González Allonca, Juan C. 05-12-2018 - Privacy and Remote Sensing Satellites 15-12-2017 - Marco legal y regulatorio de los satélites pequeños en América Latina. Estado actual y perspectivas 02-05-2014 - El Convenio de Budapest sobre cibercriminalidad y la Ley de Protección de los Datos Personales
La Ley N° 25.326 tiene como objetivo proteger los datos personales asentados en bancos de datos u otros mecanismos técnicos de tratamiento, sean estos públicos o privados, destinados a dar informes, protegiendo así los derechos al honor y a la intimidad, de conformidad con lo establecido en el art. 43, párrafo tercero, de la Constitución Nacional.
Es importante recordar que la protección de los datos personales no se limita a un banco de datos en sentido estricto, sino que se aplica a todo tratamiento organizado de datos, con independencia de cuál sea el medio técnico utilizado (banco de datos, buscador en Internet, etc.) a fin de permitir al titular del dato el ejercicio de sus derechos humanos y garantizar la legitimidad de dicho tratamiento, en una solución de equilibrio para los derechos constitucionales en juego.
En el presente caso, se analiza la nueva normativa dispuesta por la Dirección Nacional de Protección de Datos Personales (PDP) para reglamentar el tratamiento de datos personales obtenidos a través de VANTs (vehículos aéreos no tripulados), más conocidos como drones[1].
Se entiende por dron todo vehículo sin una persona a bordo para controlarlo, que se desplace por aire, ya sea pilotado a distancia o plenamente autónomo o una combinación de ambas. Esta definición comprende los aeromodelos, los VANTs, las aeronaves no tripuladas (UA por sus siglas en inglés), los sistemas de aeronaves no tripuladas (UAS por sus siglas en inglés), las aeronaves pilotadas a distancia (RPA por sus siglas en inglés) y los globos o dirigibles, entre otros.
Un dron, equipado con cámaras, micrófonos, gps, o cualquier otro tipo de sensor, tiene la posibilidad de recolectar datos de personas como pueden ser imágenes, videos, conversaciones, datos de geolocalización, entre otros. A la vez, su capacidad de vuelo le permite acceder a lugares a los que el ojo humano no llega, junto con la posibilidad de operar sin ser detectados. Debido a ello, genera un potencial riesgo a la privacidad de terceros y una responsabilidad para el titular o usuario del dron.
En cuanto al concepto de dato personal aplicado a la imagen, a fin de despejar cualquier duda, cabe señalar que el artículo 2º de la Ley N° 25.326 define al dato personal como “información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”. En este concepto cabe incluir a la imagen personal[2]. Así se ha pronunciado en forma reiterada la Dirección Nacional de Protección de Datos Personales (PDP) en sus dictámenes[3].
Un video en el que se registren imágenes de personas en formato digital admite su tratamiento en forma organizada mediante programas adecuados, por lo que cabe ser considerado como una base de datos personales alcanzada por las disposiciones de la Ley N° 25.326. Al respecto, la Unión Europea, en reciente sentencia del Tribunal de Justicia de las Comunidad Europea (TJCE)[4], se pronunció respecto de la aplicación de la Directiva 95/46/CE a la grabación de imágenes a través de videocámaras.
Ahora bien, como se dijo, en la actividad de los drones es posible capturar diversos registros de las personas, según el dispositivo y el avance tecnológico. También dichos datos, cuando se puedan referir a persona determinada o determinable, serán datos personales en los términos de la Ley N° 25.326.
Por tales motivos, y ante el riesgo que implica para las personas la recolección de sus datos personales en forma tan sigilosa e indetectable, la PDP ha dispuesto su reglamentación, a fin de establecer un marco de licitud y certeza para poder proteger la privacidad de los ciudadanos.
III. La reglamentación de las actividades de los Drones por la Disposición DNPDP Nº 20/2015 [arriba]
Las nuevas reglamentaciones no surgen por capricho del legislador, sino por la necesidad de otorgar un cauce de legitimidad al desarrollo de nuevas actividades económicas, de forma tal que sean respetuosas del bien común. El avance de la tecnología permite realizar el tratamiento de imágenes personales a través de nuevos dispositivos y sistemas, que por sus particularidades y eventual peligrosidad en cuanto a la preservación de los derechos de las personas, deben ser reglamentadas.
En este sentido, la PDP acaba de publicar la Disposición DNPDP Nº 20/2015 que reglamenta la actividad de los drones, disponiendo las condiciones de licitud que debe reunir la recolección de datos personales a través de aquellos, efectuando, asimismo, recomendaciones relativas a la privacidad para su uso.
