Uso legal de drones. Una aproximación jurídica a las aeronaves no tripuladas
Efrén Díaz Díaz
Las aeronaves no tripuladas (“drones”) han atraído recientemente la atención y la actividad de la industria, con importantes desarrollos operacionales e innovaciones tecnológicas. Al mismo tiempo han interesado también a consumidores, legisladores y reguladores del espacio aéreo por sus múltiples usos y posibles riesgos e incidencias en la actividad aérea normal.
En un contexto de avance tecnológico, la utilización militar y sobre todo civil de drones es una realidad que requiere conocer la regulación en vigor para su utilización legal. Además del posible uso restrictivo, contrario incluso al progreso industrial, cabe plantear su utilización desde una perspectiva constructiva, consciente de sus importantes beneficios y ventajas a la par que sensible a los riesgos inherentes a un sistema que ha de respetar los derechos fundamentales de las personas y las libertades civiles. Por ello, desde nuestra experiencia profesional en materia de Derecho Geoespacial y Tecnológico, consideramos esencial una aproximación positiva e innovadora a la utilización legal de los drones.
I. De las aeronaves tripuladas a los «drones»
Las aeronaves no tripuladas o “drones” han acaparado recientemente la atención y la actividad de la industria, con importantes desarrollos operacionales e innovaciones tecnológicas. En poco tiempo han atraído también el interés de consumidores y, más especialmente, de legisladores y reguladores del espacio aéreo por sus múltiples usos y posibles riesgos e incidencias en la actividad normal que hasta ahora sólo ocupaba a las aeronaves.
Los términos RPAS (Remotely Piloted Aircraft System) y UAV (Unmanned Aircraft Vehicle) se ajustan a la normativa internacional de la Organización de Aviación Civil Internacional (OACI). La OACI no utiliza el término “dron”, pero esta denominación ya se ha establecido en el lenguaje popular.
La rápida evolución de los RPAS no ha dejado indiferente al legislador nacional ni europeo ante una pujante industria tecnológica y aeronáutica. Según datos oficiales, la inversión mundial en el sector de los RPAS alcanzará los 114.000 millones de dólares hasta 2023, con EEUU a la cabeza.
En este contexto de progresivo e imparable avance tecnológico, la utilización militar y sobre todo civil de los drones es ya una realidad presente. Podría plantearse un uso tan restrictivo que incluso fuera contrario al progreso industrial o poco consecuente con la estrategia seguida por una industria altamente innovadora. Por ello, también se podría abordar su utilización desde una perspectiva constructiva, consciente de sus importantes beneficios y ventajas a la par que sensible a los riesgos inherentes a un sistema que ha de respetar los derechos fundamentales de las personas y las libertades civiles.
Por ello, desde nuestra experiencia profesional en materia de Derecho Geoespacial y Tecnológico, consideramos esencial una aproximación positiva e innovadora a la utilización legal de los drones, para lograr su empleo multipropósito y optimizar jurídicamente la obtención oficial, fiable, interoperable y actualizada de información y datos espaciales, conforme al Derecho aplicable en cada caso y, por las citadas propiedades, aplicable en procedimientos administrativos y en procesos judiciales.
II. La normativa sobre drones
El punto de partida hasta tiempos muy recientes ha sido la falta de regulación específica y sectorial en el ámbito de los sistemas aéreos pilotados remotamente, conocidos como RPAS o UAV por sus siglas en inglés.
Con el fin de lograr una efectiva integración de los RPAS en el espacio aéreo europeo, el Comité Económico y Social Europeo ha aprobado un Dictamen titulado “Una nueva era de la aviación. Abrir el mercado de la aviación al uso civil de sistemas de aeronaves pilotadas de forma remota de manera segura y sostenible”, con el fin de ofrecer respuestas a la fabricación, la industria y los servicios europeos de los RPAS, de modo que se supriman las barreras a la introducción de los drones para uso civil en el Mercado Único de la Unión Europea.
Destacan las palabras empleadas por el propio Comité Económico y Social Europeo en el Dictamen citado: “Europa goza de una posición muy favorable que le permite aprovechar las ventajas de la industria en expansión de los sistemas de aeronaves pilotadas de forma remota (RPAS), lo que fomenta el empleo y afianza el papel de Europa como centro de conocimientos en materia de tecnología y desarrollo. La financiación europea que ya existe para las pymes podría estimular aún más el desarrollo de la industria de los RPAS”.
La incorporación de los drones al mercado, y particularmente en el ámbito de su uso civil, requiere un marco regulatorio adecuado y la adopción, allí donde resulte necesario, de políticas nacionales y de estándares comunes europeos, que podrían ser desarrollados por la European Aviation Safety Agency (EASA). Esta imperiosa necesidad surge precisamente de la falta de una regulación adecuada en la mayoría de los Estados Miembros de la Unión Europea, de manera que es ineludible la armonización y la modernización de las regulaciones de aviación de los Estados Miembros en materia de drones.
Las autoridades europeas y nacionales no dudan de los beneficios económicos y sociales que comporta el uso civil de drones, así como de su potencial para el crecimiento y la generación de empleo. Es igualmente importante destacar las amenazas y riesgos que tal utilización, por el desarrollo a gran escala de la tecnología de los drones, comporta para la privacidad y la protección de datos personales, auténtico derecho fundamental reconocido en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea.
En este sentido, es relevante subrayar, como ya ha hecho el Comité Económico y Social Europeo en su Dictamen sobre Una nueva era de la aviación, los aspectos de la privacidad y de la colaboración institucional en este sector innovador. Ciertamente no es casual que se destaque la privacidad entre las dimensiones a tener en cuenta en la nueva regulación con estos términos: “El uso comercial de RPAS más pequeños (menos de 150 kilos), que permiten almacenar mucha información e imágenes, debe ir acompañado desde el principio por claras garantías para la protección de la vida privada. Entre otras cosas, se podría proponer bloquear las imágenes o conectar y desconectar las cámaras, así como proteger la información visual o de otro tipo. Existe una clara necesidad de normas nuevas o más estrictas que sean de aplicación para el uso tanto comercial como privado y que, por ejemplo, permitan identificar los RPAS pequeños, ofrezcan protección contra la piratería informática y eviten que terceros se hagan con el control”.
