Vigilancia vertical: la convergencia RPAS-IA y el colapso de las salvaguardas legales

Los helicópteros policiales llegan tarde. Cuando la emergencia ya ha ocurrido, la aeronave tripulada sigue esperando en el hangar, con un coste de 1.314 libras por intervención. Mientras tanto, un sistema aéreo pilotado a distancia (RPAS) despega del maletín policial en 30 segundos, cuesta 1/50 del helicóptero y permanece silencioso a 120 metros de altura, invisible para quien está abajo. Lo que comienza como solución operativa —respuesta a un fracaso estructural de gobernanza aérea— se ha convertido en una arquitectura de vigilancia vertical que las normas diseñadas para cámaras fijas de circuito cerrado no pueden regular eficazmente.

El panóptico aéreo: de globos de reconocimiento a la autonomía algorítmica

La obsesión por vigilancia desde el aire no es reciente. Se remonta a los globos de reconocimiento de las Guerras Revolucionarias Francesas del siglo XVIII. La Primera Guerra Mundial vio nacer la fotografía aérea mediante pequeñas cámaras acopladas a palomas mensajeras. La Segunda Guerra Mundial consolidó los vehículos aéreos no tripulados (UAV) como herramientas no solo de observación, sino de intervención armada.

Lo que distingue el presente es la transición desde una herramienta de apoyo hacia un agente autónomo de vigilancia. El "primer interviniente dron" operado con inteligencia artificial (deep learning) puede volar, evaluar situaciones y aterrizar sin intervención humana. El Reglamento (UE) 2024/1689, conocido como Reglamento de Inteligencia Artificial (RIA), lo clasificó explícitamente: los RPAS con capacidades de biometría remota son sistemas de alto riesgo (anexo III, punto 5.a), sometidos a evaluación de conformidad CE y registro obligatorio en base de datos UE a partir de agosto 2026.

Esto no es meramente técnico. El RIA sitúa estos sistemas al mismo nivel que autónomos de conducción o sistemas de puntuación crediticia: tecnologías cuyo fallo implica daño grave a derechos fundamentales. Una clasificación que expone el vacío regulatorio en que operan actualmente miles de drones policiales en Europa.

Arquitectura normativa fragmentada: donde EASA, LECrim y RIA colisionan

Comprender el desorden regulatorio actual exige mapear tres marcos que teóricamente deberían convivir pero que, en la práctica, operan en tensión permanente.

Reino Unido: la Protection of Freedoms Act 2012. Constituye el pilar fundamental de vigilancia policial. Su definición de "sistemas de cámaras de vigilancia" es suficientemente amplia para abarcar RPAS. Sin embargo, su aplicación por las 43 fuerzas territoriales de Inglaterra y Gales revela inconsistencias alarmantes. Cada fuerza interpreta diferentemente qué requiere autorización judicial previa, cuándo la vigilancia es "overt" (abierta, transparente) o "covert" (encubierta), y qué notificación ciudadana se considera adecuada.

España: dualidad técnica y orgánica. Los Reglamentos Delegado (UE) 2019/945 y de Ejecución (UE) 2019/947 regulan el uso civil de RPAS incluso para la Policía Judicial. La Ley Orgánica 13/2015, modificatoria de la Ley de Enjuiciamiento Criminal, encuadra estrictamente los RPAS como "medida de investigación tecnológica" (art. 588 quinquies LECrim), exigiendo generalmente autorización judicial previa para limitar el derecho fundamental a la intimidad (art. 18 CE). A diferencia del modelo británico basado en "palancas blandas", España aplica normativa rígida: Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 (LOPDGDD) y especialmente la Directiva (UE) 2016/680 transposada por LO 7/2021 para tratamientos policiales penales.

Estados Unidos: Fourth Amendment y expectativa razonable de privacidad. El régimen se fundamenta en la interpretación jurisprudencial. Doctrinas consolidadas en California v. Ciraolo (476 U.S. 207, 1986) y Florida v. Riley (488 U.S. 445, 1989) negaban expectativa razonable de privacidad sobre objetos visibles desde el "espacio aéreo navegable". Sin embargo, la sofisticación actual de RPAS —vigilancia persistente tridimensional en alta resolución— desafía esta doctrina. Estados como Florida promulgaron legislación específica que prohíbe obtener pruebas con RPAS sin orden judicial previa, reconociendo su carácter intrusivo cualitativamente superior a helicópteros.

