- Los coches conectados recopilan y comparten grandes volúmenes de datos personales sobre conductores, pasajeros y terceros, a menudo más allá de lo necesario.
- Fabricantes, aseguradoras, talleres, proveedores tecnológicos y autoridades pueden acceder a esta información, generando riesgos de vigilancia, perfilado y filtraciones.
- El RGPD y las directrices europeas exigen minimización, transparencia y privacidad desde el diseño, pero su aplicación en automoción sigue siendo limitada.
- Los conductores pueden reducir el impacto revisando políticas, limitando servicios conectados, controlando la sincronización del móvil y borrando datos al vender el vehículo.
Subirse hoy a un vehículo moderno es, en la práctica, entrar en un ordenador con ruedas permanentemente conectado. Lo que para muchos sigue siendo “su espacio privado” es, en realidad, un entorno plagado de sensores, cámaras, micrófonos, GPS y conexiones 4G/5G que no paran de generar y transmitir información. Y, lo más preocupante, la mayoría de conductores no es realmente consciente de la cantidad de datos que se recogen, de cómo se usan ni de con quién se comparten.
Los informes de organismos como la Fundación Mozilla, el Comité Europeo de Protección de Datos (EDPB), la AEPD o entidades como la Fundación Hermes pintan un panorama nada halagüeño: los coches conectados son una de las peores categorías de productos en términos de privacidad. Se recopilan más datos de los necesarios, se comparten o venden a terceros, y los usuarios apenas tienen capacidad real de decisión. Vamos a desgranar con calma qué está pasando, qué dice la normativa europea y qué puedes hacer, con los pies en el suelo, para no regalar tu vida entera cada vez que giras la llave.
Qué es realmente un coche conectado hoy
Cuando hablamos de coche conectado ya no nos referimos solo a tener un navegador GPS o a poder conectar el móvil por Bluetooth para escuchar música. El concepto actual es mucho más amplio: los fabricantes integran una red interna compleja de unidades de control electrónicas (ECU), sensores y módulos de comunicación que enlazan el vehículo con la nube del fabricante, con otros vehículos (V2V), con la infraestructura (V2I) e incluso con peatones u otros dispositivos (V2P).
En ese ecosistema intervienen muchos actores distintos: fabricantes de coches, aseguradoras, talleres, empresas de telemática, proveedores de servicios de infoentretenimiento, operadores de telecomunicaciones, plataformas de navegación, empresas de datos y, en ocasiones, autoridades públicas. Cada uno puede participar en el tratamiento de la información generada por el vehículo, lo que multiplica las posibilidades de uso… y los riesgos sobre tu privacidad.
Esta conectividad permite ofrecer servicios que suenan muy bien: mapas dinámicos, avisos de tráfico en tiempo real, música en streaming, llamada automática de emergencia (eCall), diagnósticos remotos, seguros basados en comportamiento de conducción o gestión remota de la carga en los coches eléctricos. Pero cada uno de esos servicios se basa en recoger, procesar y, a menudo, conservar datos personales, tanto de quien conduce como de los pasajeros, e incluso de personas que ni siquiera van en el coche.
Según estimaciones recientes, ya circulan cientos de millones de vehículos conectados en todo el mundo y se espera que, de aquí a la próxima década, la práctica totalidad de los coches nuevos incorpore conectividad avanzada. La Unión Europea, además, ha acelerado esta transformación con la obligatoriedad del eCall en los vehículos nuevos desde 2018.
Todo lo que tu coche sabe de ti (y de los demás)
Los coches modernos llevan una cantidad de hardware que, bien mirado, asusta. Entre otros, incluyen GPS permanente, acelerómetro, giroscopio, sensores dentro y fuera del vehículo como cámaras interiores y exteriores, micrófonos, módulos 4G/5G y sistemas de reconocimiento de voz
En la práctica, el coche puede saber con una precisión milimétrica dónde estás, por dónde te mueves, cómo conduces, con quién viajas y qué haces dentro del habitáculo. Y no se trata solo de datos técnicos; a partir de ellos se pueden inferir hábitos de vida, patrones de consumo, rutinas diarias, creencias o incluso información extremadamente sensible.
