Ha llegado el día en el que quizá tu coche sabe más de ti que tú mismo

Ha llegado el día en el que quizá tu coche sabe más de ti que tú mismo

7 comentarios Facebook Twitter Flipboard E-mail
Ha llegado el día en el que quizá tu coche sabe más de ti que tú mismo

En noviembre de 2015, la organización automovilística alemana ADAC descubrió que el sistema de diagnóstico a bordo de un BMW 320d estaba capturando grandes cantidades de datos, incluyendo destinos de conducción y contactos telefónicos, sin el permiso del usuario.

Y es que los coches conectados presentan retos importantes relativos a la privacidad y la protección de los datos.

Lo que pueden ser elementos aparentemente insignificantes recogidos mediante un dispositivo pueden convertirse en un coladero de información sin que el conductor se percate ni tenga control sobre ellos. ¿Qué implica circular con un vehículo conectado? ¿Estamos ya compartiendo información sin saberlo?

Comunicación las 24 horas entre fabricantes y clientes: desde revoluciones del motor hasta la presión de los neumáticos

Las autoridades de protección de datos publicaron, en 2014, un documento sobre Internet de las Cosas en el que destacan que los datos extraídos de los objetos conectados "hacen posible la detección de pautas de vida y comportamiento de una persona". Se trata del dictamen 8/2014 sobre la evolución reciente de la Internet de los objetos, creado por la Directiva 95/46/CE del Parlamento Europeo y del Consejo y que puedes consultar aquí.

En él se explica cómo datos aparentemente insignificantes recogidos mediante un dispositivo se pueden utilizar para deducir otra información con un significado "totalmente distinto". Por ejemplo, el acelerómetro y el giroscopio de un teléfono inteligente pueden mostrar los hábitos de conducción del propietario.

Tesla

De hecho, más de una docena de sensores capturan datos cada vez que uno se pone al volante:

  • Listas de reproducción y GPS: estos datos permiten que el automóvil conectado envíe preferencias e información personal a los fabricantes.
  • Sistema de llamada de emergencia e-Call: obligatorio en todos los coches, permite al automóvil marcar él mismo el número de emergencias 112 y solicitar los servicios de emergencia en caso de accidente, ya que localiza el vehículo mediante el posicionamiento por satélite.
  • Cajas negras: capturan todos los datos necesarios para esclarecer las causas de un accidente y se pueden usar en casos judiciales como prueba.
  • Transpondedores: dispositivos de recolección de datos que permiten pagar los peajes sin necesidad de detenerte.
  • Compañías de seguros: monitorear nuestra conducción a cambio de que nuestra compañía aseguradora nos rebaje la prima es una fórmula cada vez más utilizada y aceptada por los usuarios.

Y hay más. ADAC encontró en su estudio que modelos como el Mercedes-Benz Clase B transmitía datos como el kilometraje del vehículo, el nivel de combustible, el nivel de refrigerante y la presión de los neumáticos en intervalos de dos minutos. Además, cuántas veces se hacía uso de los cinturones de seguridad una vez se produjera un frenazo.

Se encontró además que el Renault Zoe reveló datos tales como la posición del GPS, la temperatura o el estado de carga de la batería, todo a través de su sistema de bus CAN, que se puede encender de forma remota.

ADAC determinó por entonces que los fabricantes alemanes recopilaban también datos sobre el desgaste de los componentes, principalmente en las secciones del motor y la transmisión.

Pero, además de la información sobre kilómetros y distancias recorridas, uno de los modelos del estudio acumuló datos acerca de las revoluciones máximas del motor y del estado de las luces del vehículo.

Ahora los fabricantes son también compañías de software

Antes, los datos que recopilaba un automóvil, como el diagnóstico o las cajas negras, se quedaba dentro, pero hoy en día existen nuevas formas para que esa información viaje al exterior; ahora los fabricantes también son compañías de software. Y es que cuantos más datos recopila una empresa, más incentivo tiene para monetizarlos.

La compañía Otonomo es un buen ejemplo de cómo los datos que se generan dentro del coche acaban muy lejos de allí. Esta empresa, que comenzó su negocio en 2015, se describe como el "primer mercado de datos de automóviles conectados".

Ya hay empresas que se asocian con los fabricantes y que se encargan de vender los datos desagregados de sus usuarios a terceros

Está asociada con los principales fabricantes de automóviles que le dan a Otonomo acceso a los datos de los conductores sin procesar. Según declaró para The Washington Post, Otonomo toma esa información, la analiza, la "limpia" y luego la vende a terceros, lo que ayuda a los fabricantes de automóviles a comercializar sus datos.

