Privacidad en los coches conectados: lo que tu vehículo sabe de ti

Portada » General » Privacidad en los coches conectados: lo que tu vehículo sabe de ti

Subes al coche, giras la llave o pulsas el botón de arranque y te preparas para ir al trabajo, al cole de los peques o al súper. Desde fuera parece un trayecto rutinario, pero por dentro, en silencio, se enciende toda una red de sensores, micrófonos, cámaras y antenas que empiezan a registrar prácticamente todo lo que haces al volante. Tu velocidad, cómo frenas, qué emisora escuchas, a qué sitios sueles ir los lunes por la mañana o cuánto tiempo pasas en un atasco… es como una segunda ruta, pero invisible.

En los vehículos modernos, sobre todo si están conectados, lo que conduces ya no es solo un coche, sino un ordenador sobre ruedas. Y, para qué engañarnos, bastante indiscreto. Diversos estudios -entre ellos el famoso informe «Privacy Not Included» de la Fundación Mozilla- han puesto el foco en que los coches conectados son, ahora mismo, la peor categoría de producto tecnológico en materia de privacidad: recogen demasiados datos, los comparten o venden con demasiada alegría y ofrecen un control muy limitado al usuario sobre qué se hace con esa información.

Qué es exactamente un coche conectado y por qué importa para tu privacidad

Cuando hablamos de coche conectado no nos referimos solo a un Tesla lleno de pantallas. Un coche conectado es cualquier vehículo capaz de comunicarse con Internet o con otros dispositivos, ya sea mediante una tarjeta SIM integrada, WiFi, Bluetooth o sistemas de infoentretenimiento avanzados. Esto incluye:

• Vehículos que se conectan a la red para actualizaciones, servicios de emergencia o navegación.
• Coches que interactúan con el móvil a través de Apple CarPlay, Android Auto o apps propias de la marca.
• Sistemas que se comunican con otros vehículos, con la infraestructura de tráfico o incluso con peatones para mejorar la seguridad vial.

Como explica el experto en derecho digital Eduard Blasi, la clave está en que el coche ya no solo procesa datos técnicos, sino que, al combinar distintos registros (cómo frenas, cómo aceleras, el uso de los neumáticos, los trayectos habituales…), es capaz de perfilar tu comportamiento como conductor y, en muchos casos, como persona. Estos patrones son valiosísimos para los fabricantes y también para terceras empresas, especialmente aseguradoras.

La cosa no se queda en el volante y los pedales. Muchos modelos recientes integran cámaras interiores y exteriores con funciones de seguridad, confort y gestión de grabaciones: sistemas que vigilan si te duermes, si apartas la vista de la carretera, asistentes de aparcamiento, grabación del entorno… Todo eso implica capturar imágenes tuyas y de tus acompañantes, así como de lo que ocurre fuera del coche.

El resultado es que el vehículo, que durante décadas se ha asociado a la idea de libertad y autonomía, puede convertirse en una suerte de espía rodante que te acompaña en todos tus desplazamientos, incluso cuando crees que vas totalmente solo por una carretera secundaria.

Qué dicen los estudios: coches conectados y privacidad bajo mínimos

La Fundación Mozilla analizó recientemente las políticas de privacidad de 25 marcas de coches, principalmente de Estados Unidos y la Unión Europea. Las conclusiones son demoledoras y se repiten en distintos informes internacionales:

• El 100 % de las marcas estudiadas recogen más datos de los necesarios para prestar el servicio básico. No se limitan a lo imprescindible para conducir con seguridad: en muchos casos incluyen información demográfica, datos médicos y genéticos, detalles sobre tu vida sexual, tus preferencias musicales, tus rutas diarias, tu historial de navegación en la pantalla, etc.
• El 84 % de los fabricantes comparte o vende tus datos a proveedores de servicios, socios comerciales y otras terceras partes con las que tienen acuerdos.
• El 56 % puede compartir tu información con autoridades o gobiernos cuando reciben una solicitud. En algunos casos, como el de ciertos modelos de Hyundai, incluso aceptan peticiones informales, sin pasar por un proceso judicial estricto.
• El 92 % de las marcas ofrece poco o ningún control al usuario sobre sus datos personales: o aceptas el paquete completo de recopilación y uso de datos o te quedas sin muchos servicios conectados.