Con igual detalle y concreción, se anticipa la oportunidad de incluir estas cuestiones entre las propuestas de adaptación de la regulación vigente de la UE en materia de protección de datos personales, reforma normativa que se encuentra en la actualidad en una fase avanzada de negociación. En esas propuestas se clarifican, entre otras cosas, las responsabilidades y obligaciones de los fabricantes y usuarios de los RPAS. Está justificado esperar un enfoque proactivo por parte de la Comisión, sobre todo a la luz de si tales normas deberían elaborarse y aplicarse a escala europea o nacional, pues la propuesta de Reglamento general de protección de datos tendrá aplicación europea y claramente transnacional.
Esta reforma normativa de hondo calado europeo e internacional se desarrolla en un contexto en el cual “los datos son la moneda de la economía digital de hoy”. Recopilados, analizados y transferidos a lo largo y ancho del mundo, los datos personales han adquirido una enorme importancia económica.
Según algunas estimaciones, “el valor de los datos personales de los ciudadanos europeos tiene el potencial de crecer hasta cerca de un trillón de euros anuales en 2020. El fortalecimiento de un alto nivel de protección de datos de Europa es una oportunidad de negocio”.
Por ello, en este marco compartimos que es crucial la denominada cooperación civil y militar, puesto que “La utilización civil y militar del espacio aéreo por parte de vehículos tripulados y no tripulados y las normas de seguridad correspondientes representarán una carga mayor para los servicios de tráfico aéreo. Por consiguiente, se apoya la intención de la Comisión de adoptar iniciativas al respecto, así como la cooperación entre los ámbitos civil y militar, de modo que se puedan ensayar aplicaciones e innovaciones comerciales y se haga uso de las sinergias cuando sea posible. Asimismo, es indudable que también deberán tenerse en cuenta las prioridades regulatorias y la relación entre la legislación internacional y la europea”.
El escenario actual sobre el uso de RPAS plantea numerosas cuestiones técnicas y tecnológicas en las que desafortunadamente ahora no podemos ahondar, sin perjuicio de poner de relieve las diferencias existentes en los diversos Estados de la Unión Europea y nuestro entorno comercial o tecnológico más próximo, concretamente Estados Unidos y los países de su entorno y cultura legislativa.
Nos centraremos en el análisis de algunas cuestiones jurídicas de interés para los agentes técnicos y los operadores jurídicos, desde una interesante perspectiva como la que representa la privacidad y la protección de datos, la cual permite vertebrar y contextualizar diversos aspectos de una materia compleja que ofrece aproximaciones poliédricas.
No todo es ni debe ser privacidad, pero quizá es un buen principio, una acertada aproximación. En especial si se comparte el presupuesto de que resultará mejor estar a los principios generales más que a legislaciones profusas y confusas, siempre particulares en cada lugar.
A. Regulación en Europa
La regulación europea actual la conforma la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, actualmente en proceso de revisión.
Asimismo, en materia de drones ha de tenerse en cuenta la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
En un futuro próximo se espera la aprobación de la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), cuyas normas serán de directa aplicación a la información personal procesada por los drones en todo el espacio de la Unión Europea.
Como señalan su exposición de motivos y el considerando 5, y los drones no son ajenos a esta realidad sino que la ahondan, “La rápida evolución tecnológica y la globalización han supuesto nuevos retos para la protección de los datos personales. Se ha incrementado de manera espectacular la magnitud del intercambio y la recogida de datos. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de desarrollar sus actividades. Los individuos difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y requiere que se facilite aún más la libre circulación de datos dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales”.
La integración progresiva de aeronaves no tripuladas en el espacio aéreo civil europeo y la aparición de numerosas aplicaciones de RPAS (que van desde el ocio, los servicios, la fotografía, la logística, la vigilancia de las infraestructuras, etc.) existe una verdadera necesidad de centrar jurídicamente los desafíos que un despliegue a gran escala de aeronaves no tripuladas y tecnología de sensores podría provocar para la intimidad y las libertades civiles y políticas, así como para evaluar las medidas necesarias para garantizar el respeto de los derechos fundamentales y la protección de datos con un enfoque —insistimos— constructivo, abierto a la innovación y favorable a la aplicación en entornos jurídicos.
Actualmente, puede ser de mucha utilidad conocer los criterios contenidos en la Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones, dado que ofrecen recomendaciones prácticas de directa incidencia en el uso legal de drones. Centraremos nuestro estudio en su análisis y añadiremos algunos aspectos o consideraciones fruto de nuestra experiencia jurídica y profesional en asuntos geoespaciales y tecnológicos.
B. Regulación en España
En 2014 se aprobó el Real Decreto-ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia.
La norma legal sale al paso de los avances científicos y técnicos que, en los últimos años, han contribuido al progreso de la aviación permitiendo la aparición de nuevos usuarios del espacio aéreo, concretamente de los drones, RPAS o UAVs. Se reconoce en la exposición de motivos del texto normativo que “estos avances tecnológicos han permitido, asimismo, una reducción considerable del coste de adquisición de este tipo de aeronaves, permitiendo una proliferación de su uso de manera casi indiscriminada con los consiguientes riesgos a la seguridad aérea que ello conlleva”. Constata así tanto las ventajas como los posibles inconvenientes.