Un informe de la Fundación Mozilla que analizó 25 marcas concluyó que los automóviles son la peor categoría de producto en privacidad de cuantas han estudiado: todas las marcas suspendieron. El 84% compartía o vendía datos a terceros, y el 92% daba a los usuarios poco o ningún control sobre su información. Estudios como el de Privacy4Cars van en la misma línea: casi todos los fabricantes recogen datos de uso, muchos tratan información sensible (ubicación exhaustiva, datos biométricos, detalles personales muy íntimos) y una parte significativa los comparte o comercializa.
Además, investigaciones editoriales sobre marcas muy presentes en España (como Volkswagen, Toyota, Hyundai, Tesla o SEAT/Cupra) muestran que las políticas de privacidad habituales suelen ser extensas, difíciles de entender y redactadas de forma que el conductor medio no se haga realmente una idea del alcance del tratamiento de datos.
Tipos de datos que recopilan los coches conectados
Para entender el problema de verdad conviene repasar, de forma ordenada, qué categorías de datos se suelen recoger y a quién pueden llegar.
Ubicación, rutas y hábitos de movilidad. El sistema GPS puede registrar todos tus desplazamientos con hora de salida, ruta completa y hora de llegada. Algunas marcas almacenan el historial de localizaciones durante años. Con esa información es sencillo deducir dónde vives, dónde trabajas, qué lugares frecuentas, qué horarios manejas o qué personas visitas con regularidad. Casos como el de General Motors, que fue pillada vendiendo datos de localización y comportamiento de millones de conductores a intermediarios de datos para que aseguradoras los usaran, ilustran hasta qué punto estos historiales de trayectos son valiosos comercialmente.
Estilo de conducción y datos técnicos. Aceleraciones, frenazos bruscos, velocidad, uso del cinturón, revoluciones del motor, consumo de combustible o energía, desgaste de piezas… todo se puede registrar y analizar. Estos datos se utilizan para ofrecer servicios como seguros “paga cómo conduces”, gestión de flotas o mantenimiento predictivo. En España hay aseguradoras que ya ofrecen cajas negras OBD o apps móviles que, conectadas al vehículo, monitorizan tu forma de conducir para ajustar la prima.
Audio, voz y comandos hablados. Cuando activas asistentes como Alexa, Google Assistant o Siri dentro del coche, las peticiones de voz se envían a la nube del proveedor para ser procesadas. Eso implica que fragmentos de tus conversaciones pueden acabar almacenados en servidores externos, con problemas similares a los de los altavoces inteligentes del hogar: activaciones accidentales, revisión humana de grabaciones, análisis de voz para mejorar algoritmos, etc.
Datos del smartphone y del infotainment. Al vincular tu teléfono por Bluetooth o a través de Android Auto/CarPlay, el sistema del coche puede solicitar acceso a contactos, historial de llamadas, mensajes SMS, aplicaciones de mensajería, agenda, fotos o incluso a tu ubicación en tiempo real. En algunos casos documentados, fabricantes como Hyundai o Kia han copiado información del móvil al sistema de infoentretenimiento de forma poco transparente, sin una explicación clara al usuario. Ten en cuenta cómo gestionar la información que cede tu smartphone antes de sincronizarla con el vehículo.
Cámaras y sensores dentro y fuera del vehículo. Muchos coches actuales —y especialmente los eléctricos e híbridos avanzados— montan varias cámaras exteriores para aparcamiento, ayuda a la conducción o funciones de piloto automático, además de cámaras internas para vigilar la atención del conductor, detectar somnolencia o controlar quién ocupa el vehículo. Estas cámaras pueden capturar imágenes de viandantes, matrículas, fachadas, plazas de garaje, y también de los propios ocupantes del coche en situaciones muy privadas. Casos como el escándalo de empleados de Tesla compartiendo entre ellos clips de vídeo de usuarios manteniendo relaciones sexuales en el coche han puesto en evidencia la fragilidad de estas grabaciones.
Biometría y datos sensibles. Algunos sistemas incorporan reconocimiento facial o medición de parámetros fisiológicos para ajustar el asiento, detectar distracciones o personalizar el entorno. En la normativa europea, estos datos biométricos están considerados categoría especial de datos personales, lo que obliga a un trato extremadamente cuidadoso y a evitar usos adicionales no justificados.
