En Europa, las marcas pueden compartir datos no personales de sus coches. Pero esos datos no personales se pueden convertir en personales si se combinan con otra información
“Por suerte, los clips de plástico de los Toyota son fáciles de sacar y no se rompen”, decía un usuario de Reddit que eliminó el modem y anuló el GPS de su Toyota RAV4. Siguió las instrucciones de Arkady Tetelman, jefe de seguridad en Chime (una de las mayores finntech de EEUU) quien explica en su blog cómo hacerlo, paso a paso. ¿Por qué? Porque, asegura, la marca vende los datos de sus conductores, como patrones de conducción, comercios a los que acude, qué música o podcast escucha en el coche, etc, y terminan en manos de aseguradoras o financieras, por ejemplo.
En EE.UU. es habitual que un fabricante venda los datos de los conductores a brokers de datos. En Europa, con nuestras leyes de protección de datos esto no pasa, ¿verdad?...¿Verdad?
Una prohibición en Europa que se puede rodear...legalmente
Ya no conducimos coches, sino centros de datos. El coche moderno no se limita a transportarte del punto A al punto B. Te observa, te mide y te delata. Registra dónde vas, a qué velocidad, cuándo pisas el freno de golpe o aceleras de más. Sus cámaras miran hacia la calle y hacia ti. Sus micrófonos escuchan. Y cuando tiene algo que contar, lo transmite porque lleva un módem encendido las veinticuatro horas del día, explica Tetelman.
No es nuevo, los coches tienen fallos de seguridad informática como cualquier producto o servicio conectado. Del mismo modo, está documentado que los fabricantes de coches no dudan en vender nuestros datos. General Motors, por ejemplo, espiaban a sus clientes hasta que les pillaron vendiendo datos a LexisNexis, y a su vez a las aseguradoras para subir las pólizas. Pero no es el único.
f
LexisNexis trabajaba con otros tres fabricantes de automóviles además de General Motors (Kia, Mitsubishi y Subaru), quienes también tienen programas similares de gamificación de la conducción segura con nombres como “Driving Score” o “Driver Feedback” en Estados Unidos.
¿Podría pasar algo similar en Europa? Por supuesto. De hecho, está pasando. En Europa los fabricantes pueden estar compartiendo datos de los usuarios con terceros, incluyendo aseguradoras El marco legal es más estricto que en EE.UU. y está regulado principalmente por el Reglamento General de Protección de Datos (GDPR) y, desde septiembre de 2025, por el EU Data Act.
Según el GDPR, cualquier tratamiento de datos personales (como hábitos de conducción, ubicación o historial de viajes) requiere una base legal válida (consentimiento explícito, cumplimiento de una obligación legal, etc.). El usuario tiene derecho a acceder, rectificar o borrar sus datos, y las empresas deben ser transparentes sobre cómo y con quién comparten la información.
En cuanto al EU Data Act (2025-2026), obliga a los fabricantes a permitir el acceso y compartir ciertos datos generados por vehículos conectados con terceros (como aseguradoras, talleres independientes o gestores de flotas), siempre que el usuario dé su consentimiento o lo solicite explícitamente.
El objetivo es fomentar la competencia y la innovación, pero también establece que los datos personales siguen protegidos por el GDPR. Los fabricantes deben garantizar que el intercambio de datos cumpla con las regulaciones de privacidad y seguridad, y que los usuarios mantengan el control sobre sus datos personales.
Así, si bien el EU Data Act facilita el acceso a datos no personales, como datos técnicos del coche (que ha permitido a la Comisión Europea comprobar el verdadero consumo de los PHEV que casi nadie recarga), el intercambio de datos personales con terceros solo es legal si el usuario ha consentido de manera informada y específica.
Sin embargo, se corre el riesgo de que las marcas usen "dark patterns", o diseños engañosos -algo común en muchas apps que usamos a diario- que nos hagan dar nuestro consentimiento sin que seamos conscientes de ello. En Europa, el Parlamento Europeo ya ha mostrado preocupación por posibles fugas de datos de coches eléctricos, como su ubicación, niveles de batería, y el uso no autorizado de esos datos.
Al final, bajo el paraguas del GDPR y el EU Data Act, los coches sí comparten información con terceros, aseguradoras incluidas, siempre que hayamos dado el consentimiento. El problema es que ese consentimiento suele perderse entre páginas de letra pequeña que nadie lee. Sinceramente, ¿cuándo fue la última vez que te leíste las 17 páginas del acuerdo de usuario en una app antes de darle a “Aceptar”? Pues eso.
Además, hay otro flanco abierto: la ley europea no prohíbe expresamente monetizar datos no personales, lo que deja la puerta abierta a que, en el futuro, las prácticas del otro lado del Atlántico acaben cruzando el charco.
Porque aunque los datos no sean personales, se pueden convertir en personales si se combinan con otra información que permita identificar a un individuo o simplemente creando un patrón. Este coche para mucho en los McDrive, por ejemplo, y al mismo tiempo hay un usuario que paga con la app del fast food, app que contiene sus datos personales. Ya es posible atribuir a esa persona un coche, unos hábitos y así con todo.
Entonces sí, se pueden deshabilitar el GPS y el modem de los coches, perdiendo la garantía si aún el coche estaba en garantía, pero al final estamos continuamente regalando nuestros datos con ese aparato que tenemos en el bolsillo y que no soltamos ni para ir al baño.
Imágenes | Toyota, Motorpasión, Akardy Tetelman, General Motors
Ver todos los comentarios en https://www.motorpasion.com
VER 0 Comentario