Los drones han llegado a nuestras vidas. Y lo han hecho para quedarse.

Son innumerables las actividades que pueden desarrollarse de modo sencillo y barato utilizando estos artefactos. Algunas, obvias, como la vigilancia aérea de espacios e infraestructuras a través de sistemas de video. Otras, más insospechadas para el ciudadano de a pie, como la grabación de voces y sonidos, el reconocimiento facial, la geolocalización, la detección de personas dentro de edificios mediante cámaras térmicas, la lectura de placas de matrícula, la detección de movimientos a través de muros mediante escáneres, la captura de señales WI-FI o de telefonía móvil por sistemas de radiofrecuencia, etc.

A nivel del suelo, no siempre es fácil detectar la presencia de un dron. E incluso viéndolo, es imposible saber si está grabando o fotografiando, qué datos está obteniendo, a quién irán destinados o para qué fines se están recabando. Además, los avances en el desarrollo de estas tecnologías han permitido la creación de artefactos tan minúsculos que pueden volar incluso dentro de edificios o viviendas.

Por otra parte, la posibilidad de interconectar varios drones entre sí permite efectuar un control de grandes áreas o supervisar el movimiento de personas o vehículos a través de ellas, en una suerte de Gran Hermano que podría llegar a fiscalizar el comportamiento del individuo casi en cada faceta de su vida.

Dichas características multiplican los riesgos para la privacidad, en comparación con otros sistemas con los que guarda cierta analogía, como la videovigilancia a través de cámaras fijas o móviles.

En su modalidad más básica, un dron no tiene por qué obtener o tratar datos de carácter personal. Piénsese en aquellos casos en que el artefacto no incorpora ningún sensor que permita obtener datos de video o audio. Sin embargo, otros modelos no resultarán tan inocuos.

Tal estado de cosas ha llevado al Grupo de Trabajo del artículo 29 de la Directiva 95/46 (GT29) a elaborar su primera Opinión sobre Privacidad y Asuntos de Protección de Datos en Relación con el Uso de Drones (Opinión 1/2015).

En dicha Opinión, el GT29 pone de relieve los riesgos que para la intimidad supone el uso indiscriminado de estos artefactos y propone soluciones para cumplir la Directiva Europea de Protección de Datos, teniendo en cuenta las especiales características de estos aparatos y la peculiar óptica desde la que obtienen los datos.

En primer lugar, el GT29 analiza en qué supuestos del artículo 7 de la Directiva 95/46 sería posible fundar el recabo y tratamiento de datos de carácter personal a través de drones, alcanzando las siguientes conclusiones:

    • En cuanto a la posibilidad de basar el recabo y tratamiento de los datos en la existencia de un consentimiento libre, específico e informado (art. 7 a), considera el GT 29 que tal consentimiento podría ser la base del tratamiento cuando se solicita una autorización específica a la persona para ser grabada, en un ámbito en concreto, y la persona lo otorga de modo libre. No obstante, no siempre el consentimiento será libre en sentido legal. Así, no lo será, por ejemplo, en aquellos casos en los el individuo no tiene más remedio que entrar en la zona vigilada por el dron. Además, el consentimiento no será suficiente para fundar el tratamiento de los datos si no se ha ofrecido al interesado, previamente, la oportuna información sobre las condiciones en las que dicho tratamiento se va a llevar a cabo.
    • En relación con aquellos casos en que el recabo de los datos sea necesario para la ejecución de un contrato del que sea parte el interesado (Art. 7 b), el GT 29 considera que podría ampararse en ese supuesto, por ejemplo, el uso de drones para transportar al domicilio del afectado un producto que ha adquirido por internet, siempre que no se capten a datos de terceros ajenos a ese contrato.
    • También admite el GT 29 que el uso de drones pueda fundarse en el hecho de que el tratamiento de los datos recabados sea necesario para el cumplimiento de una obligación legal, la satisfacción de un interés público o el desempeño de funciones públicas (Art. 7 c y e), como cuando se base en razones de seguridad ciudadana, vigilancia de infraestructuras sensibles u otros fines análogos, siempre y cuando el uso sea estrictamente necesario y proporcionado.
    • Con respecto al supuesto de que el tratamiento de los datos sea necesario para proteger un interés vital del interesado (Art. 7 d), el GT29 admite que el recabo de datos a través del uso de drones sería lícito en situaciones de emergencia, como cuando sea necesario asistir a personas tras un desastre, rescatar a víctimas de accidentes, etc.
    • Por último, valora el GT29 si el tratamiento de datos a través de drones podría fundarse en la existencia de un interés legítimo, en los términos del artículo 7 f de la Directiva. Y concluye que así podría entenderse en casos como que el uso del dron sea necesario para la investigación científica, la monitorización de la velocidad del viento u otros fenómenos atmosféricos, el mapeo de un sitio arqueológico, etc.

En todo caso, destaca el GT29 que, según la Directiva, los datos personales han de ser recabados por el dron para finalidades específicas, explícitas y legítimas, no pudiendo ser tratados de modo incompatible con dichas finalidades.

Se cuestiona el GT29, además, si al uso de drones por particulares podría aplicarse la excepción de “uso doméstico”, que viene prevista en el artículo 3.2 de la Directiva. En virtud de dicho precepto, quedan fuera del ámbito de aplicación de la Directiva aquellas actividades de tratamiento de datos de carácter personal que se desarrollen en un ámbito estrictamente personal o doméstico.

El GT29, reproduciendo el criterio del Tribunal de Justicia de la UE, entiende que, incluso en el caso de uso por particulares, las meras operaciones llevadas a cabo a través de un dron que incorpore cámaras fotográficas o de video, suponen un tratamiento de datos que, en la medida en que se desarrolla en un espacio público y no dentro del círculo de privacidad del individuo, supone un tratamiento de datos personales que ha de quedar dentro del ámbito de la Directiva y al que, por tanto, no le es de aplicación la excepción de “uso doméstico”.

En una segunda entrega de este artículo, indicaremos las recomendaciones que, según el GT29, debe cumplir el recabo y tratamiento de los datos mediante drones para cumplir con los restantes principios establecidos por la Directiva 95/46 (información, consentimiento, calidad de los datos, seguridad, etc.).