Imaginemos por un momento que vamos caminando por la calle y alguien se acerca y nos dice que dispone de gran información sobre nuestra familia. Un extraño que, por ejemplo, nos dice algo así como que conoce a nuestros hijos, sabe sus nombres, el colegio al que van y los nombres de sus amigos. Nos habla acerca de sus dificultades con determinadas asignaturas y da consejos precisos sobre cómo tendría que ayudarles, nos comenta con todo tipo de detalle sus secretos y todos los problemas que han tenido últimamente con algunos de sus compañeros, a los que también conoce. Pero no solo de nuestros hijos sino también de nuestra pareja, familiares, amigos, …

La misma persona afirma que esa es una pequeña parte de la información de la que dispone, pero que no es necesario que nos preocupemos:  solo lo hace por nuestro bien y todos esos datos están seguros en su poder. Él dispone de todas las certificaciones posibles que garantizan que no habrá ningún problema que pueda poner en riesgo la confidencialidad, la integridad y la disponibilidad de la información que atesora.

El hecho de que un extraño tuviera toda la información de nuestra familia, hasta el último detalle íntimo, aunque en teoría de forma segura ¿nos tranquilizaría? Hasta el momento, la respuesta en los foros en los que se ha planteado esta pregunta ha sido siempre negativa, y el sentimiento compartido y generalizado es que se estaría produciendo una injerencia en la vida familiar, en nuestra intimidad y en nuestra privacidad. Más aun, tanta seguridad en la conservación y recogida de cada uno de los datos, nuestros datos, nos daría miedo, pues no podemos pretender que la seguridad de los datos sustituya a la protección de los datos. Es un hecho histórico, y que desafortunadamente nos resulta familiar, que seguridad y derechos fundamentales no siempre caminaron juntos.

La protección de datos es un derecho del ser humano que nace vinculado a la Declaración Universal de Derechos Humanos aprobada por la Asamblea General de las Naciones Unidas en 1948 con el objetivo de garantizar la dignidad del ser humano y como instrumento de lucha contra la opresión, la impunidad y las afrentas a la dignidad humana. Este derecho tiene como objeto preservar la dignidad humana frente a la invasión que supone la recogida y tratamiento excesivo de datos personales. Su objetivo es el de establecer un marco de garantías que haga posible el ejercicio de los derechos fundamentales y las libertades del ser humano y con el fin de impedir que el uso de la información personal pueda utilizarse indiscriminadamente en contra de dichos derechos y libertades inherentes al ser humano.

El artículo 12 de la Declaración Universal de Derechos Humanos expresa nítidamente este objetivo de este derecho fundamental:

12 Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.

La Declaración Universal de Derechos Humanos expresa también la necesidad de hacer extensibles los derechos y libertades que proclama a cualquier persona y así lo proclama en su artículo 2:

2.1. Toda persona tiene todos los derechos y libertades proclamados en esta Declaración, sin distinción alguna de raza, color, sexo, idioma, religión, opinión política o de cualquier otra índole, origen nacional o social, posición económica, nacimiento o cualquier otra condición.

2.2. Además, no se hará distinción alguna fundada en la condición política, jurídica o internacional del país o territorio de cuya jurisdicción dependa una persona, tanto si se trata de un país independiente, como de un territorio bajo administración fiduciaria, no autónomo o sometido a cualquier otra limitación de soberanía.

El derecho a la protección de datos hereda esta necesidad de proteger de forma especial cualquier información sobre las personas que contenga información de raza, color, inclinación sexual, religión, ideología política con el objetivo de permitir que los derechos humanos sean extensibles a cualquier persona independientemente de estos factores. La seguridad de la información no protege a las personas frente a los posibles atropellos que pudieran ocasionarse derivados de estos factores.

La seguridad de la información se orienta a preservar la integridad, la disponibilidad y la confidencialidad mediante recursos materiales técnicos y organizativos adecuados y proporcionales para conseguir uno o varios objetivos. Estos pueden ser diversos: garantizar la continuidad de negocio, la seguridad del Estado, evitar el fraude, preservar la imagen institucional, o, por ejemplo, garantizar la privacidad.

Las medidas técnicas y organizativas para garantizar la seguridad de los datos personales constituyen parte de las garantías que permiten implementar de forma efectiva la protección de datos. Pero para que dichas medidas estén realmente orientadas hacia la privacidad, la selección e implementación de la seguridad de la información es un paso más en proceso de aplicación de los principios de protección de datos. El proceso de gestión del derecho a la protección de datos comienza por el establecimiento de la licitud del tratamiento y continúa con la aplicación de los principios de lealtad, transparencia, finalidad, proporcionalidad, exactitud, limitación, aplicación de derechos, responsabilidad proactiva y, finalmente y derivado de los requisitos fijados por la implementación de todos los anteriores, las medidas de seguridad.

