Los directores generales de algunas empresas automotrices responden preguntas difíciles sobre los automóviles y la privacidad... O lo intentan
Por Jen Caltrider, Misha Rykov y Zoë MacDonald | 30 de abril de 2024
Update May 14th: The FTC published a blog post putting connected car companies on notice for “unlawful collection & use” of consumers’ sensitive data.
- They warned car-makers to “take note” of three actions they’ve taken recently against other companies for abusing their access to sensitive data by sharing it or using it for decision-making without consumers’ consent.
The Federal Trade Commission (FTC) is in charge of protecting US consumers from deceptive on unfair business practices. So if there’s any agency that can hold US car-makers accountable for their terrible privacy practices, it’s them! This is definitely a step in the right direction for cars and privacy.
¿Alguna vez has escuchado el consejo que dice «No respondas la pregunta que te hicieron; responde la pregunta que te gustaría que te hayan hecho»? Bueno, parece que los ejecutivos de algunas empresas automotrices de los Estados Unidos lo conocen bien.
Retrocedamos. El año pasado, hicimos una advertencia sobre los automóviles y la privacidad cuando los nombramos la peor categoría de productos de los que hemos revisado la privacidad. A pesar de que las cosas que descubrimos al leer las políticas de privacidad de los automóviles era horrible, lo que más nos preocupó fue lo que no pudimos encontrar. Nuestra investigación nos dejó con muchísimas preguntas, preguntas que las empresas automotrices ignoraron. Es por eso que nos emocionamos cuando el senador estadounidense Ed Markey hizo un seguimiento con los directores generales de algunas empresas fabricantes de automóviles y les hizo las mismas preguntas que nosotros teníamos, señalando nuestra investigación como un motivo de preocupación. Además, prometió publicar sus respuestas, ¡y lo hizo! Leímos esas 84 páginas para ti. Pero lamentablemente, las respuestas fueron bastante vagas, incompletas y poco fiables... como siempre. Aquí te contamos los aspectos más destacados.
Nuestra investigación reveló que muchos fabricantes de automóviles dicen que pueden vender tus datos personales. ¿Pero lo hacen? Sí, absolutamente.
El senador Markey preguntó:
¿Su empresa vende, transfiere, comparte o obtiene algún otro beneficio comercial de terceros a partir de los datos recopilados de sus vehículos? Si es así, ¿cuánto pagaron esos terceros a su empresa por esos datos en 2022?
El senador estadounidense Ed Markey
General Motors, uno de los mayores fabricantes de automóviles de Estados Unidos, respondió:
Si un propietario opta por incluirse en los «servicios conectados», GM puede compartir con terceros los datos recopilados de los vehículos, según se describe en nuestra «Declaración de privacidad de los Servicios conectados en EE. UU.» Por ejemplo, se pueden compartir datos para ayudar a los servicios de emergencia a responder de manera más rápida y precisa, para respaldar los servicios en el vehículo utilizados por el propietario, y cuando el propietario indique a GM que lo haga (por ejemplo, para ayudar a los propietarios a optimizar sus patrones de carga). Con respecto a los intercambios limitados de datos en los que existe un beneficio comercial atribuible directamente al intercambio, el impacto en los ingresos generales de GM en 2022 fue «de minimis».
Omar A. Vargas, Vicepresidente de Políticas Públicas Globales de General Motors
Es posible que ya hayas escuchado que GM vendió datos personales de conducción a brókers de datos que los usaron para crear «puntajes de riesgo» para las compañías de seguros. Algunos conductores solo se enteraron de que esto estaba sucediendo cuando los precios de sus primas se dispararon. No estaban para nada contentos. De hecho, esto causó tal indignación entre los conductores (incluida una demanda colectiva) que GM tuvo que prometer que dejaría de hacerlo (al menos en lo que respecta a vender esos datos específicos a esos brókers específicos).
