California impone una nueva prueba a la privacidad de los autos conectados
General Motors aceptó un acuerdo de 12,75 millones de dólares con agencias de aplicación de la ley de California por la recopilación y venta de datos de conductores, marcando una de las señales estatales más claras hasta ahora de que el negocio del automóvil conectado enfrentará límites más duros cuando el consentimiento y el uso de datos se separen. El caso se centra en acusaciones de que GM, a través de su programa OnStar, vendió información personal y de comportamiento de cientos de miles de californianos a intermediarios de datos sin conocimiento o permiso suficiente de los clientes.
El acuerdo, anunciado por la oficina del fiscal general de California Rob Bonta, va más allá de una sanción económica. GM también aceptó dejar de vender datos de conducción a agencias de informes del consumidor durante cinco años, eliminar los datos de conductores retenidos en un plazo de 180 días salvo que obtenga el consentimiento del cliente, y pedir a LexisNexis Risk Solutions y Verisk Analytics que eliminen los datos que recibieron. En la práctica, esa combinación hace que esto sea más que una multa. Es un desmantelamiento ordenado por los reguladores de una canalización de intercambio de datos que, según ellos, no debió existir en la forma alegada.
Qué dice California que ocurrió
Según la descripción del acuerdo citada en el texto fuente proporcionado, GM vendió nombres, información de contacto, datos de geolocalización y datos de comportamiento al volante recopilados a través de OnStar. California alega que la empresa obtuvo unos 20 millones de dólares de esas ventas. La preocupación subyacente no es solo que la información circulara entre empresas, sino que los consumidores no fueron informados de manera significativa y no consintieron un uso secundario que podía afectarlos de forma importante.
El contexto político y regulatorio importa aquí. Informes de 2024 ya habían atraído atención nacional hacia los fabricantes de automóviles que compartían información sobre el comportamiento de conducción con ecosistemas vinculados al seguro, lo que encendió temores de que los datos telemáticos pudieran alimentar decisiones de precio o de puntuación de riesgo. En California, la oficina de Bonta dijo que los datos en cuestión probablemente no aumentaron las primas de seguro porque la ley estatal prohíbe a las aseguradoras usar datos de conducción para fijar tarifas. Aun así, la posición del estado es que la supuesta venta en sí violó las expectativas de privacidad y las reglas de minimización de datos de California.
Esa distinción es importante. Una violación de privacidad no necesita producir un aumento medible de la prima para convertirse en un gran problema de cumplimiento. Los reguladores se centran cada vez más en si las empresas recopilaron más de lo necesario, conservaron los datos más tiempo del debido o los reutilizaron de maneras que los consumidores no esperarían razonablemente. El acuerdo con GM encaja de lleno en ese marco.
Por qué este caso va más allá de una sola automotriz
El problema más amplio es que los vehículos modernos se han convertido en plataformas de sensores sobre ruedas. Los servicios conectados pueden capturar ubicación, patrones de viaje, comportamiento de conducción y otra telemetría que crea valor para navegación, seguridad, mantenimiento y respuesta a emergencias. Pero esos mismos sistemas también pueden generar un flujo monetizable de datos de consumidores. Una vez que esa información fluye hacia intermediarios de datos, firmas de análisis o actores cercanos al crédito, la línea entre prestación de servicio y vigilancia se vuelve mucho más difícil de defender.
La acción de California sugiere que los reguladores ya no se conforman con divulgaciones vagas, opt-ins enterrados o permisos amplios atados a ecosistemas de software vehicular complejos. Si una empresa dice una cosa a sus clientes sobre el manejo de datos y hace otra, esa brecha puede convertirse en el núcleo mismo de la responsabilidad. La declaración de Bonta en el material fuente subrayó precisamente ese punto, al alegar que GM aseguró a los conductores que no vendería los datos mientras lo hacía de todos modos.
Para la industria automotriz, esto crea un desafío práctico de cumplimiento. Los fabricantes dependen cada vez más de modelos de negocio definidos por software y servicios digitales recurrentes. Esas estrategias a menudo asumen que los datos generados por el vehículo son un activo estratégico. Pero si los reguladores exigen límites de consentimiento más estrictos y ventanas de retención más cortas, la economía de esos datos puede cambiar rápidamente. Un conjunto de datos vale menos cuando los consumidores pueden negarse, cuando las empresas deben borrarlo de inmediato y cuando el intercambio aguas abajo se vuelve legalmente riesgoso.
El verdadero mensaje del acuerdo
La restricción de cinco años sobre las ventas a agencias de informes del consumidor puede resultar especialmente influyente. Apunta a una categoría sensible de uso aguas abajo, donde los datos pueden moldear decisiones que se sienten menos como publicidad y más como acceso, precio o clasificación de riesgo. Aunque California dijo que sus reglas de seguros probablemente bloquearon aumentos de tarifas derivados de este flujo específico de datos, el estado siguió considerando que el arreglo era lo bastante serio como para requerir remedios estructurales.
Ese remedio también llega después de que GM resolviera previamente un caso con la Comisión Federal de Comercio sobre ventas de datos, con una orden final que prohibió a GM y OnStar vender ciertos datos a agencias de informes del consumidor. En conjunto, las acciones federales y de California muestran convergencia más que duplicación. Washington y Sacramento no solo están castigando conductas pasadas; están estrechando el modelo operativo aceptable para los negocios de datos de autos conectados.
Los consumidores no deberían asumir que este es solo un problema de GM. La industria de vehículos conectados lleva años ampliando lo que los autos pueden observar, almacenar y transmitir. Es poco probable que esa tendencia se revierta. Lo que puede cambiar es la tolerancia regulatoria hacia el corretaje opaco de datos superpuesto a esas capacidades. Las empresas enfrentarán presión para que el consentimiento sea explícito, específico para cada propósito y revocable, mientras demuestran que las reglas de retención e intercambio coinciden con lo que se dijo a los conductores.
Qué viene después
Para GM, el camino inmediato es operativo: cumplir con los plazos de eliminación, detener las ventas restringidas y reconstruir la confianza en la forma en que sus servicios conectados manejan los datos personales. Para sus rivales, la lección es auditar ahora las rutas de datos, antes de que los reguladores estatales lo hagan por ellos. El acuerdo muestra que incluso cuando el daño financiero directo se discute o es limitado, la simple discrepancia entre recopilación, divulgación y reventa puede desencadenar sanciones importantes.
Para los responsables de políticas, California añadió otra marca en la gobernanza en evolución de productos digitales que se mueven a través del mundo físico. Los automóviles ya no son solo dispositivos de transporte. Son plataformas de datos con sensores, suscripciones y relaciones con terceros. Esa realidad eleva las apuestas para la ley de privacidad porque la información involucrada es íntima y conductual, a menudo vinculada a rutinas diarias, ubicaciones y patrones que la gente no puede ocultar fácilmente.
El acuerdo con GM no resuelve todas las preguntas sobre la privacidad en los autos conectados, pero sí aclara una cosa: los reguladores esperan cada vez más que los fabricantes traten la telemetría como datos sensibles del consumidor, no como un subproducto sometido a una gobernanza ligera. Ese cambio podría remodelar cómo se diseñan, comercializan y monetizan los negocios de software automotriz en los próximos años.
Este artículo se basa en reportes de TechCrunch. Leer el artículo original.
Originally published on techcrunch.com