En ningún caso la seguridad de la información es un elemento previo, ni puede anteponerse o sustituir, al resto de principios. El análisis de la seguridad de la información no es el punto de partida para la implementación efectiva de la protección de datos en una entidad, sino la última etapa del proceso de aplicar una política de privacidad, ya que la seguridad de la información no entiende de derechos fundamentales. De los derechos fundamentales se ocupa la protección de datos y la seguridad se encuentra a disposición de la protección de datos en el camino para alcanzar la licitud de los tratamientos. Las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de la información tienen que orientarse a implementar los principios de la protección de datos para garantizar los derechos y libertades de las personas en un estado de derecho, incluso más allá del punto en el que pudiera tener lugar la rotura del estado de derecho. La seguridad de la información es un recurso necesario, aunque no suficiente, para garantizar el derecho fundamental a la protección de datos personales.

El automóvil particular es considerado más que un medio de transporte. Representa un área privada y, en cierto modo, aislada. Esta concepción está cambiando con el paradigma de los vehículos conectados. El Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) ha puesto a disposición en consulta pública una guía en relación con el tratamiento de datos en el contexto de vehículos conectados y aplicaciones relacionadas con la movilidad con el título: “Processing personal data in the context of connected vehicles and mobility related applications”. Por su interés, en este post se realiza un breve resumen del paradigma del coche conectado y de lo establecido en el documento del EDPB, al que se pueden remitir comentarios antes del 1 de mayo de 2020.

I. Introducción

En el contexto de los vehículos conectados se ofrecen al conductor servicios de ‘infoentrenimiento’ como música online, información de estado de carretera e información de tráfico, seguros basados en comportamiento o mapas dinámicos. Además, dado que la conectividad se establece a través de las redes de telecomunicaciones, los operadores de telecomunicaciones juegan un papel importante en la implementación de estos servicios. Por lo tanto, aparecen potenciales operaciones de tratamiento de datos personales aplicadas sobre los usuarios del vehículo, con diversos actores involucrados.

Los vehículos conectados están generando una cantidad creciente de datos, muchos de los cuales pueden ser considerados datos personales, ya que pueden ser relacionados con los conductores, los pasajeros, o incluso terceros, de forma directa o indirecta. Incluso cuando los datos no están relacionados directamente a un nombre sino a aspectos técnicos o funcionalidades del vehículo, podrían relacionarse con los usuarios del vehículo, o incluso, a sus hábitos de vida. Por ejemplo, los datos relativos al estilo de conducción, la distancia recorrida, de desgaste de las piezas del vehículo o datos recopilados por las cámaras pueden relacionarse con el comportamiento del conductor, además de otra información sobre otras personas que podrían estar dentro o fuera del vehículo como datos de geolocalización, tiempos de estacionamiento en determinadas zonas, etc.

El reto es que todos los implicados en el tratamiento de datos personales incorporen, desde el diseño del producto, la protección de datos personales y se asegure que los usuarios de los vehículos disfruten de transparencia y control en relación con sus datos.

La guía del EDPB se centra en los datos personales relativos a datos tratados dentro del vehículo, datos intercambiados entre el vehículo y los dispositivos personales conectados a él (por ejemplo, teléfonos inteligentes), así como datos recopilados dentro del vehículo que se comunican a entidades externas (fabricantes de vehículos, gestores de infraestructuras, compañías aseguradoras, reparadores de coches, etc.) para tratamientos posteriores.

En la guía, el concepto de vehículo conectado es entendido de un modo amplio: vehículo equipado con multitud de unidades de control electrónicas interconectadas a través de la red interna del vehículo y también con servicios de conexión que le permiten compartir información con otros dispositivos tanto dentro como fuera del vehículo.

El ecosistema de los vehículos conectados implica a los actores tradicionales de la industria automovilística y a los actores que emergen desde la industria digital. La guía va dirigida a todos ellos.

II. Riesgos de privacidad y protección de datos

Los vehículos conectados se incluyen dentro del concepto de Internet de las cosas (IoT), con sus fortalezas y sus vulnerabilidades, pero en el contexto de vehículos conectados la situación es incluso más sensible, ya que implica a la seguridad vial, repercutiendo en la seguridad física del conductor.

