04/05/2021

DIRECTRICES DEL COMITÉ EUROPEO DE PROTECCION DE DATOS SOBRE LOS VEHICULOS CONECTADOS Y LAS APLICACIONES RELACIONADAS CON LA MOVILIDAD. Tercera Parte

5.3.- Alquilar y reservar una plaza de aparcamiento

El propietario de una plaza de aparcamiento puede querer alquilarla. Para ello, publica una plaza y fija un precio en una aplicación web. Luego, una vez que la plaza de aparcamiento está en la lista, la aplicación notifica al propietario cuando un conductor quiere reservarla. El conductor puede seleccionar un destino y comprobar las plazas de aparcamiento disponibles en función de múltiples criterios. Tras la aprobación del propietario, se confirma la transacción y el proveedor de servicios se encarga de la operación de pago y luego utiliza la navegación para conducir hasta el lugar.

5.3.1.- Base jurídica

Cuando los datos se recogen a través de una comunicación electrónica disponible al público, se aplica el art. 5 (3) de la directiva de privacidad electrónica.

Al tratarse de un servicio de la sociedad de la información, el art. 5 (3) de la Directiva sobre privacidad electrónica no exige el consentimiento para acceder a la información que ya está almacenada en el vehículo cuando el abonado solicita explícitamente este servicio.

Para el tratamiento de los datos personales y sólo para los datos necesarios para la ejecución del contrato en el que el interesado es parte, el art. 6(1)(b) del GDPR será la base legal.

5.3.2.- Datos recogidos

Los datos procesados incluyen los datos de contacto del conductor (nombre, correo electrónico, número de teléfono, tipo de vehículo (por ejemplo, coche, camión, motocicleta), número de matrícula, período de estacionamiento, detalles de pago (por ejemplo, información de la tarjeta de crédito), así como los datos de navegación.

5.3.3.- Período de conservación

Los datos deben conservarse sólo mientras sean necesarios para cumplir el contrato de estacionamiento o, en su defecto, según lo dispuesto por la legislación de la Unión Europea o de los Estados Miembros. Después, los datos se anonimizan o se eliminan.

5.3.4.- Información y derechos de los interesados

Antes del tratamiento de los datos personales, el interesado debe ser informado de acuerdo con el art. 13 del RGPD, de forma transparente y comprensible.

El interesado debe ser informado específicamente de los medios disponibles para ejercer su derecho de acceso, rectificación, limitación y supresión. Dado que los datos recogidos en este contexto son proporcionados por el interesado (a través de formularios específicos o a través de su actividad) y tratados sobre la base del art. 6(1)(b) del RGPD (ejecución de un contrato), el interesado tiene derecho a ejercer su derecho a la portabilidad de los datos.

5.3.5.- Beneficiario

En principio, sólo el responsable y el encargado del tratamiento tienen acceso a los datos.

 

5.4.- eCall

En caso de accidente grave en la Unión Europea, el vehículo activa automáticamente una eCall al 112, el número de emergencias de toda la Unión Europea que permite enviar rápidamente una ambulancia al lugar del accidente.

El generador de eCall instalado en el interior del vehículo, que permite la transmisión a través de una red pública de comunicaciones inalámbricas móviles, inicia una llamada de emergencia, que es activada automáticamente por los sensores del vehículo o manualmente por los ocupantes del mismo sólo en caso de accidente. Además de la activación del canal de audio, el segundo evento activado automáticamente como consecuencia de un accidente consiste en la generación del conjunto mínimo de datos (MSD) y su envío al punto de respuesta de seguridad pública (PSAP).

5.4.1.- Base jurídica

En cuanto a la aplicación de la directiva sobre privacidad electrónica, hay que tener en cuenta dos disposiciones:

  1. el art. 9 relativo a los datos de localización distintos de los datos de tráfico, que sólo se aplica a los servicios de comunicaciones electrónicas;
  2. art. 5 (3) para acceder a la información almacenada en el generador instalado en el interior del vehículo.

A pesar de que, en principio, esas disposiciones exigen el consentimiento del interesado, el Reglamento (UE) 2015/758 constituye una obligación legal a la que está sujeto el responsable del tratamiento (el interesado no tiene verdadera o libre elección y no podrá rechazar el tratamiento de sus datos). Por lo tanto, el Reglamento (UE) 2015/758 anula la necesidad del consentimiento del conductor para el tratamiento de los datos de localización y el DMS.

La base jurídica del tratamiento de esos datos será el cumplimiento de una obligación legal.

