La digitalización del sector de la automoción ha transformado a los vehículos en auténticos dispositivos conectados. Lejos de limitarse a funciones de asistencia a la conducción, los coches de última generación incorporan sistemas de telemetría, biometría y aplicaciones que procesan grandes volúmenes de datos personales.
Un informe reciente de la Fundación Hermes alerta de que los usuarios desconocen en gran medida el alcance de esta recopilación de datos y, sobre todo, carecen de control efectivo sobre su tratamiento. Este fenómeno plantea importantes interrogantes desde la perspectiva del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Categorías de datos tratados por los vehículos conectados
Los sistemas incorporados en los automóviles actuales recaban información de muy diversa naturaleza, entre la que cabe destacar:
Datos de localización: trayectorias, rutas habituales, horarios y destinos frecuentes.
Datos biométricos: huellas dactilares, rasgos faciales o patrones de voz empleados para activar sistemas de seguridad o personalizar la experiencia.
Datos de comportamiento: estilo de conducción, frenadas bruscas, aceleraciones o velocidad media.
Datos de comunicación y ocio: información procedente de dispositivos móviles enlazados, historiales de llamadas, contactos o consumo multimedia.
De conformidad con el art. 4.1 RGPD, todos estos datos son personales en la medida en que identifican o pueden identificar directa o indirectamente al conductor o a los ocupantes. En algunos supuestos, además, constituyen categorías especiales de datos (art. 9 RGPD), lo que exige mayores garantías en su tratamiento.
Fundamento jurídico del tratamiento: el consentimiento y sus límites
El principio de licitud (art. 6 RGPD) exige que el tratamiento de datos personales cuente con una base jurídica adecuada. En el caso de los vehículos conectados, los fabricantes suelen apoyarse en el consentimiento del usuario.
Sin embargo, la validez de dicho consentimiento resulta cuestionable:
El art. 7 RGPD exige que sea libre, informado, específico e inequívoco.
Si el rechazo implica la imposibilidad de utilizar funcionalidades básicas del vehículo, la libertad de elección queda comprometida.
La información proporcionada suele ser extensa y técnica, lo que dificulta que el consentimiento pueda considerarse verdaderamente informado.
Principios de protección de datos aplicables
El RGPD y la LOPDGDD imponen principios que los fabricantes deben respetar en el diseño y uso de los vehículos:
Minimización de datos (art. 5.1.c RGPD): no deberían recopilarse más datos de los estrictamente necesarios para la finalidad declarada.
Limitación de la finalidad (art. 5.1.b RGPD): los datos obtenidos para la seguridad vial no pueden reutilizarse con fines comerciales sin base jurídica independiente.
Transparencia (arts. 12-14 RGPD, art. 11 LOPDGDD): la información al interesado debe ser clara, accesible y comprensible.
Privacidad desde el diseño y por defecto (art. 25 RGPD): los sistemas de los vehículos deben configurarse de modo que protejan la privacidad sin intervención activa del usuario.