En primer término, cabe señalar que la disposición alcanza “aquellas actividades de recolección de datos personales que contengan material fotográfico, fílmico, sonoro o de cualquier otra naturaleza, en formato digital, realizadas mediante VANTs o drones, para su almacenamiento en dispositivos o cualquier otro tratamiento posterior, en los términos de la Ley Nº 25.326”.
En cuanto a las condiciones de licitud, dispone que la recolección de datos personales a través de VANTs deberá contar con el consentimiento previo del titular del dato, en concordancia con lo dispuesto por el art. 5º de la Ley Nº 25.326.
No obstante, también admite la recolección datos personales sin consentimiento previo, en los casos que se enumeran a continuación (siempre y cuando no se afecte la intimidad de las personas): a) cuando los datos se recolecten con motivo de la realización de un acto público o hecho sobre el que pueda presumirse la existencia de un interés general para su conocimiento y difusión al público; b) cuando los datos se recolecten con motivo de la realización de un evento privado (se realice o no en espacio público) en el que la recolección de los datos y su finalidad, por parte del organizador o responsable del evento, respondan a los usos y costumbres (por ejemplo, casamientos, fiestas, etc.); c) cuando la recolección de los datos la realice el Estado Nacional en el ejercicio de sus funciones; d) cuando los datos se recolecten con motivo de la atención a personas en situaciones de emergencia o siniestros; y e) cuando los datos se recolecten dentro de un predio de uso propio (por ejemplo, propiedad privada, alquiler, concesión pública, etc.) y/o su perímetro, sin invadir el espacio de uso público o de terceros, salvo en la medida en que sea una consecuencia inevitable, debiendo restringir la recolección de datos al mínimo necesario y previendo mecanismos razonables para que el público y/o los terceros se informen de una eventual recolección de su información personal en tales circunstancias. En caso que se prevea el acceso de terceros a la propiedad en forma habitual (por ejemplo, un predio deportivo) se deberá informar las medidas de recolección de datos previstas como condición de acceso, en los términos del artículo 6º de la Ley Nº 25.326.
Con estas excepciones se pretendió abarcar las situaciones concretas de filmación y vigilancia más habituales para las que podrían utilizarse VANTs, que no tenían una solución normativa expresa, pese a que se amparaban en el ejercicio de actividades lícitas sustentadas en derechos de rango constitucional, por lo que requerían una reglamentación explícita por parte de la autoridad de aplicación.
Otra iniciativa novedosa incorporada por la PDP en la disposición citada es el requisito de un manual de tratamiento de datos para todo responsable de banco de datos que recolecte información a través de un VANT o dron.
En dicho manual se ha de incorporar, por lo menos, la siguiente información: “finalidad de la recolección, referencia de los lugares, fechas y horarios en los que se prevé que operarán los VANTs, el plazo de conservación de los datos, en su caso, las tecnologías a utilizar para la disociación de los datos, indicando si es reversible o no, los mecanismos técnicos de seguridad y confidencialidad previstos, y medidas dispuestas para el cumplimiento de las obligaciones emergentes de los derechos del titular del dato previstos en los artículos 14, 15 y 16 de la Ley Nº 25.326”.
Asimismo, la disposición resalta las condiciones de licitud del tratamiento de datos de mayor trascendencia para la actividad de recolección de datos personales a través de VANTs: a) que los medios técnicos de recolección han de ser proporcionados, pertinentes y no excesivos respecto de la finalidad prevista (art. 4, Ley N° 25.326), previendo que no afecten la intimidad del titular del dato; b) medidas de seguridad contempladas por la Disposición DNPDP Nº 11 del 19 de septiembre de 2006; c) deber de confidencialidad de quienes accedan a la información con motivo del tratamiento previsto; d) medidas para el cumplimiento de los derechos del titular del dato, conforme a lo previsto en los artículos 14, 15 y 16 de la Ley N° 25.326; e) deber de inscripción del responsable en el Registro Nacional de Bases de Datos, en cuya oportunidad deberá denunciar las finalidades y capacidades técnicas de los dispositivos de recolección de datos personales de los VANTs, adjuntando copia del manual de tratamiento de datos personales.
Finalmente, se regulan dos casos de excepción, en consonancia con excepciones previstas por la ley 25.326. El primero, en caso de que la recolección de información a realizar por los VANTs sea para una finalidad científica o actividades análogas (estudios científicos, cartográficos, recursos naturales, medio ambiente, etc.), que no tengan por objeto la recolección de datos personales, sino que esta no pueda evitarse por razones técnicas. Aquí se deberá aplicar sobre dichos datos personales, en el más breve lapso que las reglas del arte lo admitan, una técnica de disociación definitiva (por ejemplo, difuminación de la imagen), de modo que no permita identificar a persona alguna mediante su tratamiento (cfr. art. 28, ley 25.326).