5.4.2.- Datos recogidos

El Reglamento (UE) 2015/578 establece que los datos enviados por el sistema eCall basado en el 112 en el vehículo incluirán únicamente la información mínima a la que se refiere la norma EN 15722:2015 "Sistemas de transporte inteligentes - eSafety - eCall conjunto mínimo de datos (MSD)", incluyendo:

  1. la indicación de si eCall se ha activado manual o automáticamente;
  2. el tipo de vehículo;
  • el número de identificación del vehículo (VIN);
  1. el tipo de propulsión del vehículo;
  2. la marca de tiempo de la generación del mensaje de datos inicial dentro del evento de incidente eCall actual;
  3. la última posición conocida de latitud y longitud del vehículo determinada en el último momento posible antes de la generación del mensaje;
  • la última dirección real conocida del vehículo, determinada en el último momento posible antes de la generación del mensaje (sólo las tres últimas localizaciones del vehículo).

5.4.3.- Período de conservación

El Reglamento (UE) 2015/758 establece que los datos no se conservarán durante más tiempo del necesario para procesar situaciones de emergencia. Dichos datos se eliminarán por completo cuando ya no sean necesarios para ese fin. Además, en la memoria interna del sistema eCall, los datos se borrarán automática y constantemente. Sólo podrán almacenarse las tres últimas posiciones del vehículo, en la medida en que sea estrictamente necesario para especificar la posición actual del vehículo y el sentido de la marcha en el momento del suceso.

5.4.4.- Información y derechos de los interesados

El art. 6 del Reglamento (UE) 2015/758 establece que los fabricantes deben proporcionar información clara y completa sobre el tratamiento de datos realizado mediante el sistema eCall. Esta información se proporcionará en el manual del propietario por separado para el sistema eCall basado en el 112 en el vehículo y cualquier sistema eCall apoyado por un servicio de terceros antes del uso del sistema. Incluye:

  1. la referencia a la base jurídica del tratamiento;
  2. el hecho de que el sistema eCall basado en el 112 esté activado por defecto;
  • las disposiciones para el procesamiento de datos que realiza el sistema eCall basado en el 112 en el vehículo;
  1. la finalidad específica del tratamiento de eCall, que se limitará a las situaciones de emergencia contempladas en el primer párrafo del art. 5, apartado 2, del Reglamento (UE) 2015/758;
  2. los tipos de datos recogidos y tratados y los destinatarios de los mismos;
  3. el límite de tiempo para la conservación de datos en el sistema eCall basado en el 112 en el vehículo;
  • el hecho de que no haya un seguimiento constante del vehículo;
  • las modalidades de ejercicio de los derechos de los interesados, así como el servicio de contacto encargado de gestionar las solicitudes de acceso;

En cuanto a los derechos de los interesados, hay que señalar que, dado que el tratamiento se basa en una obligación legal, no se aplicarán el derecho de oposición ni el derecho a la portabilidad.

5.4.5.- Beneficiario

Los datos no estarán disponibles fuera del sistema eCall basado en el 112 para ninguna entidad antes de que se active la eCall.

Cuando se activa (ya sea manualmente por los ocupantes del vehículo o automáticamente en cuanto un sensor del vehículo detecta una colisión grave), el sistema eCall establece una conexión de voz con el PSAP correspondiente y el MSD se envía al operador del PSAP.

Además, los datos transmitidos a través del sistema eCall in-vehicle basado en el 112 y tratados por los PSAP pueden ser transferidos a los servicios de emergencia y a los socios de servicios a los que se refiere la Decisión nº 585/2014/UE únicamente en caso de incidentes relacionados con las eCalls y en las condiciones establecidas en dicha Decisión, y se utilizan exclusivamente para la consecución de los objetivos de la misma.

Los datos tratados por los PSAP a través del sistema eCall in- vehicle basado en el 112 no se transfieren a ningún otro tercero sin el consentimiento previo explícito del interesado.

5.4.6.- Seguridad

El Reglamento (UE) 2015/758 establece los requisitos para incorporar al sistema eCall tecnologías que refuercen la protección de la privacidad, con el fin de ofrecer a los usuarios el nivel adecuado de protección de la privacidad, así como las garantías necesarias para evitar vigilancia y usos abusivos. Además, los fabricantes deben garantizar que el sistema de eCall basado en el número 112, así como cualquier otro sistema que proporcione una eCall gestionada por servicios de terceros o un servicio de valor añadido, estén diseñados de forma que sea imposible el intercambio de datos personales entre dichos sistemas.

En lo que respecta a los PSAP, los Estados Miembros deben garantizar que los datos personales estén protegidos contra el uso indebido, incluido el acceso ilícito, la alteración o la pérdida, y que los protocolos relativos al almacenamiento, la duración de la conservación, el tratamiento y la protección de los datos personales se establezcan al nivel adecuado y se respeten debidamente.

