La Procuraduría General de California alcanzó un acuerdo de $12.75 millones con General Motors que marca un punto de inflexión en la regulación de la telemetría vehicular: las autoridades estatales concluyeron que GM, a través de su servicio OnStar y el programa “Smart Driver”, recopiló y vendió datos de conducción y ubicación de residentes de California a intermediarios como Verisk y LexisNexis sin la notificación y el consentimiento requerido por la ley estatal.
Más allá del monto —un récord en multas civiles por privacidad en California— el caso es relevante porque es la primera acción de cumplimiento estatal centrada expresamente en la regla de minimización de datos: es decir, en que las empresas solo deben recolectar y conservar lo estrictamente necesario para la finalidad declarada. El acuerdo obliga a GM a dejar de vender esos datos por cinco años, a pedir a los compradores que borren la información ya transferida, y a eliminar los registros que retenga en 180 días salvo que los consumidores otorguen un consentimiento explícito para su conservación.
El caso confirma una tendencia que venimos observando en la industria automotriz y en el ecosistema de datos: los vehículos conectados generan información valiosa —posiciones precisas, patrones de desplazamiento, comportamientos al volante— que puede monetizarse rápidamente y terminar en productos de puntuación de conductores o en perfiles vendidos a aseguradoras y otros actores. Eso expone riesgos concretos para la privacidad y la seguridad física de las personas, desde la identificación de rutinas diarias hasta la posibilidad de uso discriminatorio o de vigilancia comercial sin control.
Para el sector, la lección es clara: la monetización de telemetría ya no es un terreno gris sin consecuencias. Reguladores federales y estatales han intensificado la supervisión; en este caso el fallo californiano se suma a sanciones y restricciones previas de la Comisión Federal de Comercio y a otras investigaciones sobre corredores de datos. Las empresas que operen con datos de vehículos necesitan incorporar privacidad por diseño, revisar contratos con terceros y documentar las bases legales y los límites temporales de retención de datos.
Para los consumidores, el acuerdo ofrece herramientas y recordatorios prácticos. Quienes tengan vehículos conectados deberían revisar las políticas de privacidad y las opciones de telemetría en sus cuentas de fabricante o servicios como OnStar, solicitar la eliminación de datos y ejercer derechos bajo la ley de California (incluido el derecho a optar por no vender) cuando corresponda. La Procuraduría de California explica cómo presentar reclamaciones y entender estos derechos en su nota oficial: comunicado de la Oficina del Fiscal General.
Si quiere profundizar, existen coberturas periodísticas y técnicas que recogen el historial del caso y sus repercusiones sobre corredores de datos y aseguradoras; un resumen accesible y actualizado de la investigación está disponible en BleepingComputer: análisis del acuerdo. También es recomendable leer las políticas de privacidad del fabricante para identificar cómo se recogen y usan los datos: por ejemplo, la declaración de privacidad global de GM ofrece pautas sobre opciones y contactos para solicitudes de privacidad: GM Privacy.
En términos regulatorios y de mercado, espere más fiscalización sobre la relación entre fabricantes, proveedores de telemática y corredores de datos. Los reguladores están empezando a aplicar sanciones por prácticas que antes quedaban en el terreno de “aceptable” comercialmente; la prioridad ahora es demostrar que la recolección tiene una finalidad legítima, proporcional y transparente. Para las empresas, la inversión en cumplimiento y auditorías independientes dejará de ser un costo opcional y pasará a ser una exigencia operativa.
Finalmente, como recomendación concreta: si posee un vehículo moderno con conectividad, revise su contrato y la app asociada, desactive funciones que no necesite, documente cualquier solicitud de eliminación que haga y conserve comprobantes. Si vive en California y cree que sus derechos han sido vulnerados, consulte las vías de reclamación estatales y, si procede, ascienda la queja a las autoridades competentes. El precedente de este acuerdo muestra que la privacidad en la era del automóvil conectado es una frontera regulatoria activa y que tanto consumidores como empresas deben adaptarse.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...