsiblemente en el futuro, varios riesgos ya se han puesto de
manifiesto en términos de seguridad, responsabilidad civil y privacidad. De
hecho, en cuanto a este último aspecto, es probable, en diferentes de casos,
que los titulares de los datos no sean conscientes de la presencia del drone o de que se esté llevando a cabo
en el mismo cualquier tratamiento de sus datos personales, teniendo en cuenta
que estos dispositivos pueden ser difíciles de ver desde el suelo.
En cualquier caso, incluso si las personas son conscientes de
que un drone se encuentra en su
posición, será difícil saber qué datos serán
tratados por los equipos de a bordo,
con qué fines serán recogidos y por quién. Esto dará lugar a un aumento de la
sensación de estar bajo vigilancia y una posterior disminución en el ejercicio
legítimo de las libertades y los derechos civiles, más conocido como
"efecto paralizante".
Nota del
editor: Desde un punto de vista jurídico, el “efecto paralizante (chilling effect)” es la inhibición o el desaliento en el ejercicio
legítimo de los derechos naturales y constitucionales debido al temor a una sanción
legal. El derecho que más a menudo se encuentra amenazado por el “efecto
paralizante”, en este contexto, es el derecho constitucional a la libertad de
expresión.
Las prestaciones de los drones facilitan aún más su capacidad de alcanzar
puntos de observación únicos, por ejemplo, evitando los obstáculos al no verse limitados por barreras, muros o
cercas. En consecuencia, los drones pueden entrar sin dificultad en áreas
privadas, lo que habilitará la posibilidad de recabado de una amplia variedad
de datos desde una diversidad de fuentes.
En función de las tecnologías de a bordo, los datos podrían ser recogidos sin la necesidad de una
línea de visión directa (es decir, a través de los techos, escombros o las
nubes), durante largos períodos de tiempo, abarcando una gran superficie y sin
interrupción (con el alto riesgo de la recolección de grandes volúmenes de datos,
y sus múltiples usos posibles, de forma ilegal).
También se debe considerar la posibilidad de interconectar
una serie de drones para llevar a cabo la vigilancia en una gran área.
Enjambres de drones, con los canales de comunicación en tiempo real entre ellos
y las partes interesadas, desencadenan riesgos aún más elevados de protección
de datos, ya que podrían permitir fácilmente la vigilancia coordinada, es
decir, los movimientos de seguimiento de personas o vehículos a lo largo y
ancho de grandes áreas.
En consecuencia, existe un alto riesgo de que el tratamiento
de datos personales por parte de drones se convierta en encubierto y cause una
interferencia importante con la esfera más íntima de las personas.
Al mismo tiempo, existe también un innegable alto riesgo de
desviación (los riesgos de cambio o ampliación de los usos previstos
inicialmente para fines incompatibles con éstos), teniendo en cuenta el equipo
potencialmente sofisticado de a bordo y la facilidad con que los datos
personales recogidos pueden vincularse con otras piezas de información.
Además, el impacto potencial de intrusión en la privacidad se
ve agravado por la amplia constelación de actores y entidades implicadas en su
uso. Los fabricantes de drones, por ejemplo, tienen también un papel que
desempeñar en la fase de diseño de los mismos, como son las características
operacionales que, en mayor o menor medida, permitan utilizarlos en aplicaciones
de privacidad intrusiva (por ejemplo, en el caso de los drones pequeños o de
micro-tamaño, capaces de volar dentro de los edificios).
La percepción de los drones por parte de las personas está inexorablemente
ligada a la sostenibilidad social.
En este sentido, la aplicación efectiva de las leyes de
protección de datos puede contribuir a la aceptación de los drones. Por lo
tanto, el GT29 alienta las iniciativas y proyectos de sensibilización que
acompañan a la introducción de drones en el mercado civil de la UE.
3.
Análisis jurídico
Nota del
editor: Las Directivas referenciadas son las siguientes:
-Directiva
2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa
al tratamiento de los datos personales y a la protección de la intimidad en el
sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las
comunicaciones electrónicas).
- Directiva
2009/136/CE del Parlamento Europeo y del Consejo, de 25 de
noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al
servicio universal y los derechos de los usuarios en relación con las redes y
los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa
al tratamiento de los datos personales y a la protección de la intimidad en el
sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004
sobre la cooperación en materia de protección de los consumidores.
Por otra parte, a pesar de los diferentes impactos que el uso
de drones puede tener sobre la privacidad y la libertad de las personas, en
comparación con los sistemas de videovigilancia estática, puede haber
circunstancias en las disposiciones legales nacionales aplicables a los
sistemas de circuito cerrado de televisión que también se aplicarán al uso de drones,
en particular en el caso de drones utilizados con fines de videovigilancia. A
la luz de esto, el GT29 desea referirse a su Dictamen sobre el tratamiento de
datos personales por medio de videovigilancia [3] destacando
la actualidad del análisis jurídico y las recomendaciones proporcionadas en él.
Sin embargo, debido a las peculiaridades y los riesgos de las
aplicaciones antes mencionadas mediante aviones no tripulados, el GT29
considera importante dar una orientación específica sobre cómo cumplir con las
normas de protección de datos en este contexto.
En este marco, debe prestarse mucha atención a la cuestión de
la responsabilidad en los tratamientos de datos, especialmente teniendo en
cuenta la amplia gama de servicios basados en drones, que ya son ofrecidos
por empresas especializadas para organizaciones públicas y privadas. A la luz
de esto, es de la mayor importancia que el Responsable del tratamiento y el
Encargado del tratamiento deben estar claramente identificados para cada tipo
de operación llevada a cabo por drones, mediante la consideración de los
elementos clave para distinguir al Responsable del tratamiento de otros actores.
