Procedimiento para generar datos de peaje anonimizados respecto a la ubicación (T) a partir de las grabaciones de ubicación (pi) de un aparato de vehículo (1),

que realiza las grabaciones de ubicación, con una identificación única (OID) en un sistema de peaje viario, con los siguientes pasos: enviar (4) las grabaciones de ubicación (pi) con al menos una identificación de emisor (RID), distinta a la identificación (OID) del aparato de vehículo (1), a un servidor de cálculo de peaje (5), calcular (6) datos de peaje anonimizados respecto a la ubicación (T) a partir de las grabaciones de ubicación (pi) y borrar a continuación las grabaciones de ubicación (pi) en el servidor de cálculo de peaje (5), esperar en el aparato de vehículo (1) la llegada de una confirmación explícita (15) del servidor de cálculo de peaje (5) sobre el borrado realizado de las grabaciones de ubicación (pi), y a continuación liberar (12) la identificación (OID), perteneciente a la identificación de emisor (RID), mediante su transmisión del aparato de vehículo (1) al servidor de cálculo de peaje (5) que asigna los datos de peaje anonimizados respecto a la ubicación (T) a la identificación (OID) y los envía a una central (2) del sistema de peaje.

Procedimiento y dispositivos para generar datos de peaje anonimizados respecto a la ubicación La presente invención se refiere a un procedimiento para generar datos de peaje anonimizados respecto a la ubicación a partir de las grabaciones de ubicación de un aparato de vehículo, que realiza las grabaciones de ubicación, con una identificación única en un sistema de peaje viario. La invención se refiere además a un servidor de cálculo de peaje y a un aparato de vehículo para la ejecución de este procedimiento.

Los aparatos de vehículo para sistemas de peaje viario se identifican también como "onboard units" u OBUs (unidades a bordo) . En la actualidad existen dos realizaciones distintas de OBUs que pueden determinar y grabar automáticamente su posición, por ejemplo, mediante receptores de navegación por satélite: Los llamados OBUs "thick client" (cliente pesado) calculan datos de peaje anonimizados respecto a la ubicación sobre la base de mapas de peaje almacenados a partir de sus grabaciones de ubicación y los envían a una central del sistema de peaje viario, por ejemplo, a través de una red de telefonía móvil, lo que requiere una distribución costosa de los mapas de peaje a los OBUs y una alta capacidad de cálculo en los OBUs. A diferencia de esto, los llamados OBUs "thin client" (cliente liviano) no evalúan automáticamente sus grabaciones de ubicación, sino que las envían en estado "bruto" a la central que lleva a cabo el cotejo de mapas de peaje ("map matching") para generar datos de peaje a partir de esto. Por tanto, los OBUs "thin client" tienen una construcción esencialmente más simple y económica, pero son cuestionables desde el punto de vista de la protección de datos, porque la central del sistema de peaje viario conoce todas las grabaciones de ubicación ("perfil de movimiento") de un OBU, incluyendo su permanencia en lugares no sujetos a peaje.

Por consiguiente, el documento WO 2008/000227 ya propuso enviar las grabaciones de ubicación de un OBU "thin client" con una identificación de emisor anonimizada a un servidor de cálculo de peaje especial que ejecuta el "map matching" y reenvía al OBU los datos de peaje anonimizados respecto a la ubicación que el OBU transmite a continuación a la central. En este sistema resulta difícil controlar el cumplimiento de las obligaciones relativas a la protección de datos debido a la estructura arbitraria del servidor de cálculo de peaje. Además, esta solución genera un tráfico de datos adicional en el sistema de peaje viario.

Del documento WO 2009/001303 A1 es conocido que la central espere una confirmación de borrado del servidor de cálculo de peaje antes de asignar los datos de peaje anonimizados respecto a la ubicación, que se han recibido del servidor de cálculo de peaje, a una identidad de usuario recibida del OBU, lo que priva al OBU del derecho de disposición sobre la divulgación del OBU-ID (identificación de OBU) e implica el peligro de que la seguridad de los datos se vea comprometida.

La invención tiene el objetivo de eliminar las desventajas del estado de la técnica y crear especialmente un procedimiento para generar datos de peaje para OBUs "thin client", que garantice una protección de datos mejorada o una mayor confidencialidad para el usuario. Este objetivo se consigue mediante un procedimiento con las características de la reivindicación 1.

