Vehículos Conectados y Protección de Datos

Tras un procedimiento de consulta pública, el Comité Europeo de Protección de Datos (CEPD) publicó el pasado mes de marzo la versión final de sus Directrices sobre el tratamiento de datos personales en el contexto de los vehículos conectados y las aplicaciones relacionadas con la movilidad (en adelante, las “Directrices”). El CEPD tiene entre sus objetivos clarificar los términos de la legislación europea en protección de datos en aras de facilitar su interpretación y aplicación.

En las Directrices, el CEPD señala que la incidencia del tratamiento de datos en vehículos es cada vez mayor y que los vehículos son “centros masivos de datos". Muchos de los datos en este contexto pueden considerarse datos personales, que permiten identificar a conductores o pasajeros directa o indirectamente. No solo se tratan datos dentro del propio vehículo, como los datos de localización, sino que hay una cantidad ingente de datos compartidos entre el vehículo y los smartphones de los usuarios. A modo de ejemplo las aplicaciones usadas para recibir y realizar llamadas, mensajería o escuchar música que se muestran en las pantallas del vehículo tratan datos personales. Además, también se comunican datos personales recogidos dentro del vehículo con terceros, por ejemplo, los indicadores del estado de los neumáticos.

Por todo ello el CEPD enumera los riesgos de protección de datos personales en los vehículos conectados y una serie de recomendaciones generales en aras a mitigar los riesgos identificados. Por ejemplo, puesto que un vehículo puede tener varios conductores además del propietario, piénsese en caso de venta o alquiler del vehículo, existe el riesgo de que la información sobre el tratamiento de datos personales se proporcione únicamente al propietario, y que, en consecuencia, al resto de los conductores no se les ofrezcan suficientes funcionalidades u opciones para ejercer el control necesario para hacer uso de sus derechos de protección de datos y privacidad. Ante ello, el CEPD recomienda implementar un sistema de borrado de cualquier dato personal del antiguo propietario.

El CEPD también muestra su preocupación sobre los riesgos del tratamiento de tres clases de datos en los vehículos conectados. En concreto, los datos de localización, datos biométricos, que están incluidos en las categorías especiales de datos personales, y datos que pudieran revelar infracciones penales de tráfico. Por tanto, el CEPD recomienda a fabricantes, proveedores de servicios y otros responsables del tratamiento no recoger datos de localización salvo que sea absolutamente necesario para la finalidad del tratamiento. Ante el tratamiento de datos biométricos, por ejemplo, necesarios para autenticar al conductor como propietario del vehículo, el CEPD recomienda proporcionar una alternativa, como el uso de una contraseña, y por otro lado almacenar y comparar la plantilla biométrica encriptada sólo de forma local, dentro del vehículo. Por último, en relación con los datos que pudieran revelar infracciones de penales de tráfico están sujetos a las restricciones especificas en la normativa de protección de datos.

En consecuencia, el CEPD recomienda procesar dichos datos sólo de forma local, es decir, que los datos no se procesen por un equipo terminal de lectura o comparación externo al vehículo. Asimismo, insta a introducir fuertes medidas de seguridad para proteger contra el acceso, la modificación y la supresión ilegítimos de dichos datos.

Florencia Arrébola
Area IP/Media