El segundo, en caso de utilización de los VANTs para fines exclusivamente recreativos (concepto análogo al uso exclusivo personal previsto en los arts. 1º y 24 de la ley 25.326), que recolecten datos personales de terceros en forma eventual, es decir, sin la finalidad de capturarlos. Aquí no se aplicarán las obligaciones dispuestas en el texto de la Disposición DNPDP Nº 20/2015, sino que se deberá cumplir con las recomendaciones de privacidad mencionadas en el Anexo II de la citada normativa.
Las recomendaciones de privacidad del Anexo de II de la Disposición DNPDP Nº 20/2015 se aplican a todos los usos de un VANT (no solo a los de uso recreativo) y consisten en el diseño, por parte de la PDP, de una política de buenas prácticas para la utilización de VANTs o drones que tengan capacidad de recolectar datos personales. Asimismo, pese a lo que podría llegar a inferirse de su título, el Anexo II no es una mera recomendación, sino que consiste en pautas de interpretación práctica de la disposición, por lo que son conductas obligatorias.
En dicho Anexo II se resaltan, en primer término, las peculiares características riesgosas de los dispositivos (VANTs y drones) para la privacidad de las personas, y luego se procede a disponer las definiciones y condiciones específicas de licitud: a) un VANT o dron equipado con cámaras, micrófonos, gps, o cualquier otro tipo de sensor, tiene la capacidad para recolectar datos de personas, como pueden ser imágenes, videos, conversaciones, geolocalización, entre otros. A ello se le suma su capacidad de vuelo, que le permite acceder a lugares a los que el ojo humano no llega; y la posibilidad de operar sin ser detectados. Todo ello apareja un riesgo serio a la privacidad de terceros y una responsabilidad para el titular o usuario del VANT o dron; b) el uso recreativo de VANTs deberá hacerse teniendo en consideración las implicancias que tiene su uso sobre la privacidad de las personas, debiendo dar un uso prudencial al mismo, evitando la observación, entrometimiento o molestia en la vida y actividades de terceros; c) no podrá considerarse uso recreativo si se utiliza el VANT o dron con la finalidad expresa de recolectar datos personales de terceros; d) si durante el uso recreativo del VANT o dron incidentalmente se pudiese recolectar información de carácter personal y el titular del dato se manifestare en contra, el operador del VANT o dron deberá tomar los recaudos necesarios para evitar dicha recolección, y en caso de haber ya recolectado los mismos, deberá proceder a su eliminación. Las personas mantienen el derecho a la privacidad y a su imagen aún en espacios públicos; e) el operador de VANTs o drones deberá evitar acceder a lugares que impliquen un riesgo para la intimidad de las personas, como ser ventanas, jardines, terrazas o cualquier otro espacio de una propiedad privada cuyo acceso no le fuere previamente autorizado; f) el operador de VANTs o drones deberá extremar las precauciones para no recolectar bajo ninguna circunstancia datos íntimos o de carácter sensible de conformidad al artículo 2° de la Ley N° 25.326. Se considera dato sensible aquellos que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. Por esta razón, deberá evitarse la captura de información personal mediante el VANT o dron en establecimientos de la salud, lugares de culto, manifestaciones políticas o sindicales, y en aquellos lugares donde se pueda presumir la preferencia sexual de las personas, entre otros; h) la utilización de VANTs o drones en espacios públicos con alta conglomeración de personas tendrá mayores posibilidades de una recolección incidental de datos personales, por lo que el operador deberá extremar las precauciones para resguardar la privacidad de terceros.
Mientras que las implicaciones a la vida privada de las personas por parte de cámaras de videovigilancia son bastante conocidas, los drones podrían agregar una dimensión adicional a estas preocupaciones sobre la privacidad de los ciudadanos, en virtud de su movilidad y persistencia, y el amplio rango dentro del cual pueden recopilar información personal, a través de diversas tecnologías que pueden tener abordo.
Ahora bien, la magnitud del impacto sobre la privacidad dependerá, en gran medida, como dijimos, de la finalidad para la que se utilice, el contexto y la ubicación de su uso, así como también del tipo de tecnología montada en los drones.
