Drones y protección de datos (RGPD/LOPDGDD): obligaciones al grabar con dron
Qué obligaciones de protección de datos activas al grabar con dron, cuándo necesitas una evaluación de impacto y cómo se relaciona con el cumplimiento aeronáutico.
Cumplir las reglas aeronáuticas no agota tus obligaciones cuando vuelas con cámara. En cuanto un dron capta imágenes en las que aparecen personas identificables, entras en el ámbito de la protección de datos: el RGPD europeo y la LOPDGDD española. La AEPD, autoridad que supervisa estos tratamientos, ha publicado una guía específica («Drones y Protección de Datos») que conviene conocer antes de despegar.
Dato clave
Por qué grabar con dron activa el RGPD y la LOPDGDD
Una imagen es un dato personal cuando permite identificar a alguien, directa o indirectamente: un rostro, una matrícula, la fachada de una vivienda con sus ocupantes. No importa que la captación sea fortuita ni que el objetivo del vuelo sea otro (inspeccionar un tejado, mapear un terreno). Si en el material aparecen personas reconocibles, hay tratamiento de datos y, como operador UAS, asumes responsabilidades de protección de datos que se suman a las aeronáuticas.
El dron añade un matiz que la AEPD subraya: por su altura, su movilidad y su capacidad de zoom, puede captar datos de muchas personas que no son conscientes de estar siendo grabadas. Esa asimetría es precisamente lo que eleva el riesgo y lo que justifica controles reforzados.
Base de licitud, información a los afectados y minimización
Todo tratamiento necesita una base de licitud del artículo 6 del RGPD: el consentimiento de los afectados, la ejecución de un contrato, el cumplimiento de una obligación legal o el interés legítimo, entre otros. En grabaciones aéreas el consentimiento individual suele ser inviable, así que muchas operaciones se apoyan en el interés legítimo, lo que obliga a documentar una ponderación entre tu finalidad y los derechos de las personas captadas.
La información a los afectados (artículos 13 y 14 del RGPD) es la obligación más difícil de cumplir desde el aire, pero no desaparece. Hay que informar de quién trata los datos, con qué finalidad y durante cuánto tiempo, mediante carteles en la zona, avisos previos, notas en la web del proyecto o comunicación a la comunidad afectada.
- Minimización: capta solo lo imprescindible para la finalidad. Ajusta encuadre, altura y resolución para no recoger más personas o detalles de los necesarios.
- Limitación del plazo: conserva las imágenes el tiempo justo y elimínalas o anonimízalas cuando ya no sirvan al propósito.
- Exactitud y seguridad: protege el material captado (cifrado, control de acceso) frente a pérdidas o accesos no autorizados.
Privacidad desde el diseño y por defecto
El RGPD impone aplicar privacidad desde el diseño y por defecto (artículo 25): las medidas de protección no se añaden al final, se integran desde la planificación del vuelo. En la práctica significa elegir la trayectoria, el ángulo y los momentos que reduzcan la captación de terceros, activar por defecto la configuración más protectora (menor resolución útil, desenfoque de rostros y matrículas en posproducción) y desactivar funciones que no necesites para la finalidad.
Anonimizar reduce el riesgo
Difuminar rostros y matrículas o recortar las zonas con personas convierte un material de alto riesgo en uno mucho más manejable. La anonimización efectiva es una de las medidas que más reduce tu exposición tanto frente a la AEPD como ante los afectados.Evaluación de impacto (EIPD/DPIA) en tratamientos de alto riesgo
Cuando el tratamiento entraña un alto riesgo para los derechos y libertades de las personas, el artículo 35 del RGPD obliga a realizar una Evaluación de Impacto en Protección de Datos (EIPD o DPIA) antes de empezar. La observación sistemática de zonas de acceso público a gran escala —algo habitual cuando se vuela con dron sobre espacios concurridos— es uno de los supuestos que la AEPD considera de alto riesgo.
La EIPD describe el tratamiento y su finalidad, evalúa su necesidad y proporcionalidad, analiza los riesgos para los afectados y define las medidas para mitigarlos. No es un trámite que se presente a la AEPD por defecto, pero debes poder acreditarla; solo se consulta a la Agencia si, tras las medidas, el riesgo residual sigue siendo alto.
Controlador vs encargado al volar para clientes
Cuando trabajas para un cliente conviene definir desde el principio quién es el responsable del tratamiento (quien decide la finalidad y los medios) y quién el encargado del tratamiento (quien trata los datos por cuenta del responsable). En muchos encargos el cliente es el responsable y tú, como operador, actúas de encargado; pero si decides tú las finalidades, puedes ser responsable —o corresponsable—.
Esa relación debe contractualizarse mediante el contrato de encargo del artículo 28 del RGPD, que fija instrucciones, plazos, seguridad y devolución o supresión del material. Entregar al cliente un producto ya minimizado y anonimizado reduce el riesgo para ambas partes y delimita con claridad las responsabilidades.
| Figura | Quién suele serlo | Qué decide |
|---|---|---|
| Responsable | El cliente que encarga el vuelo | La finalidad y los medios del tratamiento |
| Encargado | El operador del dron | Ejecuta el tratamiento siguiendo las instrucciones del responsable |
Vínculo con el cumplimiento aeronáutico (un incumplimiento contamina al otro)
Los dos marcos no son independientes. La AEPD considera que, si una operación con dron incumple las reglas aeronáuticas aplicables, el tratamiento de datos asociado falla el principio de licitud del RGPD. Dicho de otro modo: volar sin el número de operador, fuera de la categoría que corresponde o en una zona geográfica prohibida no solo es una infracción aeronáutica: contamina también la legalidad de las imágenes captadas.
Un vuelo ilegal hace ilícitos los datos
Por eso es prudente tener resueltos primero los permisos de vuelo —registro, categoría de operación, zonas geográficas y seguro de responsabilidad civil— antes de preocuparte por el tratamiento de las imágenes.
Videovigilancia en espacios públicos: límites
Hay un límite que conviene tener muy presente: el despliegue de cámaras de videovigilancia en lugares públicos con fines de seguridad está reservado a las Fuerzas y Cuerpos de Seguridad del Estado. Un operador privado no puede vigilar la vía pública con un dron para «mantener la seguridad» de una zona; ese uso queda fuera de lo que el RGPD y la legislación de seguridad permiten al sector privado.
No confundas un encargo con vigilancia pública
Inspeccionar una obra o filmar un evento privado es distinto de patrullar una plaza. Si lo que te piden equivale a videovigilancia de espacio público con fines de seguridad, salvo que actúes para las Fuerzas y Cuerpos de Seguridad, no es un trabajo que puedas asumir como operador privado.Cumplimiento integral con SKAI
La protección de datos y el cumplimiento aeronáutico son las dos caras de un vuelo legal con cámara. SKAI te resuelve la parte aeronáutica —que es además la base de la licitud del tratamiento— y te deja documentado lo que necesitas para encajar tus obligaciones de RGPD: la categoría correcta, las zonas, el seguro y el registro.
Vuela legal de principio a fin
SKAI tramita tus permisos aeronáuticos y te deja la base sobre la que cumplir el RGPD. Empieza gratis y comprueba qué necesita tu operación.