El presente artículo les pertenece en co-autoría a Eduardo Linares y Aaron Lopez de Castilla.
En el Perú
A propósito de la reciente sentencia emitida por el Tribunal Constitucional (en adelante, “TC”) a favor de la Sra. Máxima Acuña Atalaya (en adelante, “Sra. Acuña”) contra la Minera Yanacocha S.R.L por haberse acreditado la vulneración respecto al derecho a la vida privada mediante el uso de la cámara de video vigilancia y el dispositivo dron.
¿Qué sucedió?
Con fecha 5 de febrero de 2016, la Sra. Acuña interpuso una demanda de habeas corpus contra la Minera Yanacocha solicitando el cese de los actos de hostilidad en su contra y de su familia, en tanto que, según señaló, la Minera Yanacocha habría dispuesto el sobrevuelo de un “Dron” en el predio de su propiedad, ello con ánimo de efectuar seguimiento y vigilancia sobre su persona. Por su lado, la Minera Yanacocha sostuvo que el vuelo del referido “Dron” se realizó en el marco de las pruebas realizadas por la empresa vendedora de dicho dispositivo, y que ello inclusive, ocurrió en una única oportunidad.
De este modo, el TC desarrolló su análisis sobre las posibles vulneraciones a la intimidad de las personas con el uso de las nuevas tecnologías.
Así, recogiendo los principales conceptos desarrollados por el TC, se define al “Dron” como todo vehículo aéreo no tripulado (“Unmanned Aerial Vehicle”), término que proviene del ámbito militar para referirse precisamente a las aeronaves pilotadas a distancia (también conocidas como “RAD” por sus iniciales del inglés “Remotely Piloted Aircraft”), sin embargo, para el TC su uso legítimo se circunscribiría a las siguientes consideraciones:
- Uso regulado y limitado: El uso de los Drones puede atentar contra los derechos de la privacidad de las personas, por lo que resulta imperativo que su uso deba ser regulado y limitado. Sin embargo, se exceptuarían los casos en los que los drones sea utilizados por entidades públicas en aras de la seguridad ciudadana o del interés público que no implique una violación grave e irreparable a la privacidad de las personas.
- Medidas preventivas: Sin necesidad de que el Dron ingresé en el espacio privado de forma física, a través de su tecnología se podrían captar detalles íntimos de la vida personal o familiar de las personas, por lo que la manipulación de estos debe realizarse advirtiendo todas las precauciones necesarias para evitar vulnerar los derechos de las personas.
- Espacios restringidos: Evitar acceder a lugares que impliquen un riesgo para la intimidad de las personas, como ventanas, jardines, terrazas o cualquier otro espacio de una propiedad privada cuyo acceso no le fuere previamente autorizado.
- Justificación de intrusión: En caso los drones accedan a un espacio restringido, deberá ser razonable y proporcional al beneficio que se pretende obtener. El mencionado aspecto se respalda en lo estipulado en la Ley 297333, Ley de Protección de Datos Personales y su Reglamento, aprobado a través del Decreto Supremo N° 003-2013-JUS mediante el cual se desarrolla el principio de proporcionalidad, el cual precisa que todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.
- Autorización previa: Se prohíbe sobrevolar predios privados o del Estado sin autorización previa del propietario o de la autoridad pertinente; salvo que se trate de situaciones de interés público y de carácter humanitario, como en situaciones de emergencia o siniestros.
- Recolección de datos personales: será lícita la recolección de datos personales mediante el uso de los drones siempre que se realice dentro de un predio de uso propio (por ejemplo: en una propiedad privada, alquilada, o adquirida mediante concesión pública, etc.), o cuando se actúe dentro de su perímetro, sin invadir el espacio de uso público o de terceros.
- Restricción de sobrevuelo en espacios públicos: Pese a encontrarse en espacios públicos, las personas mantienen su derecho a la privacidad y a la imagen, por lo que están restringidos los sobrevuelos en espacios públicos con aglomeraciones de personas.
Los criterios establecidos por el TC resultan interesantes en cuanto a que significan un avance en torno a la regulación del uso de sistemas operativos como lo son los drones, sin embargo, esta aún amerita de mayores precisiones y alcances que esperemos la Dirección General de Protección de Datos Personales pueda desarrollar en aras de la protección de los datos personales que indefectiblemente se podrían vulnerar ante el uso -desproporcionado- de los Drones; vehículos aéreos que con el pasar del tiempo cobran mayor relevancia en nuestro país, sea por usos de seguridad (vemos que varios Municipios han adquirido dichos artefactos para un mejor control de la seguridad ciudadana), como también para usos privados y profesionales (vemos actividades relacionados a la fotografía que hacen uso de los drones para encontrar el mejor plano y toma posible), pero que en ambos casos significa un incremento en cuanto a su uso.
