California acaba de cerrar con General Motors el mayor acuerdo extrajudicial de su historia por vender los datos privados de sus usuarios. El 8 de mayo, el fiscal general Rob Bonta anunció el acuerdo alcanzado con GM tras una investigación de la fiscalía: la empresa recopiló los datos de conducción de cientos de miles de californianos, se los vendió a dos intermediarios sin decírselo a nadie, y se embolsó unos 20 millones de dólares haciéndolo. GM pagará 12,75 millones al Estado como parte del acuerdo, la mayor sanción civil impuesta hasta ahora bajo la Ley de Privacidad del Consumidor de California (CPRA). La empresa no ha admitido responsabilidad.

La fuente de esos datos era OnStar, el sistema de conectividad que GM incluye en sus coches y que los conductores usan para navegación y asistencia en carretera. A través de él, la compañía fue recopilando nombres, teléfonos, direcciones, coordenadas GPS y datos de comportamiento al volante: frenadas bruscas, aceleraciones, velocidad media. Esa información acabó en manos de LexisNexis Risk Solutions y Verisk Analytics, dos grandes intermediarios de datos que la usaron para construir perfiles de riesgo de conductores y vendérselos a aseguradoras.

GM prometió que no lo haría. Y lo hizo

Lo que eleva este caso por encima de una infracción administrativa es lo que GM decía mientras tanto. Según la denuncia de la fiscalía, la empresa le aseguraba a sus suscriptores que no vendía datos de conducción ni de ubicación. Los conductores pagaban por un servicio de emergencias creyendo que su información era privada. No lo era.

Bonta no se anduvo con rodeos: «GM vendió los datos de los conductores californianos sin su conocimiento ni consentimiento y a pesar de las numerosas declaraciones en las que les aseguraba que no lo haría.» La fiscalía también señaló que GM guardó esa información durante más tiempo del necesario y la comercializó para fines que no tenían nada que ver con los servicios de OnStar que sus clientes habían contratado.

Qué tiene que hacer GM ahora

El acuerdo, que todavía espera aprobación judicial, le impone a GM cuatro obligaciones. Durante cinco años no podrá vender datos de conducción a agencias de información crediticia, lo que incluye a LexisNexis y Verisk. Tiene 180 días para eliminar los datos que conserva, salvo que cada cliente le dé permiso explícito para quedárselos. Tendrá que pedirle a ambos intermediarios que borren los registros que ya compraron. Y deberá reforzar su programa interno de cumplimiento en materia de privacidad. GM ha cerrado el acuerdo sin admitir responsabilidad.

Los 12,75 millones van íntegros al Estado de California como sanciones civiles. Los conductores afectados no reciben ninguna compensación individual y no hay ningún proceso de reclamación abierto.

¿Servirá de ejemplo?

Más allá de la cifra, el caso deja dos precedentes que van a importar. Es la primera vez que California aplica el principio de minimización de datos contra un fabricante de automóviles, y es la sanción más alta de la historia bajo la CPRA. Los dos detalles juntos mandan un mensaje claro: los coches conectados ya no son un territorio aparte. Recopilan tanto sobre sus conductores como un móvil, y a partir de ahora eso tiene consecuencias regulatorias reales.

La pregunta que queda en el aire es cuántos otros fabricantes han hecho lo mismo. OnStar no es el único sistema de conectividad del sector, y LexisNexis y Verisk no son los únicos compradores de ese tipo de información.