5.5.- Estudios de accidentología

Los interesados pueden aceptar voluntariamente participar en estudios de accidentología destinados a comprender mejor las causas de los accidentes de tráfico y, en general, con fines científicos.

5.5.1.- Base jurídica

Cuando los datos se recojan a través de un servicio público de comunicación electrónica, el responsable del tratamiento tendrá que recabar el consentimiento del interesado para poder acceder a la información que ya está almacenada en el vehículo, tal y como establece el art. 5 (3) de la directiva sobre privacidad electrónica. De hecho, ninguna de las exenciones previstas por dichas disposiciones puede aplicarse en este contexto: el tratamiento no tiene como único objetivo llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas ni se refiere a un servicio de la sociedad de la información explícitamente solicitado por el abonado o usuario.

En lo que respecta al tratamiento de datos personales y teniendo en cuenta la variedad y la cantidad de datos personales necesarios para los estudios de accidentología, se recomienda que el tratamiento se base en el consentimiento previo del interesado de acuerdo con el art. 6 del RGPD. Este consentimiento previo debe ser proporcionado en un formulario específico, a través del cual el interesado se ofrece a participar en el estudio y a que sus datos personales sean tratados con ese fin. El consentimiento deberá ser una expresión de la voluntad libre, específica e informada de la persona cuyos datos están siendo tratados (por ejemplo, marcar una casilla que no está previamente marcada, o configurar el ordenador de a bordo para activar una función en el vehículo). Este consentimiento debe proporcionarse por separado, para fines específicos, no puede ir unido al contrato de compra o alquiler de un coche nuevo y el consentimiento debe poder retirarse tan fácilmente como se da. La retirada del consentimiento conllevará el cese del tratamiento. En ese caso, los datos se eliminarán de la base de datos activa o se anonimizarán.

El consentimiento requerido por el art. 5( 3) de la Directiva sobre privacidad electrónica y el consentimiento necesario como base jurídica para el tratamiento de datos pueden recogerse al mismo tiempo (por ejemplo, marcando una casilla que indique claramente a qué consiente el interesado).

5.5.2.- Datos recogidos

El responsable del tratamiento sólo recogerá los datos personales que sean estrictamente necesarios para el tratamiento.

Hay que tener en cuenta dos tipos de datos:

  1. datos relativos a los participantes y a los vehículos;
  2. datos técnicos de los vehículos (velocidad instantánea, etc.).

La investigación científica vinculada a la accidentología justifica la recogida de la velocidad instantánea, incluso por parte de personas jurídicas que no administran un servicio público en sentido estricto.

En efecto, como se ha señalado anteriormente, la OEPD considera que la velocidad instantánea recogida en el marco de un estudio de accidentología no es un dato relacionado con la infracción por destino (es decir, no se está recogiendo con el fin de investigar o perseguir una infracción), lo que justifica su recogida por personas jurídicas que no administran un servicio público en sentido estricto.

5.5.3.- Período de conservación

Los datos relativos a los participantes y los vehículos pueden conservarse mientras dure el estudio.

Los datos técnicos de los vehículos deben conservarse durante el menor tiempo posible para el propósito. En este sentido, cinco años a partir de la fecha de finalización del estudio parece un periodo razonable.

Al final de ese periodo, los datos se eliminarán o se anonimizarán.

5.5.4.- Información y derechos de los interesados

Antes del tratamiento de los datos personales, se informará al interesado de acuerdo con el art. 13 del RGPD, de forma transparente y comprensible. En particular, en el caso de la recogida de velocidad instantánea, los interesados deben ser informados específicamente de la recogida de datos. Dado que el tratamiento de datos se basa en el consentimiento, el interesado debe ser informado específicamente de la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la legalidad del tratamiento basado en el consentimiento antes de su retirada. Además, dado que los datos recogidos en este contexto son facilitados por el interesado (a través de formularios específicos o mediante su actividad) y tratados sobre la base del art. 6(1)(a) del RGPD (consentimiento), el interesado tiene derecho a ejercer su derecho a la portabilidad de los datos.

Esta información puede facilitarse al firmar el formulario para aceptar participar en el estudio de accidentología.

5.5.5.- Destinatario

En principio, sólo el responsable y el encargado del tratamiento tienen acceso a los datos.

