La CNIL concluye la consulta pública sobre una propuesta de recomendación destinada a proporcionar orientación sobre el cumplimiento del RGPD en el tratamiento de datos de localización procedentes de vehículos conectados.

La autoridad francesa de protección de datos, la CNIL, cerró recientemente su consulta pública sobre un proyecto de recomendación relativo al uso de datos de localización generados por vehículos conectados. Iniciada el 25 de marzo de 2025, la consulta concluyó el 20 de mayo de 2025, y tuvo como objetivo ayudar a las partes interesadas a cumplir con el RGPD en un ámbito donde la privacidad y la innovación convergen.

Los datos de localización ofrecen beneficios sustanciales, pero presentan riesgos significativos para la privacidad

Los datos de localización son esenciales para una variedad de servicios ofrecidos por los vehículos conectados, incluyendo la navegación, la optimización de flotas, el mantenimiento predictivo y la respuesta a emergencias. Estos servicios pueden mejorar significativamente la experiencia del usuario, aumentar la seguridad y optimizar el rendimiento del vehículo.

Sin embargo, los datos de localización también representan una de las formas más sensibles de datos personales. Pueden revelar detalles extensos sobre los desplazamientos diarios de una persona, sus destinos frecuentes e intereses personales. La CNIL los califica como “particularmente intrusivos para la privacidad”, subrayando la importancia de establecer garantías adecuadas. Cabe señalar que esta preocupación no es meramente teórica, como lo demuestra una importante filtración de datos en diciembre de 2024 que afectó a más de 800.000 propietarios de vehículos eléctricos, reforzando la necesidad de prácticas adecuadas de manejo de datos.

El proyecto de recomendación está dirigido a partes interesadas en el uso privado de vehículos conectados

La orientación preliminar de la CNIL se centra en los vehículos conectados utilizados por personas físicas, ya sea como propietarios o arrendatarios. Se excluyen los vehículos de empresa puestos a disposición de empleados, los cuales ya están cubiertos por recomendaciones anteriores de la CNIL.

Las partes interesadas a las que se dirige incluyen:

• Fabricantes de vehículos;
• Gestores de flotas, incluyendo proveedores de alquiler (coches, bicicletas, scooters);
• Proveedores de soluciones telemáticas (por ejemplo, cajas negras o módulos de seguimiento);
• Agregadores e integradores de datos que faciliten la transmisión de datos relacionados con vehículos.

La recomendación busca apoyar el cumplimiento con los principios fundamentales del RGPD

Basándose en su paquete de cumplimiento de “Vehículos Conectados” de 2017 y en la orientación general del Comité Europeo de Protección de Datos (CEPD), la recomendación de la CNIL se centra en casos prácticos de uso de datos de geolocalización. Estos incluyen la recuperación y asistencia de vehículos, la respuesta ante accidentes, la prevención de robos, la gestión de flotas de alquiler y la optimización de servicios.

A lo largo del borrador, la CNIL subraya la importancia de respetar los principios del RGPD, tales como la minimización de datos, la limitación de finalidad, la transparencia y la seguridad. La recomendación tiene como objetivo ayudar a las partes interesadas a implementar estos principios de manera específica según las realidades operativas de los servicios de movilidad conectada.

La CNIL reitera que los datos de localización requieren bases legítimas específicas y medidas de protección rigurosas

El proyecto confirma que el tratamiento de datos de localización requiere, en general, una base legítima de tratamiento, que puede ser un consentimiento libre, específico, informado e inequívoco. La CNIL destaca que, en algunos casos, también se aplicarán las normas francesas sobre privacidad electrónica (que transpone la Directiva ePrivacy), especialmente cuando se acceda a datos de localización mediante herramientas telemáticas o software incorporado en el vehículo. La CNIL señala que las normas sobre cookies en Francia también serán aplicables si se accede a los datos de localización desde un vehículo conectado.

Además, la autoridad advierte que ciertos usos secundarios, como utilizar el historial de localización para crear perfiles con fines publicitarios o de análisis de comportamiento, pueden exceder los fines originales para los cuales se recopilaron los datos.

Puede ser necesario realizar una Evaluación de Impacto de Protección de Datos según la naturaleza y el alcance del tratamiento

Debido a la sensibilidad de los datos de geolocalización y al potencial de tratamiento a gran escala, algunas de las actividades descritas en la recomendación podrían requerir una Evaluación de Impacto sobre la Protección de Datos (DPIA, por sus siglas en inglés) conforme al artículo 35 del RGPD. Aunque no todos los casos de uso activarán este requisito, debe considerarse la necesidad de realizar una DPIA.

El CEPD establece varios criterios para determinar si un tratamiento “probablemente entraña un alto riesgo”. En tales casos, sería obligatoria una DPIA. Ejemplos relevantes incluyen:

• La monitorización sistemática de personas en espacios públicos;
• El tratamiento de datos sensibles (o de carácter altamente personal, como los de localización);
• El tratamiento a gran escala;
• El uso de nuevas tecnologías o soluciones innovadoras.

En el contexto de los vehículos conectados, escenarios como el seguimiento en tiempo real de múltiples usuarios, o la combinación de datos de geolocalización con datos de comportamiento, podrían cumplir con este umbral. La DPIA puede ser una herramienta valiosa para que las organizaciones evalúen y mitiguen riesgos para la privacidad, además de garantizar la transparencia y la responsabilidad bajo el RGPD.

Cuando se requiere una DPIA, esta debe documentar la necesidad y la proporcionalidad del tratamiento, evaluar los riesgos asociados e implementar las medidas técnicas y organizativas adecuadas para mitigarlos. No realizar una DPIA cuando sea necesaria puede exponer a las organizaciones a la supervisión o sanciones regulatorias.

La consulta pública cerró el 20 de mayo de 2025 y se espera una versión final próximamente

La consulta invitó a fabricantes, empresas de alquiler, proveedores de software y telemática, intermediarios de datos, así como a la sociedad civil y a los usuarios finales a proporcionar comentarios. Se alentó a las partes interesadas a canalizar sus opiniones a través de federaciones u organizaciones representativas.

Con la consulta pública ya concluida, la CNIL analizará las contribuciones y se espera que publique una versión final de la recomendación en los próximos meses. Es probable que el texto final refleje conocimientos específicos del sector, al tiempo que refuerce las obligaciones existentes bajo el RGPD en el contexto de la movilidad conectada.

La recomendación final de la CNIL desempeñará un papel clave en la definición de prácticas de cumplimiento en el ecosistema de vehículos conectados

A medida que el sector automotriz continúa su transformación hacia servicios basados en datos, los reguladores deben garantizar que la innovación no comprometa los derechos fundamentales de las personas. La próxima recomendación de la CNIL será un recurso esencial de cumplimiento para las partes interesadas que gestionan el delicado equilibrio entre el avance tecnológico y la protección de datos personales. Aquellos involucrados en la movilidad conectada deberían comenzar a evaluar sus prácticas actuales a la luz del borrador, anticipando una orientación vinculante.

Descubre cómo puede ayudarte Aphaia a diseñar tu estrategia de protección de datos e IA. Ofrecemos servicios de cumplimiento con el RGPD y el UK GDPR, así como DPO externo. Nos especializamos en ayudar a empresas como la tuya con soluciones innovadoras que cumplan y superen los requisitos del mercado y del panorama regulatorio actual. Contacta con Aphaia hoy.