En su página web, Otonomo asegura ofrecer "la primera plataforma de servicios de datos automotrices neutral que allana el camino para que las nuevas aplicaciones y servicios beneficien a los conductores, pasajeros, municipios y compañías en el ecosistema de transporte global".

El argumento es el mismo que utilizan los fabricantes a la hora de justificar el uso de datos de usuarios: aprovechar nuevas posibilidades "para experiencias en carretera más seguras y cómodas", y, por otro lado, reducir los costes para los propietarios a través del mantenimiento predictivo gracias al big data.

Coches Conectados

Por su parte, los fabricantes pueden obtener valor a través de los datos que sus vehículos recopilan.

Un reciente estudio realizado por la consultora Juniper Reseach estima que, para 2023, habrá 775 millones de coches conectados en el mundo y las ventas crecerán a un ritmo medio del 18,7 % anual. El estudio estima que actualmente hay 330 millones de coches conectados, y a medida que los fabricantes permitan que terceros accedan a los sistemas de infoentretenimiento, la expansión de nuevas tecnologías y servicios se acelerará.

Además, siempre según los datos de esta consultora, el gasto total en las plataformas de comercio electrónico a bordo de automóviles conectados alcanzará los 265.000 millones de dólares en 2023.

¿Y en España? Esto es lo que dice el contrato de la aplicación 'Mercedes me'

Un buen ejemplo de cómo funciona esta esfera lo encontramos en la aplicación de Mercedes-Benz 'Mercedes me', que reúne servicios, productos y ofertas de consumo de Mercedes-Benz, Daimler y socios colaboradores.

El usuario de esta funcionalidad, que se convierte en socio contractual al aceptar las condiciones de uso, obtiene información acerca de dónde está su coche, si las puertas están bloqueadas, la autonomía, e incluso puede abrirlo o cerrarlo sin estar cerca, todo a través de una app que se instala en el móvil.

En el interior del coche, el sistema que ofrece el fabricante alemán permite controlar por voz desde la temperatura hasta el navegador, pasando por la iluminación ambiental. Una serie de micrófonos colocados por el interior del habitáculo permiten que el control por voz reaccione a la frase "Mercedes" u "oye Mercedes".

Es entonces cuando el usuario puede perdirle que active el navegador para ir a casa, cambie de emisora o le diga qué tiempo hará al día siguiente. ¿Y qué pasa con todos esos datos a los que tiene el coche acceso?

En este caso, el responsable del procesamiento de los datos de carácter personal es Daimler AG. En el contrato se estipula lo siguiente:

"Procesamos los datos de carácter personal que el usuario introduce al registrarse y al utilizar la aplicación, los datos habilitados por él mismo para su procesamiento en el dispositivo, así como los datos relacionados con el uso de la aplicación de las siguientes categorías: Datos de ubicación".

En este caso, Daimler asegura que la cesión de este tipo de datos no está prescrita legal ni contractualmente, "ni es necesaria para la celebración de un contrato. El usuario no está obligado a facilitar estos datos", dice. El propietario puede desactivar y reactivar la transmisión de esos datos mediante la configuración del perfil o del vehículo, pero entonces no tendría acceso a las funcionalidades del sistema. Es decir, no le servirá de nada.

Mercedes Me Personal Service Brand 100460455 L1

Daimler especifica que el procesamiento de datos se realiza para la puesta a disposición de la aplicación y sus funcionalidades, y estipulan que eliminan los datos de carácter personal "tan pronto como el procesamiento posterior ya no sea necesario para la ejecución del contrato".

Sin embargo, una de las secciones explica cómo la compañía podrá usar esos datos para proteger sus intereses: "Si fuera necesario, podemos procesar sus datos personales más allá del cumplimiento del contrato a fin de proteger los intereses legítimos del distribuidor o de terceros. Mantener la capacidad funcional y la seguridad de nuestros sistemas de TI forma parte de estos intereses legítimos", dice.

En el caso de aceptar el análisis de datos de uso, el fabricante alemán explica que persigue el fin de identificar las preferencias y seguir desarrollando la aplicación. "Esto permite adaptar la aplicación a las necesidades específicas de los usuarios y, de ese modo, mejorar la oferta".

Si nos vamos a la transmisión de datos a terceros, debemos tener en cuenta que no siempre tendremos que otorgar un consentimiento explícito para su cesión; con utilizar servicios como TomTom, Google o HERE dentro del alcance de la aplicación, se transmitirán a estos los datos personales del usuario, y así lo estipula este contrato.