Por ello, con el fin de garantizar una transición progresiva y un alto nivel de seguridad de la aviación civil, se afirma que “es necesario establecer el régimen jurídico específico aplicable a estas aeronaves y a las actividades aéreas desarrolladas por ellas. Estas medidas normativas deben reflejar el estado actual de la técnica, al mismo tiempo que recoger las necesidades de la industria del sector potenciando sus usos”.
Este nuevo régimen jurídico, con rango de Ley, se establece en la Sección 6ª del Título II, sobre Infraestructuras y transporte, dentro de su Capítulo I, relativo a Aviación civil, bajo el precepto de “Operación de aeronaves civiles pilotadas por control remoto” (art. 50).
En resumen, esta disposición establece las condiciones de explotación de estas aeronaves para la realización de trabajos técnicos o científicos o, en los términos de la normativa de la Unión Europea, operaciones especializadas, así como para vuelos de prueba de producción y de mantenimiento, de demostración, para programas de investigación sobre la viabilidad de realizar determinada actividad con aeronaves civiles pilotadas por control remoto, de desarrollo de nuevos productos o para demostrar la seguridad de las operaciones específicas de trabajos técnicos o científicos, permitiendo, de esta forma, su inmediata aplicación.
Esta normativa muestra los límites y obligaciones para el uso de aeronaves no tripuladas en España. Sólo se pueden realizar trabajos aéreos como actividades de investigación; observación y vigilancia de incendios forestales; publicidad aérea u operaciones de emergencia, búsqueda y salvamento.
Hasta que no esté aprobada la reglamentación definitiva, las operaciones que se pueden realizar se limitan a zonas no pobladas y al espacio aéreo no controlado. La normativa permite grabar en exteriores, pero ha de hacerse de día y con buenas condiciones meteorológicas. Siempre será en zonas fuera de aglomeraciones, lugares habitados o de reuniones de personas al aire libre, dentro del alcance visual del piloto y a una altura máxima de 120 metros.
Todos los drones, como ahora propone el regulador europeo, tienen que llevar fijada en su estructura una placa de identificación en la que deberá constar la identificación de la aeronave —mediante la designación específica—, número de serie, nombre de la empresa operadora y los datos de contacto. Además, los drones deben contar con seguro de responsabilidad civil por posibles daños a terceros.
III. Integración de drones en el espacio aéreo civil de Europa
A. Drones y sensores
1. Qué son los drones
La definición, las características y las potencialidades de los drones han de estar presentes en la regulación de este sector industrial, especialmente para su mejor aplicación en procedimientos y actuaciones jurídicas o de componente legal u oficial.
En términos generales, y a los efectos que ahora interesa conocer, las aeronaves no tripuladas son vehículos aéreos que pueden pertenecer a diferentes categorías con una amplia variedad de especificaciones, características y capacidades. Los drones pueden ser diseñados para soportar una variedad de cargas útiles que varían en tamaño y capacidad técnica. El tipo más básico de las aeronaves no tripuladas, que consiste solamente en componentes vitales o meramente operacionales, no realiza ningún procesamiento de datos personales, aunque podría causar molestias y alteraciones sociales a las demás colectividades.
Sin embargo, la adición de otros sensores para fines diversos, como grabar datos de audio o vídeo, plantean preocupaciones obvias de protección de datos y de privacidad. Es importante recordar que los drones disponibles en el mercado no necesariamente están equipados con cámaras de a bordo u otros sensores de forma predeterminada y la elección del operador de aviones no tripulados puede no incluir tal capacidad en función del tipo de uso. No obstante, en la actualidad es inevitable que un RPAS pueda ser diseñado y construido por el propio operador y luego añadirle componentes de una amplia variedad de proveedores.
2. Ejemplos de equipos y sensores instalados
El Grupo de Trabajo del Artículo 29 de la Directiva Europea de Privacidad recoge algunos ejemplos de equipos y sensores que podrían tener un impacto directo en la privacidad y en la protección de datos, el cual además podría cuestionar el uso legal de los drones, especialmente si se pretende emplearlos con fines oficiales o jurídicos:
- equipo de grabación visual: cámaras inteligentes con distancia focal fija o variable, capaz de almacenar y transmitir imágenes en vivo, con capacidades de reconocimiento facial en tierra, RPAS para identificar y rastrear personas, objetos o situaciones concretas, identificar los patrones de movimiento, leer las matrículas de vehículos, con garantía al mismo tiempo de una visión 360° o con posibilidad de detectar la energía térmica emitida por un blanco, lo que permite el vuelo y la grabación de imágenes en condiciones de poca visibilidad (debido a la niebla, humo, o residuos) o durante las horas de la noche;
- equipos de detección: sensores óptico-electrónicos, escáneres infrarrojos, radares de apertura sintética para identificar objetos, vehículos y embarcaciones y obtener información sobre su posición, incluso detrás de paredes, humo u otros obstáculos;
- equipo de radio-frecuencia: como antenas que capturan la ubicación de los puntos de acceso Wi-Fi o estaciones celulares, femtoceldas y IMSI receptor utilizados por las fuerzas del orden para controlar los teléfonos y las redes móviles o el proveedor de servicios de enlaces de comunicaciones entre las redes y los usuarios de terminales;
- sensores específicos para la detección de trazas nucleares, rastros biológicos, material químico, artefactos explosivos, etc.
B. Ventajas, muchas. Algunos riesgos
1. Beneficios.
Las autoridades de la Unión Europea reconocen los beneficios sociales y económicos del uso civil de drones y su potencial de crecimiento y la posibilidad de su empleo con fines multipropósito en todos los niveles económicos, industriales y productivos.
Los drones tienen un gran potencial en áreas muy diversas, ya que pueden desplazarse rápidamente sobre un terreno irregular o accidentado y superar cualquier tipo de obstáculo ofreciendo imágenes a vista de pájaro y otro tipo de información recogida por diferentes sensores.
