Después de un procedimiento de consulta pública, el Comité Europeo de Protección de Datos (EDPB) ha publicado la versión final de sus Directrices sobre el tratamiento de datos personales en el contexto de los vehículos conectados y las aplicaciones relativas a la movilidad (Directrices sobre coches conectados).
Este documento surge con la intención de dotar a los fabricantes de automóviles y a los proveedores de servicios digitales de una guía con la que afrontar los retos de la emergencia del coche conectado.
El automóvil moderno es un dispositivo conectado que registra y transmite datos tales como el rendimiento del motor, los hábitos de conducción, la localización e incluso hasta datos biométricos como el movimiento de los ojos del conductor, sus rasgos faciales o su pulso. En definitiva, los vehículos modernos se han convertido en generadores masivos de datos personales.
Esta revolución de los datos dentro de la industria automovilística no se limita a los fabricantes de automóviles, sino que también se caracteriza por la creciente importancia de las grandes plataformas digitales como Google o Apple y sus incursiones en la industria del infotainment.
Según el criterio del EDPB, los coches conectados deben ser considerados terminales tal y como los son los ordenadores o los teléfonos móviles y por lo tanto, entran dentro de la regulación de la Direcitva ePrivacy.
El gran reto de la privacidad desde el diseño en coches conectados
El gran reto de la protección de datos en vehículos conectados es la incorporación de la protección de datos personales desde la fase de diseño y asegurar que los usuarios disfrutan de total transparencia y control sobre sus datos en cumplimiento del considerando 78 del Reglamento General de Protección de Datos (RGPD).
“La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto.”
Responder a este reto no solo es importante de cara al cumplimiento de las leyes en materia de protección de datos, sino que ayudará a fortalecer la confianza de los usuarios y, por lo tanto, favorecerá el desarrollo a largo plazo de estas tecnologías.
El documento del EDPB aboga porque los datos se procesen de manera interna siempre que sea posible, empleando procesos que no necesiten de una transferencia de datos a terceras partes fuera del vehículo. Si esto no fuese posible y se necesitase de transferencia al exterior, los datos deberán anonimizarse o pseudoanonimizarse.
El documento cita dos guías ya publicadas por organismos nacionales de países de la Unión Europea que pueden servir de referencia a los fabricantes a la hora de incorporar la privacidad en los coches conectados desde la fase de diseño. El documento de la Conferencia de las Autoridades de Protección de Datos alemanas y la Asociación de la Industria Automovilística alemana (VDA) y el paquete de medidas de cumplimiento de coches para coches conectados de la agencia francesa de protección de datos (CNIL).
Riesgos para la privacidad y la protección de datos
El documento identifica dos áreas principales de riesgo en los coches conectados. En primer lugar, al tratarse de vehículos de transporte de pasajeros, entra en juego la seguridad en carretera y, por lo tanto, la integridad física de los ocupantes en un entorno que hasta la actualidad estaba libre de interferencias desde el exterior. En segundo lugar, los vehículos conectados suponen un riesgo de la privacidad dado que se prestan a ser usados como herramientas de vigilancia gracias al uso de tecnologías de geolocalización integradas.
Otras áreas que suponen un reto son las que derivan del hecho de que el conductor puede no ser el dueño y que los acompañantes pueden no ser conscientes de que se están recabando datos personales. Esto hace que solicitar su consentimiento sea complicado.
Por esta razón, el consentimiento no siempre se podrá apoyar el tratamiento en un consentimiento informado, dando lugar en algunas circunstancias a un «consentimiento de baja calidad» derivado de una falta de información por parte de los sujetos que usen el vehículo. En este caso, debe tenerse en cuenta la posibilidad de emplear otras bases legales para el tratamiento.
En términos de transparencia y control por parte del usuario, las directrices ponen énfasis en que los usuarios deben poder controlar cómo se recaban y tratan sus datos dentro del vehículo. El documento propone la instalación de un sistema que señale a los ocupantes cuándo y cómo se están recogiendo datos por ejemplo a través del uso de pilotos iluminados o símbolos estandarizados que no deben cambiar de vehículo a vehículo.
Otro elemento a tener en cuenta es que un vehículo puede tener diversos dueños en su ciclo de vida útil y que, por lo tanto, debe proporcionarse a los usuarios la posibilidad de realizar un borrado total de datos antes de realizar una venta. Las directrices del RDPB incluyen también una sección con casos prácticos en los que se pueden consultar las soluciones propuestas aplicadas a casos reales.