General Motors, que se convirtió en uno de los primeros fabricantes de automóviles en comenzar a recopilar datos de clientes en tiempo real con su sistema OnStar en 1996 -y que ya no existe-, declaró en un correo electrónico dirigido a The Washington Post que el sistema de la compañía "no recopila ni utiliza ningún tipo de información personal del cliente sin su consentimiento".

Audi connect: otra app que conecta tu coche con el mundo

Otro fabricante que cuenta con una aplicación para el móvil capaz de informar de forma remota acerca del estado del vehículo es Audi con Audi connect. Tras descargar la app y registrar el vehículo con el número de bastidor, se puede acceder en todo momento a información real sobre el coche, la autonomía restante, las citas de servicio técnico, los mensajes de advertencia o si se encuentra totalmente bloqueado.

También es posible manejar de forma remota la climatización y la apertura y el cierre de las puertas del vehículo, permitir a otras personas el acceso al vehículo o enviar destinos y rutas desde el dispositivo móvil al vehículo.

El hecho de hacer uso de esta aplicación conlleva que el conductor esté siempre localizado a través de un GPS, y el sistema de diálogo por voz también implica la instalación de micrófonos en el habitáculo, aunque es un sistema menos avanzado que el de Mercedes me.

Por medio del sistema de diálogo por voz es posible controlar el teléfono del coche, la radio, el reproductor de música, el sintonizador de TV y las funciones principales del sistema de navegación. Un dispositivo electrónico de reducción del ruido filtra los sonidos no deseados, y además el sistema también es capaz de procesar dialectos y pronunciaciones individualizadas y rápidas.

En el caso de la aplicación Audi connect, es la firma de los cuatro aros la responsable del tratamiento de datos de conformidad con el RGPD. En principio, se puede acceder al sitio web de la aplicación sin dar datos personales; no obstante, para utilizar los servicios es necesario registrarse en el portal y aportar los datos personales pertinentes.

Al igual de Mercedes-Benz, Audi especifica que en sus condiciones que pueden compartir datos personales con terceros "solo para cumplir el contrato de prestación de servicios", con un "interés legítimo" o si el usuario ha dado su consentimiento.

My Audi

Además se puede realizar una transferencia de datos a otros países "si es necesario para los servicios, si lo requiere la ley o si se ha dado un consentimiento expreso". ¿Y durante cuánto tiempo conserva Audi tus datos? El fabricante explica que "tanto tiempo como sea necesario para prestar los servicios" o si tiene un "interés legítimo en la conservación posterior".

Esto implica que guardan los archivos de registro para la investigación de fallos o intentos de ataques hasta 10 años, según estipula el Código de comercio alemán y el Código tributario alemán.

Pero el usuario también tiene derechos:

  • A solicitar información acerca de los datos conservados en Audi AG, el alcance y la transferencia de datos recopilados, así como a obtener una copia de los datos personales conservados que le conciernen.
  • A obtener una rectificación de los datos que sean inexactos.
  • A obtener la supresión de los datos si se retira el consentimiento, si ya no son necesarios, si fueron sometidos a un tratamiento ilícito o para cumplir una obligación legal.

En esta esfera también juegan poderosos actores como Android Auto, que ya se ha lanzado en más de 400 modelos de coche que son compatibles con este sistema de infoentretenimiento, o Apple CarPlay.

¿Qué implica el uso de estas plataformas de infoentretenimiento?

Plataformas como Apple CarPlay y Android Auto: ¿A dónde va la información que reciben?

Hace unos meses saltaron todas las alarmas acerca de que Toyota y Lexus decidieron desterrar el sistema de infoentretenimiento Android Auto, de Google, por poner en riesgo la privacidad de sus clientes.

Desde Toyota confían en Android Auto y Apple CarPlay "con plena seguridad de que los datos de los usuarios estarán 100% seguros" en sus sistemas y que "Toyota confía plenamente en todos sus proveedores en cuando al tratamiento de datos personales".

Hemos hablado con Julio César Fernández, experto en desarrollo en entornos Apple en habla hispana y responsable de la web Apple Coding, sobre qué uso se da a los datos en Apple CarPlay.

Nos explica que Apple CarPlay usa los datos de forma anónima -los enmascara- y el histórico queda solo en el dispositivo, de manera que la compañía de la manzana "anonimiza tu dispositivo cuando tiene que enviar datos de localización y por lo tanto no sabe que eres tú quien va a los sitios", afirma.

Fernández alude que precisamente porque los datos de los usuarios no salen fuera de la plataforma, la proactividad de Apple y la capacidad de Siri como asistente es menor (Siri, en tu dispositivo, sabe dónde vas, procesa tus datos, te sugiere destinos, pero se quedan ahí) y por eso asegura que "Google Assistant es el mejor asistente con diferencia".

