¿Un .bin es un dato personal?
Por sorprendente que parezca: sí, en muchos casos.
Un archivo ECU típico (.bin/.ori) contiene:
- VIN del vehículo (cuando se lee desde OBD)
- Kilometraje almacenado
- Códigos DTC históricos
- Identificadores de calibración asociables al VIN
Y el VIN está asociado al titular del vehículo en cualquier base de datos pública (DGT, ITV, aseguradora). Por tanto, en términos del Reglamento General de Protección de Datos (RGPD), un archivo ECU es un dato personal de carácter indirecto y queda bajo el ámbito de aplicación de la normativa.
Obligaciones concretas del taller
1. Información al cliente (artículo 13 RGPD)
Cuando el cliente trae un coche y vas a leer la ECU, debes informar:- Qué datos se van a tratar
- Con qué finalidad
- Si se ceden a terceros (importante si usas proveedor remoto)
- Plazo de conservación
- Derechos del interesado
2. Base legal del tratamiento (artículo 6)
- Generalmente: ejecución contractual del servicio solicitado (no requiere consentimiento separado)
- Si vas a usar el archivo después para fines distintos (estadísticas, formación, etc.): requiere consentimiento separado específico
3. Custodia segura
- Archivos cifrados en reposo
- Acceso limitado a personal autorizado
- Borrado seguro tras plazo legal de conservación
- Backups protegidos
4. Plazo de conservación
No existe un plazo legal específico para archivos ECU, pero por analogía con otros datos de reparación se recomienda:- 12 meses para servicio post-venta + garantía
- Plazo adicional si se requiere por reclamación o litigio
- Borrado seguro al final del plazo
5. Contrato con proveedor (artículo 28 RGPD)
Si subes el archivo a un proveedor remoto (EcuRemap Pro, MyChiptuningfiles, etc.), debes firmar contrato de encargo de tratamiento que regule:- Finalidades concretas
- Medidas de seguridad técnicas y organizativas
- Subprocesadores autorizados
- Devolución/borrado al finalizar
- Asistencia ante derechos del interesado
Sanciones reales bajo GDPR
La Agencia Española de Protección de Datos (AEPD) ha sancionado en los últimos años a varios talleres y empresas de automoción por:
- No informar adecuadamente sobre cesiones a terceros: 1.500-5.000 €
- No firmar contrato encargo con proveedor remoto: 3.000-10.000 €
- Brecha de seguridad no comunicada en plazo (72h): hasta 20 millones € o 4% facturación
- Conservación excesiva sin justificación: 2.000-8.000 €
Brecha de seguridad: qué hacer si pasa
Si pierdes archivos ECU (por ejemplo, ordenador robado con la carpeta de .bin sin cifrar):
- 0-24h: contiene el incidente, registra cronología
- 24-72h: notifica a la AEPD si hay riesgo para los interesados
- Si riesgo alto: notifica también a los propios clientes afectados
- Documentar: medidas correctoras, lecciones aprendidas, mejoras implementadas
Checklist práctico para tu taller
- [ ] Cláusula de información GDPR en albarán/orden reparación
- [ ] Carpeta de archivos ECU cifrada (mínimo BitLocker/FileVault)
- [ ] Contrato encargo de tratamiento firmado con cada proveedor remoto
- [ ] Política de borrado documentada (cuándo y cómo)
- [ ] Backups cifrados
- [ ] Persona responsable identificada (no hace falta DPO si tu volumen es bajo)
- [ ] Procedimiento ante solicitud de derechos del interesado (acceso, supresión, etc.)
Ayuda profesional
Si tu volumen de servicios ECU es alto o tienes dudas concretas, considera:
- Asesoría GDPR especializada (300-800 € auditoría inicial)
- Software de gestión documental con automatización GDPR
- Suscripción a recursos como aepd.es para mantenerte actualizado
Este artículo tiene carácter divulgativo y no sustituye asesoramiento legal específico. Para implementación concreta consulta abogado especializado en protección de datos.