Aunque ninguna marca sale bien parada, el informe señala que Renault, Dacia y BMW son las que obtienen las puntuaciones menos malas, mientras que Tesla queda a la cola de la clasificación, con una de las peores evaluaciones en términos de privacidad.

Mozilla llega a afirmar que los coches conectados son la peor categoría de producto que han revisado jamás desde el punto de vista de la protección de datos. Por encima incluso de aplicaciones de citas, altavoces inteligentes u otros gadgets que intuitivamente ya consideramos muy invasivos.

Este escenario no es un fenómeno aislado. Hoy circulan más de 300 millones de vehículos conectados en todo el mundo y se calcula que en un par de años la cifra rozará los 400 millones. Las previsiones apuntan a un crecimiento superior al 100 % de aquí a 2035, y consultoras como McKinsey estiman que para 2030 alrededor del 95 % de los coches nuevos vendidos a nivel global estarán conectados.

Cómo se recopilan realmente los datos en un coche (incluso en modelos “básicos”)

Una duda muy habitual es cómo demonios se recogen tantos datos en vehículos que, en apariencia, apenas tienen extras. Pensemos en un coche de combustión reciente, versión de acceso, con radio, Bluetooth y quizá Apple CarPlay, pero sin grandes florituras ni climatizador digital avanzado. ¿De verdad está tan vigilado como dicen los informes?

La respuesta, por incómoda que resulte, es que sí pueden estar recopilando mucho más de lo que parece. Los coches modernos integran una red interna de centralitas electrónicas (ECU) que monitorizan casi todo: desde la activación de los intermitentes hasta la presión de los neumáticos. Esa información, en un principio, sirve para el correcto funcionamiento del vehículo y para diagnosticar averías, pero:

• La unidad de control telemático (la “caja negra” conectada) puede enviar de forma automática parte de esos datos a los servidores del fabricante.
• Si el coche incluye servicios conectados de la marca (asistencia, emergencias, app móvil para abrir/cerrar, etc.), la conexión es constante o casi constante.
• Cuando conectas el móvil por Bluetooth, Apple CarPlay o Android Auto, se pueden sincronizar contactos, registros de llamadas, mensajes, historial de navegación y otra información sensible si no configuras bien los permisos.

Incluso en mercados como Australia, donde un propietario de un Nissan reciente y aparentemente sencillo se preguntaba cómo era posible que su coche estuviese en la lista de «malos» de Mozilla, la explicación suele ser la misma: aunque el vehículo parezca “analógico” en el uso diario, por dentro está lleno de electrónica y conectividad. Puede enviar:

• Datos de uso (kilómetros, velocidad media, frenadas, consumo).
• Información de geolocalización y rutas frecuentes.
• Eventos como aperturas de puertas, activación de airbags o alertas de mantenimiento.

Todo eso no tiene por qué verse ni notarse. No necesitas un navegador integrado lleno de mapas para que el coche esté conectado: basta con que cuente con un módulo telemático y que hayas aceptado, incluso sin fijarte, los términos de uso del servicio conectado al estrenar el coche.

Qué tipo de datos personales puede recoger tu coche

La lista de información que un vehículo moderno puede registrar es sorprendentemente larga. Algunos ejemplos, recopilados en estudios de organizaciones como Privacy4Cars, Mozilla y agencias de ciberseguridad:

