Ciberseguridad y drones: operativa legal y crecimiento estratégico

Ciberseguridad y drones: operativa legal y crecimiento estratégico

Tiempo de lectura estimado: 8 minutos


Esta conferencia magistral pertenece al Módulo 15 "Drones" de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer detalles y datos sobre la operativa legal y estratégica en el ámbito de la ciberseguridad y los drones.

Vinculación de ciberseguridad y drones

Al vincular estos dos ámbitos, hay dos escenarios posibles:

  • Ciberataque a un dron y posesión de este (ataque, secuestro o apoderamiento ilícito de aeronave).
  • Ciberataque a un dron con el objetivo de hacer uso de su información.

Ciberataques ransomware

Este tipo de ataque, por sectores, abarca: 40% ataques a empresas, 16% a municipios, 13% a educación, 13% a salud, 11% a infraestructura, 4% a viajes y 3% a finanzas. Según el Ministerio del Interior, los ciberdelitos crecieron un 32% en España recientemente en solo un año. "Los ciberdelincuentes van ganando terreno, solo necesitan 18 minutos para hackear una organización".

España es el tercer país más ciberatacado del mundo, solo por detrás de Estados Unidos y Reino Unido. Para una empresa, salir de un ciberataque puede costar, de media, entre 60.000€ y 2.000.000€. Los ciberdelincuentes "solo" son culpables de un 23% de los ataques, ya que el resto se debe a errores humanos, empleados descontentos, competencia desleal, incumplimiento legal y contractual, falta de un plan de continuidad de negocio, formación insuficiente y falta de medidas técnicas.

Drones, desarrollo de negocio y legislación básica

La Guía sobre Drones y Datos publicada el 31 de mayo de 2018 por la AEPD desarrolla el apartado 5.2 de la Guía sobre el Uso de Videocámaras para Seguridad y otras finalidades. Así, distingue tres posibles escenarios respecto a la ley aplicable:

1. Operaciones que no incluyen tratamiento de datos personales

  • Respecto al uso: de naturaleza doméstica y/o recreativa.
  • Respecto al lugar de uso: en la propia parcela o en un lugar destino al efecto y con las licencias respectivas.
  • Respecto al tipo o modelo de RPAS: se refiere a un modelo básico, con unas posibilidades técnicas limitadas, tanto en lo referente a captación de imágenes como en la altura y autonomía de vuelo.

2. Operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida

La AEPD se refiere a la captación de imágenes con unas finalidades muy concretas:

  • Topográficas: destinadas a la revisión de parcelas, visión cenital de parcelas para próximas construcciones o inspección legal de lindes u obras.
  • Agricultura: destinadas a la toma de imágenes de la parcela cultivada o por cultivar, con ánimo de estudiar la mejor aplicación de sistemas de regadío, insecticidas o cualquier otro fin destinado a la mejora y tratamiento agrícola de dicha parcela o parcelas.
  • Fotografía: captación de imágenes destinadas a la producción de reportajes o producciones televisivas, con independencia del formato, a través de una persona física o jurídica profesional del sector.

3. Operaciones que tienen por finalidad un tratamiento de datos personales

La finalidad intrínseca es la captación de imágenes para su posterior análisis: videovigilancia y eventos. Con carácter general, se aplican RGPD y LOPDyGDD, así como la guía sobre videovigilancia de la AEPD. 

Resumen práctico y operativo de obligaciones

  • La operativa del dron deberá cumplir con la normativa de aeronavegabilidad aplicable (autorización del plan de vuelo por parte de AESA).
  • Clarificar la situación entre el responsable y el encargado de tratamiento de datos mediante el adecuado contrato de encargo.
  • Elaborar el EIPD (Estudio de Impacto de Protección de Datos).
  • Identificar la base legal para el tratamiento.
  • Evitar captar o tratar datos innecesarios e informar previamente de esa captación.
  • Medidas de seguridad establecidas para la seguridad de los datos catpados.
  • Datos que serán de protección por el responsable de los datos.
  • Borrar o, en su caso, anonimizar los datos o imágenes que no sean relevantes para la finalidad de la captación de dichos datos.


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Pedro Fernández-Villamea Alemán

Pedro es abogado y dirige el departamento legal y compliance del Grupo Gees-Spain, así como las partes de consultoría y formación. A su vez, forma parte del consejo asesor de las secciones de Derecho Militar y Seguridad y Derecho Aeronáutico y Espacial del Ilustre Colegio de Abogados de Madrid.