¿Cómo proteger nuestros datos con la llegada del coche conectado?

¡EL COCHE CONECTADO Y AUTÓNOMO HA LLEGADO! SU PUESTA EN MARCHA IMPLICA MÚLTIPLES RESPONSABILIDADES DE CARÁCTER LEGAL: RESPONSABILIDAD CIVIL, LICENCIAS Y PERMISOS, NORMAS DE CIRCULACIÓN ETC. PERO DE ENTRE TODAS ELLAS, DESTACA LA RELATIVA A LA PROTECCIÓN DE DATOS Y PRIVACIDAD.

El desarrollo del vehículo autónomo supone su conectividad a internet y a las nuevas tecnologías, en una constante recogida y transmisión de datos. No sólo hablamos de información técnica o personal relativa al vehículo –matrícula, características técnicas, velocidad de conducción…–, también de datos relacionados con la más estricta intimidad de las personas: costumbres, lugares visitados, horas, e incluso hábitos de consumo deducibles de la localización del vehículo.

Todo ello supone un desafío legal en cuanto a la privacidad y a la protección de datos, siendo necesaria la adaptación de la normativa existente en esta materia para su adaptación a la realidad social.

Así, el 6 de diciembre de 2018 el Boletín Oficial del Estado recogió la Ley Orgánica, de 5 de diciembre de 2018, de Protección de Datos Personales y Garantía de Derechos Digitales para adaptarla al nuevo Reglamento Europeo de Protección de Datos personales, que entró en vigor el 25 de mayo del pasado año. Irá incorporando nuevos principios a medida que avanza la realidad tecnológica.

Principios fundamentales

Existen varios principios fundamentales a la hora de analizar la problemática que se presenta en materia de privacidad. Son:

  1. Deber de información: es obligatorio presentar a los interesados a quienes se les soliciten los datos, de manera expresa, precisa e inequívoca, información relevante sobre la recogida y tratamiento de sus datos personales (quién es el responsable, qué datos va a recabar, con qué finalidades, si existe comunicación a terceros, etc.).
  2. Principio de calidad de los datos: podrán ser recabados de los interesados, serán objeto de registro sólo aquellos que resulten adecuados, pertinentes y no excesivos en relación al ámbito y las finalidades para las que fueron recogidos. Deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes.
  3. Consentimiento: ha de recogerse de forma expresa e inequívoca.

¿Quién es el afectado en el vehículo conectado? ¿El propietario? ¿El conductor? Según nuestra opinión, ambos; el propietario que adquiere el vehículo ha de estar informado de su conectividad, de la recogida de información que él hace y de su transmisión a terceros, pero también cualquier conductor debe saber que va a ser objeto de la recogida de dicha información.

El vehículo está dotado de dispositivos que recogen información sobre personas físicas identificadas e identificables. Por tanto, es recomendable jurídicamente regular el alcance y valor jurídico de dichos datos.

Sobre la base del principio de calidad del dato sólo podrán recogerse aquellos registros que, según el objeto y la finalidad, resulten pertinentes y no excesivos. Sin embargo, estos derechos que ostenta el sujeto titular de los datos habrán de ser ponderados con cualesquiera otros aplicables, en una búsqueda de la proporcionalidad.

Por ello, adicionalmente a los derechos de protección de datos de cada interesado, se deberán tener en consideración todos aquellas libertades y obligaciones de otros sujetos implicados, para realizar una ponderación que determine cuál es el peso de cada uno de ellos y qué debería primar. Valga como ejemplo la posible confrontación entre la función investigadora de las Fuerzas y Cuerpos de Seguridad y el respeto de los derechos de las víctimas de un accidente de tráfico, como el interés legítimo de los afectados en cuestión (sistemas de notificación automática a los servicios de emergencias – eCall), donde se demuestra la necesidad de determinar el alcance de los datos recogidos y sus consecuencias legales.

Cajas negras

Podemos analizar desde un punto de vista jurídico algunos de estos dispositivos; por ejemplo, las denominadas “cajas negras”.  Estos módulos se instalan en los vehículos con la finalidad de grabar datos que monitoricen y controlen la seguridad de una nueva tecnología, pero también para visualizar si fuera necesario el cumplimiento de la normativa de circulación (registro de datos de viaje) o motivado por un accidente. Si bien, este tipo de dispositivos ya existían en otros vehículos, como aviones o incluso en coches oficiales o transportes públicos.

Las cajas negras registran todos los datos relacionados con un accidente, antes, durante y después del suceso. Esta información es recogida y analizada para recopilar las pruebas necesarias que puedan resultar útiles para la determinación de las causas del accidente y de la responsabilidad. También es de gran utilidad para el estudio y análisis técnico de los dispositivos y mejora de la seguridad vial.

Dado que puede ser determinante para establecer las distintas responsabilidades de los implicados, es obligatorio que el usuario del vehículo implicado tenga conocimiento efectivo tanto de la existencia de dicho registro como de toda aquella información que la normativa de protección de datos señala que debe conocer, junto con la política de privacidad aplicable y la prestación de su consentimiento de forma expresa e inequívoca.

En esta política de privacidad que ha de darse a conocer e informar al afectado ha de establecerse el responsable de dichos datos, a quién pueden cederse y con qué finalidades.

¿Quién sería el responsable de los datos recopilados en el vehículo autónomo?  ¿Quién decide sobre la finalidad, contenido y uso del tratamiento?  Sería el fabricante del vehículo, si bien otorgando por imperativo legal el acceso a los datos por las Fuerzas y Cuerpos de Seguridad del Estado para la realización de su función investigadora.

Por otro lado, las compañías aseguradoras tendremos interés en acceder a dichos datos para determinar las distintas responsabilidades; pero también es muy interesante para clasificar formas de conducción y ofrecer condiciones de contratación personalizadas.

Los fabricantes, aseguradoras, empresas tecnológicas… etc., pueden hacer uso de los datos con fines estadísticos, para la mejora de sus servicios.  Ahora bien, si pudieran ser obtenidos de forma no identificativa para las personas facilitaría su recogida y tratamiento legal.  

Las cámaras que graban la calzada captan imágenes de la vía pública, incluidas personas, vehículos y matrículas. Si aplicamos la legislación existente respecto a videocámaras, sería necesario el cumplimiento del derecho de información, así como recabar consentimiento del afectado, algo difícil, en este caso; por tanto, ha de ser expresamente regulado jurídicamente, como lo han sido los sistemas e-call.

La geolocalización establece localización y ubicación inmediata conectado a Internet, junto con sistemas de cloudcomputing. Así se determina además su navegación, rutas y mapas, para guiar al conductor.

Recaban datos relativos a la privacidad y seguridad de los afectados, debiendo regularse expresamente sus condiciones de recogida, tratamiento y uso de forma restrictiva. Sin embargo, al ser imprescindible para el funcionamiento del vehículo autónomo, es obvio que no ha de ser obligatorio prestar consentimiento, pero sí informar del uso y finalidades de los mismos así como de la cesión a terceros y plazos de conservación de dichos datos.

Es todo un reto, legal y tecnológico, aunar el derecho fundamental a la privacidad y protección de datos al avance tecnológico. Legisladores y autoridades europeas deben analizar y reflexionar, detenida y minuciosamente, su regulación, siendo aconsejable para reforzar la seguridad jurídica, la elaboración de Códigos Éticos de Conducta y de buenas prácticas.

¡Estaremos atentos a la regulación y avance tecnológico!