En este sentido, la disposición recientemente publicada es una primera herramienta para dar respuesta a un creciente número de cuestiones relacionadas con la privacidad, en el contexto de esta nueva tecnología de recolección de datos personales. A diario se conocen nuevas finalidades para las que los drones pueden ser utilizados. Tal es así, que el incremento de las noticias sobre ellos es directamente proporcional al de sus ventas.
La PDP, sin entrometerse en lo relativo a la seguridad en la operación de los drones -materia que oportunamente regulará la Administración Nacional de Aviación Civil (ANAC)- aplica los criterios generales de la Ley N° 25.326 de Protección de Datos Personales al caso concreto. Así, desde sus funciones de control de cumplimiento de la ley, promueve una cultura de protección de los datos personales.
Por ello, la PDP ha dado el puntapié inicial para responder a las necesidades, no solo de las personas que quieren proteger su privacidad, sino también de quienes participan de la creciente actividad económica relacionada con los drones, que precisan contar con un marco normativo que dé mayor previsibilidad a sus inversiones.
[1] Según Merriam-Webster, drone es una palabra inglesa que puede traducirse como zángano. [versión digital: http://www.s panishcentral.co m/tran slate/dr one]
[2] Ver al respecto el Dictamen 4/07 del Grupo de Trabajo del art. 29 de la Directiva 95/46CE, en el que se analiza el concepto formal del término dato y luego su aplicación a la imagen: “Desde el punto de vista del formato o el soporte en que la información está contenida, el concepto de datos personales incluye la información disponible en cualquier forma: alfabética, numérica, gráfica, fotográfica o sonora, por ejemplo. Desde este punto de vista, el concepto incluye la información conservada en papel, así como la información almacenada en una memoria de ordenador, utilizando un código binario, o en una cinta de video, por ejemplo. Se trata de una consecuencia lógica de la inclusión en su ámbito de aplicación del tratamiento automático de datos personales. En particular, los datos que consisten en sonidos e imágenes están calificados como datos personales desde este punto de vista, en la medida en que pueden contener información sobre una persona”. “Esto es especialmente pertinente en el ámbito de la video vigilancia, en el que los responsables del tratamiento con frecuencia sostienen que la identificación sólo se produce en un pequeño porcentaje de casos y que, por lo tanto, hasta que no se produce la identificación en esos pocos casos, realmente no se trata ningún dato personal. Como la finalidad de la video vigilancia es, sin embargo, identificar a las personas que aparecen en las imágenes de vídeo en todos aquellos casos en los que esa identificación es considerada necesaria por el responsable del tratamiento, hay que considerar el uso del sistema en sí como tratamiento de datos sobre personas identificables, aun cuando algunas de las personas filmadas no sean identificables en la práctica”.
[3] Cf. Dictámenes DNPDP Nros. 1/14, 9/12 y 29/07, entre otros.
[4] TJCE, František Ryneš y Úřad pro ochranu osobních údajů, sentencia del 11 de diciembre de 2014 (C‑212/13), [disponible al 18/12/14 en www.curia.europa.eu/juris/]. En el caso concreto, muy particular por cierto (que admitió el uso de una videocámara aun más allá del ámbito de razonabilidad usualmente autorizado), se cuestionó la legitimidad de una videocámara dirigida desde una vivienda hacia el espacio público, mediante denuncia ante la Agencia Checa de Protección de Datos Personales. La Agencia consideró que se había infringido efectivamente las normas en materia de protección de los datos de carácter personal y multó al dueño de la vivienda, al haber grabados datos personales sin el consentimiento de su titular mientras se encontraba en la vía pública (delante de la vivienda). El fallo dispuso, en primer término, que grabar lo que otra persona haga en la vía pública no puede considerarse "una actividad exclusivamente personal o doméstica" excepcionada en la Directiva. No obstante, “al mismo tiempo, la aplicación de las disposiciones de dicha Directiva permite, en su caso, tener en cuenta, con arreglo en particular a los artículos 7, letra f), 11, apartado 2, y 13, apartado 1, letras d) y g), los intereses legítimos del responsable del tratamiento de los datos, intereses que consisten concretamente, como en el litigio principal, en proteger los bienes, la salud y la vida de dicho responsable y los de su familia”. Resolviendo entonces que, si bien la Directiva sobre Protección de Datos prohíbe la grabación con una cámara de vídeo instalada por una persona en la vivienda familiar y dirigida hacia la vía pública, también hay que tener en cuenta otros artículos de la norma que permiten tratar datos personales sin el consentimiento del interesado "cuando es necesario para satisfacer un interés legítimo del responsable del tratamiento de esos datos".