Una guía clara para identificar las diferentes combinaciones
de responsabilidades entre las diferentes entidades que participan en la
tramitación conjunta se puede encontrar en el Dictamen 1/2010 del GT29 en los
conceptos de "Responsable del tratamiento" y "Encargado del
tratamiento".
3.1
Aplicabilidad de la Directiva de Protección de Datos
Mientras que la Comisión Europea está centrando su atención
en los aviones no tripulados accionados mediante control remoto, estas
conclusiones no difieren entre los sistemas de aeronaves no tripuladas
totalmente autónomos y no autónomos, teniendo en cuenta que este aspecto no es
relevante en relación a las cuestiones de protección de los datos derivadas de
la utilización de este tipo de tecnología. Además, deben aplicarse las
directrices - con los ajustes necesarios - para el tratamiento de datos
derivados de la utilización de cualquier tipo de vehículo aéreo (tripulados o
no tripulados, aéreo o espacial) para las operaciones civiles.
Sin embargo, cabe destacar que algunos casos de tratamiento
de datos personales que se derivan de la utilización de aviones no tripulados
para operaciones civiles pueden caer fuera del ámbito de aplicación de estas
directrices a la luz de las exenciones o excepciones que, de acuerdo con la
Directiva, los Estados miembros podrían establecer (véanse, en particular, los
artículos 3, 9 y 13).
De conformidad con el artículo 3.2 de la Directiva, el
tratamiento de datos personales por parte de una persona física en el ejercicio
de actividades exclusivamente personales o domésticas estará fuera del alcance
de las presentes conclusiones.
Sin embargo, la disposición establecida en el artículo 3.2 es
una excepción y, como tal, debe ser interpretada restrictivamente. Por lo
tanto, examinado por el Tribunal Europeo de Justicia (TJUE), la llamada "exención
doméstica" debe "interpretarse
que se refiere únicamente a las actividades que se llevan a cabo en el curso de
la vida privada o familiar de los individuos, lo que claramente no es el
caso del tratamiento de datos personales consistente en su publicación en
Internet de manera que los datos sean accesibles a un número indeterminado de
personas".
Además, si las operaciones mediante un drone equipado con dispositivos a
bordo preparados para potenciar un sistema de videovigilancia, en la medida
en que implica el registro y almacenamiento de datos personales y registro
constante, aunque sea parcialmente de un espacio público, y está, en
consecuencia, dirigido hacia el exterior desde el entorno privado de la persona
que trata los datos de esa manera, no puede considerarse como una actividad puramente
"personal o doméstica” en el sentido del segundo apartado del artículo 3
de la Directiva 95/46/CE.
Por otra parte, de acuerdo con el artículo 9 de la Directiva
de protección de datos, los Estados miembros podrían prever exenciones o
excepciones a algunas de sus disposiciones en caso de tratamientos de datos
personales llevados a cabo exclusivamente con fines periodísticos o con el
propósito de expresiones artísticas o literarias.
No obstante, las exenciones y excepciones sólo deben ser las
"necesarias para conciliar el
derecho a la intimidad con las normas que rigen la libertad de expresión".
El tratamiento de datos personales realizado por medio de
drones por razones periodísticas, por tanto, debe tener en cuenta las
diferentes leyes y disposiciones nacionales aplicables a este tipo de tratamiento.
Sin embargo, los Estados miembros deben ser conscientes de la intrusión
potencial de estos instrumentos, especialmente si se utiliza de una manera
irresponsable y poco ética, y debe identificar claramente los deberes y
responsabilidades realizadas con el ejercicio de la libertad de expresión
mediante la ayuda de drones.
El GT29 concede la máxima importancia a la introducción de un
marco adecuado a nivel nacional (si no está ya en su ordenamiento jurídico), de
modo que el uso de drones con fines estrictamente personales y recreativos y
para propósito periodístico no afecte a los derechos fundamentales, a la
intimidad o al secreto de las comunicaciones y al respeto de una expectativa
razonable de protección de la vida privada, incluso en el caso de la
recolección de los datos personales que se efectúe en lugares públicos.
Como recordó el Tribunal Europeo de Derechos Humanos (TEDH),
hay una "zona de interacción de una
persona con los demás, incluso en un contexto público, que puede entrar en el
ámbito de la vida privada". Por lo tanto, los principios generales y
algunas sugerencias específicas establecidas en el presente Dictamen deben
también tenerse en cuenta por los legisladores y reguladores (tanto a nivel
nacional como europeo) cuando lo que se establecen son los requisitos que han
de cumplirse para el uso de drones por el público en general, con el fin de
evitar la violación de la legislación de protección de datos, y otras piezas de
los ordenamientos jurídicos nacionales, que salvaguarden otros derechos de las personas.
3.2
Tratamiento de datos personales con fines policiales
Los drones puede ser motivo de una transformación profunda de
la aplicación práctica en el cumplimiento de la ley, en particular, con
respecto al papel de los datos en la orientación de las acciones policiales,
que van desde determinar los objetivos hasta para hacer el seguimiento de las
actividades de una población específica basándose en la vigilancia continua.
Por lo tanto, el uso de drones operados directamente por la
policía y otras autoridades de orden público - o su solicitud de acceso a los
datos recogidos por los drones operados por entidades privadas para sus propios
fines - crea un alto riesgo para los derechos y libertades de las personas e
interfiere directamente con los derechos al respeto de la vida privada y a la
protección de los datos personales amparados en el artículo 8 del Convenio
Europeo de Derechos Humanos (CEDH) y en el artículo 7 y 8 de la Carta Europea
de Derechos Fundamentales.
En consecuencia, en base al artículo 52 de la Carta y el
artículo 8 CEDH, esta limitación al ejercicio de los derechos y libertades
reconocidos por la Carta deberá ser establecida por la ley ("de acuerdo con la ley"), únicamente
si es necesario y realmente cumple con los objetivos de interés general
reconocidos por la Unión y la necesidad de proteger los derechos y libertades
de los demás ("en la búsqueda de uno
de los objetivos legítimos establecidos en el artículo 8 de la CEDH y necesario
en una sociedad democrática ").
