Los vehículos conectados y la privacidad de sus ocupantes
Publicado el 24th julio 2020
El Comité Europeo de Protección de Datos lanzó a consulta pública el 7 de febrero de 2020 la Guía 1/2020 sobre el tratamiento de datos personales en el contexto de vehículos conectados y aplicaciones relacionadas con la movilidad. El período de consulta pública finalizó el 4 de mayo y el CEPD finalizará y adoptará dicha guía a partir de los comentarios que haya recibido tanto de autoridades públicas como de entidades privadas.
Con la llegada de las nuevas tecnologías al sector del automóvil y debido al gran número de datos que los vehículos recopilan y generan, éstos se están convirtiendo en hubs masivos de datos. Teniendo en cuenta que los datos generados por los vehículos son considerados mayormente datos de carácter personal al estar vinculados con el conductor, los pasajeros o su propietario, el Comité Europeo de Protección de Datos (el "CEPD") en la Guía 1/2020 sobre el tratamiento de datos personales en el contexto de vehículos conectados y aplicaciones relacionadas con la movilidad (la "Guía"), pretende aportar seguridad jurídica ante la posible injerencia que este tipo de tecnologías puede suponer para la privacidad de los individuos.
En el presente artículo, analizamos qué se entiende por vehículo conectado, los riesgos derivados del tratamiento de datos personales que pueden llevar a cabo estos vehículos cuando se destinan a un uso no profesional y una serie de casos reales que ejemplifican dichos riesgos, ofreciendo en todos los casos recomendaciones a las partes interesadas.
La Guía establece que el término "vehículo conectado" debe entenderse en sentido amplio, como un vehículo equipado con numerosas unidades de control electrónico interconectadas a través de la red interna del mismo y con equipos de conexión que le permiten compartir información con otros dispositivos internos y externos al vehículo (por ejemplo, permitiendo que las aplicaciones de entretenimiento del teléfono móvil personal se reflejen en el cuadro de mandos del vehículo). No obstante, también resulta de aplicación esta Guía a aquellas aplicaciones móviles que, aun estando integradas en el vehículo, se conectan a éste y guardan alguna relación con la conducción (i.e. aplicaciones de gestión de la movilidad y del vehículo, de asistencia al conductor, etc.).
En un primer bloque, la Guía recoge los siguientes riesgos de protección de datos que los vehículos conectados representan y ofrece una serie de recomendaciones al respecto, que resumimos a continuación:
- Dado que los vehículos conectados tienen la consideración de equipo terminal ya que se conectan a una red pública de telecomunicaciones electrónicas, es necesario recoger el consentimiento previo de los usuarios para el almacenamiento o acceso a la información, tal y como exige la Directiva ePrivacy (2002/58/CE). A este respecto, el CEPD hace especial hincapié en que para que dicho consentimiento cumpla con los requisitos de validez del Reglamento General de Protección de Datos (el "RGPD"), éste ha de ser específico para cada finalidad y afirma que en ningún caso el consentimiento inicial justificaría el tratamiento ulterior de los datos personales, para el cual se necesitaría un consentimiento adicional o que dicho tratamiento se fundamentase en el cumplimiento de obligaciones legales. Además, el CEPD es consciente de que es difícil obtener el consentimiento del conductor y de los pasajeros cuando éstos no tienen ninguna relación con su titular.
- La Guía también indica que las innumerables funcionalidades que, en ocasiones, incorporan los vehículos conectados pueden suponer una recopilación excesiva de datos personales y comprometer su seguridad teniendo en cuenta que, cuanto mayor sean las funcionalidades del vehículo conectado y mayor sea el acceso a datos de carácter personal, mayor es la probabilidad de que los datos se vean comprometidos.
- La Guía advierte al responsable del tratamiento (por lo general, los fabricantes de los vehículos, las compañías que ofrecen los seguros "Pay As You Drive" u otros proveedores de servicios que procesan información del vehículo) de que la obligación de información y transparencia debe cumplirse con respecto a todos los usuarios del vehículo durante toda su vida útil (es decir, los conductores, pasajeros, diferentes propietarios y arrendatarios) y que un incumplimiento de esta obligación implica una pérdida de control de los datos personales por los usuarios del vehículo. Asimismo, el CEPD recomienda que, en el contexto de los vehículos conectados, la primera capa de información incluya las categorías de destinatarios de los datos personales.
- La Guía enfatiza que los datos biométricos y de geolocalización que puedan obtenerse por la utilización de vehículos conectados deben tratarse únicamente cuando sean estrictamente necesarios (al poder revelar datos especialmente protegidos o sensibles), custodiarse en condiciones de seguridad y permitir, en todo caso, que los sujetos afectados puedan controlar el tratamiento de sus datos, ofreciendo herramientas de configuración de funcionalidades Asimismo, el CEPD es consciente de que los vehículos conectados pueden revelar datos relativos a infracciones en materia de tráfico y seguridad vial cometidas por el conductor y remarca que, en tal caso, el tratamiento de dichos datos únicamente puede llevarse a cabo bajo el control de una autoridad oficial o cuando dicho tratamiento haya sido autorizado por la Unión Europea o un Estado Miembro.
- El CEPD recomienda que los datos de carácter personal generados por el vehículo se almacenen de forma local, de tal modo que éstos queden bajo el control total y exclusivo del usuario y evitar así su tratamiento en servidores en la nube y el posible acceso de terceros a estos datos sin conocimiento del interesado. Asimismo, en caso de transferir datos personales a terceros, la Guía recomienda la anonimización o seudonimización de dichos datos.
- Otro de los aspectos a destacar del borrador de la Guía es la sugerencia del CEPD de llevar a cabo una evaluación de impacto de protección de datos ("DPIA") para las actividades de tratamiento en vehículos conectados, aunque estas no entrañen un riesgo alto para los derechos de los interesados, ya que su resultado puede ser un factor que la industria tenga en cuenta en la configuración del vehículo antes de la incorporación de nuevas tecnologías al mismo.
En un segundo bloque, la Guía ofrece distintos ejemplos de tratamientos de datos en el contexto de los vehículos conectados, que pueden generar riesgos en materia de protección de datos como, por ejemplo, el alquiler de vehículos. En este caso en particular, el CEPD considera que los datos personales del conductor o de los pasajeros podrían quedar almacenados en el vehículo y ser accedidos por terceros, recomendando el CEPD, entre otros aspectos, que las compañías de alquiler de vehículos definan procedimientos internos para borrar aquellos datos personales almacenados en el vehículo.
Durante este período de consulta pública, se han llegado a presentar más de 60 comentarios, la mayoría remitidos por conocidas empresas del sector automovilístico, como Tesla y Volvo, y de las telecomunicaciones, como la española Telefónica, así como de asociaciones de transporte y de las propias autoridades públicas de los Estados Miembros. Actualmente el CEPD está trabajando en la revisión de estos comentarios y se espera que tenga aprobada la versión definitiva de esta Guía a finales de este año, por lo que solo nos queda esperar ver cómo responde este órgano europeo a las preocupaciones manifestadas por la industria y si éstas se traducirán en modificaciones en la Guía.