Ahora bien, en el Perú no es la primera vez que se habla de los drones, ya que a través de la Resolución Directoral No. 02-2020-JUS/DGTAIPD que aprobó la Directiva No. 01-2020-JUS/DGTAIPD, Directiva de Tratamiento de Datos Personales mediante Sistemas de Videovigilancia (en adelante, la “Directiva”), se dieron alcances importantes, pero no suficientes, al tratamiento de datos mediante el uso de los Drones, precisando ciertos aspectos específicos en torno a los fines de videovigilancia, en donde se estableció que las personas que, con fines de seguridad privada, por razón de sus funciones, tengan a su cargo el sistema de videovigilancia a través de drones, deben contar con formación especializada en el manejo de estos equipos, garantizando reserva y confidencialidad.
Así también se estipuló que es responsabilidad del titular y/o encargado del tratamiento de los datos personales, el deber de informar a las personas que serán controladas o registradas mediante el uso de videovigilancia de los drones, para lo cual se precisa la implementación de carteles o folletos informativos en las zonas de videovigilancia por los drones.
Por lo expuesto, vemos un avance importante y complementario al uso de los drones, no obstante, consideramos prudente que el establecimiento de normativa relacionada a drones en el ámbito de la protección de datos personales sea tratado a través de una directiva especial que aborde los alcances de su uso.
Aunado a lo anterior, han surgido consultas de nuestros clientes que usan este tipo de tecnología en el desarrollo de sus actividades empresariales y no para el tratamiento de datos personales, como en el caso de uso de Drones para la evaluación y supervisión de cultivos de su propiedad, orientado recabar data propia de esta actividad a través de tecnología implementada en sus Drones, como lo son cámaras de calor, infrarrojos, entre otros, en los que, reiteramos, la finalidad se ajusta a sus actividades empresariales y no con el objetivo de grabar o capturar la imagen de terceras personas ajenas a su actividad.
En estos casos, hemos recomendado a la empresa que: i) ajuste la tecnología de su software de tal forma que al momento de registrar involuntariamente a una persona, esta se encuentre anonimizada y no se le pueda identificar, con lo que el registro queda restringido únicamente a la grabación de la operación más no de personas o elementos adicionales; y, ii) establezca medidas de seguridad en capas, es decir, implementar distintos códigos y configuraciones del software de control y acceso al Dron, para evitar que programas externos permitan su control o hackeo.
En España
A diferencia del Perú, en España contamos con normativa especifica para el uso de drones por parte de los ciudadanos. El crecimiento exponencial en el ambito civil en el uso de drones es un hecho indiscutible, por lo que es necesario un marco legal que lo regule.
La Agencia Estatal de Seguridad Aerea (AESA) es el organismo encargado de regular la utilizacion civil de las aeronaves pilotadas por control remoto, siendo la normativa vigente el Real Decreto 1036/2017, de 15 de diciembre de 2017.
La normativa identifica el uso de drones en 3 formas: de manera profesional, de uso recreativo y de uso de drones de menos de 250 gr.
Para volar drones de manera profesional, es de carácter obligatorio contar con una licencia de drones y ademas, estar dado de alta como operador de drones ante la AESA.
En el caso de los vuelos de drones recreativos, sólo es necesario tener los conocimientos para pilotar la aeronave con seguridad, mediante una habilitación en una ATO (Approved Training Organisation) aprobada por AESA. El peso máximo para la consideración de un dron de uso recreativo es de máximo 2 kg.
Ahora, se puede pensar que el uso de drones de menos de 250 gramos se encuentra exento de cumplir con cualquier tipo de normativa, sin embargo, existen una serie de pautas que hay que cumplir para volar legalmente y con seguridad.
A pesar que la legislación sobre drones de menos de 250 gramos es permisiva, como pautas principales encontramos las siguientes:
- Podemos volar sobre aglomeraciones de personas en zonas urbanas o edificios, siempre y cuando, no supere los 20 metros de altura desde el suelo.
- No podemos volar sobre Parques Nacionales, zonas de conservación de fauna, Reservas de la Biosfera, y otros espacios naturales protegidos.
- No debemos volar en un radio de 8 km de cualquier aeropuerto, aeródromo u otros espacios aéreos controlados.
- Si el dron lleva cámara, no debemos vulnerar la Ley de Protección de Datos y el derecho al honor e intimidad de las personas.