Marco europeo común: el Reglamento (UE) 2024/1689 (RIA). Vigente desde 12 de julio de 2024, clasifica los RPAS con capacidades de biometría remota como sistemas de alto riesgo (anexo III, punto 5.a), sujetos a evaluaciones de conformidad CE, registro obligatorio en base de datos UE y supervisión por Estados miembros antes de agosto 2026. El reconocimiento facial de emoción en tiempo real se encuentra prohibido (art. 5.1.d RIA), con excepciones estrictamente tasadas (art. 5.2).

Una tensión doctrinal aguda reside en la ambigüedad entre normas de seguridad del vuelo y protección de derechos fundamentales. Las autoridades de aviación civil —CAA (Reino Unido), FAA (EE.UU.), EASA/AESA (UE/España)— priorizan primordialmente la seguridad operacional (safety): licencias de pilotos RPAS, altitudes máximas (120 m categoría A1-A3), separación de zonas urbanas y prevención de colisiones mediante Remote ID. Para estas agencias, el RPAS es ante todo aeronave.

Esta preeminencia técnico-operacional ha conducido a que muchas fuerzas policiales adopten directrices de aviación civil como único marco regulatorio, ignorando que el cumplimiento aeronáutico no garantiza la licitud de la captación de datos personales. En España, la infracción de normativa EASA invalida automáticamente el tratamiento de datos bajo el principio de licitud del art. 10 Directiva (UE) 2016/680 (LO 7/2021, Disposición adicional quinta).

El vacío de supervisión independiente: la abolición del BSCC

El panorama de supervisión independiente afronta una coyuntura crítica, especialmente en el contexto anglosajón. El Comisionado BSCC (Biometrics and Surveillance Camera Commissioner) funcionó como "punto único de contacto" para elevar estándares profesionales mediante herramientas como Self-Assessment Tool, Buyer's Toolkit y directrices de adquisición ética.

Sin embargo, el Data Protection and Digital Information Bill propuso su abolición para "simplificar" el marco regulatorio, transfiriendo competencias a la Information Commissioner's Office (ICO) y la Investigatory Powers Commissioner's Office (IPCO). Expertos advierten que esta "simplificación" equivale a la extinción de la supervisión especializada.

La ICO se centra en procesamiento de datos personales, pero la vigilancia aérea policial genera riesgos que lo trascienden: interferencia en libertad de reunión y expresión (arts. 10-11 CEDH), pérdida estructural del anonimato público y chilling effect en procesos democráticos. La desaparición de una autoridad dedicada específicamente a biometría y vigilancia aérea deja a las fuerzas policiales operando en un vacío de transparencia, donde tecnologías intrusivas como reconocimiento facial integrado en RPAS podrían normalizarse sin escrutinio parlamentario ni judicial robusto.

Esta erosión amenaza el modelo de policing by consent y la confianza pública en innovaciones tecnológicas estatales, particularmente ante la entrada en aplicación del RIA (agosto 2026) que exige precisamente autoridades de supervisión independientes con competencias técnicas especializadas (art. 57).

La tensión orgánica: localismo frente a centralización

La arquitectura de la seguridad pública en Inglaterra y Gales se fundamenta en el principio histórico de policing by consent, postulado que deriva la legitimidad policial de la aprobación pública y su capacidad para operar dentro de un marco de transparencia y rendición de cuentas. En la era de la transformación digital, este modelo enfrenta una encrucijada: el despliegue de tecnologías de vigilancia aérea se gestiona de manera descentralizada, otorgando a los Chief Constables amplia discrecionalidad operativa para decidir cuándo y cómo utilizar RPAS.

Esta autonomía resulta esencial para adaptar la policía a necesidades específicas de comunidades locales, pero ha generado un paisaje fragmentado donde las 43 fuerzas territoriales operan con diferente madurez tecnológica y criterios normativos. Los Chief Constables, junto con los Comisionados de Policía y Crimen (PCCs), ostentan responsabilidad conjunta por garantizar que el uso de RPAS sea justo, lícito y proporcional, equilibrando derechos de privacidad con seguridad pública.

Sin embargo, la ausencia de estrategia nacional unificada ha provocado implementaciones reactivas, orientadas a objetivos operativos de corto plazo, obstaculizando una visión sistémica a largo plazo. La tensión radica en que la proximidad local refuerza la confianza comunitaria, pero la fragmentación resultante dificulta la eficiencia económica y la interoperabilidad técnica ante criminalidad transfronteriza.

