Resolución de la Agencia Española de Protección de Datos E-02666-2020 de 24 de marzo de 2021

Cuestión

1 / 8

Procedimiento Nº: E/02666/2020

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES

De las actuaciones practicadas por la Agencia Española de Protección de Datos y

teniendo como base los siguientes

HECHOS

PRIMERO : La reclamación interpuesta por A.A.A. (en adelante,...

Contestacion

1/8

? Procedimiento Nº: E/02666/2020

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES

De las actuaciones practicadas por la Agencia Española de Protección de Datos y

teniendo como base los siguientes

HECHOS

PRIMERO: La reclamación interpuesta por A.A.A. (en adelante, el reclamante) tiene

entrada con fecha 8 de octubre de 2019 en la Agencia Española de Protección de

Datos. La reclamación se dirige contra AYUNTAMIENTO DE FUENLABRADA, con

NIF P2805800F (en adelante, el reclamado). Los motivos en que basa la reclamación

son

?Se ha iniciado en Fuenlabrada (Madrid) labores de vigilancia y control del tráfico en

distintas zonas de la localidad utilizando un Dron de la sección de vigilancia aérea.

Dichas zonas han sido señalizadas de manera incorrecta al no indicarse ni

responsable del tratamiento ni donde pueden ejercerse los derechos.

La información ha sido publicada en la red social Twitter con un video en donde se

aprecia la citada señalización defectuosa. También se hace mención explicite en un

tweet a la señalación viéndose claramente que no cumple con el RGPD.

[?]?

Junto a la reclamación aporta un documento haciendo referencia a los tweets

señalados en la reclamación.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

adelante LOPDGDD), con número de referencia E/10122/2019, se dio traslado de

dicha reclamación al reclamado, para que procediese a su análisis e informase a esta

Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los

requisitos previstos en la normativa de protección de datos.

Con fecha de 2 de diciembre de 2019 se recibe en esta Agencia escrito de

contestación en el que se manifiesta que el responsable del tratamiento es la Policía

Local del Ayuntamiento de Fuenlabrada, ya que según la Ley Orgánica 4/1997, de 4

de agosto, que regula la utilización de videocámaras por las Fuerzas y Cuerpos de

Seguridad en lugares públicos, la instalación y uso de estos dispositivos se efectuará

por la autoridad encargada de la regulación del tráfico. El Real Decreto Legislativo

6/2015, de 30 de octubre, que aprueba la Ley sobre Tráfico, Circulación de Vehículos a

Motor y Seguridad Vial, contempla las competencias de los Municipios en materia de

tráfico y el Real Decreto 596/1999, que desarrolla la Ley Orgánica 4/1997, señala en el

punto 4 de la Disposición Adicional Única que la utilización de medios móviles de

captación y reproducción de imágenes (como el caso de los drones) no requerirá

resolución de la Administración Municipal.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/8

Señala asimismo que la información sobre el tratamiento de datos a través de drones

se facilita a través de medios electrónicos, a través de las redes sociales de la Policía

Local, mediante carteles en las zonas de influencia de los drones (uno adecuado al

Real Decreto 596/1999 que se publica en redes sociales y otro adecuado a la

LOPDGDD para que los conductores que circulan por las vías afectadas puedan

conocer al responsable del tratamiento y el correo electrónico donde ejercer sus

derechos), y publicación en la página web del Ayuntamiento. Han incluido estos

tratamientos en el Registro de Actividades de Tratamiento de Datos del Ayuntamiento y

han realizado un análisis de riesgos para establecer las medidas de seguridad

pertinentes.

En cuanto a los vuelos que se realizan para garantizar la seguridad ciudadana la

Policía Local solicita permiso siempre a la Delegación de Gobierno informando del

plan de vuelo y de las fechas, determinando la Delegación las garantías que deben

establecerse para respetar la intimidad de las personas.

TERCERO: Con fecha de 20 de diciembre de 2019 se solicitad copia del documento

que contenga la evaluación del impacto en materia de protección de datos del

tratamiento realizado a través de los drones utilizados por el Ayuntamiento y, una vez

comprobado que este tratamiento no está recogido en el registro de actividades de

tratamiento publicado en la página web del Ayuntamiento, se solicita también la

inclusión de este tratamiento en el citado registro.

Con fecha de 3 de enero de 2020, se recibe en esta Agencia un escrito en el que se

manifiesta que no se aporta evaluación de impacto porque no se considera necesaria.