Por lo tanto, es interesante que GM no haya mencionado en absoluto su relación con LexisNexis o Verisk, los dos brókers de datos en cuestión, en su respuesta al senador. (¡Es por este tipo de cosas por lo que desconfiamos de las declaraciones públicas que hacen las empresas sobre temas de privacidad!) GM tampoco dijo que «optar por incluirse» podría significar que un vendedor del concesionario lo haga en tu nombre sin tu conocimiento o tu consentimiento... y reciba un bono por ello. Puf.
Ah, y en caso de que te estés preguntando si la expesión «de minimis» (como el impacto declarado en los ingresos de GM) es un error tipográfico, te explicamos que significa un importe pequeño o sin importancia. ¿Y qué es «pequeño» para una empresa de mil millones de dólares? Se informó que estaba en unos «pocos millones». No estamos seguros de si nos sentiríamos mejor o peor si GM ganara más dinero vendiendo los datos de los conductores. Mmm... ¿Es mejor que te vendan por un centavo o por un dólar?
Hyundai respondió:
Bluelink® ofrece un puntaje de conducción y un seguro basado en el uso (UBI), impulsados por Verisk Insurance Solutions. Ciertos datos del vehículo se transmiten a Verisk solo en el caso de los propietarios de vehículos suscritos al puntaje de conducción, de modo que Verisk pueda generar este puntaje, que Hyundai no comparte con otros terceros además de Verisk. Los conductores actualmente inscritos en el puntaje de conducción también pueden optar por incluirse por separado para recibir ofertas e información sobre descuentos y ofertas del seguro, o solicitar cotizaciones del UBI a las aseguradoras participantes.
Robert R. Hood, Vicepresidente de Asuntos Gubernamentales, Hyundai Motor
Así que Hyundai sí menciona una relación con el bróker de datos Verisk. Y, al igual que GM, dice que participar en el programa es solo opcional. También dice que los conductores que hayan optado por participar pueden desactivar el intercambio de datos con Verisk a través de su cuenta de MyHyundai (en caso de que alguien haya optado por participar y no quiera hacerlo). En cuanto a lo que obtienen a cambio de los datos, «Hyundai puede recibir una tarifa por cliente potencial por las ofertas de descuentos en seguros enviadas a los conductores que hayan optado por recibir estas ofertas y cuando un conductor solicita una cotización de UBI de una aseguradora y autoriza y ordena expresamente a Verisk que proporcione sus datos de UBI a la aseguradora».
En el contexto de la propiedad del vehículo, Toyota solo vende (tal como se define ese término en las leyes de privacidad aplicables, como la CCPA) información personal de los consumidores en un caso: a un tercero que proporciona un servicio de suscripción de radio satelital, con el fin de ofrecer a los consumidores una prueba gratuita del servicio de suscripción de radio satelital, y para campañas de marketing relacionadas posteriores al período de prueba.
Stephen J. Ciccone, Vicepresidente del Grupo, Asuntos Gubernamentales
Toyota es la única empresa automotriz que confirma que «vende» información personal de los consumidores, y a esta altura, agradecemos la honestidad. Dicen que la venden a un servicio de suscripción de radio satelital para que puedan ofrecerte una prueba gratuita y comercializar su servicio después.
¿Las empresas automotrices comparten datos personales de los conductores con organismos de seguridad?
Todos los fabricantes de automóviles que investigamos dijeron que pueden compartir datos de los conductores con organismos de seguridad en ciertas situaciones. Esto aplica para casi cualquier empresa que tenga tus datos, pero nos gusta que las políticas de privacidad expliquen que hay límites estrictos a esos intercambios y que existe un compromiso de rechazar solicitudes demasiado amplias. Eso es algo que no encontramos en las políticas de privacidad de los automóviles. Y esto nos preocupa, ya que pueden tener gran parte de tu información personal, incluyendo datos precisos de tu geolocalización, así como datos de cámaras y micrófonos en el automóvil.