Además, los vehículos conectados incrementan significativamente la preocupación con respecto al tratamiento de datos de localización y otros datos que puedan poner el riesgo las posibilidades de permanecer en el anonimato. El EDPB quiere hacer especial énfasis y concienciar a las partes interesadas del hecho de que el uso de los datos de localización requiere implementar salvaguardas específicas para prevenir la vigilancia de los individuos y el mal uso de los datos. Para ello identifica y analiza un conjunto de riesgos específicos a estos tratamientos que se describen a continuación.

Falta de control y asimetría de información

Existe un riesgo de que los conductores y pasajeros del vehículo no estén informados de manera adecuada sobre los tratamientos de datos personales que se llevan a cabo. La información podría ser facilitada únicamente al propietario del vehículo, que podría no ser el conductor, y podría no ser facilitada de la manera oportuna al no tener en cuenta que un vehículo puede pertenecer a diferentes propietarios a lo largo del tiempo. Con relación a este aspecto, también hay que considerar los vehículos compartidos o alquilados, tanto por compañías como por personas físicas.

En todos estos casos puede ocurrir que a la persona de la que se obtienen los datos no tenga acceso a la información del tratamiento y no pueda oponerse ni ejercer sus derechos. Además, la comunicación en el vehículo se puede activar sin que el individuo sea consciente de ello, un riesgo que hay que evitar.

Calidad del consentimiento del usuario

En ocasiones podría ser complicado obtener el consentimiento de conductores o pasajeros cuando no son el propietario del vehículo o son coches de segunda mano, de alquiler o coches compartidos.

Tratamiento posterior de datos personales

El EDPB recuerda que el consentimiento dado para unos tratamientos iniciales nunca legitimará tratamientos posteriores. El consentimiento debe ser libre, específico e informado para ser válido. Podría darse el caso de que datos recopilados inicialmente para mantenimiento se utilizasen por las compañías aseguradoras para enriquecer el perfil de los conductores, o por las autoridades de tráfico para controlar el cumplimiento de la regulación de tráfico, como los límites de velocidad.

Recopilación excesiva de datos

El incremento de la cantidad de sensores utilizados en los vehículos conectados incrementa el riesgo de la recopilación excesiva de datos, más allá de los estrictamente necesarios para cumplir con el tratamiento específico.

Seguridad y control de acceso

La pluralidad de funcionalidades, servicios e interfaces ofrecidos por los vehículos conectados incrementan la exposición a ataques y por tanto las vulnerabilidades potenciales a través de las cuales se pueden ver comprometidos los datos personales. Los vehículos conectados son sistemas críticos donde una quiebra de seguridad puede poner en peligro la vida de sus usuarios y de las personas que están a su alrededor.

III. Recomendaciones generales

Para mitigar los riesgos identificados anteriormente, en la guía del EDPB se detallan una serie de recomendaciones generales:

• La información sobre los aspectos del tratamiento al interesado debe facilitarse de forma clara, sencilla y fácilmente accesible. Los casos en los que la información no ha sido recogida directamente del interesado se debe informar a éste lo antes posible, por ejemplo, cuando los datos son recopilados por el fabricante y este facilita los datos para ofrecer servicio de asistencia en carretera.
• Los datos personales recopilados se pueden tratar para infinidad de propósitos: seguridad en la conducción, seguro del vehículo, transporte eficiente, servicios de información, etc. El responsable del tratamiento debe asegurar que sus propósitos son específicos, explícitos y legítimos.
• Dada la posible sensibilidad de los datos de uso del vehículo (trayectos realizados, estilo de conducción, etc.), se recomienda obtener el consentimiento del interesado antes de transmitir los datos a terceras partes. Se debe prestar especial atención a los datos transferidos a países fuera de la Unión Europea.
• Asegurarse de que los interesados pueden ejercer sus derechos. En los casos en los que el vehículo conectado cambia de propietario podría lanzarse un procedimiento de borrado de cualquier dato personal del anterior propietario.
• Dada su sensibilidad y/o impacto potencial, se debe prestar especial atención a los derechos e intereses de los interesados con relación a los datos de localización, datos biométricos y datos que pudieran revelar infracciones de tráfico.
• Las soluciones se deberán diseñar cumplir con el principio de minimización sobre los datos recopilados y limitar su tratamiento a lo estrictamente necesario, proveer mecanismos de protección de datos por defecto y asegurar que los interesados están bien informados y pueden cambiar la configuración asociada con sus datos personales fácilmente.
• Hay que realizar la evaluación de impacto de protección de datos, incluso en los casos en los que no es requerido por el RGPD.
• En relación con la minimización, los datos de localización son particularmente intrusivos y pueden revelar muchos hábitos de vida de los sujetos, por lo que, hay que valorar si realmente se necesitan.
• A su vez, incorporar anonimización y pseudonimización de datos, minimizando así los riesgos de identificación cuando no es necesario.
• La proliferación de interfaces de conexión a internet vía WiFi puede conllevar riesgos para la privacidad de los individuos que hay que gestionar debidamente.
• El tratamiento de datos personales ha de ser local siempre que sea posible, minimizando así riesgos, como podría ser el tratamiento de datos por terceros sin el conocimiento del interesado.
• Hay que mantener la seguridad y confidencialidad de los datos y los tratamientos.

