NOTICIAS BLOG DIGITAL-TIC

LOS DRONES PARA USOS PROFESIONALES

       Morguefile by dodgerstonskinhause

Los drones son la última moda y ya no sólo, porque se trata de gadget tecnológico que pueden utilizar los particulares sino porque las empresas comienzan a considerar su enorme potencial como herramienta de trabajo por cuanto puede generar una fuente elevada de ingresos y una considerable reducción de costes.

Actualmente, existen 1000 operadores de drones de menos de 25 Kg al despegue registrados en la Agencia Estatal de Seguridad Aérea (AESA).

Los usos asociados a los drones persiguen finalidades fotográficas y filmaciones, investigación y desarrollo publicidad aérea, de emergencia, búsqueda y salvamento.

Empresas internacionales y nacionales están apostando por los drones. A modo de ejemplo, Amazon para el reparto de paquetes ligeros; Correos y MRW para el reparto de paquetes en zonas rurales y/o de difícil acceso; Endesa para revisar sus redes de alta tensión; Iberdrola para las operaciones de inspección y mantenimiento de infraestructuras y Ferrovial para analizar la topografía del terreno.

Recordemos que el dron o <<RPA>> es una aeronave pilotada con control remoto que en muchas ocasiones lleva una cámara de alta resolución.

No obstante, el rígido marco normativo existente a la fecha[i] está obstaculizando su rápido avance y consolidación como modelo de negocio.

Hemos de tener en cuenta que el uso de drones supondrá el cumplimiento de la normativa administrativa necesaria para operar, de la normativa relativa al espectro radioeléctrico, protección de datos y de seguros. Apuntar asimismo que la privacidad se puede ser seriamente comprometida por el equipamiento que puede llevar a bordo el dron y que captura imágenes, localizaciones, sonidos relativos a personas físicas identificadas o identificables.

1. ¿Qué necesitaría mi empresa para usar drones en su actividad profesional?

Si deseo integrar los drones como herramienta de uso profesional necesitaré:

  • estar registrado en AESA
  • disponer de una licencia de operador aéreo
  • de un piloto con licencia para poder pilotar el dron
  • de un seguro de responsabilidad civil específico para aeronaves para cubrir eventuales daños
  • Documentación caracterización aeronaves, manual de operaciones, estudio aeronáutico de seguridad, realización vuelos de prueba necesarios, programa de mantenimiento aeronave, adopción de medidas adecuadas para evitar interferencias ilícitas, medidas adicionales para garantizar la seguridad de la operación y protección de las personas y cumplimiento de las distancias mínimas en relación a aeropuertos y aeródromos.

La ley española en función del peso máximo al despegue diferencia entre comunicación y/o autorización para operar.

Los operadores de drones de hasta 25 kilos de peso máximo al despegue, no necesitan solicitar una autorización para poder operar sólo tienen que presentar en AESA una comunicación previa y declaración responsable conforme su aeronave cumple todas esas exigencias de la ley, junto con la documentación que lo acredite e indicación de las actividades que van a realizar.

Los operadores de drones de más de 25 Kg al despegue deberán presentar la misma documentación junto con la declaración responsable, pero están sujetos a que AESA emita su <<autorización>> para poder iniciar su actividad[ii].

2.¿Los drones deben estar identificados?

Los drones deben llevar una placa de identificación a modo de matrícula donde figurará su identificación mediante el número de serie, el nombre de la empresa operadora y los datos de contacto.

3.¿Dónde se puede sobrevolar el dron?

Solo se puede sobrevolar el dron de día, en condiciones meteorológicas visuales y en zonas:

-fuera de aglomeraciones de edificios en ciudades, pueblos o lugares habitados o de reuniones de personas al aire libre.

dentro del alcance visual del piloto

-espacio aéreo no controlado.

Los recintos cerrados no se consideran espacio aéreo controlado pudiendo decidir los titulares de estos recintos si autorizan el uso de los drones y en qué condiciones. Por ejemplo: un pabellón cerrado de deportes. Recomendamos en estos la firma de una autorización con detalles de los usos permitidos.

4. ¿Cuál es la sanción en caso de incumplimiento?

En caso de incumplimiento, las multas pueden ascender hasta los 225.000 euros.

Según AESA los procedimientos sancionadores más comunes, son por no disponer las autorizaciones necesarias y el sobrevuelo de poblaciones.

En países como Holanda ante la dificultad de sancionar están buscando soluciones alternativas un tanto peculiares, como son las de entrenar a águilas para que den caza a los drones que vuelan de forma ilegales.