Sí se ha llevado a cabo un hecho análisis de riesgo con la herramienta "Gestiona"

obteniendo el resultado de ACEPTABLE. Se aportan enlaces al Registro de

Actividades de Tratamiento dónde se incluye ahora el relativo a los drones así como

enlaces a la página web de la Policía Municipal dónde se menciona la actividad

llevada a cabo con los drones y se muestra el cartel que se publica en redes sociales

los días que se utilizan los dispositivos..

Presentan copia del análisis de riesgos.

TERCERO: Con fecha 12 de marzo de 2020, la Directora de la Agencia Española de

Protección de Datos acordó admitir a trámite la reclamación presentada por el

reclamante.

SEGUNDO: La Subdirección General de Inspección de Datos procedió a la realización

de actuaciones previas de investigación para el esclarecimiento de los hechos objeto

de la reclamación. El día 2 de febrero de 2021 se emite el informe de actuaciones

previas de investigación en el que se pone de relieve los siguiente:

?Solicitado al Ayuntamiento que especificara si la utilización de drones se realiza con

fines de control del tráfico, con fines de prevención de actos delictivos y protección de

personas y bienes, o ambos, y tratándose de uno u otro caso, presentara en esta

Agencia la evaluación de impacto obligatoria en caso de "observación sistemática a

gran escala de una zona de acceso público" ?en cumplimiento del artículo 35.2 c) del

Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante

RGPD)? o el dictamen del Comité de Garantías de Videovigilancia de la Delegación

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/8

de Gobierno, con fecha de 18 de septiembre de 2020 se recibe en esta Agencia,

escrito de alegaciones manifestando lo siguiente:

Respecto a la finalidad del dron y captación de imágenes.

- Los drones son utilizados para el control del tráfico en puntos conflictivos y registrar

las posibles infracciones que se produzcan.

- Los vuelos se producen habitualmente una vez al mes o a lo sumo dos veces al mes.

- En el lugar y en el momento del vuelo se posicionan carteles informativos de la

videovigilancia, y además, se comunica por redes sociales el día y la hora en la que se

va a producir el vuelo.

- Los encuadres tratan de ser lo más certeros posibles y están dirigidos a la captación

del tráfico, siendo accidental la grabación de peatones o transeúntes. Las imágenes

se graban en la tarjeta de memoria del dron y en caso de ser necesarias para

presentar la prueba de alguna infracción, serian transferidas y almacenadas en un

pendrive. Las imágenes son usadas únicamente como prueba en el caso de registrar

alguna infracción, no siendo visionadas posteriormente a la grabación de no ser que,

en el transcurso de ésta, se produzca alguna infracción en materia de seguridad vial y

sea necesaria la recuperación de la imagen.

- Las imágenes de la tarjeta se borran, siendo sustituidas por las nuevas, en el

siguiente vuelo del dron, y las almacenadas en el pendrive, se eliminan cuando se han

rescatado las partes útiles de la grabación.

- No existe publicación ni publicitación de las imágenes por ningún canal, siendo éstas

totalmente confidenciales desde el momento de su captación hasta su eliminación.

- El único dato personal recabado, y que puede aparecer reflejado en la imagen, es la

matrícula del vehículo, pero en este contexto responde a la captación de los datos

personales mínimos necesarios para que la policía pueda conocer el autor de la

infracción y ponerse en contacto con él.

Respecto a la evaluación de impacto solicitada por esta Agencia:

- Manifiestan que el tratamiento al que se está haciendo mención podría clasificarse

entre los que la propia AEPD en su guía ?Drones y protección de datos? cataloga como

?Operaciones con riesgo de tratamientos de datos personales de forma colateral o

inadvertida? no siendo, en ningún caso, la finalidad de esta actividad la captación de

imágenes de personas que, en caso de ser filmadas, sería una circunstancia

totalmente accidental y marginal.

- No obstante lo anterior, según solicita esta Agencia, anexan evaluación de impacto

realizada por el Servicio de Policía Local de Fuenlabrada con la colaboración del

Departamento de Protección de datos del Ayuntamiento de Fuenlabrada.

- En dicha evaluación se detectan las siguientes amenazas y riesgos (i) Posibilidad de

caída del dron y pérdida de las imágenes. (ii) Posibilidad de acceder a la tarjeta de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/8

memoria del dron y (iii) Posibilidad de extravío del pendrive donde se conservan las

imágenes. En este sentido, señalan que la probabilidad de la primera amenaza es

muy baja debido a que en este caso siempre están los operadores de vuelo para la

recogida del dron, y en cuanto a la conservación de las imágenes, tanto el dron como

el pendrive permanecen en las instalaciones de la Policía municipal custodiados por

ésta, siendo accesibles únicamente por aquellas personas relacionadas con el

tratamiento.