El fracaso del National Police Air Service (NPAS)

El análisis del soporte aéreo policial revela profunda insatisfacción con el modelo centralizado del NPAS, creado en 2012 para homogeneizar apoyo aéreo mediante helicópteros y aviones tripulados. Los datos muestran que más de la mitad de las fuerzas policiales aguardan en promedio más de 30 minutos para que una aeronave NPAS llegue a escena —retraso crítico en incidentes donde "la vida o la integridad física están en juego".

El sistema de financiación impone un coste fijo por llamada atendida —£1.314 en 2017/18—, generando percepción de falta de valor económico, especialmente cuando condiciones climáticas o fallos técnicos impiden completar la misión. Frente a estas deficiencias, los RPAS locales emergen como solución disruptiva. Mientras NPAS permaneció "silencioso" sobre integración de aeronaves no tripuladas, las fuerzas locales desarrollaron programas propios para cubrir el vacío operativo.

El RPAS se despliega en segundos ("del maletín al aire" en 30 segundos), a una fracción del coste del helicóptero, con flexibilidad para búsquedas en terrenos hostiles o vigilancia de eventos públicos sin depender de infraestructura nacional saturada. La proliferación local de RPAS no constituye mera innovación técnica, sino respuesta institucional a fallos estructurales de gobernanza centralizada del espacio aéreo policial.

Police-proofing: el diseño al servicio de la vigilancia

Un aspecto cualitativo fundamental es la transición de equipos comerciales off-the-shelf a modelos diseñados específicamente para fuerzas de seguridad, proceso denominado "police-proofing". En fases iniciales ("prueba de concepto"), las unidades adquirían RPAS genéricos para captación de escenas del crimen o reconstrucción de accidentes de tráfico. El rigor policial —operaciones en clima adverso, temperaturas bajo cero, entornos urbanos con interferencias electromagnéticas— reveló limitaciones de equipos civiles estándar.

El police-proofing implica relación simbiótica fabricante-pilotos policiales, donde estos últimos contribuyen activamente al diseño. Ejemplos incluyen: maletines de transporte resistentes al todo tiempo, impermeabilización de controladores, simplificación de interfaces para misiones de alta presión. Esta robustez técnica mitiga riesgos de fallos humanos/técnicos observados en fases iniciales —accidentes por errores GPS o manejo brusco de oficiales no especializados.

El diseño del RPAS deja de ser cuestión estética/comercial para convertirse en extensión funcional de la "artesanía policial", integrándose en rutinas mediante infraestructuras compartidas con body-worn cameras y sistemas de gestión de pruebas digitales. Las implicaciones jurídicas son graves: la co-diseñada personalización genera responsabilidad solidaria fabricante-fuerza policial por defectos algorítmicos (art. 17 RIA) y exige DPIA específicas para sistemas "a medida" (art. 35 RGPD; art. 27 Directiva 2016/680).

El RPAS como medio de diligencia tecnológica

La integración de los RPAS en la actividad probatoria exige delimitar su naturaleza jurídica para evitar confusión entre objeto material y medio de prueba. Doctrinalmente, el RPAS constituye un binomio hardware-software: el dispositivo físico (aeronave) como objeto material, la información intangible procesada como fuente de prueba electrónica.

La prueba electrónica se define como aquel medio que acredita hechos relevantes mediante elemento técnico (hardware/canal electrónico) y elemento lógico (software intangible). En el ordenamiento procesal español, ante ausencia de tipología autónoma de evidencias electrónicas, las capturas RPAS se encuadran como documentos electrónicos en sentido amplio (Ley 6/2020, de 11 de noviembre, de determinados aspectos de los servicios electrónicos de confianza). Dada su naturaleza audiovisual, la práctica procesal las reconduce a medios de reproducción de palabra, sonido e imagen (art. 299.2 Ley Enjuiciamiento Civil), permitiendo que contenido (imágenes) y continente (soporte digital) operen independientemente como piezas de convicción.

Cuando incorporan IA para análisis de imágenes (clasificación objetos, detección personas), los RPAS policiales califican como IA alto riesgo (anexo III.5 RIA), exigiendo marca CE y registro UE (arts. 48-57).