En resumen, los drones como negocio es un activo al alza, no obstante, hasta que no se apruebe el nuevo marco regulatorio su crecimiento se verá ralentizado por la necesidad de cumplir  con unos rigurosos requisitos legales que impone el actual régimen transitorio.

[i] Ley 18/2014 de 15 de octubre de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia.

[ii] Fuente http://www.seguridadaerea.gob.es/lang_castellano/cias_empresas/trabajos/rpas/faq/default.aspx#02

CLOUD COMPUTING EN EEUU Y VIGILANCIA MASIVA DE DATOS: INVALIDEZ PUERTO SEGURO

                                morguefile by wallyir

1. ¿Qué es el cloud computing? Cuando leemos <cloud computing> la mayoría lo asociamos a la externalización de servicios informáticos en la nube. La informática en la nube, en Internet, supone que ya no es necesario almacenar la totalidad de la información y aplicaciones informáticas en una máquina de forma permanente.

Las herramientas asociadas al cloud computing son fáciles de usar, intuitivas y de ejecución inmediata, lo que permite la gestión del negocio y el almacenamiento y acceso de la información en la nube.

La mayor parte de empresas que ofrecen estos servicios se encuentran ubicadas en EEUU, acogidas al cumplimiento del <Acuerdo Puerto Seguro>, lo hacen a precios muy competitivos y con garantías de seguridad en el acceso y tratamiento de la información. Sin embargo, este Acuerdo se ha declarado nulo en una Sentencia del Tribunal de Justicia de la Unión Europea vigente desde el año 2000. Ejemplos de grandes empresas que ofrecen estos servicios serían Facebook, Dropbox, Mailchimp.

2. ¿Que suponía el Acuerdo de Puerto Seguro? El Acuerdo de Puerto seguro suponía que las empresas que ofrecían estos servicios garantizaban un nivel de protección adecuado en la transferencia y tratamiento de los datos personales provenientes de otros países, ajustándose a la Decisión 2000/520.

Los principios de puerto seguro se asociaban a unos principios que velaban por la <<protección de la vida privada>> y en particular, porque se protegieran los datos personales transferidos desde la Comunidad Europea a EEUU.

La nulidad del acuerdo tiene su origen en que al parecer cuando se realizaban las transferencias de datos a EEUU, estos datos eran tratados de forma masiva por programas de vigilancia y no sólo por motivos de protección de la seguridad nacional, vulnerándose los derechos de una persona frente al acceso y tratamiento de sus datos personales.

3. ¿Qué ocurre si mi empresa tiene el cloud con una empresa americana que se acogía al Acuerdo de Puerto seguro? Pues la situación hasta el 29 de enero no es clara. Esta fecha es el plazo límite que se ha fijado para alcanzar un acuerdo con las autoridades estadounidenses que permitan dar una nueva cobertura legal al Acuerdo de Puerto Seguro.

De entrada y hasta que llegue la fecha, sería muy recomendable verificar que tipo de servicios y aplicaciones informáticas tenemos alojadas en el cloud, así como, evaluar los riesgos de la transferencia de los datos a EEUU en la situación actual.

Si su empresa es una gran empresa y dispone de los recursos humanos, técnicos y económicos necesarios debería cumplir con cualquiera de las siguientes obligaciones que impone la LOPD para las transferencias internacionales:

Primera opción: i) firma de un contrato donde los prestadores de servicio ubicados en EEUU se comprometen a tratar los datos dando cumplimiento a la legislación europea y traducción jurada de dicho contrato. ii) certificado de poderes que acredite que el firmante tiene facultades y su correspondiente traducción jurada. iii) envío los documentos y solicitud de autorización a la directora de la AEPD. Se trata de un procedimiento farragoso y de difícil cumplimiento lento antes de la fecha límite.

Segunda opción: Obtener el consentimiento informado del usuario para las transferencias internacionales de datos con indicación del país de destino y finalidad específica y determinada.

Tercera opción: Si la empresa es una multinacional e intercambia datos con otras empresas del grupo, se recomienda el uso de reglas corporativas vinculantes <RCV>.

Cuarta opción: Probar que la transferencia de datos es necesaria (alternativas): i) para la ejecución de un contrato entre el afectado y el responsable del tratamiento. ii) para la celebración o ejecución de un contrato en interés del afectado/interesado, entre el responsable del tratamiento y un tercero. iii) por motivos de interés público o para salvaguarda del interés vital del interesado.

Aunque la solución más sencilla a nuestro modo de ver, es buscar proveedores de cloud ubicados en Europa que cumplan con la normativa europea de protección de datos y el futuro Reglamento de Protección de Datos.