El senador Markey preguntó:
¿Alguna vez su empresa ha proporcionado a organismos de seguridad información personal recopilada por un vehículo? Si es así, indique la cantidad y los tipos de solicitudes que han presentado los organismos de seguridad, y el número de veces que su empresa ha cumplido con esas solicitudes.
El senador estadounidense Ed Markey
Esto es lo que dijeron las compañías automotrices (que se molestaron en responder la pregunta) sobre la cantidad de solicitudes de datos personales que reciben de las fuerzas de seguridad:
Volkswagen desglosó el número de solicitudes por año. Dijeron que tuvieron «menos de 20» en 2021, «menos de 25» en 2022 y «menos de 45» en 2023. Eso significa que las solicitudes de los organismos de seguridad se duplicaron en los últimos tres años... ¡Interesante! Hyundai y Kia también compartieron el número total de solicitudes a las que respondieron, que fue de 50 (el 86 %) y 25 (el 83 %) respectivamente. Honda dijo que no rastrean estas solicitudes, pero que calculan que reciben alrededor de una por mes. Tesla declaró que hacen un seguimiento de las solicitudes, pero que no desean compartir los números con nosotros. También fue la única marca de automóviles que dijo abiertamente que a veces pueden impugnar o rechazar solicitudes.
Quizás recuerdes que en la política de privacidad de Hyundai dice que pueden responder a una «solicitud informal» de tus datos por parte de las autoridades o el gobierno. Pero en su respuesta al senador Markey, fueron mucho más específicos y dijeron que Hyundai solo proporciona datos en respuesta a «circunstancias exigentes, órdenes de registro, consentimiento del cliente y citaciones». La mayoría de las respuestas de las empresas automotrices fueron más estrictas o más específicas que las que encontramos en sus políticas de privacidad el año pasado. Esperamos que eso signifique que también han realizado cambios en sus políticas oficiales, que es donde realmente cuenta. Al menos en el caso de Hyundai, la línea donde mencionaban la «solicitud informal» parece no estar en la última versión de su política de privacidad, ¡parece un buen comienzo!
Otra cosa que no encontramos en las declaraciones bastante vagas de las políticas de privacidad de las compañías de automóviles sobre cómo comparten datos con organismos de seguridad es si notifican o no a los conductores cuando comparten su información.
El senador Markey preguntó:
¿Su empresa notifica al propietario del vehículo cuando cumple con una solicitud?
El senador estadounidense Ed Markey
Ninguna de las compañías automotrices que respondieron a esta pregunta dijo que tienen una política de informar a los conductores. Hyundai fue el que más se acercó; dijo que «Hyundai se reserva el derecho de notificar a los clientes cuando cumple con tales solicitudes» a menos que esta notificación esté «explícitamente prohibida por el procedimiento legal en sí». Eso es lo más generoso que encontramos, lo cual no es nada bueno.
La mayoría de las demás compañías de automóviles declaró que no pueden notificar a los conductores. Por ejemplo, Nissan dijo que «cuando Nissan responde a [un] proceso obligatorio válido de proporcionar datos del vehículo de un cliente, Nissan no puede notificar al cliente de dichas solicitudes por ley u orden judicial». BMW llegó a decir que no notifican al propietario del vehículo a menos que el organismo de seguridad lo indique. «Si las autoridades nos piden que notifiquemos al propietario del vehículo cuando cumplimos con una solicitud de datos, lo haremos». Eso parece bastante improbable, ya que GM dijo que «los organismos de seguridad suelen ordenar a GM que no se notifique al propietario del vehículo».
En el momento de nuestra investigación del año pasado, las únicas marcas que pudimos confirmar que permitirían a los clientes eliminar su información personal fueron dos marcas de automóviles europeas (Renault y Dacia), las cuales están obligadas a otorgar ese derecho a los conductores porque es parte de la ley de la UE, de acuerdo con la ley de privacidad del RGPD.