Como resultado, la policía y demás autoridades policiales
utilizando drones deben asegurarse de que tienen una base jurídica válida para
el procesamiento de datos personales.
Los drones sólo se utilizarán, donde se demuestre su
necesidad concreta e idoneidad para los fines específicos que se persiguen. En
este sentido, llama la atención el GT29 en su Dictamen 01/2014 sobre la
aplicación de los conceptos de necesidad y proporcionalidad y protección de
datos en el sector de aplicación de la ley.
Las citadas autoridades deberán justificar por qué los
instrumentos existentes hasta ahora a su disposición, como alternativas menos
intrusivas, no logran dicho propósito. (Una evaluación previa por parte de las
autoridades de protección de datos podría ser aplicable, y pertinente para este
propósito, donde las prácticas nacionales promuevan dicha evaluación previa).
Además, cuando las autoridades policiales procesen los datos
recogidos por drones para la instrucción de delitos civiles, deben cumplir con
los requisitos establecidos por la Directiva. En particular, dichos usos de
drones deben limitarse a los casos en que es necesario el tratamiento con el
fin de proteger los intereses vitales del interesado o para el cumplimiento de
una misión de interés público o inherente al ejercicio del poder público conferido
al tratamiento por parte de un tercero a quien se comuniquen los datos.
Una vez establecida la necesidad de drones para la policía para
hacer cumplir la ley, como se dispone en el artículo 52 de la Carta y el
artículo 8 del CEDH, su uso debe cumplir con los requisitos específicos de
protección de datos y el principio de proporcionalidad: No debe ir más lejos de
lo necesario para cumplir con el objetivo legítimo que se persigue.
En esta perspectiva, deben seguirse los principios
establecidos en el Convenio número 108 del Consejo de Europa y la Recomendación
número R (87) 15 que regula el uso de los datos personales en el sector
policial, aprobada por el Consejo de Ministros el 17 de septiembre 1987, así
como los principios pertinentes de la Decisión marco de Protección de Datos
977/2008.
Además, el GT29 recuerda que el tratamiento de datos obtenidos
mediante drones por los servicios gubernamentales se debe realizar para los
fines establecidos en la legislación pertinente y no debe ser utilizado para:
- La vigilancia indiscriminada.
- El tratamiento analítico de datos.
- La puesta en común de datos para el trazado de perfiles.
Deben imponerse límites en el uso de drones para las
actividades de vigilancia, con el objetivo de evitar que se conviertan en algo
generalizado o que se utilicen para la señalización de objetivos basados en
el análisis de datos. Por lo tanto, los drones sólo deben utilizarse para fines
estrictamente enumerados y justificados que se fijen con antelación y, en todo
caso, el uso debe ser limitado geográficamente y en el tiempo.
Con miras al "efecto escalofriante" que el uso de drones
puede tener sobre los derechos a la libertad de expresión y la libertad de
reunión, se debe prestar especial atención a la necesidad de proteger, en la
medida de lo posible, las manifestaciones públicas y reuniones similares de
cualquier tipo de vigilancia.
3.3
Legalidad del tratamiento y principio de limitación de la finalidad
Con el fin de que sea lícito el tratamiento de datos
personales que conlleva la aplicación de la tecnología civil de drones, éste debe
basarse en uno de los criterios para el recabado y posterior tratamiento
legítimo de datos que se establecen en el artículo 7 de la Directiva.
Recordando el Dictamen sobre el interés legítimo que proporciona una amplia
orientación sobre este aspecto y teniendo en cuenta las peculiaridades del
tratamiento de los datos personales que se efectúe por medio de equipos de a bordo en drones, podrían considerarse
como relevantes diferentes principios jurídicos de acuerdo con los propósitos del
tratamiento en juego:
- Consentimiento libre, específico e informado (Art. 7 bis). Mientras que el consentimiento es un principio jurídico habitual para la legitimación, parece que en este contexto podría considerarse apropiado sólo en pocos casos, sobre todo cuando los datos se recaben en zonas públicas. El consentimiento debe darse e forma libre, específica e informada. En la mayoría de los casos en cuestión, sería muy difícil cumplir con todos estos requisitos ya que el consentimiento, por ejemplo, no sería "dado libremente" cuando un individuo no es libre de entrar o salir de un área estudiada sin estar bajo la vigilancia; el consentimiento no será "informado" si a ese individuo no se le ofrece toda la información necesaria sobre el tratamiento, ni va a ser "específico" si no le es posible al individuo identificar cada finalidad del tratamiento para el que a él/ella se le solicita el consentimiento. El consentimiento podría ser un principio jurídico adecuado para el tratamiento de datos personales realizado por medio de una cámara a bordo de un dron, por ejemplo, en el caso de una sesión de entrenamiento de un equipo deportivo (es decir, sin espectadores presentes).
- Tratamiento necesario para el cumplimiento de un contrato en el que el interesado sea parte (Art. 7b). El tratamiento de los datos personales es lícito en base al artículo 7 ter de la Directiva, por ejemplo, cuando alguien compra un producto que se entrega a su domicilio por el vendedor a través de un dron, o cuando los servicios de grabación de vídeo, únicamente relativos a las propiedades de los interesados, son ofrecidos por las empresas que operan drones; sin embargo, debe tenerse en cuenta que el tratamiento inherente de los datos de terceros, no vinculados por la relación contractual, no está cubierto por el cumplimiento de las obligaciones de las partes en un contrato y por lo tanto, en los ejemplos anteriores, la recogida de datos personales de terceros debe ser evitado o debería encontrarse un fundamento jurídico distinto para legitimarlo.