Datos derivados e inferencias. Más allá de la información que se recoge de forma directa, muchos fabricantes realizan inferencias: a partir del conjunto de datos de uso, hábitos de ruta, destinos frecuentes y patrones de comportamiento, se crean perfiles muy detallados de cada conductor. Estudios han demostrado que algunas marcas llegan a inferir aspectos como creencias personales, estado de salud u orientación sexual a partir del uso combinado del vehículo y otros datos externos.
Quién tiene acceso a los datos del coche
El flujo de datos en el ecosistema del coche conectado es todo menos sencillo. No solo interviene el fabricante, sino también terceros que prestan servicios sobre esa información. Entre los principales destinatarios se encuentran:
Fabricante del vehículo. Es quien suele recopilar la mayoría de los datos a través de la conectividad integrada, la app oficial (por ejemplo, MyVolkswagen, MyToyota, la app de Tesla) o los sistemas de infoentretenimiento. Utiliza esa información para mejorar el producto, ofrecer servicios adicionales, diagnosticar averías, enviar actualizaciones de software y, en algunos casos, con fines de marketing o venta de datos anonimizados.
Aseguradoras y empresas de telemática. Cuando contratas un seguro basado en tu estilo de conducción o utilizas una caja negra OBD, aceptas explícitamente que se monitoricen parámetros como velocidad, aceleración, frenado, horarios de uso o kilómetros recorridos. En la UE, el RGPD exige un consentimiento claro para estos usos, pero las cláusulas de los contratos suelen ser complejas y, a menudo, muy generosas respecto a lo que la aseguradora puede hacer con la información.
Talleres, servicios postventa y redes de reparación. Al conectar el coche al equipo de diagnóstico, se descargan registros de fallos, eventos, historial de mantenimiento, códigos de error y, en ocasiones, datos de uso. Los talleres autorizados suelen actuar como encargados de tratamiento del fabricante, con obligaciones específicas en materia de confidencialidad y seguridad.
Operadores de telecomunicaciones y proveedores de nube. Son quienes gestionan la conectividad 4G/5G del vehículo y los servicios de almacenamiento y procesamiento en la nube. Tienen acceso técnico a grandes volúmenes de datos de tráfico, aunque, legalmente, deben cumplir estrictos requisitos de protección, especialmente cuando tratan datos de localización o contenidos de comunicaciones.
Autoridades y fuerzas de seguridad. Un porcentaje significativo de los fabricantes reconoce que puede compartir información con autoridades o gobiernos cuando se les solicita, ya sea de forma oficial o informal. Entre los datos potencialmente accesibles se encuentran historiales de ubicación, registros de eventos, movimientos del vehículo o información de titularidad. Esto abre debates serios sobre vigilancia, proporcionalidad y garantías judiciales.
Riesgos específicos para la privacidad y la seguridad
El Comité Europeo de Protección de Datos (EDPB) considera los vehículos conectados parte del ecosistema del Internet de las cosas, pero con una sensibilidad especial porque la información afecta a la seguridad física de las personas y a su derecho a la intimidad. Sus directrices identifican varios riesgos clave que conviene tener muy presentes.
Falta de control e información asimétrica. Es habitual que solo el propietario formal del vehículo reciba la información de protección de datos, dejando fuera a conductores secundarios, pasajeros, usuarios de coches compartidos o personas que alquilan el vehículo. Además, la información suele presentarse en documentos extensos, técnicos y mal diseñados para ser entendidos. Al final, muchos tratamientos se realizan sin que quienes generan los datos sepan qué se hace con ellos ni cómo ejercer sus derechos.
Consentimientos dudosos o de baja calidad. Obtener un consentimiento válido en entornos como el coche de alquiler, el vehículo compartido o un turismo de segunda mano es complicado. A veces el consentimiento se considera otorgado por el mero hecho de activar un servicio, sin un acto claro por parte del usuario, o se esconde entre múltiples cláusulas poco transparentes.
Tratamientos secundarios inesperados. La normativa europea insiste en que los datos recogidos con una finalidad concreta no pueden reutilizarse alegremente para otros fines incompatibles. Por ejemplo, datos técnicos destinados al mantenimiento no deberían usarse para perfilar a un conductor ante la aseguradora o para determinar sanciones de tráfico sin una base jurídica adicional. Sin embargo, muchos modelos de negocio de la automoción conectada se basan precisamente en extraer el máximo valor posible de esos datos para usos distintos a los inicialmente declarados.
