Un coche es sinónimo de libertad. Nos lleva rápido a cualquier lugar. Sólo nos hace falta gasolina y una carretera. Además, es un espacio privado, en el que podemos escuchar nuestra música favorita, charlar con nuestros compañeros de viaje o cantar a gritos por la autopista. Porque, al final, un coche es como una extensión de nuestra casa. Dentro, nos sentimos cómodos y seguros de que nadie está controlándonos.
Para que esto siga siendo así. Para que el coche no deje de ser asociado con una idea de libertad y privacidad, el Comité Europeo de Protección de Datos (CEPD) publicó este pasado enero una serie de directrices que abordan la protección de datos en los coches moderno, cada vez más conectados. Estas directrices están abiertas a consulta pública.
Coches hiperconectados
Los coches modernos son coches hiperconectados, con multitud de dispositivos que transmiten información. Un coche de cualquier gama sale hoy de fábrica con multitud de sensores que recogen datos sobre el rendimiento del motor, los hábitos de conducción, los lugares que se han visitado e incluso los movimientos de los ojos del conductor, su pulso y otros datos biométricos. Los motivos para la recogida de estos datos son diversos, desde facilitar el acceso y encendido del vehículo (reconocimiento facial) a detectar posibles problemas mecánicos.
La recogida de datos en los automóviles no sólo la llevan a cabo los fabricantes. Las grandes plataformas digitales como Apple o Google se están metiendo también en este sector brindando servicios de infotaiment como música, películas o servicios de asistencia en carretera.
También debemos mencionar a los coches autónomos como una realidad futura que ya está muy avanzada y que está basada en la recogida de una cantidad ingente de datos por parte del propio coche a través de sensores y máquinas. Los coches autónomos ya circulan por las calles de algunas ciudades de Estados Unidos, si bien todavía están en fase experimental.
Los datos recogidos por los coches conectados son personales
Un coche no es una persona. Pero esto no significa que los datos que genera no son datos personales. Muchos de datos generados por los automóviles se pueden considerar datos personales porque se refieren a los conductores o pasajeros. Por poner un ejemplo, los datos de localización del vehículo son datos que están conectados a los datos de localización de la persona que lo conduce.
Esto significa que los datos recogidos por los coches están regulados por la ley de protección datos y deben cumplir con todos los requisitos. Se deben recabar y procesar contando con el consentimiento debidamente otorgado por parte del sujeto, conforme a una base legal, con una finalidad definida y se deben proteger adecuadamente durante el periodo en el que se encuentren en poder del responsable de tratamiento. Por cierto, este periodo debe ser lo más breve posible.
Areas de riesgo de los coches conectados
Las áreas de riesgo de los coches como instrumento o ámbito de recogida de datos no son muy distintos al del Internet de las Cosas. Lo que hace que las autoridades tomen un interés más especial hacia los coches que hacia una nevera es que el coche tiene unas implicaciones de seguridad mucho mayores. Si algo falla, las consecuencias pueden ser muy graves.
Además, el conche revela datos sobre la geolocalización de quien lo conduce, una capacidad que puede atentar contra la privacidad de una manera muy marcada ya que, en las manos equivocadas, estos datos pueden ser usados para ejercer vigilancia sobre los sujetos.
Otro aspecto sobre el que Comité Europe de Protección de Datos manifiesta preocupación es en la falta de una información completa y clara a compradores de coches sobre los tipos de datos que su vehículo recaba. Esto se agrava por el hecho de que el conductor de un vehículo puede no ser la persona que lo compró y la existencia de un gran mercado de segunda mano ¿Quién informa sobre datos personales a un segundo propietario?
Consentimiento del usuario y finalidad
La obtención del consentimiento debe cumplir con los estipulado en el Reglamento General de Protección de Datos, es decir, el “consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal”.
El CEPD recuerda también que el consentimiento dado a una empresa automovilística no le da derecho a compartir esos datos con terceros como, por ejemplo, compañías de seguros.
En el caso de que esos datos sean requeridos por las fuerzas de seguridad del estado, sí que se podrán compartir siempre y cuando se cumpla con lo estipulado por el artículo 10 del RGPD sobre el “Tratamiento de datos personales relativos a condenas e infracciones penales “.
Atención también a la finalidad. La abundancia de sensores puede hacer caer en la tentación de recoger datos por recoger. Cuantos más, mejor. Sin embargo, este razonamiento es contrario a la ley ya que se debe saber con precisión y de antemano la finalidad para la cual se están recogiendo los datos. No vale un “por si acaso nos hacen falta en algún momento”.
Seguridad de los datos
Los coches conectados tienen muchas funcionalidades y sistemas distintos. Cuantas más conexiones, sensores y tecnologías, más posibilidades habrá de sufrir un ataque que, en caso de los coches puede tener consecuencias catastróficas. Ya se han dado casos de hackeos remotos de vehículos que han puesto en peligro la integridad física de sus ocupantes.
El EDPB ha identificado tres categorías distintas de datos personales que requieren de una especial atención: los datos de geolocalización, los datos biométricos y los datos sobre posibles infracciones de tráfico.
Datos de geolocalización: los fabricantes deben tener en cuenta de que este tipo de datos son muy sensibles ya que revelan hábitos de vida, domicilio, lugar de trabajo de los que se pueden inferir datos tan sensibles como la afiliación política, la religión o la orientación sexual. Esto exigen un grado alto de vigilancia y recogerse solo si son imprescindibles.
Datos biométricos: en el caso de que se usen datos biométricos para gestionar el acceso y control del vehículo, se debe dar una alternativa que no use este tipo de datos (llaves o código).
Datos sobre infracciones de tráfico: una empresa que monitorice, por ejemplo, la velocidad de un vehículo puede saber si éste ha sobrepasado el límite permitido en una autopista. Sin embargo, este tipo de tratamiento de datos sólo pueden llevarlos cabo las autoridades.
Conclusión
Los coches conectados son una realidad a la que en el futuro se añadirá la de los coches autónomos. Estos avances tecnológicos están fuertemente ligados a la recogida de grandes cantidades de datos que, en muchos casos, son datos personales. Esto significa que estos datos cuentan con toda la protección que brinda la ley. Los fabricantes y proveedores de servicios dentro del automóvil deben tener esto en cuenta y adaptar sus procesos para no llevarse sorpresas desagradables en el futuro en forma de multas millonarias.
