Cotxes connectats, un malson per a la privacitat: sovint recullen més dades que un mòbil

En qualsevol moment del dia, en una carretera europea qualsevol, una càmera amagada rere la reixeta de ventilació enfoca el conductor d'un cotxe. 

El cervell del vehicle connectat analitza les seves imatges en temps real i registra minuciosament la cara que fa el conductor, la posició del cap, l'orientació i el tancament de les parpelles.

El que descrivim és real: parlem de la "càmera del conductor" que incorpora un model de cotxe actual d'una reconeguda marca. La seva finalitat, asseguren, és detectar quan una persona està patint els efectes de la fatiga al volant per evitar un accident.

En aquest mateix vehicle, dues dotzenes més de sensors, GPS, càmeres i radars rodegen el xassís i recullen informació des del moment en què el vehicle es posa en marxa. D'altres, fins i tot, comencen a capturar dades quan el conductor encara no hi és, i incorporen més del doble de sensors. 

Els consumidors més sensibilitzats es miren amb recel tots aquests sensors i, gràcies a una investigació periodística als Estats Units, ja tenen els arguments per desbloquejar una nova preocupació sobre la seva privacitat personal: els cotxes.
 

Més dades recopilades que un telèfon

El vehicles connectats, avui en dia, són ordinadors amb rodes i encara no en som prou conscients. Tenen ulls, orelles i desenes d'altres punts d'entrada d'informació, molts dels quals capturen el que considerem dades personals, ja que identifiquen el conductor o els passatgers, i no són gaire transparents sobre què fan amb aquesta informació. 

Un grup d'investigadors nord-americans van voler revisar les polítiques de privacitat d'un gran nombre de fabricants. La seva conclusió? Els cotxes connectats són un malson per a la privacitat.

El vehicle connectat és un dels productes que més dades captura i gestiona. Sovint, encara més que alguns telèfons o dispositius intel·ligents que portem a sobre tot el dia.

Un malson per a la privacitat

Els cotxes connectats, de mitjana, produeixen fins a 25 GB de dades cada hora, segons algunes estimacions amb què treballa el Supervisor Europeu de Protecció de Dades (SEPD).

El concepte "connectats" descriu un dels majors riscos d'aquesta recopilació: moltes d'aquestes delicades dades s'envien des del cotxe fins a servidors externs i en perdem la pista i el control.

La tecnologia que incorporen els cotxes intel·ligents pot augmentar la seguretat viària o facilitar la conducció, reconeixen els experts, però també recopila una quantitat molt important de dades personals sobre els conductors, passatgers i altres usuaris de la carretera. 

Per tant, conclou l'SEPD, "sorgeix una àmplia gamma de preguntes sobre privacitat i protecció de dades".

El setembre del 2023, un equip de tres investigadors nord-americans especialitzats en privacitat van publicar les seves conclusions després d'aprofundir durant mesos en les polítiques de privacitat de 25 marques de vehicles connectats. 

L'article es va titular: "És oficial: els cotxes són el pitjor producte que hem analitzat mai pel que fa a privacitat".

La directora de l'equip d'investigadors és Jen Caltrider i el seu projecte, que depèn de la fundació Mozilla, s'anomena "*Privacy Not Included" (Privacitat no inclosa). 

"*Privacy Not Included" es va fundar el 2017, quan "la gent començava a tenir altaveus intel·ligents", explica Caltrider en una entrevista al 324.cat, i tenien l'objectiu d'analitzar la privacitat dels productes de consum:

"No hi havia ningú que revisés la nostra tecnologia de consum pel que fa a la privadesa i la seguretat."

Ara, anys després, s'enorgulleixen d'haver revisat "centenars de productes, aplicacions i cotxes" per analitzar quina gestió de les dades fan.

El 2022, en Richard, un dels seus lectors, va fer-li arribar un breu missatge: "Heu considerat mai revisar la privadesa dels cotxes? Perquè és realment dolenta."

Caltrider, com molts altres conductors, no hi havia pensat mai, potser perquè condueix "una furgoneta vella que encara té un reproductor de CD". Però va recollir el guant.

A mesura que investigaven, el que anaven descobrint els deixava més i més preocupats:

"Tots ens dèiem: 'Això és real?' Hem llegit moltes polítiques de privadesa, i aquestes estaven escrites de manera tan àmplia i tan descarada, simplement deien que ho recollirien tot."

Dades sobre "activitat sexual" i "informació genètica"

La llista de tipus de dades que mencionaven les polítiques de privacitat de les 25 marques d'automòbils investigades era molt àmplia i poc precisa. 

Va ser la primera "red flag", que es va comprovar després amb una llarga llista de tipus de dades que recullen els fabricants: des del nom i cognom i l'adreça, fins a les característiques genètiques, fisiològiques, de comportament i biològiques, passant per la intel·ligència i l'orientació i activitat sexual. 