Como explican algunos proveedores, un sistema con múltiples robots es más robusto aún, debido a la redundancia que esto ofrece. Permite la cooperación en paralelo entre los drones, ayudándose unos a otros para, por ejemplo, cubrir grandes áreas en exteriores o crear redes de sensores móviles. Estos enjambres de vehículos aéreos no tripulados pueden desplegarse para realizar tareas de búsqueda ante cualquier tipo de desastre natural, como terremotos o ataques terroristas, ayudando a localizar a personas que puedan necesitar ayuda.
A modo de ejemplo, cabría citar algunas de las aplicaciones donde los RPAS pueden ser muy útiles: búsqueda de personas desaparecidas, al permitir reducir considerablemente el tiempo de localización de personas desaparecidas en lugares abiertos o de difícil acceso como zonas montañosas o nevadas, especialmente por su reducido tamaño, por su menor coste y mayor capacidad de despliegue, con menor riesgo de vidas humanas y menor consumo de combustible, etc.; fotografía, vídeo y cartografía aérea, para captar imágenes desde el aire de forma sencilla y rápida (recuento de árboles en una finca afecta a subvenciones, realización de fotografías y vídeos de inmuebles, infraestructuras longitudinales, etc.); prevención y control de incendios, mediante la supervisión constante, en horas de alto riesgo, de un área boscosa, en busca de puntos activos o conatos de incendio, sin riesgo de vidas humanas y reduciendo los costes comparado con los activos humanos necesarios para desarrollar la misma tarea, etc.
Los beneficios del uso se drones se concretan en numerosas aplicaciones a desarrollar para tareas concretas. Por ejemplo: Medio Ambiente (parametrización del índice de contaminación lumínica para elaborar mapas de polución lumínica y monitorizar la eficiencia de medidas ecoenergéticas; control y seguimiento de accidentes industriales con vertidos tóxicos en medios acuáticos y terrestres; control de áreas de depósito y almacenaje de residuos industriales y de su tratamiento); Agricultura (control y monitorización del estado de los cultivos mediante imágenes multiespectrales, control de la eficiencia de regadíos, conteo y supervisión de producción agrícola subvencionada); Geología (realización de mapas geológicos sedimentológicos, mineralógicos y geofísicos, control y monitorización de explotaciones mineras y su impacto ambiental: movimientos de tierras, producción de áridos, residuos metálicos, balsas de decantación, etc.), Determinación y control a escala centimétrica de áreas con riesgos geológicos asociados o caracterización de zonas con riesgo de aludes utilizando imágenes multiespectrales para determinar la humedad de la nieve, cámaras térmicas para determinar su temperatura y técnicas estereoscópicas para determinar grosores; Construcción e inspecciones (Inspección de obras desde el aire; estimación de impacto visual de grandes obras); Control y análisis de multitudes (manifestaciones, conciertos, etc.), investigación de una escena de un crimen desde el aire (accidentes de tráfico); exploración de lugares de difícil acceso, como cuevas, precipicios, etc.; Movilidad y Tráfico (grabación y monitorización de la situación del tráfico).
Entre las ventajas operativas y concretas, muchos proveedores destacan la reducción general de precio, en especial frente a alternativas pilotadas, la mejora de las prestaciones (mayor estabilidad que permite mejores fotografías, mayor dinamismo y posibilidad de vuelo a bajas velocidades y cerca del suelo o de obstáculos), simplificación del proceso, automatización del proceso cuando es necesario fotografiar un área más grande, obtención de mapas 3D de un terreno, reducción del tiempo de trabajo, reducción de los efectivos humanos necesarios, etc.
2. Riesgos para la privacidad
El reconocimiento de los beneficios del uso de drones en múltiples entornos y aplicaciones técnicas y jurídicas conduce, al mismo tiempo, a ponderar las amenazas y riesgos que, entre otros derechos y libertades fundamentales, puede comportar para la protección de datos y la privacidad.
Compartimos con las principales autoridades europeas que la integración de las aeronaves no tripuladas en el mercado europeo de la aviación y sus diferentes usos civiles (incluido el uso para la aplicación de Ley) plantea desafíos específicos que deben superarse con el fin de respetar los derechos y principios consagrados en la Carta de Derechos Fundamentales de la Unión Europea, y en particular el derecho a la vida privada y la vida familiar (artículo 7) y la protección de datos personales (artículo 8).
El Grupo de Trabajo del Artículo 29 de la Directiva de Privacidad destaca también que el tratamiento de datos personales por parte de aeronaves no tripuladas tiene una naturaleza peculiar, especialmente debido a tres factores: en primer lugar, por el punto de vista único que aumenta la eficacia de los sensores de a bordo; en segundo término, por la considerable reducción de la transparencia que conlleva la utilización de drones, y, en tercer lugar, por la mayor intrusión en la privacidad en comparación con sensores fijos similares, a pesar de las similitudes percibidas al considerar, por ejemplo, la videovigilancia mediante RPAS respecto del uso de una cámara de circuito cerrado de televisión fija.
La utilización legal de drones precisa aplicar las indicaciones prácticas de los legisladores y reguladores, tanto a nivel europeo como nacional, incluidas las Autoridades de Aviación Civil, para proteger y desarrollar con garantías la industria, las funciones y procedimientos judiciales y extrajudiciales y al público en general.
De manera particular, ante los riesgos que puede comportar la utilización de RPAS, es necesario estudiar de forma concreta y a través de los especialistas en la materia su impacto sobre la privacidad y la protección de datos, así como las consecuencias del uso prolongado de las diferentes aplicaciones civiles de drones. En concreto, es pertinente valorar en cada caso las peculiaridades y las criticidades relacionadas con el cumplimiento de los requisitos específicos existentes en el marco jurídico de la protección de datos personales.