IV.    CASOS DE ESTUDIO

La guía plantea diferentes casos de estudio a modo de ejemplo. Para cada uno de los supuestos analiza su base legal, los datos recopilados, el periodo de retención, la información y derechos a los interesados, destinatarios y la seguridad. Los ejemplos analizados son los siguientes:

• Provisión de un servicio por una tercera parte
  • Seguro “paga como conduces”
  • Alquiler y reserva de espacios de aparcamiento.
• Llamada de emergencia (eCall)
• Estudio de accidentes
• Rastreo de vehículo robado
• Información personal almacenada en vehículos de alquiler

        

 

 

 

La situación crítica generada por la pandemia del COVID-19 a nivel mundial ha obligado a cambiar nuestros hábitos de forma radical, obligándonos al distanciamiento social y a recurrir a herramientas de teletrabajo para poder seguir desempeñando las labores profesionales. Esto ha producido un aumento de riesgos y amenazas que aprovechan la necesidad de información relativa al coronavirus para materializar ciberataques de todo tipo.

Las organizaciones no deben bajar la guardia ante esta situación, al aumentar la probabilidad de sufrir una brecha de seguridad de los datos personales.

En el Real Decreto 463/2020 por el que desde el 16 de marzo de 2020 se establece en España el estado de alarma para combatir la pandemia, en la disposición adicional tercera sobre suspensión de plazos administrativos se establece que “se suspenden términos y se interrumpen los plazos para la tramitación de los procedimientos de las entidades del sector público”, lo que ha llevado a algunos responsables a plantear dudas sobre si estaban obligados o no a notificar las quiebras de seguridad.

En primer lugar, hay que destacar que, tal como la Agencia ha manifestado en su “Comunicado sobre apps y webs de autoevaluación del Coronavirus”, esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales.

Las obligaciones impuestas en el Reglamento UE 2016/679 RGPD y LOPDGDD relativa a la notificación de brechas de seguridad de los datos personales, así como la obligación de comunicar a los interesados en caso de que estas entrañen un alto riesgo para los derechos y libertades de las personas físicas, tienen por objeto de crear una sociedad más resiliente ante los incidentes de seguridad que pueden socavar nuestros derechos fundamentales. La suspensión mencionada con anterioridad no afecta a la obligación de notificar las quiebras de seguridad que afecten a datos personales, por lo que los responsables están obligados a notificar ante la Agencia.

En estos momentos de especial vulnerabilidad resulta más importante que nunca poder conocer de forma veraz las incidencias que puedan producirse en la protección de datos de carácter personal, aportando información que permita a las Autoridades de Control y los ciudadanos tomar las medidas de protección necesarias y generar confianza en el funcionamiento de nuestro sistema.

Los responsables y encargados de tratamiento deben seguir cumpliendo con sus obligaciones si sufrieran una brecha de seguridad de los datos personales que constituya un riesgo para los derechos y libertades de las personas físicas. Deberán notificar las brechas ante la Autoridad de Control en el plazo de 72 horas. La presentación de esta notificación se realizará de forma telemática a través de la sede electrónica de la AEPD, pudiendo recurrir a la opción de realizar una notificación inicial en el plazo establecido en caso de no disponer de toda información necesaria sobre la brecha. Posteriormente, cuando se disponga de toda la información necesaria, se podrá ampliar la información mediante una notificación adicional.

Además, cuando sea probable que la brecha de seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas el responsable lo comunicará también al interesado lo antes posible, siendo especialmente relevante esta comunicación a los interesados en periodos de especial vulnerabilidad como en el que nos encontramos.

Como material de referencia se recomienda consultar la Guía de Gestión y Notificaciones de Brechas de Seguridad de los Datos Personales publicada por la AEPD.