El principi a complir aquí hauria de ser el de "minimització de dades", en paraules del Supervisor Europeu de Protecció de Dades: "Només haurien de recollir les dades personals que realment necessiten i les haurien de conservar només durant el temps que les necessitin".

El problema, moltes vegades, és que no s'ha pensat en la privacitat des del minut zero", comenta al 324.cat Eduard Blasi, professor de la UOC i advocat especialitzat en Dret Tecnològic a Data Guardians. 

És un altre principi clau del Reglament General de Protecció de Dades Europeu que s'anomena "Privacy by design" i que l'autoritat europea de protecció de dades requereix a les empreses que compleixin. El sector dels cotxes connectats, però, s'ha escapat de molta de la supervisió, apunta Eduard Blasi.

"No ha estat al radar de les prioritats de les autoritats de control", cosa que ha relaxat les empreses i els ha "permès agafar un punt de més calma sobre el compliment de les obligacions", un luxe de què no disposen altres sectors. 

A més, els canvis són "molt ràpids" i la capa directiva dels fabricants "potser no té aquest 'mindset' digital" i no prioritza la privacitat durant el disseny.  

Algunes marques són "especialment descarades" en els seus acords de privacitat, i admeten obertament que recullen informació genètica o, fins i tot, dades sobre l'"activitat sexual", explicava la investigadora Jen Caltrider:

"Quan veus que una empresa de cotxes diu que es reserva el dret de recollir informació sobre la teva activitat sexual o orientació sexual o la teva informació genètica, i potencialment utilitzar-la per a coses com el màrqueting, penses: 'Déu meu!'"

Que moltes marques de vehicles connectats recullen massa informació personal, més que la imprescindible i necessària, va ser el primer senyal d'alarma. Però n'hi havia més: 

− La majoria de les empreses investigades compartien o venien la informació recollida a empreses de tercers, justificant-ho amb arguments poc precisos com el concepte "motius de negoci".

− La majoria de fabricants oferia molt poc o cap mena de control als usuaris sobre la seva informació personal recollida pel vehicle (la llei de protecció de dades europea, teòricament, evita aquest problema en països europeus).

− Els fabricants no són transparents sobre quines garanties de seguretat ofereixen els servidors on emmagatzemen les dades i no es pot comprovar si compleixen amb uns mínims estàndards de seguretat. Està la informació xifrada? Qui hi té accés? Quins sistemes i mesures de ciberseguretat tenen implementades?

Caltrider resumeix d'aquesta manera la impressió que els va causar: 

"Vam trobar que podien recollir informació molt sensible. I que podrien utilitzar-la per a finalitats comercials. I això va ser un gran senyal d'alarma."

Termes i condicions de legalitat confusa

Per analitzar les polítiques de privacitat dels cotxes connectats escollits, l'equip de "*Privacy not included" es va dedicar a llegir-ne tota la documentació associada.

Parlem de "tota" perquè mai és un únic acord, comenta Caltrider:

"Quan descarregues una aplicació, normalment té una sola política de privadesa. Quan compres un cotxe avui dia, hi ha diverses polítiques de privadesa que poden aplicar-se."

La política de privadesa del fabricant, la de l'aplicació oficial, la de les empreses que han finançat la compra, la de l'empresa asseguradora, la del concessionari... Molta documentació i, el que és pitjor, molt "confusa" i "complicada d'entendre", fins i tot per a especialistes.

Així i tot, molt sovint no es pot utilitzar el vehicle, o gaudir de totes les seves funcions, si no es dona el consentiment a les diferents polítiques de privadesa. 

Que una empresa pugui utilitzar les dades que captura dels seus usuaris depèn, jurídicament, del fet que hagin firmat el consentiment a través de la lectura i acceptació de les polítiques de privacitat.

Alguns fabricants arriben a assumir que, si estàs conduint el cotxe (fins i tot, si hi seus com a passatger), dones implícitament el consentiment a cedir les teves dades. D'altres com Tesla, arriben a amenaçar amb problemes seriosos de funcionament si no comparteixes totes les dades que recullen els seus vehicles.

"Si opteu per desactivar la recollida de dades del vehicle [...] això pot provocar que el vostre vehicle pateixi una funcionalitat reduïda, danys greus o inoperabilitat." --Apartat de privacitat en els termes i condicions d'ús de vehicles Tesla--

"És una mala praxi de les marques que s'està convertint en aquest monstre": Xavier Urios Aparisi és el cap del servei jurídic de l'Autoritat Catalana de Protecció de Dades i explica al 324.cat que el consentiment "no val per a tot" i pot ser rebatut:

"La normativa europea especifica que el consentiment ha de ser vàlid, i perquè el consentiment sigui vàlid ha de ser lliure, específic, informat i inequívoc."

