Seguridad privada, drones y protección de datos.

Sobre los drones o RPAs.

El sector de las aeronaves pilotadas por control remoto, los llamados drones o RPAS, ha sido objeto de un gran crecimiento en los últimos años.

El Consejo de Ministros aprobó el Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, y se modifican el Real Decreto 552/2014, de 27 de junio, por el que se desarrolla el Reglamento del aire y disposiciones operativas comunes para los servicios y procedimientos de navegación aérea y el Real Decreto 57/2002, de 18 de enero, por el que se aprueba el Reglamento de Circulación Aérea.

Básicamente, quien quiera volar un dron debe habilitarse como operador de aeronaves pilotadas por control remoto, presentando ante la Agencia Estatal de Seguridad Aérea una comunicación previa. Las actividades y supuestos que requieren de comunicación previa a AESA, así como las instrucciones a seguir, se detallan en el “Procedimiento de habilitación (art.39).

Videovigilancia con drones.

Una de las principales aplicaciones con drones es la videovigilancia. ¿Puede, entonces, un operador de RPAs videovigilar? Rotundamente, no.

Veremos primero la normativa de referencia en seguridad privada, la Ley 5/2014, de 4 de abril, de Seguridad Privada en cuyo artículo 42.1 se determina que “Los servicios de videovigilancia consisten en el ejercicio de la vigilancia a través de sistemas de cámaras o videocámaras, fijas o móviles, capaces de captar y grabar imágenes y sonidos, incluido cualquier medio técnico o sistema que permita los mismos tratamientos que éstas. Cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados, serán prestados necesariamente por vigilantes de seguridad o, en su caso, por guardas rurales.”

Por lo tanto, consideramos en este punto al dron o RPA una suerte de videocámara móvil; es decir, una herramienta al servicio de la función principal, cual es el ejercicio de la vigilancia.

Y si seguimos revisando la misma Ley de Seguridad Privada, concluimos que, la seguridad privada es complementaria de las tareas encomendadas a la seguridad pública, por lo que estaría legitimada para el uso de drones con la finalidad de videovigilar en zonas o recintos privados (cumpliendo además las restricciones del espacio y navegación aéreos); o lo que es lo mismo, de vigilar con una cámara móvil.

Según hemos visto más arriba, por tanto, vigilantes de seguridad o guardas rurales serán los únicos habilitados para videovigilar, debiendo estar asimismo habilitados como pilotos de RPAs, encuadrados en un operador de aeronaves pilotadas por control remoto para volar los mismos.

De hecho, como los vigilantes no pueden trabajar sin estar en plantilla en una empresa de seguridad privada, será ésta la que deberá adquirir la habilitación de operadora, siendo el vigilante un piloto al servicio de ésta.

Cosa distinta son los guardas rurales, que al no requerir la normativa de seguridad privada su integración en empresa de seguridad, podrán constituirse como operador de RPAs directamente.

Protección de datos sobre la videovigilancia realizada con drones.

Ha de comprobarse si la legislación nacional permite manejar drones y si es necesario solicitar la autorización de las Autoridades Aeronáuticas. Cuando la operación de un dron viole la normativa nacional de aviación a la que está sujeta, o cualquier otra a la que deba atenerse, se considerará que la captación de datos y el tratamiento de los mismos realizado durante las operaciones aéreas no cumple con el principio de licitud recogido en el RGPD, y estará por tanto sujeto al régimen sancionador en materia de protección de datos (sin perjuicio además de que pueda estar sujeto al régimen sancionador en materia de navegación aérea u otros regímenes adicionalmente aplicables; por ejemplo, videovigilar sin estar habilitado para ejercer tareas de seguridad, bien privada, bien pública).

Desde la perspectiva que atañe estrictamente a la protección de datos, las operaciones con drones en el caso de la videovigilancia implican por sí mismas un tratamiento de datos personales de forma intrínseca.

Tanto la normativa aeronáutica de utilización civil de los RPAs como la de seguridad privada establecen la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad.

Por lo tanto:

  1. Responsable del tratamiento: Quien decide acerca de la finalidad de las imágenes será el responsable del tratamiento.
    • Debe habilitar mecanismos para llevar a cabo el derecho de información con relación al tratamiento de datos personales que se realiza, teniendo en cuenta que la información proporcionada deberá ser clara y transparente, y puede proporcionarse por medios electrónicos. Por lo tanto, se deberá de encontrar el modo más apropiado de informar a quienes van a verse afectados por el tratamiento de datos con los drones: informar mediante señalizaciones u hojas informativas, publicaciones en redes sociales, periódicos, folletos, pósteres, etc. en los que conste la identidad del responsable del tratamiento, su finalidad y se facilite a los afectados indicaciones claras y específicas para el ejercicio de los derechos.
  2. Encargado del tratamiento: el operador del dron (empresa de seguridad o guarda rural):
    • El operador del dron actuará como encargado de un tratamiento de datos personales y debe asegurarse de que su relación con el responsable esté regida por un contrato o un acto jurídico que lo vincule con el responsable (obligatorio por normativa de seguridad privada) y que actúe solo siguiendo órdenes de este.
    • Elegirá la tecnología más adecuada a la finalidad que se persigue con la operación, y adoptará todas las medidas adecuadas de privacidad por defecto, evitando la recopilación y tratamiento posterior de datos innecesarios.
    • Hará que los drones sean lo más visibles e identificables posibles, con características asociadas al responsable, haciendo que el operador sea también visible e identificable como responsable del dron. En este sentido, cuando sean de aplicación, serán tenidos en cuenta los requisitos de identificación y matriculación a los que se refieren los artículos 8, 9 y 10 del Real Decreto 1036/2017.
  3. Ambos, responsable y encargado:
    • Deben tomar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos para los derechos y libertades de las personas, en particular para prevenir cualquier tratamiento no autorizado durante la fase de transmisión de los datos capturados.
    • Deben eliminar o anonimizar cualquier dato personal innecesario lo antes posible tras la recopilación.
    • Deben incorporar opciones de configuración respetuosas con la privacidad y funciones predeterminadas como parte de un enfoque de privacidad desde el diseño.