• Datos de conducción: velocidad instantánea y media, aceleraciones y frenadas bruscas, uso de los faros, intermitentes, cinturones de seguridad, modos de conducción, kilómetros recorridos, tiempo de uso.
• Geolocalización y rutas: trayectos habituales, destinos frecuentes, sitios que has buscado en el navegador del coche, movimientos detallados que permiten reconstruir tu rutina diaria.
• Información de uso interno: posición del asiento, temperatura seleccionada, emisoras favoritas, volumen del audio, hábitos de uso de determinadas funciones.
• Datos biométricos y del cuerpo: en algunos modelos, peso y posición de los ocupantes para gestionar airbags, reconocimiento de voz, detección de somnolencia mediante cámaras o sensores en el volante, seguimiento de la mirada.
• Datos multimedia y de comunicaciones: listas de contactos, registro de llamadas realizadas a través del manos libres, mensajes leídos o dictados por voz, conversaciones que pasan por el sistema de audio.
• Información del entorno: vídeos de cámaras exteriores, registros de sensores de aparcamiento, radares de proximidad, datos medioambientales (temperatura, lluvia, etc.).

A esto hay que añadir la información que el fabricante puede obtener de fuentes externas: concesionarios, redes sociales, bases de datos públicas, registros gubernamentales y empresas de marketing. Cruzando todos estos datos se construyen perfiles muy detallados de los conductores y ocupantes.

En términos prácticos, esto permite desde optimizar el diseño de futuros modelos y decidir qué funciones incluir o eliminar, hasta segmentar campañas de publicidad, ofrecer seguros personalizados, proponer mantenimientos anticipados o lanzar promociones basadas en tu comportamiento al volante.

Quién se beneficia de este “nuevo petróleo” de la automoción

La Asociación Europea de Fabricantes de Automóviles ha reconocido abiertamente que los datos generados por los vehículos son ya un nuevo modelo de negocio que, a medio plazo, podría ser incluso más rentable que vender coches. No se trata de una sospecha, sino de una estrategia declarada.

Entre los sectores que más se aprovechan de esta nueva mina de información encontramos:

• Aseguradoras: utilizando datos de estilo de conducción (frenadas, aceleraciones, horarios, tipo de trayectos) para ofrecer pólizas basadas en comportamiento o, directamente, para penalizar a quien consideran “de riesgo”.
• Talleres y servicios posventa: gracias a los datos de uso y averías, pueden adelantarse a ciertos fallos y lanzar ofertas de mantenimiento justo cuando el coche lo necesita o está a punto de necesitarlo.
• Plataformas de marketing y publicidad: envían campañas geolocalizadas en función de dónde te mueves, por ejemplo si pasas a menudo por determinadas zonas comerciales.
• Empresas de recambios y flotas: utilizan la telemática para optimizar rutas, controlar el uso de los vehículos y reducir costes.

Que una aseguradora premie a quien conduce de forma suave no tiene por qué sonar mal, al menos sobre el papel. El verdadero problema surge cuando el usuario no sabe qué se recoge, con quién se comparte y con qué límites, o cuando la letra pequeña permite usos que nada tienen que ver con la seguridad o el mantenimiento.

Un caso especialmente llamativo es el de General Motors y su filial OnStar. La Comisión Federal de Comercio de Estados Unidos (FTC) llegó a un acuerdo con ellos que les prohíbe, hasta 2030, revelar, compartir o comerciar con ciertos datos personales de sus clientes. El motivo: se habría utilizado información sobre la conducción de los usuarios para elaborar puntuaciones que posteriormente se vendieron a corredurías de seguros sin el consentimiento claro de los afectados.

Riesgos de ciberseguridad y vigilancia: el otro lado de la moneda

La Agencia de la Unión Europea para la Ciberseguridad ya avisó en 2022: los coches conectados pueden convertirse en puertas de entrada para ciberdelincuentes. Cuando toda esa información acaba almacenada en servidores remotos, la superficie de ataque se multiplica.

Si una marca o alguno de sus proveedores sufre una brecha de seguridad, los datos que podrían quedar expuestos son muy sensibles:

• Tus rutas diarias y lugares que frecuentas.
• La dirección de tu casa y de tu trabajo.
• Números de teléfono con los que hablas desde el manos libres.
• Datos de contacto asociados a la app del coche.
• Incluso la posición en tiempo real del vehículo si el sistema se actualiza continuamente.