Per tant, explica Urios, un consentiment per al processament de dades personals només seria vàlid si:

- És lliure: no es pot veure forçat i l'accés al producte no pot dependre d'acceptar la cessió indiscriminada de dades

- És específic: ha de quedar acotat i relacionat amb propòsits d'interès legítim

- És informat: ha d'informar de totes i cadascuna de les finalitats que té el processament de dades personals, qui hi tindrà accés i per què

- És inequívoc: no pot demanar-se en termes ambigus i amplis, que siguin interpretables, confusos o vagues
 

Una ràpida mirada sobre les polítiques de privacitat d'alguns vehicles connectats que es venen a Europa fa evident que molts d'aquests principis no es compleixen, o ho fan de manera molt qüestionable.

Cotxes connectats a Europa, un perill?

Les polítiques de privacitat europees són més restrictives que les nord-americanes gràcies, entre d'altres, al Reglament General de Protecció de Dades.

Però això no significa necessàriament que la gestió de la privacitat sigui millor per als conductors europeus, puntualitza Jen Caltrider. "Les polítiques de privadesa a Europa sovint descriuen més els drets que tenen els consumidors perquè teniu més drets dels que tenim aquí als Estats Units", admet. Ara bé, hi ha una contrapartida: 

"El que veiem és que, en contrapartida, les polítiques de privadesa de les empreses dels Estats Units [...] s'expliquen amb més detall, mentre que les polítiques de privadesa europees poden ser molt més vagues sobre el que realment es recull i com es fa servir."

Xavier Urios, cap de l'Assessoria Jurídica de l'Autoritat Catalana de Protecció de Dades, considera que "en principi" la normativa europea hauria d'impedir abusos i "les eines hi són".

Tanmateix, sovint hi ha violacions i abusos de la normativa. Hi contribueixen la falta de consciència dels consumidors, quan signen consentiments sense prestar-hi atenció, i els interessos de les empreses, que ja incorporen les dades dels seus usuaris a les seves estratègies de negoci per guanyar-hi diners més enllà de la venda del vehicle:

"Les dades valen diners, les agafen i les poden comercialitzar i acaben fen-te un perfil de consumidor que té molta sortida." 

Tal com explica Jen Caltrider, "avui en dia, intentar protegir la teva privadesa seria més que una feina a temps complet". 

Llegir tota la documentació sobre els acords de privacitat, comprendre-la i estar atents a qualsevol canvi, de qualsevol de les desenes de productes que utilitzem cada dia és una tasca impossible.

Com garanteixes que les teves dades personals estan ben protegides? Que només s'utilitzen les imprescindibles i en un context legítim? 

Són les mateixes empreses, explica Xavier Urios, les que han d'assegurar-se "de complir amb el reglament perquè, si no, s'arrisquen a procediments sancionadors amb multes econòmiques importants". 

Això significa no gestionar més dades de les necessàries, conservar-les només durant el temps just, no gestionar-les com si fossin actius que poden comercialitzar, informar de tot el tractament i ser totalment transparents sobre tot el recorregut que seguiran. Eduard Blasi Casagran, professor de la UOC i advocat de Data Guardians, demana més conscienciació: 

"A vegades no és tan sols complir amb la norma, sinó saber transmetre i ser transparent amb la informació.

Com saber si es vulnera la nostra privacitat i què fer

El primer que podem fer és demanar a l'empresa que correspongui que ens enviï una còpia de tota la informació que té de nosaltres. Tenim aquest dret garantit, com explica Eduard Blasi Casagran, advocat de Data Guardians.

Un cop comprovat que s'està vulnerant els nostres drets sobre la privacitat de les dades personals, "el que hauria de fer és presentar una denúncia a una autoritat de control, a la catalana, a l'espanyola...", explica Xavier Urios. 

Però hi ha un petit problema: per "criteris de territorialitat", has d'anar a l'autoritat de protecció de dades que correspongui al país on l'empresa tingui la seu per presentar la denúncia, tot i que això ho pot fer la mateixa autoritat de protecció de dades local.

Si l'autoritat competent comprova que l'empresa està violant el Reglament General de Protecció de Dades, les multes imposades poden arribar fins als 20 milions d'euros o el 4% del volum anual global de negoci de l'empresa, en el cas de les infraccions més greus.

Per què cal protegir la nostra privacitat?

Defensar la privacitat de les nostres dades personals no és "qüestió de gustos o preferències", explica l'advocat Eduard Blasi. La nostra informació combinada ens identifica clarament i pot tenir un impacte important, tant ara com en el futur.

Els darrers mesos, han aparegut notícies sobre fabricants de cotxes que han posat a la venda dades d'ubicació precisa dels seus conductors. 

També d'altres que no n'han protegit prou la informació i han patit filtracions molt sensibles. O marques de cotxes que venen la informació de conducció a assegurances.

Igualment, s'ha sabut d'empreses que no són capaces de garantir la integritat dels seus sistemes i els acaben hackejant els cotxes a distància...

Potser, actualment, cedim "informació que considerem que té un impacte innocu", segueix Blasi, però "ningú està en posició de dir com serà utilitzada aquesta informació" en el futur.