¿Recogen los coches sus datos personales?
Un informe de la Fundación Mozilla muestra que los coches modernos, con capacidad para conectarse a internet, se han convertido en máquinas de recopilar datos, una práctica con límites en la UE
Muchos servicios y productos digitales recolectan datos de los usuarios de forma intensiva. Pero normalmente no pensamos que esto lo haga un automóvil, pese a que muchos de ellos ya se conectan fácilmente a internet. La Fundación Mozilla ha publicado un informe que alerta de la enorme cantidad de datos personales que recogen los fabricantes, basada en el estudio de las políticas de privacidad de 25 grandes marcas de automóviles. El estudio toma como referencia a Estados Unidos, aunque la Fundación Mozilla matiza que ha revisado también las políticas de privacidad de la Unión Europea (con especial foco en Alemania). Los investigadores de la organización han examinado todas las marcas principales del mercado, como Toyota, Volkswagen, BMW, Ford, Kia, Hyundai o Tesla.
Las conclusiones son llamativas. Según el estudio, los fabricantes de coches pueden recoger más datos personales de los necesarios para mejorar sus vehículos. Entre ellos están los de corte demográfico (nombre, edad, género, dirección de residencia), pero también el nombre de usuario en una red social o los contactos de su agenda. Además, algunas marcas podrían recopilar hasta el origen étnico del propietario, expresiones faciales, información sobre su salud e incluso sobre su vida sexual.
Tras conocer el informe, EL PAÍS ha contactado con la filial española de varias marcas de automoción con el fin de conocer cómo se adaptan sus políticas de privacidad al territorio nacional. Solo Nissan Iberia ha contestado afirmando que cumple estrictamente con la normativa europea (RGPD) y que no recopila ni procesa datos personales sensibles. “Las afirmaciones realizadas en ese informe sobre la recopilación y el procesamiento de datos personales no están relacionadas con las prácticas de privacidad de datos en Nissan Europa, a la cual reportamos todos los países en este mercado”, declaran desde la compañía. Nissan no ha concretado a este periódico qué clase de datos personales recopilan sus coches ni cómo es el tipo de consentimiento que piden al propietario.
Samuel Parra, abogado especialista en derecho tecnológico, recuerda que para que el tratamiento de nuestros datos sea válido, el consentimiento debe ser informado. “Si quieren que un cliente consienta cuatro tratamientos distintos [el término tratamiento incluye la recogida y posterior procesamiento o cesión de la información] que tienen que ofrecerle en cuatro casillas diferentes. La aceptación en bloque de toda la política de privacidad hace que el consentimiento sea inválido”.
Los coches, por tanto, no pueden recoger ningún dato personal. Y esto incluye cualquier información que pueda identificar a la persona o al vehículo. “Si añaden que tu coche ha ido de Murcia a Madrid, ahí están geolocalizando el vehículo en el espacio y el tiempo. Y esta información sí puede ser personal”, enfatiza Parra.
El informe de la Fundación Mozilla forma parte de la serie de investigaciones Privacy Not Included [la intimidad no está incluida], que analiza el estado de la privacidad en diferentes ámbitos. Los investigadores de la Fundación han dedicado 600 horas al trabajo, aseguran. Cada marca les ha ocupado 24 horas. Y sus resultados se aplican a los coches modernos, aquellos que pueden conectarse a internet o hacerlo a servicios digitales mediante un smartphone.
“A medida que los coches están más conectados y más informatizados, se han convertido más y más en una pesadilla para la privacidad”, sostiene Jen Caltrider, investigadora y directora del programa Privacy Not Included de la Fundación Mozilla. Y añade: “Ahora los coches vienen con muchos sensores integrados, como micrófonos y cámaras”. Los automóviles recopilan datos personales cuando las personas interactúan con el vehículo. Según los investigadores, lo hacen mediante esos sensores, los servicios digitales integrados o la aplicación del coche, que se convierte en una puerta al contenido de nuestro teléfono.
No hay muchos cálculos específicos sobre el volumen de negocio que pueden mover los datos procedentes de la industria de la automoción. Pero en 2016 la consultora McKinsey & Co estimaba que en 2030 podrían llegar a ser tan rentables como para generar 750.000 millones de dólares. En una previsión reciente, publicada por Statista, se habla de ingresos de más de 20.000 millones de dólares para la misma fecha.
Aunque bailen, estas cifras ayudan a comprender la avidez de las marcas de coches por los datos personales. A esto se une su naturaleza, como actores de una industria tradicional obligados a maniobrar en un sector muy diferente al suyo. “Tienes a fabricantes de coches que básicamente están entrando en el negocio de los datos y se están convirtiendo en compañías tecnológicas, argumenta Caltrider.
El RGPD como escudo para los usuarios europeos
La normativa europea, el RGPD (Reglamento General de Protección de Datos), contempla la protección del usuario frente a los principales abusos que detalla el informe de la Fundación Mozilla. La recopilación de datos sensibles, como el origen étnico, información sobre salud o sobre la vida sexual, está prohibida con carácter general por esta legislación.
Parra también puntualiza que la escucha a través de sensores debería estar vetada en España, pues aquí se entra en el terreno de la interceptación de comunicaciones y el secreto de comunicaciones, dos categorías donde la legislación es garantista. Sin embargo, el abogado opina que tanto en España como en otros países de la UE pueden existir deficiencias a la hora de tratar los datos de los propietarios de vehículos.
La recopilación de datos cuyo consentimiento no se explicite y sea aceptado deberá ser anónima. Pero esto no siempre es así. “Algunas marcas, sabiendo cómo aceleras y cómo manejas el coche, predicen el desgaste del neumático sin tener un sensor que lo mida. Cuando has desgastado mucho los neumáticos, el coche te manda un aviso para recomendarte que cambies los neumáticos. En este caso, ¿ellos han recibido información anónima?”, se cuestiona Parra retóricamente. “No, han tenido que recibirla específicamente sobre tu coche, porque si no, ¿cómo saben que eras tú el que conducías así? Tenían que saber que era tu coche para mandarte la comunicación correspondiente”.
El problema radica, según el especialista en derecho tecnológico, en que los fabricantes de coches pueden no saber anonimizar la información: “Muchas veces se creen que determinada información está anonimizada porque no va acompañada del nombre y del apellido o de una dirección de email. Pero no es así. La matrícula, el número de bastidor o incluso la IP a la que se conecta el coche para hacer el envío, si la almacenan, también es un dato personal”.
Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.