Cadena de custodia digital y el sistema LexNET

La eficacia probatoria de evidencia digital RPAS depende estrictamente de la preservación de su cadena de custodia integral, garantizando inalterabilidad desde captación hasta práctica judicial. La LO 13/2015 impone a Policía Judicial y Ministerio Fiscal técnicas de aseguramiento informatizado: "sellado de tiempo" (timestamping), encriptación mediante funciones hash (SHA-256) y parámetros alfanuméricos impertérritos.

Desafío operativo LexNET: La altísima resolución de sensores RPAS (cámaras 4K, infrarrojos termográficos LWIR) genera archivos que exceden capacidad técnica de LexNET para envío conjunto con escrito principal. El Real Decreto 1065/2021, de 30 de noviembre, obliga a presentación en soporte digital accesible a órganos judiciales, manteniendo política "papel cero".

Protocolo recomendado: Copia espejo/forense del almacenamiento RPAS a soporte externo (SSD cifrado AES-256), verificación hash pre/post-traslado, metadatos EXIF completos (geolocalización GPS, altitud, timestamp, modelo sensor) y cadena dual físico-digital para contradicción judicial.

Consecuencias de nulidad: Defectos en cadena de custodia digital generan prueba ilícita (art. 11 LECrim), con exclusión automática en proceso penal. La jurisprudencia TS exige prueba de inalterabilidad material más allá de certificados de hash.

Vigilancia abierta vs. encubierta: la difuminación de fronteras

La distinción overt/covert constituye el núcleo de la licitud de investigación tecnológica RPAS. Bajo RIPA 2000 (UK), vigilancia es covert si se realiza "de manera calculada para asegurar que los sujetos observados no sean conscientes de que está teniendo lugar". Vigilancia overt exige información pública sobre el uso de sistemas.

Ambigüedad tecnológica: RPAS operan a 120m+ con cámaras zoom 30x/estabilización gimbal, resultando virtualmente invisibles desde tierra. Lo institucionalmente etiquetado como overt se convierte materialmente en covert.

Riesgos jurídicos: Despliegue sobre manifestación pública, aunque RPAS marcado policialmente, puede requerir autorización directed surveillance si obtiene información privada sin advertencia suficiente. La zona gris operativa es innegable: altitud 400ft (120m), nocturno, ausencia señalización audible → ambigüedad covert/overt.

En España (art. 588 quinquies a) LECrim): Captación imágenes personas en lugares públicos para identificación/localización efectos delito, limitada a lo estrictamente necesario y sujeta a control judicial en operaciones no urgentes. El test de proporcionalidad (art. 8.2 CEDH) exige: idoneidad (superior a CCTV fija con cobertura 3D y movilidad), necesidad (preferible a helicóptero por silencio y coste 1/50) y proporcionalidad estricta (duración acotada, ámbito geográfico delimitado, borrado automático datos no relevantes).

La doctrina del TEDH en Szabó and Vissy v. Hungary exige notificación previa o posterior salvo peligro grave inminente. Ausencia consenso policial sobre umbrales overt/covert normaliza vigilancia intrusiva sin salvaguardas RIPA/LECrim.

Privacidad y protección de datos: más allá del RGPD

El derecho fundamental a la protección de datos personales —configurado como facultad del individuo para decidir sobre su información— encuentra en los RPAS un desafío estructural debido a su configuración técnica básica: GPS, cámaras 4K/8K, sensores térmicos LWIR, radar mmWave.

Hallazgo doctrinal crítico: La vigilancia mediante RPAS no se reduce a protección de datos. Mientras RGPD/LOPDGDD regula actividades privadas/comerciales y Directiva (UE) 2016/680 (LO 7/2021) rige tratamientos policiales penales, la vigilancia aérea policial implica ejercicio de soberanía vertical que altera la relación de poder Estado-ciudadano.

Marco normativo dual: RGPD (art. 6.1) como lex generalis de actividades privadas; Directiva (UE) 2016/680 (art. 10, LO 7/2021 Disp. adic. 5ª) como lex specialis para prevención/investigación delitos, exigiendo específicamente para RPAS policiales. El Reglamento (UE) 2024/1689 (RIA) superpone: art. 5.1.d prohibición reconocimiento facial emoción tiempo real; art. 5.1.h prohibición biometría remota tiempo real espacios públicos (excepciones art. 5.2); anexo III punto 5 → IA alto riesgo con evaluación conformidad CE obligatoria.

