Las prácticas de privacidad de datos de los fabricantes de automóviles «son inaceptables», dice el senador estadounidense

El senador estadounidense Edward Markey (demócrata por Massachusetts) es uno de los legisladores electos más comprometidos con la tecnología. Y como muchos lectores de Ars Technica comprometidos con la tecnología, no le gusta lo que ve en términos del enfoque de los fabricantes de automóviles respecto de la privacidad de los datos. El viernes, el senador Markey escribió a 14 compañías automotrices con una variedad de preguntas sobre las políticas de privacidad de datos, instándolas a mejorar.

Como informó Ars en septiembre, la Fundación Mozilla publicó un informe mordaz sobre el tema de la privacidad de datos y los fabricantes de automóviles. Los problemas eran generalizados: la mayoría de los fabricantes de automóviles recopilan demasiados datos personales y están demasiado ansiosos por venderlos o compartirlos con terceros, descubrió la fundación.

Markey destacó el informe de la Fundación Mozilla en sus cartas, que fueron enviadas a BMW, Ford, General Motors, Honda, Hyundai, Kia, Mazda, Mercedes-Benz, Nissan, Stellantis, Subaru, Tesla, Toyota y Volkswagen. Al senador le preocupan las grandes cantidades de datos que pueden recopilar los automóviles modernos, incluido el preocupante potencial de utilizar datos biométricos (como la frecuencia con la que un conductor parpadea y respira, así como su pulso) para inferir el estado de ánimo o la salud mental.

El senador Markey también está preocupado por el uso de Bluetooth por parte de los fabricantes de automóviles, que según él ha ampliado «su vigilancia para incluir información que no tiene nada que ver con el funcionamiento de un vehículo, como datos de teléfonos inteligentes que están conectados de forma inalámbrica al vehículo».

«Estas prácticas son inaceptables», escribió Markey. «Aunque ciertas prácticas de recopilación e intercambio de datos pueden tener beneficios reales, los consumidores no deberían estar sujetos a un aparato de recopilación masiva de datos, con cualquier divulgación oculta en políticas de privacidad de páginas largas llenas de jerga legal. Los automóviles no deberían, y no pueden, convertirse en un lugar más donde la privacidad pasa a un segundo plano».

Los 14 fabricantes de automóviles tienen hasta el 21 de diciembre para responder las siguientes preguntas:

• ¿Su empresa recopila datos de usuarios de sus vehículos, incluidos, entre otros, las acciones, comportamientos o información personal de cualquier propietario o usuario?
  • En caso afirmativo, describa cómo utiliza su empresa los datos sobre propietarios y usuarios recopilados de sus vehículos. Distinga entre los datos recopilados de los usuarios de sus vehículos y los datos recopilados de aquellos que se registran para servicios adicionales.
  • Identifique cada fuente de recopilación de datos en sus nuevos modelos de vehículos, incluido cada tipo de sensor, interfaz o punto de recopilación del individuo y el propósito de esa recopilación de datos.
  • ¿Su empresa recopila más información de la necesaria para operar el vehículo y los servicios que el individuo acepta?
  • ¿Su empresa recopila información de pasajeros o personas ajenas al vehículo? En caso afirmativo, ¿qué información y con qué fines?
  • ¿Su empresa vende, transfiere, comparte o obtiene beneficios comerciales de los datos recopilados de sus vehículos a terceros? Si es así, ¿cuánto pagaron los terceros a su empresa en 2022 por esos datos?
  • Una vez que su empresa recopila estos datos de usuario, ¿realiza algún procedimiento de categorización o estandarización para agrupar los datos y hacerlos fácilmente accesibles para uso de terceros?
  • ¿Su empresa utiliza estos datos de usuario, o datos sobre el usuario adquiridos de otras fuentes, para crear perfiles de usuario de cualquier tipo?
  • ¿Cómo almacena y transmite su empresa los diferentes tipos de datos recopilados en el vehículo? ¿Los vehículos de su empresa incluyen una conexión celular o capacidades de Wi-Fi para transmitir datos desde el vehículo?
• ¿Su empresa notifica a los propietarios o usuarios de vehículos sobre sus prácticas de datos?
• ¿Su empresa brinda a los propietarios o usuarios la oportunidad de ejercer el consentimiento con respecto a la recopilación de datos en sus vehículos?
  • De ser así, describa el proceso mediante el cual un usuario puede ejercer su consentimiento con respecto a dicha recopilación de datos. ¿Si no, porque no?
  • Si a los usuarios se les brinda la oportunidad de ejercer su consentimiento para los servicios de su empresa, ¿qué porcentaje de usuarios lo hacen?
  • ¿Los usuarios pierden alguna funcionalidad del vehículo al optar por no participar o negarse a participar en la recopilación de datos? Si es así, ¿el usuario pierde acceso solo a las funciones que requieren estrictamente dicha recopilación de datos, o su empresa desactiva funciones que de otro modo podrían funcionar sin esa recopilación de datos?
• ¿Todos los usuarios, independientemente de dónde residan, pueden solicitar la supresión de sus datos? En caso afirmativo, describa el proceso mediante el cual un usuario puede eliminar sus datos. ¿Si no, porque no?
• ¿Su empresa toma medidas para anonimizar los datos de los usuarios cuando se utilizan para sus propios fines, se comparten con proveedores de servicios o se comparten con terceros que no son proveedores de servicios? Si es así, describa el proceso de su empresa para anonimizar los datos del usuario, incluida cualquier restricción contractual sobre la reidentificación que imponga su empresa.
• ¿Su empresa tiene estándares de privacidad o restricciones contractuales para el software de terceros que integra en sus vehículos, como aplicaciones de infoentretenimiento o sistemas operativos? Si es así, por favor proporciónelos. ¿Si no, porque no?
• Describa las prácticas de seguridad, los procedimientos de minimización de datos y los estándares de su empresa en el almacenamiento de datos de los usuarios.
  • ¿Su empresa ha sufrido una filtración, vulneración o piratería en los últimos diez años en la que los datos de los usuarios se vieron comprometidos?
  • Si es así, detalle los eventos, incluida la naturaleza del sistema de su empresa que fue explotado, el tipo y volumen de datos afectados, y si su empresa notificó a sus usuarios afectados y cómo lo hizo.
  • ¿Están cifrados todos los datos personales almacenados en los vehículos de su empresa? En caso negativo, ¿qué datos personales quedan abiertos y desprotegidos? ¿Qué medidas pueden tomar los consumidores para limitar este almacenamiento abierto de su información personal en sus automóviles?
• ¿Alguna vez su empresa ha proporcionado a las autoridades información personal recopilada por un vehículo?
  • Si es así, identifique la cantidad y los tipos de solicitudes que los organismos encargados de hacer cumplir la ley han presentado y la cantidad de veces que su empresa ha cumplido con esas solicitudes.
  • ¿Su empresa proporciona esa información sólo en respuesta a una citación, orden judicial u orden judicial? ¿Si no, porque no?
• ¿Su empresa notifica al propietario del vehículo cuando cumple con una solicitud?