General Motors ha accettato di pagare 12,75 milioni di dollari per risolvere le cause sulla privacy della California dopo che la casa automobilistica ha venduto segretamente i dati sulla posizione e sul comportamento di guida di centinaia di migliaia di abbonati OnStar a broker di dati - negandolo pubblicamente. L'accordo, annunciato l'8 maggio 2026, segna la più grande multa CCPA nella storia della California e lancia un severo avvertimento a qualsiasi azienda che tratti i dati personali come una fonte di reddito nascosta.
Come GM ha venduto i tuoi dati di guida a tua insaputa
Dal 2020 al 2024, General Motors e la sua affiliata OnStar hanno raccolto dati precisi su geolocalizzazione, velocità, frenata, accelerazione e altri comportamenti dagli abbonati iscritti - per poi venderli a due broker di dati: Verisk Analytics e LexisNexis Risk Solutions. I dati sono stati utilizzati dai broker per costruire profili di rischio dei conducenti, venduti poi alle compagnie di assicurazione.
Secondo quanto riferito, GM ha guadagnato circa 20 milioni di dollari a livello nazionale da queste vendite di dati. Gli abbonati non sono mai stati chiaramente informati che i loro dati di guida venivano pacchettizzati e venduti. In alcuni casi, gli utenti che hanno tentato di rinunciare hanno trovato il processo confuso o inefficace. Il procuratore generale della California Rob Bonta, insieme ai procuratori distrettuali delle contee di San Francisco, Los Angeles, Napa e Sonoma, ha intentato l'azione ai sensi del CCPA, della legge sulla concorrenza sleale e della legge sulla pubblicità ingannevole.
Accordo record: quasi cinque volte la precedente multa CCPA
Con 12,75 milioni di dollari, la sanzione è di gran lunga la più grande azione di applicazione della CCPA nella storia della legge - quasi cinque volte il precedente record stabilito da un accordo con Disney all'inizio di quest'anno. L'accordo copre presunte violazioni relative a dati raccolti tra il 2016 e il 2024.
- Dati venduti: Nomi, dettagli di contatto, geolocalizzazione precisa e dati sul comportamento di guida di centinaia di migliaia di californiani.
- Acquirenti: Verisk Analytics e LexisNexis Risk Solutions - entrambi importanti fornitori del settore assicurativo.
- Entrate GM dalle vendite: Circa 20 milioni di dollari a livello nazionale (2020-2024).
- Multa: 12,75 milioni di dollari - la più grande multa CCPA della storia.
Oltre alla multa, l'accordo impone a GM di smettere di vendere dati di guida a qualsiasi agenzia di segnalazione dei consumatori per cinque anni, di eliminare specifici dati di guida raccolti negli ultimi 180 giorni e di richiedere a Verisk e LexisNexis di eliminare i dati dei consumatori ricevuti da GM.
La tua auto è un dispositivo di sorveglianza - che tu lo sappia o no
Il caso GM è un esempio storico di una tendenza più ampia e in rapida accelerazione: i veicoli connessi sono diventati piattaforme di raccolta dati su ruote. Le auto moderne con sistemi telematici come OnStar tracciano molto più della navigazione - monitorano le abitudini di frenata, i modelli di accelerazione, l'uso delle cinture di sicurezza, la frequenza dei viaggi e le precise coordinate GPS. Questi dati sono diventati un prodotto redditizio, venduto ad assicuratori, inserzionisti e agenzie governative senza il consenso significativo dei conducenti.
Le compagnie di assicurazione cercano da tempo dati granulari sul comportamento di guida per adeguare i premi. Ciò che l'accordo GM conferma è che questa pipeline di dati operava nell'ombra - gli abbonati iscritti a funzioni di comodità come l'assistenza stradale non avevano idea che le loro abitudini di guida venissero monetizzate e condivise.
Il caso evidenzia anche come gli strumenti di privacy standard siano insufficienti per i dati dei veicoli. Una VPN protegge il tuo traffico Internet ma non può impedire al sistema telematico della tua auto di segnalare dati di posizione e comportamento direttamente ai server del produttore. Proteggere la privacy dei veicoli richiede di reagire a livello legislativo e contrattuale - chiedendo ai produttori di auto meccanismi di opt-out chiari e rigide regole di minimizzazione dei dati.
Cosa segnala la multa di GM per l'applicazione della CCPA
I regolatori della privacy della California sono stati criticati per anni per non aver applicato a sufficienza la CCPA. Una sanzione di 12,75 milioni di dollari - cinque volte il record precedente - segnala un'escalation significativa. Gli analisti legali notano che le disposizioni sulla minimizzazione dei dati dell'accordo potrebbero essere il suo elemento di maggiore impatto: costringere GM a smettere completamente di vendere questi dati per cinque anni crea un precedente in base al quale i dati grezzi di guida non sono una merce liberamente scambiabile.
Il caso è stato coordinato tra il procuratore generale della California e quattro procuratori distrettuali, suggerendo che la California sta costruendo un'infrastruttura di applicazione multi-agenzia progettata per affrontare i grandi imputati aziendali. Pratiche simili sui dati delle case automobilistiche come Toyota, Ford, Hyundai e altre rimangono sotto il controllo dei ricercatori sulla privacy e dei regolatori negli Stati Uniti e nell'UE.