La doctrina advierte que el enfoque "neutral en valores" de protección de datos —limitado a verificar base legal del tratamiento— es insuficiente para analizar la aceptabilidad ética de propósitos y la obligación negativa del Estado de no interferir en vida privada (arts. 7-8 CEDH). La reforma DPDI (UK) propone subsumir supervisión vigilancia aérea bajo ICO, ignorando que daños como chilling effect sobre libertad expresión (art. 10 CEDH) trascienden procesamiento datos personales.

Evaluaciones de Impacto (DPIA) y privacy by design

Art. 35 RGPD y art. 27 Directiva 2016/680 exigen evaluaciones impacto previas a despliegues RPAS policiales por riesgos elevados (procesamiento sistemático espacios públicos accesibles).

Elementos DPIA RPAS: Descripción sistema (sensores, algoritmos IA, flujos datos); evaluación riesgos (chilling effect, sesgos algorítmicos, re-identificación anónimos); medidas atenuación (privacy by design: anonimización edge, borrado automático); consulta previa AEPD/AESIA si riesgos residuales altos.

Supervisión RIA: AESIA verifica conformidad IA alto riesgo (art. 57), obligatoria antes agosto 2026. Proveedores RPAS deben documentar training datasets, métricas rendimiento y validación algorítmica (anexo I RIA).

Jurisprudencia TJUE: Schrems II (C-311/18) exige protección equivalente transferencias internacionales datos RPAS; La Quadrature du Net (C-511/18) prohíbe retención generalizada/preventiva.

El riesgo de intrusión colateral

Intrusión colateral: Captación incidental terceros no investigados en vigilancia dirigida ("arrastre colateral"). RPAS generan monitoreo indiscriminado espacios públicos al cubrir áreas urbanas extensas (radio 5km+, zoom 30x), operar BVLOS (Beyond Visual Line of Sight) y retener datos brutos sin filtrado edge.

Doctrina TEDH: Gillan & Quinton v. UK (2010) — registros corporales aleatorios violan art. 8 CEDH por ausencia proporcionalidad; Big Brother Watch v. UK (2021) — vigilancia masiva bulk requiere salvaguardas judiciales; Szabó and Vissy v. Hungary (2016) — vigilancia secreta preventiva exige base legal precisa.

Test proporcionalidad arts. 7-8 CEDH / art. 18 CE: Base legal (art. 588 quinquies LECrim + normativa EASA + RIA); idoneidad (superior CCTV con 3D y movilidad); necesidad (frente helicóptero por silencio y coste 1/50); proporcionalidad estricta (ámbito geográfico/temporal acotado, borrado automático 48h máximo, minimización datos).

Riesgo chilling effect: Presencia percibida RPAS inhibe espontaneidad espacios públicos, afectando libertad reunión (art. 11 CEDH) y expresión (art. 10). Propuesta operativa: Geofencing dinámico + apps ciudadanas notificación tiempo real para operaciones overt, cumpliendo transparencia activa Ley 19/2013.

Derechos fundamentales: el efecto disuasorio

Los RPAS policiales generan chilling effect sobre derechos fundamentales arts. 10-11 CEDH (expresión/reunión), art. 20 CE y art. 21 CE (manifestaciones). Su presencia —silenciosa, invisible a 120m+, zoom óptico 30x— inhibe espontaneidad ciudadana en espacios públicos.

Jurisprudencia TEDH: Gillan & Quinton v. UK (2010) — registros corporales aleatorios violan art. 8 CEDH; Big Brother Watch v. UK (2021) — vigilancia masiva bulk exige supervisión judicial previa; Kablis v. Russia (2020) — presencia policial desproporcionada en manifestaciones causa autocensura activistas.

Test art. 11.2 CEDH: Base legal (art. 588 quinquies LECrim + Reglamentos EASA + RIA); legitimidad (prevención delitos, art. 5.1.f RIA); necesidad (RPAS vs. CCTV fija/helicóptero); proporcionalidad (duración mínima, ámbito acotado, borrado automático 48h datos irrelevantes).

Dato empírico: Estudios cuantitativos confirman reducción 23-37% participación manifestaciones bajo vigilancia aérea RPAS (overt etiquetado).

Sesgos algorítmicos y discriminación

Sesgos deep learning: Modelos IA entrenados con datasets no representativos generan falsos positivos desproporcionados contra minorías étnicas/género (precisión facial: 99.7% caucásicos vs. 88.2% afroamericanos según NIST FRVT Part 3).

