EL GT29 o Grupo de Trabajo del artículo 29 formado por las Autoridades Europeas de protección de Datos, entre las que se encuentra la Agencia Española de Protección de datos, ha aprobado el denominado “Dictamen conjunto sobre drones” en el que se analizan los riesgos y las incidencias que la utilización de RPAS pueden causar en la privacidad y la protección de los datos de las personas físicas. En este texto se anuncia los grandes desafíos que supone el uso masivo de RPAS, ofreciendo al mismo tiempo una serie de directrices para interpretar las normas comunitarias y nacionales de protección de datos en el contexto de los RPAS.
El marco jurídico comunitario aplicable en este tipo de casuística es la Directiva 95/46/CE de Protección de Datos Personales, en relación con la Directiva 2002/58/CE de Privacidad y Comunicaciones Electrónicas. Además de este marco comunitario también existen una serie de normativas nacionales que son de aplicación al uso de RPAS en relación a la protección de datos, que en España sería, principalmene, la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.
Las Autoridades Europeas de protección de Datos señalan que existen ciertas actividades realizadas por RPAS que quedarían excluidas de la Directiva 2002/58 y de los criterios y directrices del Dictamen. Entre estas actividades excluidas nos encontramos con el uso de RPAS dentro de entornos estrictamente personales y domésticos, teniendo en cuenta que este tipo de uso no incluiría supuestos de monitorización o grabación contante que afecten, aunque sea de modo parcial, a espacios públicos.
El este Dictamen se recogen las obligaciones que deben cumplirse antes de utilizar un dron, entre las que podemos destacar el verificar si es necesaria una autorización específica de las autoridades de aviación civil; encontrar el criterio más adecuado para que el tratamiento sea legítimo, o cumplir con los principios de transparencia, proporcionalidad, minimización en la captura de datos o limitación del propósito para el cuál se procesan.
El GT29 alerta de los riesgos que pueden surgir como consecuencia de la captación y procesamiento de información -imágenes, sonido o datos de geolocalización relacionados con una persona identificada o identificable- llevados a cabo por un RPAS. Entre ellos, destaca la potencial falta de transparencia de ese tipo de tratamiento debido a la dificultad tanto para divisar estos aparatos desde el suelo como para conocer si el RPAS incorpora el equipo necesario para procesar datos, con qué propósito se están recogiendo y por quién. Teniendo en cuenta la amplia gama de servicios ofrecidos basados en RPAS, el documento considera de “máxima importancia” el hecho de que el responsable del tratamiento de datos y el encargado del mismo estén claramente identificados para cada tipo de operación efectuada.
Asimismo, en el Dictamen se hace referencia a la versatilidad de los RPAS y su posibilidad de interconectarse entre sí, ofreciendo la posibilidad de establecer lo que se denomina “miradores únicos” que permitirían recoger con facilidad una amplia variedad de información, incluso sin visión directa, por largos periodos de tiempo y abarcando grandes extensiones de terreno.
En relación al procesamiento de datos mediante RPAS por los Gobiernos de los Estados miembro, el Dictamen especifica que este debe llevarse a cabo dentro de los fines establecidos en la legislación y no deben ser utilizados para la vigilancia indiscriminada, el tratamiento masivo de datos, o la puesta en común de datos y perfiles.
Recomendaciones:
En el documento también se incluyen recomendaciones específicas dirigidas a legisladores, reguladores del sector, fabricantes y a quienes manejen RPAS, así como para las autoridades que utilicen estos dispositivos para el ejercicio de sus potestades.
Legisladores y reguladores: A juicio de las Autoridades, los legisladores y reguladores del sector aéreo deben promover tanto en el ámbito nacional como en el europeo un marco que garantice no sólo la seguridad en vuelo sino el respeto por todos los derechos fundamentales de las personas.
Fabricantes: En relación a los fabricantes, incide en la necesidad de que estos adopten medidas de privacidad desde el diseño y por defecto, y sugiere realizar evaluaciones de impacto en la protección de datos como una herramienta adecuada para valorar el impacto de las aplicaciones de RPAS sobre este derecho fundamental.
Usuarios: Para incrementar la concienciación entre los usuarios también aconseja que, en el caso de dispositivos de pequeñas dimensiones, se incluya información suficiente relativa al potencial intrusivo de estas tecnologías y, cuando sea posible, mapas que identifiquen claramente dónde está permitido su uso.
Operadores: En cuanto a los operadores de RPAS, las Autoridades aconsejan evitar en lo posible volar sobre zonas privadas y edificios, incluso cuando esté permitido su uso.
Autoridades: El GT29 indica a las autoridades de los distintos Estados que la recolección de datos personales por parte de autoridades de orden público que utilicen estas aeronaves en sus funciones de vigilancia y control no debe permitir el rastreo constante y, en caso de que este fuera necesario, debe quedar restringido al marco de las investigaciones encaminadas a garantizar el cumplimiento de las normas legales.
Artículos relacionados:
Telegram y la privacidad de los datos personales de sus usuarios Entrevista: Facebook, Whatsapp y la privacidad de nuestros datos Acrónimos aeronáuticos aplicables al sector de los drones 
Drones, RPA, RPAS, UAV, UAS, VANT… ¿Cuál es la palabra correcta? 
Análisis comparativo entre Real Decreto 1036/2017 y el ya derogado artículo 50 de la Ley 18/2014 (Operaciones civiles realizadas por drones)