Este estudio previo habría de concluir con recomendaciones sobre la forma de evitar, mitigar o trasladar adecuadamente los riesgos que puedan surgir en relación con los RPAS y los efectos de su uso, especialmente con el fin de hacer que el procesamiento de los datos personales resulte lícito y compatible con el marco jurídico de protección de datos. En nuestra experiencia, también habría de tenerse en cuenta el cumplimiento de los estándares técnicos que aseguren la obtención fiable de la información, de manera que calidad y confiabilidad sean notas relevantes de los trabajos civiles realizados mediante drones.
3. Riesgos específicos para la protección de datos.
A la luz de las numerosas aplicaciones existentes y de otras que previsiblemente pueden aparecer en el futuro, los riesgos que se ponen de manifiesto no se limitan a la seguridad o la responsabilidad civil, y también afectan directamente a la protección de datos.
La mayor incidencia en materia de privacidad resulta del hecho de que en una serie de casos, es probable o incluso inevitable que los titulares de los datos, los ciudadanos afectados, no sean conscientes de la actividad de los drones ni del procesamiento de sus datos personales llevado a cabo, en especial si se tiene en cuenta que estos dispositivos pueden ser difíciles de ver desde el suelo.
En cualquier caso, incluso si las personas fueran conscientes de que drones sobrevuelan la zona, ciertamente será difícil o imposible conocer a priori los datos recabados, los equipos de procesamiento a bordo, los fines para los que se recogen los datos, el responsable de ese tratamiento y los cesionarios de la información.
Esta situación provoca, además, el aumento de la sensación ciudadana de estar bajo vigilancia así como una considerable y posterior reducción de las garantías de las personas frente al inmediato y posible procesamiento de su información personal, incluso con limitación o restricción en el ejercicio legítimo de las libertades y los derechos civiles, más conocido como “efecto disuasorio” (en inglés denominado “chilling effect”).
Según destacan las autoridades europeas, la destreza de los drones facilita aún más su capacidad de alcanzar puntos de vista únicos, por ejemplo, para evitar los obstáculos y para no verse limitados por barreras, muros o cercas. Por tanto, los drones pueden entrar más fácilmente en recintos o locales privados, por lo que sencillamente pueden habilitar la recolección de una amplia variedad de información de fuentes diversas con escasa capacidad de control, prevención o reacción por parte de los propietarios y titulares de derechos.
En función de las tecnologías instaladas a bordo, la incidencia en la privacidad podría ser mayor en la medida en que los datos pueden ser recogidos sin necesidad de una línea de visión directa, es decir, a través de los techos, los muros o las nubes, y conservados durante largos períodos de tiempo y respecto de grandes superficie sin interrupción (con un alto riesgo de recolección masiva de datos personales con posibles usos incompatibles o polivalentes ilegales).
La actividad de los drones puede afectar también a la privacidad por su alta capacidad de interconexión. En nuestra experiencia profesional, hemos tenido ocasión de comprobar la incidencia que podría representar la posibilidad de interconectar una serie de drones para el estudio de grandes áreas o infraestructuras. Enjambres de aeronaves no tripuladas, con canales de comunicación en tiempo real entre ellas y las partes externas, podrían desencadenar riesgos aún más elevados de protección de datos, ya que fácilmente podrían permitir la vigilancia coordinada, como por ejemplo para el análisis de los movimientos y seguimiento de personas o vehículos en grandes áreas.
Desde estas perspectivas, es claro apreciar la existencia de un alto riesgo de tratamientos de datos personales desde y mediante aeronaves no tripuladas, en especial si dicho procesamiento tuviera lugar de manera encubierta, lo cual podría causar interferencias importantes en la esfera más íntima de las personas.
Al mismo tiempo, en razón de la finalidad del procesamiento de datos personales, es innegable que existe un riesgo de desviación superior, es decir, riesgos de cambio o ampliación de los usos para fines incompatibles o polivalentes ilegales. La intensidad de este riesgo de desviación de la finalidad depende del equipo potencialmente sofisticado de a bordo y la facilidad con que los datos personales recogidos puedan vincularse con otras piezas de información, lo cual en el escenario del Big Data, del Internet of Things y de las Smart Cities puede agravarse sustancialmente, al requerirse necesariamente dicho procesamiento.
Además, las autoridades europeas subrayan que el impacto potencial de la intrusión en la privacidad se ve agravado por la amplia constelación de actores y entidades implicadas en el uso de los drones. Hasta los fabricantes de RPAS, por ejemplo, tienen un papel fundamental que desempeñar desde la fase de diseño, pues las características operacionales pueden, en mayor o menor medida, prestarse a aplicaciones de privacidad intrusiva (por ejemplo, en el caso de los drones pequeños o de micro-tamaño, capaces de volar y recabar información sensible dentro de edificios).
En este marco, la percepción de los drones por las personas está inextricablemente ligada a la propia sostenibilidad social. Desde nuestra experiencia profesional concreta, consideramos que la aplicación efectiva y con sentido común, además de jurídico, de la normativa de protección de datos puede contribuir a la aceptación del uso de los drones con carácter oficial y para aplicaciones jurídicas, además de reducir, mitigar o suprimir los riesgos inherentes en el uso civil de los drones.
C. Marco jurídico aplicable en Europa
1. Aplicación de la Directiva de protección de datos
La Comisión Europea ha centrado su atención en el uso de aeronaves mediante control remoto y en materia de protección de datos no se ha diferenciado la autonomía o no de las aeronaves no tripuladas, pues se considera que este aspecto no es relevante de cara a la evaluación del impacto en la privacidad derivada de la utilización de este tipo de tecnología. Es más, desde la Unión Europea se considera que la aplicación de las Directrices dadas para el cumplimiento de la Directiva de Protección de Datos comprende el uso de cualquier clase de aeronave no tripulada para operaciones civiles.