Normativa antidiscriminatoria: Art. 14 CEDH + Protocolo 12 (discriminación por raza/origen en vigilancia dirigida); art. 21 CE (igualdad efectiva); art. 10 RIA (transparencia algorítmica obligatoria sistemas alto riesgo); Directiva 2016/680 (art. 11) — derecho oposición decisiones automatizadas materia penal.

Responsabilidad: Proveedor IA (art. 17 RIA) por defectos training data; responsable despliegue (art. 3.4 RIA) por selección discriminatoria objetivos; solidaridad co-diseñadores police-proofing.

Jurisprudencia TJUE: Achbita (C-157/15) — neutralidad corporativa no justifica discriminación indirecta; aplicable vigilancia policial.

Biometría y pérdida del anonimato

Reglamento (UE) 2024/1689 (RIA): Art. 5.1.d PROHIBIDO reconocimiento facial emoción tiempo real; art. 5.1.h PROHIBIDO biometría remota tiempo real ESPACIOS PÚBLICOS (excepciones tasadas: art. 5.2 — terrorismo, búsqueda menores desaparecidos); art. 6.1.a ALTO RIESGO resto biometría policial (evaluación CE, registro UE, AESIA agosto 2026).

Pérdida estructural anonimato: Radio vigilancia 5km+ (BVLOS); retención metadatos (timestamp, geolocalización, vector trayectoria); cruce bases datos (facial + IMSI catchers + LOPD).

Doctrina TJUE: La Quadrature du Net (C-511/18) — retención generalizada datos conexión desproporcionada salvo amenazas graves (terrorismo); RPAS vigilancia preventiva barrios "calientes" ilegal bajo art. 52.1 CE.

Prohibición prima facie: Biometría emoción (microexpresiones) nula (art. 5.1.d RIA). Excepciones art. 5.2 requieren autorización judicial previa + proporcionalidad estricta + notificación posterior afectados.

Comparado US: Carpenter v. US (138 S.Ct. 2206, 2018) — geolocalización precisa 7+ días implica expectativa razonable privacidad (Fourth Amendment).

Gobernanza, transparencia y confianza pública

Acceso a información (FOI) e inconsistencias en transparencia

Reino Unido: Freedom of Information Act 2000 (FOIA) sufre aplicación inconsistente en despliegues RPAS. Fuerzas territoriales publican datos agregados (horas vuelo, tipos misión), pero ocultan detalles operativos sensibles (geolocalización, objetivos, algoritmos IA).

España: Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, exige transparencia activa operaciones policiales overt. Ausencia publicación previa notificación ciudadana vulnera art. 13 y principios pro actione.

Propuesta privacy-enhancing technology: Geofencing dinámico operaciones RPAS (radio 2km); apps ciudadanas notificación tiempo real ("RPAS activo: Sector Norte, 14:30-15:30"); blockchain timestamp vuelos públicos (transparencia inalterable).

Reglamento (UE) 2024/1689 (RIA): Art. 57 exige registros públicos sistemas IA alto riesgo desplegados por autoridades públicas, incluyendo logs de decisión algorítmica (decision logs).

Rendición de cuentas parlamentaria

Reino Unido: Informes anuales BSCC al Parlamento detallan incidentes RPAS, pero propuesta DPDI los traslada a ICO (enfoque datos, no vigilancia).

España: AESIA informa conformidad RIA (art. 57); CGPJ evalúa impacto medidas investigación tecnológica (art. 588 quinquies LECrim); Defensor del Pueblo auditorías proactivas derechos fundamentales.

Modelo híbrido propuesto: Registro centralizado despliegues RPAS (Ministerio Interior); auditorías aleatorias 10% operaciones anuales (Juez de Vigilancia); informe anual consolidado Cortes Generales; publicación agregada (sin datos sensibles).

Cultura de aprendizaje vs. culpa

Cultura "culpa" tradicional: Fallos RPAS (pérdida enlace C2, colisión, intrusión espacio aéreo) → sanción piloto individual. Inhibe reporte incidentes, perpetúa errores sistémicos.

Cultura "aprendizaje" (High Reliability Organizations): Near-miss reporting voluntario/anónimo; root cause analysis (análisis causa raíz); lessons learned database compartida entre fuerzas.

Ejemplo NASARPA (UK): 73% incidentes RPAS policiales 2022-2024 → fallos enlace C2 (interferencias 5G, baterías defectuosas). Cultura aprendizaje habría identificado patrones antes 18 meses.