La invención se basa en un concepto, completamente nuevo y sorprendentemente simple, para la implementación de la protección de datos a nivel próximo a hardware ("privacy by design", privacidad en el diseño) :

El OBU espera una confirmación explícita de borrado del servidor de cálculo de peaje y libera a continuación su identificación. De ese modo se obtiene la protección de datos condicionada por hardware ("privacy by design") . Un servidor de cálculo de peaje, especialmente adecuado para la invención, se caracteriza porque éste borra las grabaciones de ubicación después de procesarlas para obtener datos de peaje y envía al respecto una confirmación a un aparato de vehículo.

Un aparato de vehículo, especialmente adecuado para la invención, presenta medios de liberación que después de la recepción de una confirmación de borrado respecto a las grabaciones de ubicación enviadas transmiten su identificación de emisor con la identificación del aparato de vehículo.

La invención garantiza así de un modo simple y transparente para el usuario y el operador del sistema una confidencialidad, condicionada por hardware, de los datos sensibles de grabación de ubicación. Las grabaciones de ubicación se guardan en la central sólo el tiempo necesario para su procesamiento y a continuación se borran automáticamente. Esto permite disipar cualquier duda relacionada con un seguimiento o una elaboración central de un perfil de movimiento de los aparatos de vehículo. Además, la invención no provoca un tráfico de datos elevado en el sistema de peaje viario.

Si se desea, las grabaciones de ubicación en el servidor de cálculo de peaje se pueden codificar en cada realización antes del borrado con la clave pública de un sistema de archivo externo y enviar a éste. Un sistema de archivo de este tipo deberá gozar como un tipo de fiduciario o notario de una gran confianza por parte de todos los participantes, es decir, tanto de los usuarios como del operador del sistema, y en caso de litigio podrá ser consultado por cualquiera de las partes.

El envío y la liberación desde el aparato de vehículo se lleva a cabo preferentemente mediante una red de telefonía, con especial preferencia una red de telefonía móvil. De este modo se pueden usar, por ejemplo, OBUs "thin client" convencionales que están equipados con un transceptor DSRC (comunicación dedicada de corto alcance) o de telefonía móvil.

Según otra realización preferida de la invención, las grabaciones de ubicación de un aparato de vehículo se envían en paquetes de datos provistos en cada caso de las mismas identificaciones de emisor, lo que simplifica la evaluación, ya que el aparato de vehículo, después de esperar el período de tiempo o recibir la confirmación de borrado, tiene que revelar su identificación sólo respecto a una única identificación de emisor.

Las grabaciones de ubicación de un aparato de vehículo se pueden enviar alternativamente en paquetes de datos provistos de identificaciones de emisor variables. Esto permite aumentar la confidencialidad en la interfaz de transmisión.

Con preferencia, los paquetes de datos provistos de identificaciones de emisor variables están provistos adicionalmente de identificaciones de paquete encadenadas que permiten su asignación entre sí. De este modo, el aparato de vehículo necesita liberar su identificación sólo respecto a la identificación de emisor del último paquete de datos.

La identificación, con la que se identifica un aparato de vehículo, puede ser tanto una identificación del propio aparato de vehículo como una identificación asignada al usuario del vehículo, por ejemplo, una identificación de una cuenta de usuario para cobrar las tasas de peaje en el sistema de peaje viario.

La identificación de emisor usada para enviar las grabaciones de ubicación al servidor de cálculo de peaje puede ser tanto un valor aleatorio como un código seleccionable libremente por el usuario, lo que aumenta aún más la transparencia para el usuario.

El procedimiento de la invención es adecuado para todos los tipos de aparatos de vehículo autolocalizadores, con independencia del modo en que determinan su ubicación, por ejemplo, mediante el reconocimiento de marcas terrestres o la identificación de balizas, por las que se guía el aparato de vehículo. Es especialmente ventajoso que el aparato de vehículo determine de forma conocida sus ubicaciones mediante navegación por satélite, pudiéndose usar para esto, por ejemplo, los OBUs "thin client" asistidos por GPS.

La invención se explica detalladamente a continuación por medio de ejemplos de realización que están representados en los dibujos adjuntos y cuyas figuras 1 y 2 muestran en un esquema de bloques dos realizaciones distintas de un sistema de peaje viario que funciona según el procedimiento de la invención y contiene componentes según la invención.