Recogida excesiva y falta de minimización. Cuantos más sensores se instalan, más tentador resulta conservarlo todo “por si acaso”. El EDPB subraya que el principio de minimización obliga a recoger únicamente los datos estrictamente necesarios para cada servicio. Aun así, en la práctica, los fabricantes acumulan historiales de localización, comportamientos de conducción y datos biométricos que van mucho más allá de lo imprescindible.
Vulnerabilidades y ciberataques. Un coche conectado es un sistema crítico. Una intrusión no solo puede suponer la filtración de datos personales, sino también el control remoto de funciones del vehículo. Informes de ciberseguridad muestran escenarios en los que un atacante es capaz de abrir el coche, arrancarlo, frenar o acelerar a distancia. Casos reales han demostrado que este tipo de ataques no son ciencia ficción y que algunas marcas han sufrido filtraciones masivas de información de clientes.
Qué dice la normativa europea (RGPD, EDPB, ONU, UNECE R155)
En Europa, la protección de datos en el automóvil está marcada por el Reglamento General de Protección de Datos (RGPD), las directrices del EDPB y, en materia de ciberseguridad, por estándares como el reglamento de la ONU UNECE R155, que define requisitos mínimos para los sistemas de gestión de ciberseguridad de los fabricantes.
El RGPD impone principios básicos: licitud, transparencia, minimización, limitación de la finalidad, exactitud, conservación limitada, integridad y confidencialidad. En el contexto del coche conectado, esto se traduce, entre otros, en que los fabricantes y proveedores deben dejar muy claro qué datos se recogen, para qué se usan, durante cuánto tiempo se guardan y con quién se comparten, así como facilitar al usuario el ejercicio de sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad.
Las directrices del EDPB sobre vehículos conectados ponen el foco en cuestiones como la necesidad de evaluaciones de impacto de protección de datos (EIPD); el diseño de sistemas que, por defecto, recojan y compartan el mínimo posible de datos; la importancia de mantener el tratamiento en local siempre que se pueda; y la obligación de borrar la información personal cuando un coche cambia de propietario o deja de estar asociado a un usuario.
En paralelo, el reglamento UNECE R155 obliga a que los coches nuevos vendidos en determinados mercados, incluida la UE, incorporen medidas de ciberseguridad para protegerse frente a decenas de tipos de ataques conocidos. Esto abarca tanto la protección del software del vehículo como de los canales de comunicación externos, incluida la conexión al puerto OBD, la red WiFi interna o el Bluetooth.
El problema es que, aunque el marco jurídico existe, su aplicación al sector del automóvil ha sido bastante más laxa que en el caso de las grandes tecnológicas. Las grandes sanciones del RGPD se han centrado en plataformas como Google o Meta, mientras que los fabricantes de coches apenas han recibido toques de atención puntuales. Varias voces, desde la academia hasta organizaciones de consumidores, reclaman un endurecimiento de la supervisión y sanciones ejemplares cuando se abusa de los datos de los conductores.
La experiencia del usuario: desconocimiento y falsa sensación de control
Diversas encuestas europeas muestran que una gran mayoría de conductores está, al menos en teoría, preocupada por el uso de los datos que genera su vehículo. En España, alrededor del 94% de los encuestados por asociaciones de automovilistas se declara inquieto por la seguridad de esa información. Sin embargo, al mismo tiempo, muchos usuarios están dispuestos a compartirla en determinados supuestos, como en caso de avería o para recibir avisos de mantenimiento.
Ese contraste refleja muy bien lo que pasa en la práctica: el usuario medio percibe que los datos son necesarios para obtener servicios útiles, pero no tiene claro hasta dónde llega esa cesión de información. Se aceptan términos y condiciones extensos sin leerlos, se conectan móviles personales al coche sin pensar en las consecuencias y se activan funciones conectadas por defecto sin revisar la configuración de privacidad.
Expertos en derecho digital y protección de datos insisten en que la clave está en que los conductores adopten una actitud más crítica y activa. Preguntar al concesionario qué datos se recogen y con qué finalidad, revisar los menús de privacidad del vehículo, no aceptar condiciones que no se entienden y limitar la conexión del móvil y de otros dispositivos a lo estrictamente necesario son pasos básicos para recuperar algo de control.
