En la actualidad, una de las principales preocupaciones las empresas de seguridad es, sin duda alguna, la protección de la privacidad y de los datos personales tanto de sus clientes como de terceras personas. El fundamento de tal preocupación viene determinado por el Derecho Fundamental a la Protección de Datos que deriva de los artículos 10 y 18.4 de nuestra Constitución y que, tal y como ya manifestó el Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, tiene como objeto garantizar y proteger, las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, su honor e intimidad personal y familiar.
A nivel normativo no podemos pasar por alto que el régimen jurídico de la protección de los datos en España viene determinado, en términos generales, por la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) así como su Reglamento de desarrollo (Real Decreto 1720/2007, de 20 de diciembre). Ambas normas se encuentran actualmente en vigor y resultan de aplicación tanto a los particulares como a las empresas conviviendo, de forma temporal, con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ( RGPD), en vigor desde el pasado 5 de mayo de 2016 y que resultará de aplicación directa, a todos los Estados de la Unión Europea, a partir del día 25 de mayo de 2018 quedando, a partir de entonces, derogada la LOPD.
La referida norma comunitaria, en cuyo análisis pormenorizado no nos detendremos por razones obvias, supone un cambio de paradigma en la protección de datos personales ya que introduce importantes novedades destacando, entre otras, el establecimiento de una Evaluación de Impacto en la Protección de Datos Personales (EIPD) regulada en el artículo 35 del RGPD.
Las EIPD se configuran como un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos. De este modo, las EIPD son herramientas que van más allá de una evaluación de cumplimiento normativo –aunque, obviamente, la verificación de dicho cumplimiento formará necesariamente parte de las mismas– ya que se adentran tanto en las expectativas de privacidad que tienen las personas ante cualquier tratamiento de sus datos personales como en las percepciones generales de la sociedad o, concretamente, de los colectivos más afectados por el tratamiento del que se trate.
A la vista de lo anterior, seguramente nos estaremos preguntando ¿en qué situaciones se tendrá que realizar una EIPD? Pues bien, La respuesta a tal interrogante podría venir determinada por el contenido del artículo 35.3 del RGPD teniendo en cuenta que si bien, a día de hoy, no existe ningún listado especifico de tratamientos que requieran de una EIPD lo cierto es que la Agencia Española de Protección de Datos ( AEPD) ha señalado que sería aconsejable realizar tal evaluación en aquellos casos en los que se utilicen tecnologías consideradas especialmente invasivas con la privacidad como la videovigilancia a gran escala o la utilización de aeronaves no tripuladas(1).
A lo anterior se le ha de sumar el hecho de que, la utilización de aeronaves no tripuladas para la prestación de servicios de vigilancia, implicará, por regla general, la observación sistemática y a gran escala, de zonas de acceso público generando importantes riesgos para la privacidad de las personas y, por tal razón, resulta altamente aconsejable ( por no decir necesario) que todas aquellas empresas que se dediquen total o parcialmente a esta actividad cuenten con la correspondiente EIPD con el objetivo de identificar y determinar la entidad de los riesgos inherentes a tal actividad y, lo que es más importante, adoptar las medidas necesarias para eliminarlos o mitigarlos quedando así a salvo de sanciones y daño reputacional con las pérdidas económicas y de clientes que ello conllevaría.
Apuntado lo anterior, es el momento de referirnos a dos cuestiones que, por su importancia, no pueden ser obviadas. Son las siguientes:
a) El Delegado de Protección de Datos será el encargado de asesorar al responsable del tratamiento durante la realización de la EIPD y también podrá asumir el rol de coordinador del equipo encargado de su elaboración.
b) De conformidad con lo señalado por el artículo 36 del RGPD, el responsable del tratamiento deberá de formular una consulta previa a la Autoridad de Control antes de proceder a tratar los datos cuando, a la vista del resultado de la EIPD, se muestre que dicho tratamiento entrañará un alto riesgo si no se toman medidas para mitigarlo.
En definitiva, y como conclusión, la vigilancia mediante el uso de Drones puede resultar altamente efectiva y eficaz tanto para los usuarios como para las empresas de seguridad y, con toda probabilidad, conllevará una importante reducción de costes para las últimas aunque ello no permite ignorar el hecho de que, el uso de esta tecnología, resulta particularmente invasivo con la privacidad de las personas y ,por lo tanto, es muy aconsejable que las empresas de seguridad, que pretendan prestar tales servicios, se vallan adaptando a las disposiciones del RGPD, siendo un paso inicial la elaboración de la EIPD.
(1) Guía para una evaluación de impacto en la protección de datos personales. AEPD 2014.