El senador Markey preguntó:
¿Pueden todos los usuarios, independientemente de dónde residan, solicitar la eliminación de sus datos? Si es así, describa el proceso a través del cual un usuario puede eliminar sus datos. Si no pueden hacerlo, ¿por qué no?
El senador estadounidense Ed Markey
Toyota, Subaru, BMW, Tesla y Ford dijeron que todos los conductores en los EE. UU. tienen este derecho o lo tendrán pronto. ¡Esa es una novedad muy positiva! Esperamos ver ese compromiso en sus políticas de privacidad, que es donde realmente importa. Hasta ahora, Toyota es la única compañía que ha hecho oficial esa promesa con un cambio en su política de privacidad.
Pero otros fabricantes de automóviles no dieron el brazo a torcer, ya sea porque consideran que no es posible comprometerse a eliminar los datos de sus clientes o porque están esperando que una ley los obligue a hacerlo. La verdad es que no lo creemos. ¡Y oye! Aquí les damos una idea. Fabricantes de automóviles, están oficialmente invitados a unirse a nuestra lucha por la legislación federal de privacidad en los EE. UU. Pero mientras tanto, ¿qué tal si aplican la ley de privacidad estatal más estricta (generalmente, la CCPA de California) a todos los estados de EE. UU.? De esa manera, no tendrán que usar un «estándar arbitrario» mientras tanto, como le preocupa a Nissan. ¡Vamos, pueden hacerlo!
La mayoría (el 68 %) de las marcas de automóviles que investigamos obtuvieron un mal historial de críticas por haber sufrido vulneraciones de datos, fugas o hackeos que amenazaron la privacidad de sus clientes en los últimos tres años.
El senador Markey preguntó:
¿Su empresa ha sufrido una fuga, vulneración o hackeo en los últimos diez años en
el cual los datos de usuario se hayan visto comprometidos? Si es así, detalle los eventos, incluyendo la naturaleza del sistema de la empresa que fue vulnerado, el tipo y el volumen de los datos afectados, si la empresa notificó a los usuarios afectados y cómo lo hizo.
El senador estadounidense Ed Markey
Volkswagen fue la única empresa automotriz que respondió que «sí». Y solo contaron la mitad de la historia: reconocieron que tuvieron una vulneración importante en 2021, pero no mencionaron otros tres incidentes de seguridad y privacidad que tuvieron lugar desde 2020.
Incluso Kia, que tuvo que aplicar un parch en ocho millones de automóviles debido a una vulnerabilidad de seguridad que permitió que fueran hackeados (lo que resultó en cientos de robos, 14 accidentes y ocho muertes) solo mencionó la ciberseguridad para describir los «pasos importantes» que toman y que están «diseñados para mantener la confidencialidad, la integridad y la disponibilidad de los datos del vehículo». Por todo esto, no estamos seguros de que estemos obteniendo las mejores respuestas por parte de estas compañías automotrices (también lo dudan el senador Markey y su equipo).
Parece que el tipo de respuestas que esperábamos obtener de los directores de estas empresas automotrices probablemente no llegarán pronto. Sin embargo, es trístemenete gracioso que muchos de los fabricantes de automóviles respondieron a las preguntas del senador Markey diciendo que buscara las respuestas en sus políticas de privacidad... cuando justamente fue al leer esas políticas de privacidad cuando surgieron todas estas preguntas, tanto a nosotros como al senador Markey. Un «buuu» en particular para BMW, Mazda, Mercedes-Benz, Stellantis (y en menor medida a Ford, Kia, Subaru y Tesla) que respondieron evitando abordar las preguntas directamente. Si tuviéramos que calificar sus respuestas como una tarea, todos recibirían un «incompleto».
La buena noticia es que no tenemos que esperar a que las compañías automotrices sean honestas con nosotros o que decidan hacer lo correcto por su cuenta. Desde que hicimos sonar la alarma sobre los automóviles y la privacidad en septiembre pasado, el cambio ya está sucediendo:
- Toyota y Lexus ahora otorgan a todos los consumidores estadounidenses el derecho a eliminar sus datos personales.