Por su parte, Google establece que los datos que Android Auto recopila durante la navegación de servicios como Google Maps, por ejemplo, se eliminan en un periodo de 30 días. Según el propio desarrollador, Android ofrece multitud de APIs de gestión que permiten que el departamento de Tecnología de Información (TI) evite la filtración de datos y asegure el cumplimiento de normativas y los administradores pueden aplicar configuraciones de red y políticas para proteger los datos corporativos.

Por otro lado, se hace uso de un cifrado que está activado de forma predeterminada en dispositivos compatibles para proteger los datos hasta que su propietario legítimo acceda a ellos, dice Google.

Ante la recopilación de información personal, la compañía especifica en su página web que los dispositivos inteligentes procesan datos sensibles "de forma rutinaria tanto para empresas como para usuarios individuales".

Ante esto, falta preguntarnos: ¿Cómo nos protege la ley?

Legislación: multas de hasta 20 millones por vender nuestros datos

El pasado 25 de mayo, todas las empresas y entidades han tenido que adaptar sus servicios al nuevo Reglamento Europeo de Protección de Datos (RGPD); es decir, aquellas entidades encargadas del tratamiento de los datos personales tienen que demostrar su responsabilidad activa y están obligadas a recabar del usuario de forma expresa, clara e inequívoca su consentimiento a recopilar sus datos.

Esto significa que la legislación se ha endurecido precisamente para proteger nuestra privacidad, y con el RGPD, las sanciones pueden ser mucho más elevadas.

Amazon Alexa

Hemos contactado con Leandro Núñez, abogado de Audens especializado en privacidad y nuevas tecnologías, para preguntarle si la ley nos protege en el ámbito de los coches conectados, y la respuesta ha sido positiva: "En una línea, la respuesta sería que, efectivamente, la normativa nos protege en caso de que un fabricante venda nuestros datos a terceros", afirma.

Como los datos extraídos de los coches conectados "hacen posible la detección de pautas de vida y comportamiento de una persona”, se les aplica la normativa de protección de datos.

Como consecuencia, nos explica, "todo aquel que tenga acceso a los datos generados por el vehículo (no solo los fabricantes, sino también los desarrolladores de apps instaladas en sus sistemas, por ejemplo) tiene que cumplir con todas las obligaciones marcadas en el RGPD".

Resumidas al máximo, estas obligaciones son las siguientes:

  • No se pueden recoger ni tratar los datos sin que el usuario sea realmente consciente de ello;
  • Solo se pueden utilizar para las finalidades sobre las que se haya informado al usuario;
  • Solo se pueden tratar los datos estrictamente necesarios para esas finalidades, y durante el tiempo rigurosamente preciso;
  • Los datos deben ser exactos y estar actualizados, y deben tratarse de forma segura y confidencial.

Es decir, el fabricante no puede vender nuestros datos 'porque sí'. "Necesita una cobertura legal, que normalmente se traduce en una solicitud de consentimiento. Ahora bien, para que la solicitud sea válida, el usuario tiene que poder elegir libremente", explica.

Respecto a esto, el considerando 43 del RGPD especifica lo siguiente:

"Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento."

Por tanto, si un fabricante nos obliga a aceptar la cesión de datos a terceros como condición necesaria para usar el coche, ese consentimiento sería inválido, y si vende la información a terceros estaría cometiendo una ilegalidad, que con el nuevo RGPD puede conllevar multas de hasta 20 millones o un 4 % de su volumen de negocio global anual, según datos de este experto.

Sin consentimiento y si el fabricante vende la información a terceros, estaría cometiendo una ilegalidad que puede conllevar multas de hasta 20 millones de euros

Por último, Núñez aclara que lo anterior no se aplica a datos estadísticos anónimos sino únicamente a aquella información que pueda vincularse, de alguna manera, con un conductor.

Mientras que los coches conectados nos introducen en una nueva era en la que todo es posible al volante y en la que gracias a esos datos los vehículos conducirán solos, también surgen nuevas incógnitas acerca de cómo afectará a nuestra privacidad cuando todos los objetos cotidianos que conocemos lo sepan todo de nosotros. Como en una especie de 'Show de Truman' consentido.

Tal y como hemos aprendido con una lectura pormenorizada de un contrato de Daimler, la mejor forma de proteger nuestra intimidad es a través de la curiosidad: no firmes nada sin haber buceado en las cláusulas; conoce cómo funciona tu coche y pregúntate si estás cómodo con los datos que el sistema recopila. La información es poder.

Comentarios cerrados
Inicio