El consentimiento debe ser “libre, específico, informado e inequívoco”, tal y como se describe en las Directrices sobre el consentimiento en el sentido del Reglamento 2016/679. Además, debe ofrecerse control al interesado sobre el mismo y darle la posibilidad de aceptar o rechazar los términos bajo los que se presta. El sujeto de datos debe conocer una información mínima, previa a la prestación del consentimiento, que resulta crucial para que pueda tomar una decisión válida y claramente informada. Esta información se establece en el artículo 13 del RGPD, entre la que se encuentra la identidad del responsable, el propósito de cada operación del tratamiento para la que consiente, el tipo de datos que se van a recoger y posteriormente utilizar, si se van tomar o no decisiones basadas únicamente en el tratamiento automatizado de los datos, posibles riesgos si se producen transferencias internacionales y la existencia del derecho a retirar el consentimiento prestado y de los mecanismos para hacerlo.

Esta información muchas veces se presta ‘escondida’ en largas políticas de privacidad asociadas a la aplicación o servicio prestado y que, acumuladas en el tiempo y vinculadas a diferentes tratamientos de distintos responsables, conducen al interesado a la pérdida de control de sus datos, quién los tiene y para qué finalidad, limitando, en consecuencia, ese derecho antes mencionado.

Por otro lado, de acuerdo con artículo 7 del Reglamento, cuando el tratamiento se realice amparado en el consentimiento, este debe poder ser verificable debiendo el responsable ser capaz de poder demostrar que el interesado lo prestó de manera válida. El RGPD no establece un mecanismo en concreto sobre cómo el responsable debe ser capaz de probar que ha obtenido un consentimiento válido, teniendo libertad para implementar la forma de obtención y registro que más se adapte a los procesos de la organización pero, al menos, debe poder acreditar quién otorgó el consentimiento, cuándo, cómo y para qué, así como la información que se le suministró en el momento de obtenerlo. Esa obligación subsiste en tanto que se siga realizando el tratamiento de los datos personales bajo las condiciones iniciales en que los datos fueron recabados y debe ser verificable en caso de auditoría o inspección.

De ahí que resulte de interés la implementación de herramientas que ofrezcan garantías a los distintos intervinientes en el proceso de consentimiento y les permitan gestionar este en torno al tratamiento de los datos personales que se está realizando.

En este sentido, la iniciativa Kantara es una alianza, sin ánimo de lucro, que reúne a varias de las compañías mundiales que trabaja en mejorar el uso confiable de la identidad y los datos personales a través de la innovación, la estandarización y las buenas prácticas en el dominio de la gestión de la identidad digital y la privacidad de los datos. Actualmente trabaja en un proyecto, denominado “Consent Receipt 1.0 (CR 1.0)” desarrollado en respuesta a los comentarios de la comunidad interesados de un recibo de consentimiento como el que se menciona en el Anexo B del estándar en desarrollo ISO/IEC DIS 29184 Information Technology – Online privacy notices and consent.

Esta iniciativa pretende desarrollar un estándar de privacidad que permita registrar el consentimiento en un formato común, estructurado, abierto e interoperable, basado en los códigos y buenas prácticas de la industria, que sirva para proporcionar al interesado un ‘recibo’ de los tratamientos en los que consiente y le permita poder ejercer fácilmente sus derechos: rastrear los consentimientos prestados, conocer cómo se procesó su información o saber a quién responsabilizar en el caso de una brecha de seguridad. De esta forma, se ayuda al responsable a implementar una auténtica gobernanza de los consentimientos recabados y garantizar la trazabilidad de estos a lo largo de todas las fases del tratamiento (recogida, tratamiento, retirada y comunicación a terceros).

Adoptar un enfoque como el propuesto permitiría a los interesados, por un lado, disponer de una forma de controlar y gestionar su consentimiento antes, durante y después del tratamiento haciéndoles realmente propietarios de sus datos personales, y a los responsables, por otro, fomentar la transparencia y contar con un mecanismo de registro de consentimientos verificables dando así respuesta, de forma práctica, a las estrategias de privacidad de “Controlar” y “Demostrar” descritas en la Guía de Privacidad desde el Diseño publicada por la AEPD. Más aún, un registro interoperable de consentimientos abre la posibilidad de una interacción ágil y flexible entre responsables y encargados cuando sea necesario garantizar, en el marco de un encargo de tratamiento como puede ser la adquisición de una base de datos o la recogida de datos personales realizada por el encargado por cuenta del responsable, que se cumplen con todos los requisitos para que un tratamiento, basado en el consentimiento, sea legítimo