4. ¿Puede sancionar la AEPD a mi empresa si sigo usando un cloud con ubicación en EEUU? Se ha creado una alarma social en el sentido de que la AEPD va empezar a sancionar si no se han adoptado unas mínimas cautelas para intentar cumplir con la normativa. Su origen fue una noticia publicada en Internet de “Ultimatum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps”.

La AEPD ha contestado rápidamente, afirmando que lo único que ha hecho es ponerse en contacto con los responsables para ofrecerles un canal de comunicación directa y advertirles, que en caso de no adaptarse la base legal para realizar las transferencias, se podría iniciar un procedimiento para<suspenderlas temporalmente>.

Por todo lo anterior y a la espera del acuerdo que puedan alcanzar las autoridades estadounidenses con la Comunidad europea, para darle una nueva cobertura legal al Puerto Seguro, aconsejamos la migración de los servicios a empresas europeas que cumplan la actual normativa y el futuro Reglamento de Protección de Datos (a punto de aprobarse). Es muy discutible que en EEUU se dejen de usar programas de vigilancia masiva de datos a raíz de las continuas alarmas de atentados terroristas.

STJUE de 6 de octubre de 2015 asunto C-362/14

EL AGENTE ENCUBIERTO EN INTERNET

Recientemente se ha modificado la Ley de Enjuiciamiento Criminal[i] contemplando y regulando una figura típica de las películas, que en la práctica ya existía pero que no estaba legalizada mediante una previsión normativa. Nos estamos refiriendo a la figura del <<agente encubierto en Internet>> el cual puede utilizar una identidad supuesta o ficticia con finalidades de investigación de determinados delitos.

La creación de esta figura viene asociada a la persecución de los delitos concretos que se cometen a través y/o con la ayuda de las nuevas tecnologías y que el legislador no puede ignorar. Siendo necesario encontrar un equilibrio entre la investigación y persecución de los delitos y la salvaguarda de los derechos y libertades fundamentales de las personas.

1.- ¿Quién es el agente encubierto en Internet?

El agente encubierto en Internet es aquella persona que actúa con una <<identidad supuesta>> en canales cerrados de comunicación con la finalidad de esclarecer determinados delitos. Esta identidad ficticia le habilita para grabar conversaciones y obtener imágenes de encuentros entre el agente y el investigado, así como, para intercambiar y enviar archivos ilícitos por razón de su contenido en el curso de una investigación.

 2- ¿Se podrán interceptar los mensajes de e-mail y de WhatsApp?

La reforma de la Ley de Enjuiciamiento Criminal (LECrim) ha regulado de forma rigurosa tanto la intercepción de las comunicaciones telefónicas como las telemáticas. Esta interceptación estará sujeta por un lado a que la medida sea para investigar un delito concreto y reúna los caracteres de idónea, <<excepcional, necesaria y proporcional>> y por otro la existencia de una autorización judicial. Esta medida se puede solicitar de oficio por el juez, o bien a instancia del Ministerio Fiscal o de la Policía Judicial y su duración en ningún caso puede exceder del tiempo imprescindible para el esclarecimiento de los hechos, especificándose en la resolución judicial la duración concreta de la medida.

3.- ¿Se puede acceder de forma remota a los ordenadores y/o terminales privados?

La ley regula una novedad que a priori podría suponer una injerencia en la privacidad de los usuarios. No es así, porque prima la salvaguarda del interés general en la persecución de determinados delitos (relacionados con organizaciones criminales, de terrorismo, delitos contra menores, defensa nacional, delitos cometidos a través de instrumentos informáticos), sobre el derecho a la privacidad.

Se podrá acceder de << forma remota a los ordenadores y/o terminales>> remotos siempre que haya una autorización judicial mediante la colocación de unos códigos, o un software que permite el examen a distancia y sin conocimiento de su titular del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o bases de datos. El tiempo de duración máxima de la medida es de un mes prorrogable por períodos iguales hasta un máximo de tres meses.

4.- ¿Es legal la utilización de dispositivos técnicos de seguimiento y de localización de una persona?

Cuando sea necesario y la medida resulte proporcionada, el juez podrá autorizar la colocación de dispositivos o medios técnicos de seguimiento y localización sin infringir derechos fundamentales. El tiempo de duración máxima de esta medida será de tres meses y hasta un máximo de 18 meses previa solicitud de prórroga y por razones justificadas.

[i] Ley 13/ 2015 que modifica la Ley  Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica.