Marco normativo: RGPD y LOPDGDD aplicado a drones
El RGPD drones se aplica siempre que las aeronaves no tripuladas registren o procesen datos personales, definidos como «toda información sobre una persona física identificada o identificable». Esto incluye imágenes, vídeos, sonido, datos biométricos, geolocalización y telecomunicaciones relacionados con personas, independientemente de si la captación es intencional o accidental durante operaciones de inspección.
La protección de datos UAS se rige por el Reglamento General de Protección de Datos (UE) 2016/679 y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD). Ambas normativas establecen obligaciones específicas para responsables y encargados del tratamiento, aplicándose tanto a operaciones profesionales como recreativas cuando involucren datos personales identificables.
La Agencia Española de Protección de Datos (AEPD) clasifica las operaciones con drones en tres categorías: aquellas cuya finalidad implica tratamiento de datos personales (videovigilancia), las que pueden captar datos de forma colateral (inspecciones de infraestructuras), y las que no suponen tratamiento alguno. Para inspecciones técnicas de edificios, típicamente aplica la segunda categoría con medidas específicas de minimización.
Principios fundamentales del RGPD
Los principios de licitud, lealtad y transparencia exigen base jurídica válida para el tratamiento, información clara a los interesados y proporcionalidad entre medios y fines. El principio de minimización requiere recopilar únicamente datos necesarios para la finalidad específica, mientras que la limitación de conservación establece plazos máximos de almacenamiento según propósito del tratamiento realizado.
Categorías de operaciones: análisis de riesgo según finalidad
Las operaciones específicas de inspección de edificios pueden involucrar tratamiento de datos personales de forma colateral o inadvertida. Durante vuelos para evaluar fachadas, cubiertas o instalaciones, existe riesgo de captar personas, vehículos o elementos identificativos sin ser la finalidad principal. Esta categoría requiere medidas preventivas específicas para minimizar impacto en derechos y libertades de terceros.
Las inspecciones industriales y levantamientos topográficos presentan menor riesgo cuando se realizan en horarios de baja afluencia, con control de acceso al área operacional y configuración técnica apropiada para evitar captación innecesaria. La planificación previa debe considerar rutas de vuelo que minimicen sobrevuelo de zonas habitadas y optimicen ángulos de captación para propósito técnico específico.
La AEPD recomienda realizar análisis de riesgos previo evaluando probabilidad e impacto de captación inadvertida, identificando medidas técnicas y organizativas apropiadas, y estableciendo procedimientos de respuesta ante posibles incidentes. Este análisis debe documentarse adecuadamente y actualizarse cuando cambien condiciones operacionales o regulaciones aplicables del sector específico.
Evaluación de impacto en protección de datos
Cuando el tratamiento pueda entrañar alto riesgo para derechos y libertades, es obligatorio realizar una Evaluación de Impacto en Protección de Datos (EIPD). Esto incluye operaciones sistemáticas de captación a gran escala, uso de tecnologías innovadoras como inteligencia artificial para análisis de imágenes, o tratamiento de categorías especiales de datos en entornos sensibles.
Bases legales y consentimiento: fundamentos jurídicos del tratamiento
El consentimiento explícito es una base legal válida pero compleja en operaciones con drones debido a dificultades prácticas para identificar y contactar a todos los posibles afectados. Para inspecciones técnicas, resulta más apropiado el interés legítimo del responsable cuando existe finalidad específica documentada y se implementan garantías adecuadas para proteger derechos fundamentales de las personas.
La base legal imágenes de interés legítimo requiere test de ponderación entre necesidades legítimas del responsable (seguridad, mantenimiento, cumplimiento normativo) y derechos de privacidad e intimidad de terceros. Debe documentarse justificación específica, medidas de salvaguarda implementadas y mecanismos para ejercicio de derechos por parte de los interesados potencialmente afectados.
En casos de comunidades de vecinos, la administración de fincas actúa como responsable del tratamiento cuando contrata servicios de inspección, debiendo obtener autorización de la junta de propietarios e informar adecuadamente a residentes. El operador del dron funciona como encargado del tratamiento bajo contrato específico que defina finalidades, medidas de seguridad y procedimientos operacionales detallados.
Cumplimiento del deber de información
El artículo 13 RGPD exige informar a los interesados sobre identidad del responsable, finalidades del tratamiento, base jurídica aplicable, plazo de conservación y derechos ejercitables. En operaciones con drones, esto se materializa mediante carteles informativos visibles, comunicaciones previas por canales habituales, o publicaciones en medios locales cuando el esfuerzo informativo individual resulte desproporcionado.
Cartelería informativa y señalización: cumplimiento del deber de informar
Los carteles informativos drones deben colocarse visiblemente en accesos principales a zonas donde se realizará la operación, indicando claramente la captación de imágenes mediante aeronaves no tripuladas. La información mínima incluye identidad y contacto del responsable del tratamiento, finalidad específica (inspección técnica), base jurídica (interés legítimo), y vía para ejercer derechos ARCO (acceso, rectificación, supresión, limitación, portabilidad, oposición).
La señalización RGPD debe adaptarse al entorno operacional: edificios residenciales requieren avisos en portales y zonas comunes, instalaciones industriales necesitan carteles en accesos de trabajadores y visitantes, obras públicas demandan señalización en vías públicas adyacentes. El tamaño, color y ubicación deben garantizar visibilidad suficiente considerando distancias de observación habituales y condiciones de iluminación variables.
Para operaciones de corta duración, pueden utilizarse carteles temporales desmontables o sistemas de megafonía para información verbal, complementados con comunicaciones digitales a través de aplicaciones móviles de comunidades o redes sociales locales. La documentación fotográfica de la señalización instalada constituye evidencia del cumplimiento del deber de información ante posibles reclamaciones posteriores de interesados.
Contenido específico de la información
La información debe especificar duración estimada de la operación, tipos de datos que pueden captarse (imágenes de personas, vehículos, propiedades), medidas de anonimización aplicadas, plazo de conservación de grabaciones (máximo un mes salvo requisitos legales específicos), y procedimiento concreto para ejercer derechos incluyendo formularios disponibles y plazos de respuesta garantizados.
Minimización y anonimización: técnicas de protección de datos
La minimización de datos exige configurar equipos para captar únicamente información necesaria para la finalidad específica. Esto incluye ajuste de resolución de cámaras según detalle requerido, limitación del campo visual para evitar zonas innecesarias, configuración de alturas de vuelo optimizadas para propósito técnico, y planificación de rutas que minimicen sobrevuelo de áreas residenciales o sensibles.
Las técnicas de anonimización deben aplicarse inmediatamente tras la captación: difuminado automático de rostros y matrículas, pixelado de ventanas y espacios privados visibles, eliminación de audio cuando no sea técnicamente necesario, y aplicación de algoritmos de detección automática para identificar elementos personales en imágenes. Estas medidas deben implementarse antes de cualquier transmisión o almacenamiento de datos.
La retención de imágenes debe limitarse al mínimo necesario para cumplir la finalidad: análisis técnico inmediato, elaboración de informes, y período prudencial para posibles consultas o aclaraciones. Transcurrido el plazo establecido (máximo 30 días salvo obligaciones legales específicas), las grabaciones deben eliminarse de forma segura y certificada, manteniendo únicamente informes técnicos anonimizados según procedimientos documentados.
Medidas técnicas de protección
Los sistemas de captación deben incorporar cifrado de datos en origen, transmisión segura mediante protocolos encriptados, almacenamiento en servidores con control de acceso restringido, trazabilidad completa de accesos y modificaciones, y sistemas de backup con igual nivel de protección. Los dispositivos deben configurarse para eliminación automática tras plazo establecido y bloqueo ante intentos de acceso no autorizados.
Responsables y encargados: delimitación de funciones y responsabilidades
El responsable del tratamiento es quien determina finalidades y medios del tratamiento de datos personales. En inspecciones de edificios, típicamente es el propietario, administrador de fincas, empresa contratante del servicio técnico, o entidad pública que ordena la inspección. Esta figura debe garantizar base jurídica válida, implementar medidas de protección apropiadas, facilitar ejercicio de derechos, y responder ante autoridades de control.
El encargado del tratamiento es la empresa operadora de drones que ejecuta la captación siguiendo instrucciones del responsable. Debe actuar únicamente según indicaciones contractuales, implementar medidas de seguridad técnicas y organizativas adecuadas, asegurar confidencialidad del personal, facilitar auditorías, y notificar cualquier violación de seguridad. La relación debe formalizarse mediante contrato específico según artículo 28 RGPD.
En comunidades de vecinos, la delimitación es especialmente relevante: la junta de propietarios como responsable debe autorizar la operación, el administrador gestiona el contrato con garantías RGPD, el operador ejecuta según especificaciones técnicas, y cada propietario mantiene derechos individuales sobre sus datos. Los contratos deben especificar claramente estas responsabilidades para evitar conflictos interpretativos posteriores durante el desarrollo de las operaciones.
Contratos de encargo de tratamiento
El contrato debe especificar objeto, duración, naturaleza y finalidad del tratamiento, tipos de datos personales y categorías de interesados, obligaciones y derechos del responsable, medidas técnicas y organizativas de seguridad, condiciones para subcontratación, asistencia al responsable, eliminación o devolución de datos al finalizar, y sometimiento a auditorías. Debe incluir también procedimientos ante violaciones de seguridad y marcos de responsabilidad ante reclamaciones.
¿Necesito consentimiento para grabar en una comunidad de propietarios?
Debes minimizar datos personales y disponer de una base jurídica adecuada (p. ej., interés legítimo del responsable para la inspección). Informa mediante cartelería/avisos, limita ángulos y resolución para evitar identificar a personas innecesariamente.
¿Cómo debo tratar y conservar los vídeos/imágenes?
Solo los imprescindibles para el fin de la inspección, con control de acceso, cifrado cuando proceda y plazo de conservación limitado. Elimina o anonimiza el material no necesario y documenta tus procedimientos.
¿Quién es responsable y quién encargado del tratamiento?
Normalmente el cliente (propiedad/gestor) es el responsable del tratamiento y la empresa de drones actúa como encargado, bajo contrato que detalle finalidades, medidas de seguridad y plazos.
Agenda una cita
¿Necesitas implementar protocolos RGPD completos para tus inspecciones con drones? Nuestros especialistas en protección de datos y normativa aeronáutica te ayudan a desarrollar procedimientos conformes, contratos de encargo adaptados y medidas técnicas de anonimización. Agenda una cita y asegura el cumplimiento integral de la normativa de privacidad en todas tus operaciones con aeronaves no tripuladas.
