Al encontrarse en fase de consulta pública del artículo 70.4 del Reglamento Europeo de Protección de Datos (el “RGPD”), se pueden presentar comentarios al borrador de las Directrices hasta el próximo 20 de marzo de 2020.

La finalidad principal de las Directrices es proporcionar recomendaciones generales en relación con el tratamiento de datos personales que se produce en los vehículos conectados, partiendo de la siguiente normativa aplicable:

· El RGPD.

· La Directiva sobre la Privacidad y las Comunicaciones Electrónicas (la “Directiva e-Privacy”).

· El artículo 5.3 de esta última norma, que ha sido transpuesta al derecho español a través de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (la “LSSICE”), aplica no solo a los servicios de comunicaciones electrónicas y a las entidades que almacenan o acceden a información desde el equipo terminal del usuario.

· El mencionado artículo establece la necesidad de contar con el consentimiento del usuario para poder almacenar o acceder a la información en su equipo terminal. Por lo que respecta a los tratamientos posteriores que se lleven a cabo con los datos accedidos o almacenados, las Directrices determinan que el mismo debe contar, a su vez, con una base legitimadora del artículo 6 del RGPD.

Teniendo en cuenta la normativa anterior, el CEPD recoge unas recomendaciones generales y, posteriormente, analiza diferentes supuestos prácticos.

Categorías de datos

Las Directrices destacan tres categorías de datos a los que hay que prestar especial atención en el contexto de vehículos conectados:

Datos de localización (geolocalización). Respeto a los mismos, el CEPD establece que se deberán cumplir con los siguientes principios:

· Minimizar frecuencia de acceso a los datos de geolocalización (por ejemplo, una aplicación de tiempo no debería recopilar los datos de localización todo el tiempo, solo cuando se solicite el servicio por el usuario).

· Informar de manera clara y precisa sobre las finalidades del tratamiento.

· En su caso, obtener el consentimiento para el tratamiento de los datos. Este consentimiento deberá ser diferente al de las condiciones generales de uso del servicio (por ejemplo, utilizando el ordenador de a bordo del vehículo).

· Activar la geolocalización solo cuando el usuario solicite una función que requiera utilizar los referidos datos.

· Avisar al usuario cuando se activa la recogida de los datos de geolocalización (utilizando, por ejemplo, iconos dentro del vehículo).

· Dar la opción de desactivar la geolocalización en todo momento.

· Definir un tiempo de conservación de datos de geolocalización.

Datos biométricos. Cuando una funcionalidad utilice datos biométricos, se deberá dar la opción al usuario de una alternativa en la que no sea necesaria la utilización de los mismos (por ejemplo, cuando se usen datos biométricos para acceder al vehículo, se deberá dar la posibilidad al usuario de poder hacerlo exclusivamente a través de una llave física o un código).

Además, se recomienda adoptar medidas específicas para asegurar la fiabilidad del sistema de autenticación a través de datos biométricos (por ejemplo, establecer un número máximo de intentos de autentificación).

Datos relativos a condenas e infracciones penales. 

Es posible que, con los datos personales tratados por las funciones de los vehículos conectados, puedan deducirse datos relativos a infracciones de tráfico. El CEPD considera que esta circunstancia no implica el tratamiento de datos relativos a condenas e infracciones penales del artículo 10 del RGPD, salvo que la finalidad del tratamiento sea específicamente la investigación de incumplimientos en la normativa.  

Finalidad

El CEPD insiste en que los responsables del tratamiento deberán asegurarse de que las finalidades del tratamiento sean específicas, explícitas, legítimas y que cumplen con todos los principios establecidos en el RGPD.

Minimización

El CEPD recalca la importancia de cumplir con el principio de minimización en el tratamiento de datos. Solo se deberán recoger y tratar aquellos datos personales que sean estrictamente necesarios para facilitar las funcionalidades del vehículo conectado. Las Directrices consideran que uno de los datos más intrusivos en este contexto son los datos de localización, por lo que se deben aplicar las medidas correspondientes para no utilizar este tipo de datos cuando no sean necesarios.

Protección de datos desde el diseño y por defecto

Las tecnologías que se utilicen en las funciones de los vehículos conectados deberán minimizar la recogida de datos y la configuración por defecto será la que garantice la privacidad de los datos personales de los usuarios.

Con el objetivo de mitigar los riesgos en los derechos y libertades de los usuarios que utilicen vehículos conectados, las Directrices recomiendan limitar los tratamientos que requieran la transferencia de los datos fuera del propio vehículo.

Asimismo, el CEPD establece que, si los datos se transmiten fuera del vehículo, se deberán aplicar medidas como la anonimización o seudonimización antes del envío de datos.

Se recuerda la obligatoriedad de realizar una evaluación de impacto cuando exista un alto riesgo para los derechos y libertades de los individuos. Las Directrices recomiendan, incluso en aquellos casos en los que no sea obligatorio, realizar una evaluación de impacto.

Información

En las Directrices, el CEPD enfatiza el cumplimiento de las obligaciones en materia de información al usuario establecidas en los artículos 13 y 14 del RGPD.