Ya hemos visto incidentes sonados: Volkswagen y Audi sufrieron en 2021 una filtración que afectó a unos 3,3 millones de usuarios; Toyota arrastró una exposición de datos entre 2013 y 2023 que comprometió información de más de 2 millones de clientes; Mercedes-Benz reconoció en 2022 una brecha procedente de un proveedor externo que tocó a 1,6 millones de personas; Ferrari ha sufrido varios ciberataques ligados a sus operaciones en los últimos años. Y la lista sigue creciendo.

Además, las fuerzas de seguridad recurren cada vez más a los datos de los coches en investigaciones. Historiales de ubicación, velocidades registradas antes de un accidente, rutas seguidas por un vehículo… Todo ello puede usarse como prueba en procesos judiciales. Según el estudio de Mozilla, más de la mitad de los fabricantes (un 56 %) reconoce que comparte información de sus conductores con gobiernos o autoridades cuando se lo piden, ya sea a través de mecanismos formales o, en algunos casos, informales.

La visión legal: RGPD, directrices europeas y letra pequeña

En Europa, el Reglamento General de Protección de Datos (RGPD) establece un principio claro: cualquier dato que permita identificar a una persona debe estar bajo el control de esa persona. Eso incluye los datos generados por un vehículo cuando pueden vincularse a un conductor concreto.

El Comité Europeo de Protección de Datos ha publicado guías específicas sobre coches conectados y aplicaciones asociadas, en las que recuerda a los fabricantes varias obligaciones clave:

• Limitar la recogida de datos a lo estrictamente necesario para el servicio.
• Garantizar transparencia real (explicar de forma clara qué se recoge, con qué finalidad y durante cuánto tiempo).
• Aplicar principios de privacidad desde el diseño y por defecto: que la configuración inicial sea la más respetuosa posible con la privacidad y que cualquier tratamiento extra requiera una acción consciente del usuario.
• Permitir el acceso, portabilidad y borrado de los datos personales cuando proceda.

En la práctica, sin embargo, la letra pequeña de los contratos de compra y de los servicios conectados suele estar redactada de forma que otorga al fabricante un poder casi absoluto sobre la información. Muchos conductores creen todavía que los datos que genera su coche (llamadas, destinos, configuraciones) se quedan dentro del propio vehículo y no salen de ahí, cuando la realidad es que gran parte de esa información viaja a los servidores de la marca o de terceros.

Algunos actores del sector proponen que, en el futuro, los datos se almacenen en plataformas neutrales donde sea el conductor quien decida qué empresas pueden acceder y para qué fines. La Comisión Europea, por su parte, estudia mecanismos para obligar a que la información generada por un coche pueda transferirse entre servicios solo con el consentimiento expreso y claro del usuario, intentando frenar el “mercadeo” opaco con nuestros datos.

Los 6 grandes principios que deberían regir la privacidad en el coche

Hace unos años, la Alianza de Fabricantes de Automóviles en Estados Unidos propuso seis principios básicos para la recogida y tratamiento de datos en vehículos, más un séptimo dedicado al cumplimiento. Sobre el papel suenan muy bien, pero su aterrizaje práctica está lejos de ser perfecto.

• Transparencia: los fabricantes deberían explicar claramente qué datos se recogen y con qué propósito. Hoy, lo que suele encontrarse en el manual o en la pantalla del coche es un recordatorio muy genérico de que “se están transmitiendo datos”, sin un listado detallado ni la frecuencia real de envío.
• Elección: el usuario debería poder decidir si quiere que su coche transmita datos y, en su caso, cuáles. Ahora mismo, la mayoría de marcas plantean un todo o nada: si renuncias a compartir datos, te quedas sin servicios conectados. Nada de granularidad tipo “permiso esto sí, esto no”, como en un móvil.
• Contexto: los datos recogidos en un determinado contexto (por ejemplo, posición y velocidad para gestionar el tráfico) no deberían reutilizarse para fines incompatibles, como informar a una aseguradora de tus excesos de velocidad o a un anunciante de cuánto tiempo pasas frente a una valla publicitaria.
• Minimización y limpieza: las marcas tendrían que limitarse a los datos imprescindibles y, en lo posible, anonimizarlos. El problema es que las condiciones suelen incluir expresiones amplias como “para mejorar nuestros productos”, lo que abre la puerta a recopilar casi todo. Y la anonimización a veces se queda a medias (por ejemplo, se oculta parte del número de bastidor, pero puede reidentificarse con suficiente esfuerzo).
• Seguridad: almacenar y procesar datos en servidores protegidos y de acuerdo con la normativa. La experiencia de otras industrias (sanidad, por ejemplo) demuestra que incluso grandes empresas pueden sufrir ataques o fugas con consecuencias millonarias.
• Acceso y cancelación: cualquier conductor debería poder solicitar a la marca un volcado de todos los datos que tiene sobre él y exigir el borrado de la información que no esté anonimizada. Es un derecho, pero ejercerlo suele ser lento y lleno de trabas.