- Finalizan esta evaluación indicado que analizados estos riesgos y el tratamiento de

los datos se llega a la conclusión de que no son unas imágenes especialmente

sensibles ni que puedan afectar a derechos o libertades de las personas, ya que,

salvo algún peatón que pueda visualizarse momentáneamente, que además no suele

ser reconocible, en estas grabaciones sólo aparecen vehículos en tránsito, por lo que

entienden que el tratamiento en sí no ofrece un riesgo especial. Por lo tanto, estiman

que el tratamiento puede ser llevado a cabo con las medidas tomadas hasta el

momento y sin que sea necesario aplicar medidas más incisivas, concretando que la

suma de circunstancias que se dan en este tratamiento y el tipo de dato personal que

se trata conlleva que el riesgo residual sea aceptable.?

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes de investigación y correctivos que el artículo 58 del RGPD

otorga a cada autoridad de control, y según lo dispuesto en el artículo 47 de la

LOPDGDD, es competente para resolver estas actuaciones de investigación la

Directora de la Agencia Española de Protección de Datos.

II

Las presentes actuaciones tienen su origen en la reclamación presentada acerca de la

falta de adecuación al RGPD de la información proporcionada a los afectados por el

responsable del tratamiento de datos derivado del sistema de videovigilancia del

tráfico a través de drones en el municipio Fuenlabrada.

El artículo 22 de la LOPDGDD, que lleva como rúbrica ?Tratamientos con fines de

videovigilancia?, dispone en su apartado 6 que ?El tratamiento de los datos personales

procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras

y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos

competentes para la vigilancia y control en los centros penitenciarios y para el control,

regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de

transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de

prevención, investigación, detección o enjuiciamiento de infracciones penales o de

ejecución de sanciones penales, incluidas la protección y la prevención frente a las

amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se

regirá por su legislación específica y supletoriamente por el Reglamento (UE)

2016/679 y la presente ley orgánica.?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/8

De acuerdo, por tanto, con el precepto transcrito, y teniendo en cuenta que la finalidad

manifestada por el responsable es la de controlar el tráfico en prevención de

infracciones pero no responde a un objetivo de prevención, investigación o

enjuiciamiento de infracciones penales, se hace necesario acudir a la legislación

específica acerca de la utilización de videocámaras por las Fuerzas y Cuerpos de

Seguridad a fin de determinar las disposiciones en materia de protección de datos que

serán aplicables al tratamiento llevado a cabo. Esta legislación, que viene constituida

por la Ley Orgánica 4/1997 y su normativa de desarrollo, recoge únicamente ciertas

disposiciones acerca del período de conservación de las grabaciones o de la

información a proporcionar a los interesados, a la vez que establece ? en la

Disposición adicional octava de la mencionada Ley Orgánica 4/1997? una remisión a

la normativa general de protección de datos cuando dispone que ?la instalación y uso

de videocámaras y de cualquier otro medio de captación y reproducción de imágenes

para el control, regulación, vigilancia y disciplina del tráfico se efectuará por la

autoridad encargada de la regulación del tráfico a los fines previstos en el texto

articulado de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial,

aprobado por Real Decreto legislativo 339/1990, de 2 de marzo, y demás normativa

específica en la materia, y con sujeción a lo dispuesto en las Leyes Orgánicas 5/1992,

de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de

Carácter Personal, y 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor,

a la Intimidad Personal y Familiar y a la Propia Imagen, en el marco de los principios

de utilización de las mismas previstos en esta Ley.?

Sentado, por lo tanto que será de aplicación la normativa de protección de datos a los

tratamientos derivados de un sistema de videovigilancia del tráfico, tanto por aplicación

supletoria de del RGPD y LOPDGDD en lo no previsto por la legislación específica

como por la propia voluntad del legislador de que este tipo de tratamientos cumpla con

la normativa vigente en materia de protección de datos, el deber de información

deberá acomodarse a lo dispuestos en dichas normas.

En el caso concreto objeto del presente procedimiento y de acuerdo con las evidencias

de que se dispone, puede afirmarse que el reclamado cumple con el deber de

información de acuerdo con lo dispuesto en la normativa de protección de datos. Tal y

como se ha señalado en el hecho segundo, la información sobre el tratamiento de

datos a través de drones se facilita a través de medios electrónicos, a través de las

redes sociales de la Policía Local, mediante carteles en las zonas de influencia de los

drones (uno adecuado al Real Decreto 596/1999 que se publica en redes sociales y

otro adecuado a la LOPDGDD para que los conductores que circulan por las vías

afectadas puedan conocer al responsable del tratamiento y el correo electrónico donde

ejercer sus derechos), y publicación en la página web del Ayuntamiento.