5.5.6.- Seguridad

Las medidas de seguridad que se establezcan deberán adaptarse al nivel de sensibilidad de los datos. Por ejemplo, si la velocidad instantánea (o cualquier otro dato relacionado con las condenas e infracciones penales) se recoge como parte del estudio de accidentología, recomienda encarecidamente que se establezcan fuertes medidas de seguridad, como:

  1. la aplicación de medidas de seudonimización (por ejemplo, el hashing de clave secreta de datos como el apellido/nombre del interesado y el número de serie);
  2. almacenar los datos relativos a la velocidad instantánea y a la localización en bases de datos separadas (por ejemplo, utilizando un mecanismo de cifrado de última generación con claves y mecanismos de aprobación distintos);
  • y/o la eliminación de los datos de localización en cuanto se califica el evento o la secuencia de referencia (por ejemplo, el tipo de carretera, el día/la noche), y el almacenamiento de los datos de identificación directa en una base de datos separada a la que sólo puede acceder un número reducido de personas.

5.6.- Hacer frente a los robos de vehículos

Los interesados pueden desear, en caso de robo, intentar encontrar su vehículo utilizando la localización. El uso de los datos de localización se limita a las estrictas necesidades de la investigación y a la evaluación del caso por parte de las autoridades judiciales competentes.

5.6.1.- Base jurídica

Cuando los datos se recogen a través de un servicio de comunicación electrónica disponible al público, se aplica el art. 5 (3) de la Directiva de privacidad electrónica.

Al tratarse de un servicio de la sociedad de la información, el art. 5 (3) de la Directiva sobre privacidad electrónica no exige el consentimiento para acceder a la información que ya está almacenada en el vehículo cuando el abonado solicita explícitamente este servicio.

En cuanto al tratamiento de los datos personales, la base jurídica para el tratamiento de los datos de localización será el consentimiento del propietario del vehículo o, en su caso, la ejecución de un contrato (sólo para los datos necesarios para la ejecución del contrato en el que el propietario del vehículo es parte).

El consentimiento deberá ser una expresión de la voluntad libre, específica e informada de la persona cuyos datos se tratan (por ejemplo, marcar una casilla que no esté previamente marcada o configurar el ordenador de a bordo para activar una función en el vehículo). La libertad de dar el consentimiento implica la opción de retirarlo en cualquier momento, de lo que se debe informar expresamente al interesado. La retirada del consentimiento supondrá el cese del tratamiento. En ese caso, los datos deberán ser eliminados de la base de datos activa, anonimizados o archivados.

5.6.2.- Datos recogidos

Los datos de localización sólo pueden transmitirse a partir de la declaración de robo, y no pueden recogerse continuamente el resto del tiempo.

5.6.3.- Período de conservación

Los datos de localización sólo pueden conservarse durante el periodo de evaluación del caso por parte de las autoridades judiciales competentes, o hasta el final de un procedimiento para disipar dudas que no termine con la confirmación del robo del vehículo.

5.6.4.- Información de los interesados

Antes del tratamiento de los datos personales, el interesado debe ser informado de acuerdo con el art. 13 del RGPD, de forma transparente y comprensible. Más concretamente, se recomienda que el responsable del tratamiento haga hincapié en que no existe un seguimiento constante del vehículo y que los datos de localización sólo pueden recogerse y transmitirse a partir de la declaración de robo. Además, el responsable del tratamiento debe proporcionar al interesado información relativa al hecho de que sólo los agentes autorizados de la plataforma de televigilancia y las autoridades legalmente autorizadas tienen acceso a los datos.

En cuanto a los derechos de los interesados, cuando el tratamiento de datos se base en el consentimiento, el interesado deberá ser informado específicamente de la existencia del derecho de revocación de su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento antes de su retirada. Además, cuando los datos recogidos en este contexto sean proporcionados por ellos (a través de formularios específicos o a través de su actividad) y tratados sobre la base del art. 6(1)(a) (consentimiento) o del art. 6(1)(b) GDPR (ejecución de un contrato), el interesado tiene derecho a ejercer su derecho a la portabilidad de los datos.

En consecuencia, el responsable del tratamiento debe proporcionar una forma fácil de retirar su consentimiento (sólo cuando el consentimiento sea la base legal), libremente y en cualquier momento, así como desarrollar herramientas para poder responder a las solicitudes de portabilidad de datos.

La información puede facilitarse en el momento de la firma del contrato.

5.6.5.- Destinatarios

En caso de declaración de robo, los datos de localización pueden transmitirse a (i) los agentes autorizados de la plataforma de televigilancia, y (ii) a las autoridades legalmente autorizadas.

Primera parte

Segunda Parte

 

Compartir esta publicación
PUBLICACIONES RELACIONADAS
13
03/2024
Actualidad Corporativa
Asesoramos a Vodafone España  en la operación Orange-Más Movil
23
01/2024
Actualidad Corporativa
Completada la venta de Torre Mapfre en Sevilla con el asesoramiento del Despacho
01
12/2023
Actualidad Corporativa
Golpe de Campana de Portfolio Stock Exchange en Málaga.