El Comité Europeo de Protección de Datos (“EDPB” por sus siglas en inglés) publicó el pasado 7 de febrero de 2020 un borrador de guía sobre el tratamiento de datos personales relativo a los vehículos conectados y aplicaciones relativas a la movilidad y localización (la “Guía”). Este borrador fue sometido a consulta pública desde el 7 de febrero de 2020 al 4 de mayo de 2020.
Los puntos más importantes de esta Guía son los siguientes:
- Aboga por una interpretación amplia e incluye cualquier dispositivo o aplicación móvil, incluso si es independiente al vehículo, que esté conectada al vehículo y pueda compartir información tanto dentro como fuera del vehículo.
- Entiende que los vehículos conectados son un “equipo terminal” de acuerdo con la definición de la Directiva 2008/63/CE. Considera por tanto aplicable el precepto de la Directiva 2002/58/EC, reformada en 2009, (“Directiva de ePrivacidad”) que exige el consentimiento del usuario para almacenar o acceder a información ya almacenada en el terminal de un usuario, salvo cuando sea necesario para la transmisión o para prestar un servicio requerido por el usuario.
- Además, dado que gran parte de esta información puede ser utilizada para identificar a personas físicas, la Guía incide en la necesidad de aplicar también las bases jurídicas previstas en el artículo 6 del RGPD, siempre y cuando no rebajen la protección prevista en la Directiva de Privacidad.
- Considera prohibida la utilización de la información para tratamientos posteriores de los datos, salvo que se preste un consentimiento adicional.
- Centra la importancia en la protección de datos desde el diseño y por defecto (minimización, ajustes por defecto privacy-friendly, posibilidad de modificación en cualquier momento, etc.). Subraya la necesidad de (a) no recoger más datos de los necesarios, (b) implementar medidas de seguridad robustas considerando que es un sistema crítico donde se pone en riesgo la vida de los usuarios (mediante, por ejemplo, la anonimización y seudonimización, la encriptación y el almacenamiento de la información de forma local), (c) informar de forma clara y específica a todos los afectados (no solo al propietario), y (d) otorgar el control al individuo, mediante configuraciones que protejan por defecto la privacidad.
- También analiza ciertos casos de estudio, a modo de ejemplo, entre los que destacan la prestación de un servicio por un tercero, como los seguros “paga como conduces”, las reservas de espacio de aparcamiento, el estudio de accidentes, o las llamadas de emergencia (sistema eCall).
Sin embargo, esta Guía todavía no ha sido aprobada y algunas voces del sector critican aspectos como la exigencia de una “doble” base legal, la prevalencia del consentimiento del interesado o la prohibición de usos posteriores de la información, salvo que medie el consentimiento.
Así, durante el periodo de consulta pública, se han presentado numerosos comentarios, tanto del sector público como privado, de diversos países de la Unión Europea (principalmente, Bélgica y Alemania, pero también desde Reino Unido, Francia, Suecia, Austria, Dinamarca, Holanda y España). La mayoría de los comentarios han sido presentados desde el sector privado o asociaciones de transporte.
De los comentarios a la Guía presentados por empresas españolas, destacan los comentarios de Telefónica S.A., en los que aboga por una evaluación de la protección de datos personales basada en el riesgo y se pronuncia principalmente sobre (i) el consentimiento como base principal del tratamiento, (ii) la prohibición de utilizar datos personales para usos posteriores compatibles en el contexto de vehículos conectados, (iii) la seguridad del uso de la nube para el almacenamiento de los datos, y (iv) la compatibilidad de esta Guía con la Estrategia Europea de Datos (sobre la que os hablábamos en esta otra entrada del blog). La Agencia Española de Protección de Datos ha publicado una entrada en su blog resumiendo los puntos más importantes de la Guía.
Pedro Méndez de Vigo Asociado
Adaya Esteban Asociada