III

En otro orden de cosas, el artículo 35 del RGPD, referido a la evaluación de impacto

relativa a la protección de datos dispone:

?1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas

tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para

los derechos y libertades de las personas físicas, el responsable del tratamiento

realizará, antes del tratamiento, una evaluación del impacto de las operaciones de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/8

tratamiento en la protección de datos personales. Una única evaluación podrá abordar

una serie de operaciones de tratamiento similares que entrañen altos riesgos

similares.

[?]

3. La evaluación de impacto relativa a la protección de los datos a que se refiere el

apartado 1 se requerirá en particular en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas

que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre

cuya base se tomen decisiones que produzcan efectos jurídicos para las personas

físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el

artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones

penales a que se refiere el artículo 10, o

c) observación sistemática a gran escala de una zona de acceso público.

4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones

de tratamiento que requieran una evaluación de impacto relativa a la protección de

datos de conformidad con el apartado 1. La autoridad de control comunicará esas

listas al Comité a que se refiere el artículo 68.

[?]?

Como puede observarse, el mencionado artículo establece que esta evaluación de

impacto será necesaria para aquellos tratamientos de datos que puedan entrañar de

manera probable un alto riesgo y explicita en su apartado 3, una lista no exhaustiva de

supuestos a los que alcanza esta obligación, a los que habrá que añadir, en el caso

español, aquellos supuestos que cumplan los criterios que han sido publicados por

esta Agencia de conformidad con lo dispuesto en el propio artículo 35.4 del RGPD.

Aplicando el señalado artículo 35.3al caso concreto objeto de estas actuaciones, se

observa que el sistema de vigilancia de tráfico reúne las características mencionadas

en el apartado c), por cuanto:

1. Se trata de una observación sistemática ya que responde a las observaciones

realizadas por un sistema y forma parte de una estrategia de control del tráfico.

2. Se trata de un tratamiento a gran escala por cuanto las imágenes susceptibles de

ser captadas se corresponden con un área de influencia.

3. El tratamiento de datos se lleva a cabo en zonas de acceso público.

Además, habría que tener en cuenta que el mencionado tratamiento cumpliría con otro

de los requisitos que tanto el Comité Europeo de Protección de Datos como la Agencia

Española de Protección de Datos consideran como indicativo de configurar un

probable alto riesgo, cual es el de hacer uso de innovaciones tecnológicas.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/8

Por tanto, y en base a lo anterior, puede considerarse que el tratamiento de datos en

cuestión necesita de una previa evaluación de impacto. Ahora bien, en este sentido, si

bien es cierto que la Policía Local del Ayuntamiento de Fuenlabrada no había realizado

dicha evaluación ya que el análisis de riesgos llevado a cabo con carácter previo había

dado como resultado el de ACEPTABLE, no lo es menos que tras el requerimiento de

información efectuado por esta Agencia, el responsable ha realizado la mencionada

evaluación, de la cual adjunta copia documental en su escrito de contestación de 18

de septiembre de 2020 y en el que se concluye que no se trataría unas imágenes

especialmente sensibles ni que puedan afectar a derechos o libertades de las

personas, ya que, salvo algún peatón que pueda visualizarse momentáneamente, que

además no suele ser reconocible, en estas grabaciones sólo aparecen vehículos en

tránsito, por lo que el tratamiento en sí no ofrecería un riesgo especial. Por lo tanto, el

responsable estima que el tratamiento puede ser llevado a cabo con las medidas

tomadas hasta el momento y sin que sea necesario aplicar medidas más incisivas,

concretando que la suma de circunstancias que se dan en este tratamiento y el tipo de

dato personal que se trata conlleva que el riesgo residual sea aceptable.

IV

Una vez analizadas, por tanto las evidencias de que se dispone en el presente

procedimiento, esta Agencia considera que el tratamiento de datos llevado a cabo por

el sistema de videovigilancia de drones puesto en marcha por la Policía Local de

Fuenlabrada cumple con la normativa de protección de datos.

Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia Española de

Protección de Datos, SE ACUERDA:

PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.

SEGUNDO: NOTIFICAR la presente resolución al reclamante y reclamado.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/8

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por

el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, y de conformidad con lo establecido en los

arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán

interponer, potestativamente, recurso de reposición ante la Directora de la Agencia

Española de Protección de Datos en el plazo de un mes a contar desde el día

siguiente a la notificación de esta resolución o directamente recurso contencioso

administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,

con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición

adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción

Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente

a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

940-0419

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es