Sin embargo, consideramos relevante indicar que algunos casos de tratamiento de datos personales derivados de la utilización de aeronaves no tripuladas para operaciones civiles podrían encontrarse fuera del ámbito de aplicación de las Directrices dada a la luz de las exenciones o excepciones que, de acuerdo con la Directiva, pueden establecer los Estados miembros. Por tanto, convendrá estar a lo que determinen en cada caso las normas nacionales.
Desde el Grupo de Trabajo del artículo 29 se da la máxima importancia a la introducción de un marco adecuado a nivel nacional que asegure que el uso de aeronaves no tripuladas con fines estrictamente personales y recreativas y para fines periodísticos no afecte a los derechos fundamentales, a la intimidad o confidencialidad de las comunicaciones y que asegure el respeto de una expectativa razonable de protección de la vida privada, también en el caso de la recogida de los datos personales que se realizan en lugares públicos. Por consiguiente, esta premisa ha de inspirar el uso legal de drones en los diversos ámbitos en los que podría plantearse una colisión de derechos.
2. Tratamiento de datos personales con fines policiales
Los drones pueden comportar una transformación de hondo calado en el modo de aplicar la Ley, en concreto, el ámbito de la utilización de los datos obtenidos con fines policiales, que pueden incluir desde el seguimiento de un individuo hasta la monitorización de la vida y actividades de poblaciones determinadas basada en una vigilancia continuada, como señala el Grupo de Trabajo del artículo 29.
Por tanto, la utilización directa de aeronaves no tripuladas por la policía y otros cuerpos y fuerzas de seguridad, o incluso el acceso o la recogida de información obtenida desde drones mediante entidades privadas, crea un elevado riesgo para los derechos y libertades fundamentales de los ciudadanos, con la posible interferencia directa en su derecho a la vida privada y a la protección de datos, reconocidos ambos en los artículos 7 y 8 de la Carta Europea de Derechos Fundamentales.
En consecuencia, la policía y otras autoridades operadoras de drones deben asegurarse de disponer de una base jurídica válida para el procesamiento de datos personales. Más en particular, de conformidad con las normas y directrices de reciente aprobación en Europa, es preciso determinar la necesidad e idoneidad de la utilización de las aeronaves no tripuladas para los fines específicos de carácter policial que se persiguen.
Las autoridades policiales deberán justificar asimismo las razones por las cuales los instrumentos existentes a su disposición no alcanzan los fines de vigilancia que se pretenden con los drones y, en su caso, la motivación de que estas aeronaves constituyen la alternativa menos intrusiva. Las autoridades europeas sugieren que una evaluación previa de las autoridades de protección de datos puede ser aplicable y podría ser considerada una buena práctica en las normas nacionales.
En todo caso, las autoridades policiales y las entidades privadas que intervengan en su colaboración deben cumplir con los requisitos establecidos por la Directiva en caso de procesar datos recogidos por aeronaves no tripuladas para la detección, persecución, prevención y castigo de delitos. En particular, tales usos deben limitarse a los supuestos en que el tratamiento resulte necesario con el fin de proteger los intereses vitales del interesado o para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos.
El Grupo de Trabajo del artículo 29 recuerda que el procesamiento de datos por drones por los servicios gubernamentales debe llevarse a cabo para los fines establecidos en la legislación sectorial vigente y no debe ser utilizado para la vigilancia indiscriminada, procesamiento masivo de datos ni para la puesta en común de datos y perfiles.
Con carácter general, las autoridades europeas recomiendan límites que deben imponerse en el uso de drones para actividades de vigilancia. El objetivo principal es evitar que su uso se generalice o que se utilice para la identificación de objetivos basados en el análisis de datos.
Por tanto, los drones sólo deben utilizarse para los fines estrictamente enumerados y justificados previamente tipificados y, en todo caso, su uso debe ser geográficamente restringido y limitado en el tiempo. Desde la perspectiva del impacto que el uso de aeronaves no tripuladas puede tener sobre los derechos a la libertad de expresión y a la libertad de reunión, se debe prestar especial atención a la necesidad de proteger, en la medida de lo posible, las manifestaciones públicas y reuniones similares de cualquier clase de vigilancia no autorizada o excesiva.
3. Legalidad del procesamiento y limitación de la finalidad
Para que sea lícito el tratamiento de datos personales que conlleva la utilización de la tecnología civil de drones, su uso debe fundamentarse en las normas establecidas en la Directiva europea de Protección de Datos y en las normas nacionales de trasposición, para así garantizar el procesamiento legítimo y proporcionado de los datos personales, teniendo en cuenta las peculiaridades de que el tratamiento de datos se efectúe por medio de equipos de a bordo.
Entre otras bases jurídicas o títulos habilitantes para llevar a cabo dicho procesamiento de datos, habrían de considerarse como relevantes el consentimiento libre, específico e informado, la necesidad del procesamiento para el cumplimiento de un contrato en el que el interesado sea parte o que resulte necesario para el cumplimiento de una obligación legal o necesario para el desempeño de una función de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, además de que tenga como fin proteger el interés vital del interesado.
Por tanto, cualquier tratamiento posterior de los datos personales para un fin distinto de aquel para el cual hayan sido recogidos debe hacerse de conformidad con las disposiciones de la Directiva y, por consiguiente, debe tener una base jurídica autónoma y evaluarse caso a caso su compatibilidad con el propósito original.
De conformidad con el principio de legalidad (artículo 6.1.a de la Directiva), cualquier operación de drones que implique el tratamiento de datos personales debe cumplir con la legislación aplicable en general, incluyendo las regulaciones nacionales sobre videovigilancia y normas sectoriales similares.
4. Proporcionalidad, calidad y minimización de los datos: privacidad por diseño y por defecto
Sólo pueden tratarse los datos personales obtenidos de drones si éstos resultan adecuados, pertinentes y no excesivos en relación con los fines para los que se recaben. Por tanto, es pertinente una evaluación rigurosa de la necesidad y proporcionalidad de los datos a procesar. Asimismo, la regulación europea concreta que los datos personales sólo podrán tratarse si, y siempre y cuando, los fines no pueden cumplirse mediante el procesamiento de información que no implique datos personales.
