Ante la preocupación por el creciente uso de los drones con dispositivos que incluyen el tratamiento de datos personales (como cámaras, escáner 3D, sistemas de detección de dispositivos móviles…) la Agencia Española de Protección de Datos ha publicado una pauta con recomendaciones para operar correctamente y evitar el incumplimiento de los derechos y libertades en materia de privacidad.

Primeramente, hay que diferenciar la captura de imágenes por uso doméstico del uso profesional.

a) Cuando un operador usa un dron de forma doméstica no se aplica la normativa, pero sí que hay que tener en cuenta que:
 
- Las imágenes que puedan identificar personas o espacios privados no se pueden publicar indiscriminadamente.
- La información puede afectar el derecho al honor, la intimidad personal y familiar y a la propia imagen.

b) Cuando un operador profesional capta imágenes, hay dos maneras de tratar los datos y sus respectivas pautas de actuación:
 
1.  En el caso de operaciones que no tengan por finalidad tratar datos personales, pero con riesgo a impactar datos de forma colateral o inadvertida
A priori, el uso del dron para la inspección de infraestructuras, terrenos o para otros servicios como la fotografía publicitaria o el cine, no debería impactar el derecho a la protección de datos personales. Pero es probable que colisionen de forma colateral o inadvertida. Para estos casos, la AEPD sugiere:
 
-  Habilitar mecanismos de privacidad en los dispositivos. Por ejemplo, técnicas de resolución mínima, ajustes para pausar la captura de datos o métodos de cifrado para visualizar los datos.
- Intentar minimizar la presencia de personas u objetos identificables. Por ejemplo, operando en horarios de menor afluencia, controlando el acceso a la zona de vuelo o ajustando la captura de la imagen a lo absolutamente necesario o desde la distancia suficiente.
- Evitar el almacenamiento y tratamiento de información innecesaria relativa a personas.
- Antes de compartir en Internet imágenes o vídeos, es necesario anonimizar los rostros o los objetos que puedan identificar a alguien (como una matrícula).
- Evitar la captura indiscriminada de identificadores de dispositivos móviles. Hay drones que pueden identificar móviles mediante una tecnología llamada Snoopy con la cual se interceptan los smartphones que tratan de conectarse a la red vía Wifi.
 
2. En el caso de operaciones que tengan por finalidad un tratamiento de datos personales
Básicamente, este apartado se refiere a la videovigilancia o la grabación consentida de eventos o similares. Además de actuar a partir de configuraciones respetuosas con la privacidad como las escritas arriba, la AEPD advierte que en estos casos:
 
- Es necesario un contrato de privacidad entre el contratador del servicio (Responsable del Tratamiento) y el operador del dron (Encargado del Tratamiento). El RT deberá determinar la legitimación más apropiada para llevar a cabo el tratamiento (consentimiento, contrato, obligación legal, interés legítimo, interés público…).
- Ambos deberán cumplir las obligaciones a las que se refiere el GDPR, como informar del tratamiento a los interesados. Es decir, que hay que comunicar correctamente el tratamiento a quienes van a ser grabados.
- Es conveniente que los drones y los operadores se puedan identificar visualmente con el RT mediante logos, matrícula u otros medios.
 
 
Para leer las pautas completas: https://www.aepd.es/media/guias/guia-drones.pdf