- Gracias a la presión pública, GM (que incluye a Chevrolet, Buick, GMC y Cadillac) dijo que dejará de vender algunos datos de OnStar a los brókers de datos LexisNexis y Verisk.
- La administración de Bidden-Harris en los EE. UU. está investigando la privacidad de los automóviles conectados debido a preocupaciones relacionadas con la seguridad nacional.
- La FCC propone aplicar la Ley de Conexiones Seguras de los EE. UU. a los automóviles, lo que dificultaría que los abusadores domésticos acechen a sobrevivientes utilizando los sistemas de rastreo de los automóviles (una de nuestras pesadillas de privacidad).
- Los legisladores de California también propusieron un proyecto de ley que haría que los fabricantes de automóviles desconecten el acceso remoto de los abusadores a los automóviles cuando tal acceso se esté utilizando para «acechar, acosar, vigilar e intimidar a sobrevivientes de abuso».
- Los senadores estadounidenses Markey y Wyden están solicitando a la FTC que tome medidas contra Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz y Kia (y sus ejecutivos) por compartir datos de ubicación de los conductores con agencias gubernamentales sin una orden judicial, violando los propios «principios de privacidad» de la industria.
Incluso estas respuestas proporcionadas por las compañías de automóviles son útiles para impulsar el cambio, ya que lo que generaron en el senador Markey es «poca comodidad» y la sensación de que «ignoran los riesgos reales de privacidad que sus prácticas de datos crean». Por este motivo, el senador está instando a la Comisión Federal de Comercio de los EE. UU. (FTC), que es la agencia federal encargada de proteger los derechos de los consumidores, a investigar todas las prácticas de privacidad de los fabricantes de automóviles de los EE. UU. Y no son solo los legisladores estadounidenses los que están prestando atención. Los miembros del Parlamento Europeo señalaron nuestra investigación para alertar a la Comisión Europea sobre la falta de protección de la privacidad de los conductores en tres ocasiones. Además, otro eurodiputado (miembro del Parlamento Europeo) sugirió recientemente que se necesitan más leyes para evitar que los automóviles se utilicen indebidamente para espiar a los conductores, nuevamente, citando nuestra investigación. ¡Nos encanta ver esto! Tú también puedes ayudarnos a seguir logrando cambios.
Jen Caltrider
Durante una época poco planeada cuando estudiaba mi maestría en inteligencia artificial, descubrí que era mucho mejor contando historias que escribiendo código. Esto me llevó a una carrera interesante como periodista cubriendo temas de tecnología para CNN. Mi verdadera pasión en la vida siempre ha sido dejar el mundo un poco mejor de como lo encontré. Por eso creé y dirijo el trabajo de Privacidad no incluida de Mozilla, para luchar por una mejor privacidad para todos nosotros.
Misha Rykov
Originario de Kiev y radicado en Berlín, Misha trabajó para gigantes tecnológicos y en consultoría de seguridad antes de unirse a los esfuerzos a favor de la privacidad de Mozilla. A Misha le encanta la narrativa de investigación y detesta las políticas de privacidad complicadas. Es un defensor de una regulación más estricta e inteligente de la privacidad, así como de un Internet más seguro.
Zoë MacDonald
Zoë es escritora y estratega digital radicada en Toronto, Canadá. Antes de que su pasión por los derechos digitales la llevara a Mozilla y *Privacidad no incluida, escribía sobre ciberseguridad y comercio electrónico. Cuando no está inmersa en su trabajo de friki de la privacidad, se dedica a vigilar dispositivos inteligentes en casa.
Jen Caltrider, Misha Rykov y Zoë MacDonald
Jen Caltrider, Misha Rykov y Zoë MacDonald
Jen Caltrider, Misha Rykov y Zoë MacDonald