- Es el tratamiento necesario para el cumplimiento de una obligación legal o necesario para el desempeño de una misión de interés público o inherente al ejercicio del poder público conferido al Responsable del tratamiento o a un tercero a quien se comuniquen los datos (Art. 7c y 7e). Estos fundamentos jurídicos podrían ser invocados en los casos en que la obligación legal impuesta por la ley debe ser cumplida por el Responsable del tratamiento, tales como la vigilancia de un yacimiento arqueológico requerido por una disposición específica o, por ejemplo, en algunos "usos relacionados con la seguridad", tales como el control del contrabando, sólo cuando sea estrictamente necesario y proporcionado el uso de drones.
- Es necesario el tratamiento con el fin de proteger el interés vital del interesado (art. 7d). Esta base jurídica podría ser relevante en algunos casos de "usos relacionados con la seguridad" mediante un dron, como la mitigación de desastres, la inspección de la escena de un incendio, el rescate de víctimas de accidentes de montaña, etc. Sin embargo, teniendo en cuenta que el (art. 7d) tiene la intención de interpretarse de manera estricta, un mejor enfoque puede ser la de tener en consideración estos usos en aplicación del artículo 7 (c), 7 (e) o 7 (f), en función de las circunstancias concretas del caso.
- Es necesario para los fines de un interés legítimo de tratamiento (Art. 7f. Los datos personales también pueden ser tratados si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento, o por un tercero, excepto cuando sobre dichos intereses prevalezcan los intereses del interesado o los derechos y las libertades fundamentales (es previsible que un criterio de este tipo podría contemplarse, por ejemplo, en caso de emplear un drone para inspeccionar el interior de una tubería, en detalle una línea de alta tensión, la vigilancia de determinadas infraestructuras críticas, fotogrametría aérea, la investigación meteorológica y del medio ambiente, el seguimiento de la energía eólica, el seguimiento de huracanes y tifones, la cartografía de un yacimiento arqueológico, el seguimiento de los icebergs y la investigación de la fauna), si las salvaguardias apropiadas son implementadas en el sistema.
Por lo tanto, cualquier tratamiento posterior de los datos
personales para un fin distinto de aquel para el cual han sido recabados debe
hacerse de conformidad con las disposiciones de la Directiva y, por tanto, debe
tener una base jurídica autónoma y su compatibilidad con el propósito original
también deberá evaluarse caso por caso.
Además, de conformidad con el principio de legalidad
(artículo 6.1.a de la Directiva), cualquier operación mediante drones que implique
el tratamiento de datos personales debe, en primer lugar, cumplir con la
legislación aplicable en general, incluyendo las regulaciones nacionales sobre
CCTV y sobre el uso de drones.
3.4 Principios
de proporcionalidad, calidad de los datos y minimización de los datos: el papel
relevante de la privacidad desde el diseño y por defecto.
Como únicamente podrán tratarse los datos personales si son adecuados,
pertinentes y no excesivos en relación con los fines para los que se recaban, debe
evaluarse de forma rigurosa su necesidad y proporcionalidad (artículo 6 de la
Directiva). Los datos personales sólo podrán tratarse si, y siempre y cuando,
los fines no podrían cumplirse mediante el tratamiento de la información que no
implique datos personales.
Por otra parte, el principio de minimización de los datos
podría ser respetado mediante la elección de la tecnología adecuada y mediante
la adopción de medidas de protección de datos y privacidad por defecto, es
decir, configurando la privacidad en los servicios y productos que deberían de
forma predeterminada evitar el recabado y/o el tratamiento ulterior de datos
personales innecesarios. Una carga de datos menos intrusiva debe preferirse
siempre y, en su caso, por ejemplo, la implementación de técnicas de
anonimización - según lo establecido en el Dictamen 05/2014 sobre Técnicas de
Anonimato - podría preverse cuando el tratamiento de datos personales es
innecesario.
Por otra parte, en relación con las diversas tecnologías que
son capaces de interpretar electrónicamente y procesar los datos biométricos
(reconocimiento facial, de identificación del comportamiento), un análisis actualizado
y aclaraciones y recomendaciones útiles se pueden encontrar en el Dictamen del GT29
sobre la evolución de tecnologías biométricas [4]. Por ejemplo, cuando se
utilizan drones equipados con cámaras de vídeo, podrían ser utilizadas por los Responsables
del tratamiento instrucciones técnicas para procesar automáticamente las
imágenes mediante el uso de visión borrosa u otros efectos gráficos, a fin de
evitar la colección de imágenes de personas identificables siempre que no fueran
necesarias.
La aplicación de la protección de datos a través de medidas
predeterminadas implica que, de antemano, el principio de privacidad por diseño (PbD) es respetado por los fabricantes y
operadores. La protección
de datos debe estar integrada dentro de todo el ciclo de vida de la tecnología,
desde la etapa inicial de diseño, hasta su despliegue, uso y disposición final;
dicha tecnología debe ser diseñada de tal manera que se evite el tratamiento de
datos personales innecesarios (por ejemplo, en el caso de las infraestructuras críticas
o estratégicas, podría ser aconsejable emplear
ingeniería en el firmware de los
drones con el fin de inhibir la recogida de datos definidos previamente dentro
de determinadas zonas de exclusión aérea).
Dada la variedad de aplicaciones de drones, con el fin de
evaluar su impacto en los derechos y libertades de las personas y en particular
sobre el derecho a la privacidad y protección de datos, podría llevarse a cabo una
evaluación de impacto en la protección
de datos (PIA). Ésta ayudaría a los operadores para descubrir los riesgos
de privacidad (si existen) asociados con el uso de nuevas aplicaciones y
evaluar si el tratamiento de datos personales a través de drones es legítimo,
necesario y proporcionado a la finalidad, al tiempo que cubre, entre otros, los
aspectos relacionados con los principios de transparencia, seguridad y documentación
de las medidas adoptadas para hacer frente a los riesgos.