Por otra parte, el principio de minimización de los datos puede ser cumplido mediante la elección de una tecnología de abordo proporcionada y mediante la adopción de medidas de protección de datos y de privacidad por defecto, es decir, a través de una configuración de privacidad en los servicios y productos que de forma predeterminada evite la innecesaria recogida o tratamiento ulterior de datos personales.
En relación con las diversas tecnologías capaces de leer electrónicamente y procesar datos biométricos (reconocimiento facial, de identificación del comportamiento, etc.), las autoridades europeas recomiendan un análisis actualizado según las aclaraciones y recomendaciones ofrecidas en el dictamen sobre la evolución de tecnologías biométricas.
La aplicación de la protección de datos a través de medidas predeterminadas implica que, a priori y como propone el grupo consultivo europeo, el principio de protección de datos por diseño se respeta por los fabricantes y operadores. Compartimos igualmente que la protección de datos no es un lastre, sino un claro valor añadido de los productos y servicios que debe estar integrado dentro de todo el ciclo de vida de la tecnología, desde la etapa temprana del diseño y hasta su despliegue, uso y disposición final. En la actualidad es claro que dicha tecnología debe ser diseñada de manera que se evite el tratamiento de datos personales innecesarios (por ejemplo, en el caso de las infraestructuras estratégicas o críticas, ingeniería y programación de drones con el fin de inhibir la recogida de datos previamente definidos dentro de zonas de exclusión aérea, etc.).
Dada la variedad de aplicaciones de drones y las posibles tecnologías de abordo, con el fin de evaluar su impacto en los derechos y libertades de las personas y, en particular, sobre el derecho a la privacidad y protección de datos, es muy recomendable realizar una evaluación de impacto de la protección de datos. Ayuda a los operadores a descubrir los riesgos de privacidad (si los hubiera) asociados al uso de nuevas aplicaciones y a evaluar si el tratamiento de datos personales a través de aeronaves no tripuladas es legítimo, necesario y proporcionado a la finalidad, al tiempo que asegura, entre otras, las cuestiones de transparencia y seguridad, documentación y medidas de seguridad a adoptar para hacer frente a los riesgos inherentes a la operación civil de drones.
IV. Recomendaciones prácticas
La reciente entrada en vigor de la regulación en España y la falta de normas armonizadas en la Unión Europea nos llevan a suscribir las recomendaciones y orientaciones que ha publicado el Grupo de Trabajo del Artículo 29, sin perjuicio de las interesantes experiencias que se van conociendo y que, sin duda, contribuirán a la mejora y legalidad en el uso civil de drones.
Seguidamente sintetizamos las principales directrices para su mejor puesta en práctica por parte de los fabricantes de drones y equipos así como por los operadores y usuarios europeos y nacionales. Obviaremos las recomendaciones directamente dirigidas a los legisladores y reguladores, por exceder del ámbito de interés de fabricantes y operadores.
A. Medidas previas al uso de drones
- Confirmar si la legislación nacional autoriza el uso de drones y verificar, en cada caso, la necesidad de autorización de las autoridades administrativas.
En España, el artículo 50.2 de la Ley 18/2014, de 15 de octubre, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia, determina a este efecto que “las aeronaves civiles pilotadas por control remoto cuya masa máxima al despegue exceda de 25 kg deben estar inscritas en el Registro de matrícula de aeronaves y disponer de certificado de aeronavegabilidad, quedando exentas del cumplimiento de tales requisitos las aeronaves civiles pilotadas por control remoto con una masa máxima al despegue igual o inferior”.
- Clarificar las funciones de actores diferentes: en tanto que el procesamiento de datos personales y de información no la realiza directa ni únicamente un solo responsable, conviene asegurar que el procesamiento se rige por un contrato o acto jurídico que vincule jurídicamente al responsable y al encargado de tratamiento, con garantía de que éste actúa sólo por instrucciones del responsable.
En la regulación española (art. 50.1.2º de la Ley 18/2014), el operador es, y en todo caso, el responsable de la aeronave y de la operación, del cumplimiento del resto de la normativa aplicable, en particular en relación con el uso del espectro radioeléctrico, la protección de datos —que se menciona expresa y específicamente— y la toma de imágenes aéreas, además de tener una responsabilidad directa por los daños causados por la operación o la aeronave.
- Evaluar el impacto de protección de datos teniendo en cuenta la finalidad de las operaciones y el tipo de aviones no tripulados (dimensión, visibilidad, etc.) y las combinaciones específicas de la tecnología de detección de a bordo; identificar el fundamento jurídico más adecuado (consentimiento de los titulares de los datos, cumplimiento de un contrato, la obligación legal, legítimo interés, etc.) y la posible necesidad de notificar o consultar las Autoridades Nacionales de Protección de Datos competentes conforme a la ley nacional de protección de datos.
La Agencia Española de Protección de Datos ha publicado en 2014 la Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), y esta Autoridad Nacional de Control en su última Memoria de 2014 ha destacado que “En particular, la Guía indica situaciones en las que sería recomendable llevar a cabo este análisis. Entre ellas se pueden resaltar aquellos proyectos en los que se vayan a utilizar tecnologías que se consideran especialmente invasivas de la privacidad, como la videovigilancia a gran escala, el uso de drones, la minería de datos, el tratamiento de datos biométricos o genéticos, o la geolocalización”.
- Seleccionar la tecnología a bordo más proporcionada a las finalidades y adoptar todas las medidas adecuadas de privacidad por defecto: establecer servicios y productos de manera que se evite la recogida y el tratamiento posterior de datos personales innecesarios.
