Imagen, información personal, privacidad, grabación, transmisión y almacenamiento de información, vigilance. Atención, estamos hablando de drones. La generalización del uso de drones equipados con cámaras suscita una enorme discusión en torno a la protección de datos y la protección de la privacidad e intimidad de las personas físicas.
La protección de los derechos al honor, la imagen y la intimidad están ampliamente regulados en España, existiendo un amplio marco normativo que establece los supuestos en los que se produce una intromisión en estos derechos así como las excepciones. En relación con la protección de datos, la Ley Orgánica de Protección de Datos (LOPD) define los derechos fundamentales de los ciudadanos (derechos ARCO: acceso, rectificación, cancelación y oposición), los datos susceptibles de protección y los supuestos exentos de protección.
El escenario que dibuja el actual marco normativo debe ser tenido en cuenta por los compañías del sector y debe ser gestionado adecuadamente por operadores y/o pilotos para minimizar los riesgos asociados, tanto económicos como reputacionales. Cada operador y/o piloto debe modular, en función de la misión y de la exposición a este tipo de situaciones, qué estrategia seguir para asegurar una adecuada política de protección de datos de carácter personal.
Evaluación de impacto en la protección de datos
Existen diferentes metodologías que ayudan a gestionar este riesgo y permiten definir medidas mitigadoras. Una de las herramientas más empleadas consiste en la realización de Evaluaciones de Impacto en la Privacidad (PIAs, Privacy Impact Assessments en sus siglas en inglés), también denominadas Evaluaciones de Impacto en la Protección de Datos (EIPD).
“cuando se vayan a utilizar tecnologías que se consideran altamente invasivas con la privacidad como la videovigilancia a gran escala, la utilización de aeronaves no tripuladas (drones) … la geolocalización…”.
Una EIPD es un proceso que se estructura, básicamente, en cuatro etapas: identificación de los flujos de información asociados a cada proyecto, análisis (probabilidad y severidad) de los riesgos asociados, análisis del cumplimiento normativo e implantación de recomendaciones identificadas. La EIPD no es un documento estático, es un proceso, y por tanto requiere de una revisión y realimentación continua por parte todos los miembros de la organización involucrados.
La Guía para una Evaluación de Impacto en la Protección de Datos, publicada por la Agencia Española de Protección de Datos (AEPD) en 2014, define en detalle los pasos a seguir para la realización de una EIPD. La AEPD subraya la no obligatoriedad legal de las EIPDs pero indica situaciones en las que sería recomendable llevarlas a cabo. En concreto la Guía indica que sería aconsejable “cuando se vayan a utilizar tecnologías que se consideran altamente invasivas con la privacidad como la videovigilancia a gran escala, la utilización de aeronaves no tripuladas (drones) … la geolocalización…”.
La elaboración de una EIPD pudiera considerarse por operadores y pilotos como una nueva dificultad de cara a realizar una actividad económica ya enormemente regulada y controlada, máxime habida cuenta que la práctica habitual se dirige a planteamientos de privacy in design, esto es, a la definición de medidas de protección de la privacidad desde el diseño de un servicio o producto. No obstante, la implantación de medidas acordes con la normativa, la definición de protocolos de actuación predeterminados y el aprendizaje y mejora contínua redundan conjuntamente en la mejora de la calidad del servicio prestado y, en suma, en la credibilidad de un sector sometido a un escrutinio considerable por la opinión pública.