A la luz de esto, el GT29 quiere llamar la atención a los
responsables políticos competentes, tanto nacionales como de la Unión Europea,
para evaluar la posibilidad de un nuevo marco legal para la integración de los drones
en el espacio aéreo europeo civil, para fomentar la adopción, como una buena
práctica, de una evaluación de impacto en
la privacidad (PIA) para cada tipo de operación de drones que pueda
implicar el tratamiento de datos personales, a la luz de los riesgos apreciados
que se deriven de las aplicaciones previstas, que también se deberían
proporcionar a las partes interesadas (fabricantes y operadores), mediante un
conjunto de criterios de fácil implementación.
En particular, como las normas de protección de datos deben
ser respetadas en la medida en que se procesan los datos personales, una evaluación de impacto en la privacidad
debería preverse para los fabricantes en los casos de drones "diseñados y
producidos" con fines de vigilancia y para los operadores que utilizan drones
que llevan a bordo cualquier tipo de equipo "audiovisual", teniendo en cuenta - como se decía antes - los
efectos de la carga y el propósito del recabado y tratamiento posterior de
datos personales.
En los casos en que los drones tengan un sistema de
reconocimiento de imágenes, podría implementarse un mecanismo que facilitara el
ejercicio de la objeción del interesado, quizá en forma de etiquetas activas o
pasivas que indiquen claramente las intenciones de los interesados en relación
al tratamiento de su imagen, cómo actualmente se emplean las etiquetas visuales
cuyo objetivo es mostrar a los fotógrafos en las conferencias públicas cómo puede
ser utilizada la imagen de las diferentes personas fotografiadas.
3.5
Transparencia e información a los interesados
De acuerdo con el principio de tratamiento justo –leal y
lícito- (artículo 6 (a) de la Directiva), los interesados deben ser
conscientes de la recogida y tratamiento de sus datos personales y por lo tanto
deben ser informados de acuerdo con el artículo 10 de la Directiva, sin
perjuicio de la las exenciones previstas en los artículos 11 y 13. Tan pronto
como sea razonablemente posible, especialmente
si se prevé una divulgación a un tercero, o a más tardar cuando los datos sean cedidos por
primera vez, de conformidad con el artículo 11 de la Directiva, los interesados
deben tener la siguiente información:
- La identidad del Responsable del tratamiento de los drones y de su representante.
- Los fines del tratamiento al que van destinados los datos.
- Cualquier información adicional, como las categorías de datos, los destinatarios o categorías de destinatarios de los datos.
- La existencia del derecho de acceso y el derecho a especificar y corregir los datos que les conciernen.
También podrían preverse los medios de comunicación social,
áreas de exhibición pública en lugares cerrados (por ejemplo, las pantallas de
televisión en un estadio deportivo), la emisión de una señal inalámbrica, dotarlos
de luces intermitentes, timbres y colores brillantes…
Por otra parte, garantizar que el operador de drones sea muy
visible facilita el ejercicio de los derechos de otras personas.
El requisito para que aparezca una marca de registro (similar
a una placa de matrícula del vehículo) sólo es relevante en la medida en que
los drones son visibles desde el suelo o, si hay una pérdida de control, los
datos almacenados tienen que poder estar vinculados al operador. Exigir la
transmisión de una señal inalámbrica a modo de registro de marca, que podría
ser cruzada con una base de datos en línea de referencia, es otra solución
interesante.
Sin embargo, los problemas de protección de datos y su seguridad,
que surgen a partir de un sistema de registro, también deben tenerse en consideración.
Además, como buena práctica, el GT29 recomienda que los
operadores de drones publiquen información en su página web o en plataformas
dedicadas a fin de informar constantemente sobre las diferentes operaciones que
han tenido lugar y/o se desarrollarán en el futuro, mientras que, en las zonas
remotas o donde es poco probable que los individuos accedan a una página web,
la información puede ser publicada en periódicos, folletos o carteles, o por
carta en un envío postal masivo (mailing).
En algunos Estados miembros, la Civil Aviation Authority (AAC)
publica la lista de los operadores autorizados a hacer un uso profesional de
los drones y/o de la autorización concedida para cada operación. Ese tipo de
listas deben ser puestas en valor, ya que pueden facilitar el acceso a
información relativa a las operaciones de tratamiento de datos.
Además, dado que en muchos Estados miembros, donde se regula
el uso de drones, por diferentes razones las operaciones mediante drones no
están permitidas en algunas áreas, la publicación de mapas (que los fabricantes
puede indicar, por ejemplo, mediante la publicación de un enlace a un recurso
de información gestionada por AAC) que mostrara las áreas donde los drones
pueden ser utilizados sería muy útil (es decir, la publicación de este mapa
ayudaría a las personas a identificar las áreas en las que los drones pueden estar
operativos).
El mismo enfoque multicanal podría ser aconsejable en los
casos en los que los drones se utilicen para llevar a cabo la vigilancia de
grandes infraestructuras (por ejemplo, redes de ferrocarril o las redes
eléctricas). La información podría proporcionarse mediante señales y símbolos
y, cuando sea posible, en los sitios web. Esta información podría mostrarse de
forma general, por ejemplo, simplemente
explicando que la infraestructura está siendo supervisada, sin detalles necesarios sobre los próximos
vuelos o los pasados.
Por último, en cuanto a las aplicaciones de drones que pueden
cubrir áreas más grandes, donde el suministro de información a los interesados
resulte difícil o imposible, ha sido sugerida la creación de un recurso
nacional o transnacional de información (más fáciles de encontrar que los
sitios web de los operadores individuales) que permitan a los individuos
identificar las misiones y los operadores asociados con drones individuales.