Estas medidas de minimización del tratamiento de datos personales serán recogidas en el nuevo Reglamento General de Protección de Datos que puede llegar a ser aplicable en toda la Unión Europea. Su propia exposición de motivos lo expresa así: “El artículo 5 establece los principios relativos al tratamiento de los datos personales, que corresponden a los establecidos en el artículo 6 de la Directiva 95/46/CE. Se introducen nuevos elementos adicionales como el principio de transparencia, la aclaración del principio de minimización de datos y el establecimiento de una responsabilidad general del responsable del tratamiento de datos”.
- Encontrar la manera más adecuada para dar aviso previo a posibles afectados por el procesamiento de datos: informar a través de señales u hojas de información en caso de funcionamiento visual en zonas determinadas; en caso de un evento público, informar al público a través de medios sociales, periódicos, folletos o carteles; dar información clara siempre en el sitio web correspondiente: el anuncio de información debe contener una indicación clara del responsable de fichero a efectos de la regulación de protección de datos y los fines del tratamiento, y debe ofrecer a los ciudadanos afectados, sujetos de los datos indicaciones claras y específicas para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en particular respecto de los registros visuales y no visuales que les conciernen.
En nuestra experiencia profesional, la complejidad de la cuestión puede simplificarse a través de la debida aplicación de los Principios de Protección de Datos:
- El principio de calidad de los datos.
- El principio de información en la recogida de datos.
- El principio de consentimiento (o título jurídico habilitante: ley aplicable, interés legítimo, etc.).
- El principio de datos especialmente protegidos.
- El principio de seguridad de los datos.
- Deber de secreto.
- El principio de comunicación de datos.
- El principio de acceso a datos por cuenta de terceros.
- Tomar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado a los riesgos que presente el tratamiento y a la naturaleza de los datos que deben protegerse, en particular, para evitar cualquier tratamiento no autorizado también durante la fase de “transmisión”.
En particular, es recomendable incorporar la privacidad desde el diseño y por defecto. En igual sentido se pronuncia el Considerando 61 de la Propuesta de Reglamento General de Protección de Datos: “(61) La protección de los derechos y libertades de los interesados con respecto al tratamiento de datos personales exige la adopción de las oportunas medidas de carácter técnico y organizativo, tanto en el momento del diseño del tratamiento como del tratamiento propiamente dicho, con el fin de garantizar que se cumpla lo dispuesto en el presente Reglamento. Con objeto de garantizar y demostrar el cumplimiento de lo dispuesto en el presente Reglamento, el responsable debe adoptar las políticas internas y aplicar las medidas adecuadas que cumplan especialmente los principios de protección de datos desde el diseño y por defecto”.
- Eliminar o anonimizar los datos personales innecesarios después de la recolección o tan pronto como sea posible.
Esta medida se enmarca en la identificabilidad de las personas físicas. La Propuesta de Reglamento General de Protección de Datos en su Considerando 23 determina que “Los principios de protección deben aplicarse a toda información relativa a una persona identificada o identificable. Para determinar si una persona es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otro individuo para identificar a dicha persona. Los principios de protección de datos no deben aplicarse a los datos convertidos en anónimos de forma que el interesado a quien se refieren ya no resulte identificable”.
B. Recomendaciones para el uso legal de datos procesados por drones
- Insertar opciones de privacidad con diseño amigable y privacidad amigable por defecto como parte de un enfoque de privacidad desde el diseño.
- Involucrar a un Delegado de Protección de Datos (cuando sea posible) en el diseño e implementación de políticas relacionadas con el uso de aviones no tripulados.
- Promover y adoptar códigos de conducta que puedan ayudar a la industria y las diferentes categorías de operadores a prevenir las infracciones y mejorar la aceptabilidad social de aviones no tripulados; tales códigos deben contener las sanciones en caso de que los firmantes no cumplen con el código.
- Hacer que el avión no tripulado sea visible e identificable en lo posible (mediante emisión de señal inalámbrica, luces intermitentes o zumbadores, colores brillantes, etc.).
- Hacer que el operador sea claramente visible e identificable con señalización como persona responsable del dron cuando esté en la línea de visión.
- Evitar en la medida de lo posible volar sobre o cerca de áreas privadas y edificios al planificar y operar un vuelo, incluso cuando esté permitido operar el dron sobre áreas pobladas.
V. Conclusiones
- La integración progresiva de los drones en el espacio aéreo civil europeo y su utilización en múltiples aplicaciones requiere tener en cuenta no sólo los beneficios económicos y sociales, sino también los riesgos que para la protección de datos de las personas y la privacidad comporta su empleo a gran escala y el desarrollo de sensores de alta tecnología.
- Los riesgos principales de los drones en materia de privacidad comprenden desde el incremento de procesamientos masivos de datos personales hasta la falta de transparencia de las finalidades y cesionarios de la información recogida, además de la amenaza al correcto ejercicio de derechos y libertades fundamentales.
- La utilización legal de drones precisa verificar la necesidad de autorización específica de las Autoridades de Aviación Civil, la búsqueda de los criterios más adecuados para el tratamiento legítimo, con cumplimiento de los principios de limitación de finalidad, de minimización de los datos y de proporcionalidad (por la elección de la tecnología más proporcionada y las medidas más adecuadas para evitar la recogida de datos personales innecesarios) y el cumplimiento, de la manera más apropiada para cada caso, del principio de transparencia al operar aeronaves no tripuladas, con información a los interesados de las operaciones realizadas y los datos recabados, con adopción de todas las medidas de seguridad adecuadas y con eliminación o anonimización de los datos personales no estrictamente necesarios.
Consulta con el experto
En caso de dudas o consultas respecto al uso legal de RPAs, puede consultar con nuestro experto:
Efrén Díaz Díaz, Abogado
BUFETE MAS Y CALVET
C/ José Ortega y Gasset,17. 28006 Madrid
Tel: + 34 91 577 26 94 Fax: + 34 91 431 21 36
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!