Estos principios van en la línea de lo que exigen normativas como el RGPD, pero la distancia entre el discurso comercial y la práctica diaria sigue siendo grande. Buena parte del problema reside en que casi nadie lee -y mucho menos entiende- las políticas de privacidad que aparecen al recoger un coche nuevo o al activar un servicio conectado.

Qué puedes hacer como conductor para proteger un poco más tu privacidad

Es verdad que, como usuario individual, no puedes reescribir las políticas de privacidad de un fabricante ni desactivar a tu antojo todos sus sistemas de recogida de datos. Pero sí hay medidas que ayudan a reducir el rastreo y a tener algo más de control.

• Valorar modelos menos conectados: la opción más radical pero más efectiva es optar por coches más antiguos o versiones muy básicas que carezcan de conexión permanente a Internet y de cámaras interiores. Cuanta menos telemática, menos datos salen del vehículo.
• Revisar bien los consentimientos al comprar un coche nuevo: si el concesionario te ofrece aceptar condiciones para “publicidad personalizada” o “ofertas adaptadas a tu perfil”, puedes negarte. A menudo eso permite evitar al menos el uso comercial de tus datos más allá del servicio esencial.
• Configurar con calma el sistema de infoentretenimiento: al emparejar tu móvil, revisa qué se sincroniza (contactos, mensajes, historial, etc.) y desactiva lo que no te interese. No es obligatorio regalarle al coche todo el contenido de tu teléfono.
• Restablecer a valores de fábrica en las ventas de segunda mano: si vendes tu coche, borra todos los datos y desconecta apps asociadas. Y si lo compras, repite el proceso para evitar “restos” de configuraciones anteriores o posibles apps ocultas.
• Mantener el software actualizado: las actualizaciones no solo traen funciones nuevas, también parches de seguridad que reducen el riesgo de hackeos o fugas.
• Usar, cuando tenga sentido, una VPN en el punto de acceso WiFi: si el coche ofrece WiFi y conectas tus dispositivos, una VPN orientada a la privacidad puede proteger el tráfico que sale de tu móvil o tablet frente a terceros, aunque no evita el rastreo interno del fabricante.
• Cuidar lo que compartes fuera del coche: redes sociales, apps y formularios web también recopilan información sobre tu vehículo (matrícula, ubicación, hábitos de viaje). Todo suma en el perfil que las empresas construyen sobre ti.

Más allá de herramientas concretas, el factor diferencial es el sentido común: asumir que el coche es ya otro dispositivo conectado más, igual que el smartphone o la smart TV, y actuar en consecuencia, siendo más prudente con qué aceptas y qué conectas.

La transformación de la automoción en un sector profundamente digital está cambiando por completo la relación entre conductor, vehículo y fabricantes: los coches conectados prometen más seguridad, comodidad y servicios a medida, pero a costa de abrir una enorme puerta a la recopilación, el intercambio y el posible abuso de datos personales. Entender qué se registra, quién lo usa y qué margen de maniobra tienes como usuario es clave para no convertir cada trayecto en una sesión involuntaria de vigilancia y para poder exigir a la industria y a los reguladores un equilibrio más justo entre innovación tecnológica y respeto a la intimidad de las personas.