Los automóviles particulares siempre han sido considerados algo más que un medio de transporte, ya que al pertenecer a alguien representan un bien personal, privado que les permite a las personas tomar decisiones sin depender de otros.
Sin embargo, esta forma de verlos ha cambiado gracias al paradigma de los vehículos conectados.
Los vehículos conectados cada vez más están siendo de uso masivo; pasando de ser solamente aquellos de marcas lujosas, a marcas más comerciales y asequibles. No solo los vehículos, sino también los conductores y pasajeros están cada vez más conectados.
Algunos de los modelos lanzados en los últimos años, cuentan con una tecnología y equipamiento que permite recolectar y grabar data del funcionamiento del motor, las habilidades de conducción, locaciones visitadas, y hasta los movimientos de ojo del conductor, el pulso, entre otro tipo de data biométrica que sirve para propósitos de identificación y autentificación.
Además, estos vehículos ofrecen sistemas de info-entretenimiento como mapas interactivos, las condiciones en las que se encuentran las vías o carreteras, información de tráfico, asistencia de conducción, música online; también están capacitados para proveer asistencia al volante y para esto cuentan con un sistema de autopiloto, actualizaciones constantes del estado en el que se encuentra el vehículo, el seguro según el uso de éste, etc.
Gracias a que este tipo de vehículos están conectados por canales de comunicación electrónica; los gerentes de infraestructura vial y los operadores de telecomunicaciones involucrados, juegan un papel muy importante con respecto al potencial proceso de operaciones que se les aplica a la data personal de los conductores y pasajeros.
En 2016 la FIA (Federation Internationale de l’Automobile) lanzó una campaña por toda Europa llamada “Mi carro, mi data”, tratando de reflejar lo que los europeos sienten con respecto a los coches conectados. Con esta campaña se pudo apreciar el gran interés que existe por los vehículos conectados por parte de los conductores; sin embargo, también demostró la vigilancia que debe existir con respecto a la data personal que producen estos vehículos, y la importancia de cumplir con la ley de protección de datos.
Se busca que los vehículos incorporen en sus diseños todo lo que necesitan para la protección de data, asegurando así a los usuarios que puedan disfrutar de estos con transparencia, seguridad y control con respecto a sus datos.
La EDPB (European Data Protection Board), tiene una guía que se centra en los datos personales relativos, en los datos que sean tratados dentro del vehículo, los que sean intercambiados entre el vehículo y los dispositivos personales que se conecten en éste (teléfonos inteligentes), y datos recopilados dentro del vehículo que van dirigidos a entidades externas.
Esta guía va dirigida para todos los que participen en el ecosistema de los vehículos conectados, es decir, los actores tradicionales de la industria automovilística y los que emergen desde la industria digital.
El EDPB hace énfasis en la necesidad de concienciar a ambas partes con respecto a la vigilancia de los usuarios y el mal uso de los datos de estos. Para lograr esto, identificaron y analizaron algunos riesgos específicos a estos tratamientos como, por ejemplo:
-
Falta de control y asimetría en la información: puede pasar que los conductores y pasajeros no estén bien informados del procedimiento de data e información que se lleva a cabo en los vehículos conectados. Esta información debe ser proporcionada solamente por el dueño del vehículo, pero hay que tomar en cuenta que el dueño puede no ser el conductor y que el vehículo puede cambiar varias veces de dueño con el pasar de los años. Debido a esto, puede pasar que se recojan datos de personas que no tienen acceso a la información de tratamiento de data, que la comunicación del vehículo se active sin que el individuo lo sepa y por ende no puedan ejercer sus derechos, ni oponerse en caso de no estar de acuerdo. De hecho, cuando no son los propietarios del vehículo, el alquiler es compartido o son coches de segunda mano, puede resultar complicados obtener el consentimiento tanto de los conductores como de los pasajeros.
- Tratamiento de datos personales posteriormente: el EDPB hace hincapié en que el consentimiento de datos que se da para unos tratamientos iniciales no puede usarse para tratamientos posteriores. El conocimiento siempre debe ser libre y específico, así como informado para que tenga validez. Sí podría ocurrir que algunos de los datos recopilados inicialmente para mantenimiento, fueran utilizados por las compañías aseguradoras para enriquecer el perfil de los conductores, o para poder controlar el cumplimiento y las regulaciones de tráfico por las autoridades.
-
Excesiva recopilación da data: cada vez son más el número de sensores que se están desarrollando en los vehículos conectados, esto se asocia con el riesgo de que exista más data recolectada de la que es realmente necesaria para lograr los propósitos establecidos.
-
La seguridad de la data personal: los vehículos conectados ofrecen una pluralidad de funciones, servicios e interfaces, por lo que también aumenta el riesgo y la vulnerabilidad de la data personal. Estos vehículos son sistemas críticos, donde se puede poner en peligro la seguridad de sus usuarios si se ven comprometidos. Además de esto, la data personal almacenada en estos vehículos o locaciones externas puede ser de fácil acceso a personal no autorizado; por ejemplo, mientras le hacen servicio al vehículo, si un técnico requiere de acceso a la data, etc.
Para reducir los riesgos de data mencionados anteriormente, existen una serie de recomendaciones que deberían poner en práctica los proveedores de servicios, los fabricantes del vehículo y de los equipos o cualquier persona que se pueda ver afectada por la data con relación a los vehículos conectados.
-
La información que existe sobre los aspectos del tratamiento al interesado, se le debe facilitar de forma clara, sencilla y sobre todo de fácil acceso. Cuando la información no ha sido recogida directamente del interesado, se debe informar a éste lo antes posible, esto ocurre cuando por ejemplo los datos son recopilados por el fabricante y éste facilita los datos para ofrecer servicios de asistencia en carretera.
-
Existen diferentes propósitos para los datos recopilados: seguro del vehículo, conducción segura, servicios de información, transporte eficiente, etc. Ahora bien, los responsables de estos datos deben asegurar que sus propósitos son específicos y legítimos.
-
Antes de transmitir los datos a terceros, es recomendable obtener el consentimiento del interesado, sobre todo si los datos van a ir a países fuera de la Unión Europea.
-
Asegurarse de que los interesados pueden ejercer sus derechos. Si el vehículo conectado cambia de propietario, se pudiera borrar cualquier dato personal del propietario anterior.
-
La data que se comparte puede tener impactos y/o ser sensible, es por esto que se debe prestar especial atención a los derechos de los interesados con respecto a los datos de localización, datos biométricos y datos que pudieran hasta revelar alguna infracción de tráfico.
-
Los datos recopilados deberán limitar su tratamiento a lo estrictamente necesario, hay que asegurar que los interesados estén bien informados y que sepan que pueden cambiar fácilmente la configuración asociada con sus datos personales.
-
Siempre se debe evaluar el impacto de protección de datos, hasta cuando no es requerido por el RGPD.
-
Muchos datos de localización pueden revelar hábitos de vida de las personas, por esto es que hay que evaluar si realmente se necesitan.
-
Se pueden minimizar los riesgos de identificación cuando no es necesario hacerlos públicos, esto se logra incorporando la anonimización y pseudonimización.
-
El uso del Wifi también puede llevar a riesgos de privacidad de los individuos, es por esto que las conexiones se deben gestionar debidamente.
-
Siempre que sea posible, el tratamiento de datos personales debería ser local, ya que esto minimiza algunos riesgos, como puede ser el tratamiento de datos por terceros sin que el interesado este al tanto.
-
Siempre hay que mantener la seguridad y la confidencialidad de los datos y de los tratamientos.
Adriana Grossmann – Departamento de Comunicación