Respecto a la responsabilidad en el uso, el Real Decreto 1036/2017 establece que el piloto remoto será en todo momento el responsable de detectar y evitar posibles colisiones y otros peligros. Con esto, la normativa traslada la responsabilidad por cualquier tipo de daño del piloto remoto.
Privacidad y Drones
Como pude adelentar, el Real Decreto 1036/2017 en el articulo 26 establece como obligaciones generales que si un dron lleva cámara, debemos adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad.
El uso de drones supone un desafío en la gestión de datos de carácter personal. La afectación al derecho de las personas sobre su imagen y privacidad requiere unos lineamientos claros sobre los derechos de las personas en la protección de sus datos personales.
Es por esto, que la Agencia Española de Protección de Datos (AEPD) hizo entrar en vigencia la guía ¨Drones y Protección de Datos¨ que establece una serie de pautas y recomendaciones especificas para el uso de estos dispositivos.
En primer lugar, definiendo el dato de carácter personal, de acuerdo a la regulación española, es ¨toda información sobre una persona física identifica o identificable¨. Por lo que entra en colisión directa con el uso de drones, ya que estos pueden registrar y/o procesar datos personales como imágenes, sonidos, datos de geolocalización, etc., relacionados con una persona identificada o identificable.
Por lo tanto, deberá tener en consideración la aplicación del Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD) y la normativa aeronáutica comentada.
Desde el punto de vista del RGPD y LOPDGDD, las operaciones con drones se clasifican en dos categorías según su finalidad:
- La finalidad de la operación implica por sí misma un tratamiento de datos de carácter personal, como es el caso de la videovigilancia.
La instalación de videocámaras en lugares públicos con fines de seguridad es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad. Las recomendaciones de la AEPD para este tipo de operaciones son:
- En el caso de que exista la realización de un tratamiento por encargo de un tercero, el tercero será el responsable del tratamiento y el operador del dron actuará como encargado, debiendo regir su relación un contrato de encargado del tratamiento;
- Eliminar o anonimizar cualquier dato innecesario;
- Funciones predeterminadas respetuosas con la privacidad;
- Hacer que los drones sean lo más visibles e identificables posibles.
- La finalidad de la operación, inicialmente, no implicaría un tratamiento de datos personales, como es el caso de las inspecciones de terreno o tratamientos agrícolas, pero que podrían tener impacto sobre el derecho a la protección de datos personales.
Dentro de este punto, encontramos dos variantes:
A) Operaciones que no incluyen un tratamiento de datos personales: son poco frecuentes y en ellas se pueden circunscribir operaciones con drones con configuraciones muy básicas, careciendo o, no haciendo uso de dispositivos para la captación de imágenes o cualquier otro tipo de datos o información de carácter personal. En el supuesto de que estos drones dispongan de cámaras, su uso debe estar restringido al uso doméstico o que dichas imágenes no permitan identificar a la persona.
La recomendación de la AEPD es que, antes de compartir en internet los vídeos o imágenes capturados con un dron, es necesario verificar que no contengan datos personales relativos a personas, vehículos, viviendas o cualquier otro objeto que pueda facilitar la identificación de sujetos. Si contienen este tipo de información será necesario anonimizarlas utilizando, por ejemplo, técnicas de difuminado.
B) Operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida: en este supuesto podemos incluir operaciones como, tratamientos en agricultura o inspecciones de terreno que, aunque su objetivo no es capturar datos personales, existe el riesgo de que se produzca. Las recomendaciones de la AEPD para este tipo de operaciones son:
- Minimizar la presencia de personas y objetos que permitan su identificación, realizando los vuelos en horarios con poca afluencia de público, por ejemplo;
- Minimizar la captura de imágenes a lo estrictamente necesario;
- Aplicar medidas de privacidad desde el diseño, como, por ejemplo, ajustar la resolución de la cámara al mínimo necesario.
En ese sentido, la aparición de este tipo de tecnología en nuestra sociedad pone en la mesa distintas obligaciones y responsabilidades sobre el tratamiento de nuestros datos personales e intimidad personal.
De hecho, España al contar con un marco normativo especifico hace que las reglas del juego sean más claras.
Vayamos paso por paso, Perú recién cuenta con una primera sentencia respecto a la privacidad y el uso de drones. Lo que viene ahora es una normativa específica o en todo caso, un pronunciamiento de la Autoridad Nacional de Protección de Datos Personales.
Notas:
*Las opiniones expresadas en este artículo son las de los co-autores y no reflejan necesariamente el punto de vista de los administradores del blog The Crypto Legal ni de la asociación Lawgic Tec.