El CEPD recomienda el uso de iconos dentro del vehículo para informar a los usuarios acerca del tratamiento de sus datos (por ejemplo, que un icono se encienda cuando el vehículo esté recogiendo datos de geolocalización).

Derechos de los interesados

Para facilitar la configuración, se debería implementar dentro del vehículo un sistema de gestión del perfil del usuario. Dicho sistema ayudaría a los conductores a conservar sus preferencias de configuración de privacidad de las funciones del vehículo conectado. Además, los usuarios deberían poder desactivar la recogida de datos personales en cualquier momento (salvo los que sean necesarios en virtud de una norma legal).

La venta del vehículo debería llevar aparejada la destrucción de cualquier dato personal que ya no fuese necesaria.

Seguridad y confidencialidad

El CEPD recomienda expresamente la adopción de las siguientes medidas por parte de los fabricantes de vehículos:

· Separar las funciones esenciales del vehículo de aquellas funciones relacionadas con las capacidades de telecomunicación del vehículo.

· Implementar medidas técnicas que permitan a los fabricantes de vehículos solucionar rápidamente vulnerabilidades técnicas en materia de seguridad del vehículo.

· Para funciones esenciales del vehículo, utilizar prioritariamente frecuencias seguras que estén dedicadas específicamente al transporte.

· Establecer un sistema de alarma en casos de ataque a los sistemas del vehículo, con posibilidad de operar en modo de datos.

· Almacenar un historial de los logs de acceso a los sistemas de información del vehículo.

Transmisión de datos personales a terceros

Debido a la sensibilidad de los datos que pueden ser recogidos a través de los vehículos conectados, el CEPD recomienda obtener el consentimiento de los usuarios de forma sistemática antes de que los datos personales sean transmitidos a un tercero que actúe como responsable.

Uso de tecnologías Wi-Fi en el vehículo

La mayoría de los fabricantes ofrecen hoy en día modelos que incluyen una conexión Wi-Fi incorporada, siendo posible también crear redes Wi-Fi a través del propio vehículo. Dependiendo del caso, se deben tener en cuenta:

· Si la conexión Wi-Fi es ofrecida como un servicio por un profesional (por ejemplo, un taxista), el profesional será considerado como un proveedor de servicios de internet y, por tanto, estará sujeto a la normativa de protección de datos.

· Si la conexión Wi-Fi se ofrece solo para el uso del conductor del vehículo, se considerará que es un tratamiento de datos doméstico.

Casos de estudio

Prestación del servicio por un tercero: Alquilar y reservar una plaza de garaje

Finalidad y legitimación

Al ser un servicio de la sociedad de la información, es aplicable el art. 5.3 de la Directiva e-Privacy. No obstante, no se requiere consentimiento al ser un servicio que explícitamente requiere el usuario.

Parea el tratamiento de datos posterior, la base legitimadora será la existencia de una relación contractual.

Categorías de datos

La información que se tratarán serán los identificativos, matricula, periodo de aparcamiento, datos de facturación y datos de navegación.

Conservación

Los datos se conservarán durante el tiempo necesario para prestar el servicio de aparcamiento.

Derechos

Antes del tratamiento, se debe informar a los usuarios de sus derechos.

Destinatarios

En principio, solo accederán a los datos el responsable y encargados del tratamiento.

Estudios sobre accidentes

Finalidad y legitimación 

Cuando los datos se obtengan a través de servicios de comunicación electrónico (por ejemplo, a través de una tarjeta SIM del dispositivo), se necesitará consentimiento (art. 5.3 Directiva e-Privacy).

Los tratamientos posteriores también requerirán el consentimiento de los usuarios conforme al artículo 6.a del RGPD.

Categorías de datos

Datos relativos a los usuarios que participen en el estudio y de sus vehículos. Además, se necesitará el tratamiento de datos técnicos del vehículo (velocidad).

Conservación

Los datos de los usuarios y vehículos se podrán conservar durante la duración del estudio. Los datos técnicos no se deben conservar más de 5 años desde la fecha de terminación del estudio.

Derechos

Antes del tratamiento, se debe informar a los usuarios de sus derechos. Al ser un tratamiento que requiere consentimiento, se deberá informar a los usuarios que pueden revocar el mismo en cualquier momento.

Medidas de seguridad

Si se tratan datos de velocidad, se deberán adoptar medidas como las siguientes:

· Seudonimizar los datos.

· Almacenar los datos de velocidad y geolocalización en diferentes bases de datos.

· Eliminar los datos de geolocalización tan pronto como no se necesita más información. Los datos que permitan la identificación solo deben poder ser accedidos por un número limitado de personas.

Destinatarios

En principio, solo pueden acceder a los datos el responsable del tratamiento y, en su caso, los encargados del tratamiento.

Información personal almacenada en los tableros de mandos de vehículos de alquiler

Las Directrices también contienen información acerca de los posibles tratamientos de datos personales por parte de empresas de alquiler de vehículos. El CEPD establece que, estas empresas, como responsables del tratamiento, deberán cumplir con todas las obligaciones establecidas por la normativa de protección de datos. En particular, se hace especial hincapié en los deberes de información, plazos de conservación y medidas de seguridad.