Mientras tanto, organizaciones como la Fundación Hermes o la Fundación Mozilla presionan para que la legislación obligue a que los coches puedan funcionar plenamente sin necesidad de compartir datos personales, que se simplifiquen los mecanismos de consentimiento y que se apliquen estándares claros y exigentes de privacidad desde el diseño y por defecto.
Qué puedes hacer (de verdad) para proteger tu privacidad en un coche conectado
Aunque el margen de maniobra del usuario no es infinito —porque hay funciones que vienen de serie y no se pueden desactivar sin perder servicios críticos—, sí puedes tomar medidas muy concretas para reducir el nivel de exposición.
1. Revisa la política de privacidad de tu modelo. Puede resultar un ladrillo insufrible, pero es la única forma de saber, al menos sobre el papel, qué datos se recogen, con qué fines y con quién se comparten. Suele estar disponible en la web del fabricante, en la app oficial o incluso accesible desde el sistema de infoentretenimiento. Fíjate especialmente en apartados como “Datos de localización”, “Terceros destinatarios”, “Marketing y perfiles” o “Transferencias internacionales”.
2. Ajusta los parámetros de conectividad. Muchos coches ofrecen menús de privacidad donde puedes desactivar el envío de la localización, limitar la recopilación telemétrica o desactivar ciertos servicios remotos. Navega por secciones tipo “Datos y conectividad”, “Privacidad” o “Servicios en línea” y desactiva todo lo que no necesites realmente. Es posible que el fabricante te avise de que algunas funciones dejarán de estar disponibles; decide hasta dónde te compensa.
3. Cuida lo que sincronizas desde el móvil. Cuando emparejes tu smartphone, el sistema te pedirá permiso para acceder a agendas, mensajes o fotos. Pregúntate si necesitas de verdad esa sincronización para el uso que haces del coche. En muchos casos basta con permitir llamadas y audio sin compartir todo tu historial de contactos. Si utilizas un coche de alquiler o compartido, evita a toda costa autorizar el copiado de datos sensibles.
4. Borra tus datos antes de vender o devolver un vehículo. Tanto si vendes tu coche como si devuelves un vehículo de renting o un coche de alquiler, es fundamental hacer un restablecimiento de fábrica del sistema, eliminar dispositivos vinculados (móviles, claves, llaves digitales) y cerrar la vinculación con la app del fabricante. De lo contrario, estarás dejando al nuevo usuario acceso a tu historial de rutas, contactos sincronizados, cuentas de Spotify o credenciales de servicios conectados.
5. Mantén la ciberseguridad del vehículo. Actualiza el software cuando el fabricante lo ofrezca, evita conectarte a redes WiFi públicas desconocidas desde el coche, desactiva la WiFi y el Bluetooth del vehículo si no los usas, utiliza contraseñas robustas para la app y, si es posible, activa la autenticación en dos pasos. Ten cuidado también con lo que conectas al puerto OBD: es una vía directa a la electrónica del coche y no conviene enchufar dispositivos de procedencia dudosa. Además, conviene entender la diferencia entre controladores y firmware para valorar riesgos antes de intentar modificaciones.
Conviene recordar que las soluciones milagrosas no existen: no puedes instalar un firmware alternativo como en un móvil, ni cambiar fácilmente el sistema de infoentretenimiento sin romper garantías o funciones clave. A día de hoy, la estrategia más realista pasa por limitar al máximo la conectividad que no sea estrictamente necesaria y por ser muy selectivo con la información que decides compartir.
La combinación de tecnología, datos y conducción ha traído mejoras indudables en seguridad vial y comodidad, pero ha convertido el habitáculo del coche en un espacio mucho menos privado de lo que la mayoría imagina. Mientras la regulación y la supervisión se ponen a la altura, es esencial que cada conductor sea consciente de que su vehículo actúa como una caja negra que registra una parte muy sustancial de su vida diaria, y que solo con decisiones informadas y una actitud un poco más desconfiada será posible mantener a raya la curiosidad —y el negocio— de quienes quieren saberlo todo sobre cómo, cuándo y dónde nos movemos.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.