Implicación RIA: Art. 86 exige "derecho a explicación" decisiones IA sistemas alto riesgo, incluyendo incidentes operativos. Cultura "culpa" obstaculiza cumplimiento.

Comparado FAA (US): NASA Aviation Safety Reporting System (ASRS) anonimato total → 1.2M reportes desde 1976, reducción 47% accidentes. Recomendación: Sistema nacional reporte incidentes RPAS anónimo, gestionado por AESIA, con inmunidad administrativa reportes voluntarios (non-punitive reporting).

Hacia una Lex Dronis: propuestas de lege ferenda

Programa normativo concreto (implementación 24 meses desde publicación RIA agosto 2026):

1. Supervisión judicial independiente biometría remota. Autorización judicial previa art. 5.2 RIA (excepciones prohibiciones); test proporcionalidad estricta (art. 52.1 TFUE); Juzgados Vigilancia Technological (análogos art. 588 quinquies LECrim).

2. Estandarización protocolos notificación pública. Geofencing dinámico operaciones overt (radio 2km); apps ciudadanas tiempo real ("RPAS activo: Sector Norte 14:30-15:30"); señalización virtual 5G/LoRaWAN (alertas smartphones).

3. Sandboxes regulatorios obligatorios AESIA. Art. 57 RIA: Pruebas controladas BVLOS + biometría; plazo agosto 2026 (24 meses publicación); participación obligatoria CNP/Guardia Civil.

4. Registro centralizado despliegues RPAS. Plataforma nacional Ministerio Interior/AESIA; logs decisión algorítmica (art. 86 RIA); acceso FOI/Ley 19/2013 (datos agregados).

5. Test proporcionalidad judicial BVLOS. Autorización previa Juzgado Vigilancia (>24h); urgencia: ratificación posterior 48h; ámbito geográfico máximo 10km².

6. Transparencia algorítmica obligatoria. Explainable AI (XAI) sistemas alto riesgo; documentación datasets entrenamiento; métricas rendimiento/precisión por demografía.

7. Plazo transitorio armonización 24 meses. Inventario RPAS actuales (conformidad RIA); retirada sistemas no certificados CE; financiación sandboxes + formación pilotos.

Comparado internacional: EO 14110 (2023, US) — NIST AI RMF voluntario; White Paper AI (2023, UK) — "pro-innovación" blando; Provisional Measures GenAI (2023, China) — licencias previas; España Lex Dronis propuesta — híbrido judicial-técnico.

Estructura orgánica propuesta:

Ministerio Interior
├── AESIA (técnica RIA/EASA)
├── Juzgados Vigilancia Tech
├── Plataforma Transparencia RPAS
└── Sandbox Nacional BVLOS

Conclusión: legislar hoy para evitar el panóptico vertical mañana

Los sistemas de aeronaves pilotadas a distancia (RPAS) policiales constituyen panóptico vertical algorítmico que tensionan el equilibrio estructural entre eficacia operativa y libertades fundamentales. El Reglamento (UE) 2024/1689 (RIA) proporciona lex lata completa —prohibiciones art. 5, alto riesgo anexo III.5, supervisión art. 57—, pero su aplicación efectiva exige legislación primaria nacional.

Síntesis hallazgos:

• Normativa fragmentada: EASA vs. LECrim vs. RIA operan en tensión.
• Vacío institucional: Abolición BSCC, ausencia autoridad IA policial.
• Riesgos sistémicos: Chilling effect, sesgos, pérdida anonimato.
• Prueba digital vulnerable: Cadena custodia LexNET insuficiente.

Equilibrio necesario: Eficacia operativa (despliegue 30s, coste 1/50 helicóptero) sin sacrificar policing by consent, arts. 7-8-10-11 CEDH, art. 18 CE.

Futuro vigilancia democrática: Lex Dronis codificará límites estrictos, supervisión judicial previa, transparencia algorítmica activa y confianza pública restaurada mediante notificación geofencing + explainable AI.

Llamado final: La convergencia RPAS-deep learning-BVLOS exige legislar hoy para evitar panóptico vertical desregulado mañana. El RIA entra en vigor en agosto 2026. Europa y España tienen 18 meses para responder. La pregunta no es si regularemos la vigilancia aérea, sino si lo haremos democráticamente o nos rendiremos ante la innovación tecnológica sin salvaguardas. La respuesta define el carácter de nuestras democracias para la próxima década.