El GT29 reconoce la conveniencia de esta solución y pide a la
Comisión Europea haga uso de los instrumentos de financiación para apoyar las
investigaciones e inversiones en este aspecto, en relación a las posibles
placas de circulación inteligente para drones y similares.
3.6
Seguridad del tratamiento de datos y cuestiones relacionadas, períodos de
almacenamiento, control previo
De conformidad con el artículo 17 de la Directiva, los
responsables del tratamiento y los procesadores, en su caso, debe aplicar las
medidas técnicas y organizativas adecuadas para proteger el tratamiento de
datos personales de la destrucción accidental o ilícita, la pérdida accidental,
su alteración, sin autorización.
Divulgación o acceso. Esta disposición también se aplica a los ataques
cibernéticos y electrónicos (es decir, la manipulación a distancia sobre el
dispositivo, ya sea para tomar el control completo o parcial sobre él, o
acceder a los sensores y/o a los datos almacenados).
Esta protección también debe preverse en la fase de
transmisión de datos personales desde el dron hacia la estación base.
Se recomienda que los diseñadores de los, y de los equipos
adaptados para ser montados en el drone,
se involucren con expertos de seguridad necesarios para poder garantizar que las
vulnerabilidades a la seguridad se traten adecuadamente.
Además, los datos personales tratados a través de drones no
se pueden almacenar durante un período más largo que lo necesario para el
propósito del tratamiento. Esos datos, si no están vinculados a cualquier reclamación
o problema, se deben eliminar o anonimizar inmediatamente después.
La incorporación de la programación del almacenamiento y
eliminación podría ser aconsejable. Por lo tanto, los dispositivos realizados para
drones deben ser diseñados de forma tal que permitan el establecimiento de un
período de retención definido para los datos personales recogidos y, como
consecuencia, la eliminación automática regular de los datos personales que ya
no sea necesario conservar, de acuerdo con la eliminación programada.
En relación con todos estos aspectos, el GT29 desea llamar la
atención de los Responsables del tratamiento, por lo menos, a los siguientes:
- Únicamente a un número limitado de personas autorizadas, que se especifiquen, se les debe permitir que vean o accedan a las imágenes grabadas.
- Debe concederse acceso limitado a las personas antes mencionadas, sobre la base de la estricta necesidad de conocer.
- Cuando se requiera, el almacenamiento y la transmisión de información debe cifrarse.
- Debe llevarse un registro de todas las instancias de acceso y uso del material grabado.
- Deben programarse períodos rigurosos de retención de datos y prever la eliminación automática o la anonimización una vez vencido el período de retención.
- Notificación de brechas o violaciones de datos a la DPA (por lo que legalmente sea obligatorio).
De acuerdo con las leyes nacionales pertinentes de protección
de datos, algunas medidas y disposiciones adicionales podrían decidirse como resultado de la evaluación
preliminar de la tramitación de conformidad con el mecanismo de control previo
(véase el artículo 20 de la Directiva).
4. Papel
de la cooperación entre los diferentes actores y la importancia de las
herramientas de autorregulación
La cooperación entre las autoridades de control y la AAC jugará un importante papel en la
sensibilización de los fabricantes, operadores y pilotos, en relación a las
cuestiones de protección de datos asociadas al uso de drones montados con
equipos sensores. Para abordar este tema puede disponerse de cursos de
capacitación, eventos públicos y folletos comunes. Además, también se debe
considerar si hay aspectos en la tramitación de las licencias existentes, llevadas a cabo por las AAC, y en
la certificación de los pilotos operadores de drones que pueden ofrecer una
buena oportunidad para hacer frente a la privacidad o protección de datos en los
aspectos relacionados con el uso de drones.
En la mayoría de los casos, las certificaciones o
autorizaciones específicas se conceden por la AAC que regula el uso de drones civiles: Los aspirantes son
habitualmente examinados en relación a las zonas de vuelo, las rutas, el tipo
de dispositivo y la unidad de control. No obstante, en algunos países, el
cumplimiento de los requisitos de protección de datos es ya parte del examen
discrecional que se lleva a cabo por las autoridades aeronáuticas competentes
en la concesión de permisos para operar aeronaves.
Este es el marco, informar a la AAC competente que tener en
cuenta para la concesión del permiso el conocimiento de los requisitos
establecidos por la legislación de protección de datos sobre el tratamiento
previsto de los datos personales, y su
propósito, es una buena práctica a ser adoptada, ya que también podría ayudar a
llamar la atención de los operadores en los aspectos relacionados con la
protección de datos antes de cualquier vuelo autorizado y podría ayudar a confeccionar
y mantenerse una base de datos central a disposición del público en la que
constara, al menos, una lista de los operadores (incluyendo una descripción
genérica de los propósitos para procesar datos personales).
Esto no quiere decir que las AACs asuman la responsabilidad
de verificar que el operador del drone
ha tomado las medidas adecuadas para cumplir con la legislación nacional de
protección de datos, sino que se trata de un requerimiento previo útil que
obligará al operador de drones a adoptar una decisión consciente en cuanto a
los pasos que tomará en, relación a la privacidad, y si éstos se consideran suficientes.
Podría preverse la promoción de códigos de conducta y/o
esquemas de certificación para los fabricantes y operadores, con el fin de
mejorar el conocimiento y la comprensión de los operadores de drones civiles en
relación a la protección de datos, así como con el fin de ayudar a las
autoridades de control a supervisar el cumplimiento.
El importante papel que los códigos de conducta podrían tener
en este marco es aún mayor teniendo en cuenta que las autoridades de control no
pueden evaluar o perseguir las infracciones de privacidad más allá de sus
facultades legales, mientras que aquí es donde la responsabilidad de los
operadores de drones puede resultar muy útil.
Por último, un papel útil también podría ser jugado en
relación a la protección de la intimidad. A pesar de que estos esquemas no
excusarán del tratamiento de datos a partir del conocimiento de sus compromisos
de protección de datos y privacidad, la participación de los operadores y
fabricantes de drones en un sello de privacidad de enfoque general, podría ser
como un medio en que poyarse la rendición
de cuentas y el cumplimiento.
5.
indicaciones finales y recomendaciones
A la luz de los posibles riesgos y consecuencias que la
apertura del mercado de la aviación para drones supondría en relación con la
intimidad y las libertades civiles y políticas, el GT29 quiere llamar la
atención de los legisladores europeos y nacionales, los fabricantes de drones y
de los equipos pertinentes, y operadores de drones/usuarios, las siguientes
indicaciones y recomendaciones, que están destinadas a proporcionar una guía
que es adicional a la que ya figura en las diferentes opiniones y documentos del
GT29 a los que se hace referencia en el presente dictamen.
5.1 Pasos
a seguir antes de operar un avión no tripulado
- Comprobar si la legislación nacional permite operar drones y verificar la necesidad de una autorización específica de la AAC.
- Aclarar los roles de los diferentes actores posibles: en cuanto al tratamiento, si este no es llevado a cabo directamente por el Responsable, asegurarse de que se rige por un contrato o acto jurídico que vincule al Encargado con el Responsable y que el Encargado actúe únicamente siguiendo las instrucciones del Responsable.
- Evaluar el impacto en la protección de datos teniendo en cuenta la finalidad de las operaciones y el tipo de drones (dimensión, visibilidad, etc.) y las combinaciones específicas de la tecnología de detección de a bordo; identificar el fundamento jurídico más adecuado (consentimiento de los titulares de los datos, ejecución de un contrato, obligación legal, legítimo interés, etc.) y la posible necesidad de notificar/consultar las autoridades de control competentes conforme a la ley nacional de protección de datos;
- Elegir la tecnología a bordo que sea más proporcionada según el tipo de operación y adoptar todas las medidas adecuadas de privacidad por defecto: establecer servicios y productos de una manera que se evite la recogida y/o el tratamiento posterior de los datos personales innecesarios;
- Encontrar la manera más adecuada para notificar previamente a los que puedan verse afectados por el tratamiento de la información: informar a través de carteles o folletos informativos en caso de acceso visual en una zona determinada; en caso de un evento, informar al público por medio de las redes sociales, periódicos, folletos o carteles; dar información clara siempre en el sitio web correspondiente: el anuncio de información debe contener una indicación clara del Responsable, los fines del tratamiento y debe aportar a los interesados indicaciones claras y específicas para el ejercicio del derecho de acceso a los registros visuales, y no visuales, que les conciernen;
- Adoptar todas las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado con los riesgos que presente el tratamiento y con la naturaleza de los datos que deben protegerse, en particular para evitar cualquier tratamiento no autorizado también durante la fase de "transmisión";
- Eliminar o anonimizar los datos personales innecesarios poco después del recabado o tan pronto como sea posible.
5.2
Recomendaciones a los responsables políticos y los reguladores del sector
La apertura del mercado de la aviación en el uso civil de drones
debe ir de la mano con:
- La promoción, a nivel europeo y nacional, de un marco con el fin de garantizar no sólo la seguridad de vuelo, sino también el respeto de todos los derechos fundamentales. En esta perspectiva, el GT29 exige una implicación de las partes interesadas en el debate relativo a la integración de los drones en el espacio aéreo civil;
- La armonización y la modernización de las políticas pertinentes de los Estados miembros en relación con drones, incluyendo cuestiones respecto a la ley aplicable a las operaciones con drones transfronterizas;
- La introducción, como parte del marco anterior, de las normas específicas que garanticen un uso responsable de los drones, que debe incluir necesariamente el respeto a las áreas privadas (tales como jardines, patios, terrazas, etc.); a tal fin, puede preverse la introducción, cuando sea necesario, de los perímetros virtuales - o zonas de exclusión aérea -. Además, dado que el uso de drones pueden limitarse a áreas muy específicas en muchos Estados miembros, la publicación de mapas por la AAC ayudaría a los usuarios a entender donde se permite el uso de drones (dado que los otros principios sí que son respetados);
- La introducción de una obligación, a nivel europeo y/o nacional, para que los fabricantes de pequeños drones para el mercado único los envase junto a información suficiente (por ejemplo dentro de las instrucciones de servicio) en relación con la intrusión potencial de estas tecnologías y recordando la necesidad de respetar la legislación y los reglamentos que protegen la privacidad, la protección de datos personales y otros derechos fundamentales.
- El desarrollo y la introducción por parte de los responsables políticos competentes, a nivel europeo y/o nacional, en estrecha consulta con los representantes de la industria, de criterios de evaluación de impacto en la protección de datos que la industria y los operadores pueden utilizar fácilmente;
- La introducción de los aspectos de protección de datos entre las principales características de las disposiciones nacionales que regulan el uso comercial de drones (en relación con la competencia del piloto y la formación, entre los requisitos de aeronavegabilidad y certificación, además de la emisión/revocación de licencias de explotación y permisos de trabajo aéreas, etc.) ; en particular, las declaraciones de haber tenidos en cuenta los requisitos de protección de datos podrían ser parte de las condiciones en que se concederá un permiso;
- La promoción de certificaciones de protección de datos con el fin de mejorar la concienciación y la comprensión de las cuestiones de protección de datos de los operadores de drones civiles, así como con el fin de supervisar su cumplimiento;
Además,
el GT29 recomienda que la Comisión Europea haga uso de programas de
financiación para apoyar las investigaciones e inversiones para nuevas
tecnologías destinadas a aumentar la transparencia (nuevas tecnologías para
informar al público en general de la existencia de drones voladores, y sus
fines, y poder así ejercer sus derechos de acceso), incluyendo, por ejemplo,
placas de matrícula inteligentes o disponer de un sitio web que publique la
información en tiempo real acerca de todas las operaciones mediante drones.
5.3
Recomendaciones a los fabricantes y operadores
- Integrar la privacidad de forma amigable en las opciones del diseño, y la privacidad por defecto, como parte de un enfoque de privacidad en el diseño (PbD).
- Involucrar a un Delegado de Protección de Datos (DPO), donde esté disponible, en el diseño e implementación de políticas relacionadas con el uso de drones;
- Promover y adoptar códigos de conducta que pueden ayudar a la industria, y a las diferentes categorías de operadores, a prevenir las infracciones y mejorar la aceptabilidad social de los drones; tales códigos deben contener las sanciones en caso de que los firmantes no cumplan con el código;
- Hacer que los drones sean, en lo posible, visibles e identificables (mediante señal inalámbrica emitida, luces intermitentes o zumbadores y colores brillantes);
- En la misma línea, hacer mediante señalización que el operador sea claramente visible e identificable como la persona responsable del drone;
- Al organizar y operar un vuelo, aun cuando esté permitido operar drones sobre áreas pobladas, evitar en la medida de lo posible volar sobre o cerca de áreas privadas y edificios.
5.4
Recomendaciones para el uso de los datos personales recogidos por medio de
aviones no tripulados para fines policiales
Al igual que el uso de drones con fines comerciales, el uso
de los datos personales recogidos por medio de drones por parte de la policía y
otras autoridades policiales deben:
- Cumplir con los principios de necesidad, proporcionalidad, limitación de la finalidad, minimización de datos y privacidad desde el diseño; debe establecerse un período de retención, estricto y justificado, de la información personal;
- Debe ser respetado el principio de transparencia: el tratamiento de datos llevado a cabo mediante el uso de drones debe atenerse a las disposiciones que establece la ley para ser transparente y previsible respecto a los interesados; en la medida de lo posible, estos últimos deberán ser informados de los tratamientos y de sus correspondientes derechos;
- La aplicación de la ley a los tratamientos de datos llevados a cabo mediante drones no debe permitir el seguimiento continuado de los individuos, a no ser que ese seguimiento continuo se considere que es estrictamente necesario. En ese caso éste debe limitarse a garantizar las investigaciones para hacer cumplir la ley. El equipo técnico y de detección utilizado debe estar en consonancia con la finalidad del tratamiento;
- La prohibición de aplicar decisiones automáticas también se aplica a estos usos. Los datos tratados mediante el uso de drones deben ser estudiados por un operador humano antes de tomar cualquier decisión que afecte negativamente a una persona;
- Los tribunales deben ser capaces de revisar el uso de drones para fines de inteligencia y de aplicación de la ley, de conformidad con las prácticas nacionales;
- Debe llevarse a cabo un examen periódico respecto a la necesidad de tratar datos personales mediante el uso de drones y del cumplimiento de este uso con la evolución de los marcos legales;
Además, el uso de drones con la finalidad de aplicar o hacer
cumplir la ley, incluso en el caso de investigaciones justificadas - tales como
la vigilancia específica -, deberán exigir como mínimo un alto nivel de
aprobación en la jerarquía organizacional. Dependiendo de la legislación
nacional, los datos personales recogidos para este tipo de investigaciones
mediante el uso de drones, deben incorporarse a los expedientes administrativos
que puedan ser utilizados en los tribunales.
6. Bibliografía
recomendada (Por el editor de este Blog)
- LIBE committee. “Privacy and data protection
implications of the civil use of drones”. Directorate General for Internal
Polices. Policy Department. Citizens’ Rights and Constitutional Affairs.
Justice, Freedom and Security. 2015.
In-depth
analysis for the LIBE Committee (en inglés)
- [1] José Luis Colom. “Recopilación de entradas sobre
Privacidad desde el Diseño (PbD)”. Blog Aspectos Profesionales. Junio 2015.
Entradas
sobre PbD- [2] Comisión Europea. “Una nueva era de la aviación - Abrir el mercado de la aviación al uso civil de sistemas de aeronaves pilotadas de forma remota de manera segura y sostenible. COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO. Bruselas, 8.4.2014. COM (2014) 207 final.
Una nueva era de la aviación
- Francisco Javier
Sempere. “Uso y
régimen jurídico aplicable a los drones”. Blog Privacidad Lógica. Mayo 2014.
Régimen
jurídico aplicable a los drones
- [3] Grupo del artículo 29 sobre protección de
datos. “Dictamen
4/2004 relativo al tratamiento de datos personales mediante vigilancia por
videocámara”. Adoptado el 11 de
febrero de 2004. 11750/02/ES. WP 89.
Vigilancia
por videocámara
- [4] GRUPO DE TRABAJO DEL ARTÍCULO 29. “Dictamen 3/2012 sobre la evolución
de las tecnologías biométricas”. Adoptado el 27 de abril de 2012. 00720/12/ES.
WP193.
Dictamen
biometría- B.O.E. 17 de octubre. “LEY 18/2014, DE 15 DE OCTUBRE, DE APROBACIÓN DE MEDIDAS URGENTES PARA EL CRECIMIENTO, LA COMPETITIVIDAD Y LA EFICIENCIA”. Capítulo V.
Capítulo V de la Ley 18/2014
7. Derechos de autor
Imágenes bajo licencia 123RF
internacional.
Copyright
notice: © European Union, 1995-2015
Reuse is
authorised, provided the source is acknowledged. The reuse policy of the
European Commission is implemented by a Decision
of 12 December 2011.
The general
principle of reuse can be subject to conditions which may be specified in
individual copyright notices. Therefore users are advised to refer to the copyright
notices of the individual websites maintained under Europa and of the
individual documents. Reuse is not applicable to documents subject to
intellectual property rights of third parties.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.