Según la figura 1, un OBU 1 se mueve a bordo de un vehículo en el marco de un sistema de peaje viario con una central 2. La central 2 cobra el uso local del OBU 1 que está sujeto a peaje, por ejemplo, la circulación por una carretera de peaje,... [Seguir leyendo]

1. Procedimiento para generar datos de peaje anonimizados respecto a la ubicación (T) a partir de las grabaciones de ubicación (pi) de un aparato de vehículo (1) , que realiza las grabaciones de ubicación, con una identificación única (OID) en un sistema de peaje viario, con los siguientes pasos:

enviar (4) las grabaciones de ubicación (pi) con al menos una identificación de emisor (RID) , distinta a la identificación (OID) del aparato de vehículo (1) , a un servidor de cálculo de peaje (5) , calcular (6) datos de peaje anonimizados respecto a la ubicación (T) a partir de las grabaciones de ubicación (pi) y borrar a continuación las grabaciones de ubicación (pi) en el servidor de cálculo de peaje (5) , esperar en el aparato de vehículo (1) la llegada de una confirmación explícita (15) del servidor de cálculo de peaje (5) sobre el borrado realizado de las grabaciones de ubicación (pi) , y a continuación liberar (12) la identificación (OID) , perteneciente a la identificación de emisor (RID) , mediante su transmisión del aparato de vehículo (1) al servidor de cálculo de peaje (5) que asigna los datos de peaje anonimizados respecto a la ubicación (T) a la identificación (OID) y los envía a una central (2) del sistema de peaje.

2. Procedimiento según la reivindicación 1, caracterizado porque las grabaciones de ubicación (pi) en el servidor de cálculo de peaje (5) se codifican antes del borrado con la clave pública de un sistema de archivo externo

(9) y se envían a éste.

3. Procedimiento según la reivindicación 1 ó 2, caracterizado porque el envío (4) y la liberación (12) desde el aparato de vehículo (1) se lleva a cabo mediante una red de telefonía, preferentemente una red de telefonía móvil.

4. Procedimiento según una de las reivindicaciones 1 a 3, caracterizado porque las grabaciones de ubicación (pi) de un aparato de vehículo (1) se envían en paquetes de datos (3) provistos en cada caso de las mismas identificaciones de emisor (RID) .

5. Procedimiento según una de las reivindicaciones 1 a 3, caracterizado porque las grabaciones de ubicación (pi) de un aparato de vehículo se envían en paquetes de datos (3) provistos de identificaciones de emisor variables (RIDi) .

6. Procedimiento según la reivindicación 5, caracterizado porque los paquetes de datos (3) están provistos de identificaciones de paquete encadenadas (Pi) que permiten su asignación entre sí, liberándose (12) la identificación (OID) sólo respecto a la identificación de emisor (RIDi) del último paquete de datos (3) .

7. Procedimiento según una de las reivindicaciones 1 a 6, caracterizado porque la identificación mencionada (OID) es una identificación de aparato de vehículo o de cuenta de usuario.

8. Procedimiento según una de las reivindicaciones 1 a 7, caracterizado porque la identificación de emisor (RID) es un valor aleatorio o un código seleccionable por el usuario.

9. Servidor de cálculo de peaje (5) para la ejecución del procedimiento según una de las reivindicaciones 1 a 8, configurado para la recepción de grabaciones de ubicación (pi) y el cálculo de datos de peaje anonimizados respecto a la ubicación (T) , caracterizado porque borra las grabaciones de ubicación (pi) después de procesarlas para obtener datos de peaje (T) y envía al respecto una confirmación (15) a un aparato de vehículo (1) .

10. Aparato de vehículo (1) , que realiza grabaciones de ubicación, con una identificación (OID) , para la ejecución del procedimiento según una de las reivindicaciones 1 a 8, configurado para el envío (4) de sus grabaciones de ubicación (pi) con al menos una identificación de emisor (RID) distinta a la identificación (OID) , caracterizado por medios de liberación que después de la recepción de una confirmación de borrado (15) respecto a las grabaciones de ubicación enviadas (pi) transmiten su identificación de emisor (RID) con su identificación (OID) .

REFERENCIAS CITADAS EN LA DESCRIPCIÓN

Esta lista de referencias citadas por el solicitante es únicamente para la comodidad del lector. No forma parte del 5 documento de la patente europea. A pesar del cuidado tenido en la recopilación de las referencias, no se pueden excluir errores u omisiones y la EPO niega toda responsabilidad en este sentido.

Documentos de patente citados en la descripción

WO 2008000227 A [0003] WO 2009001303 A1 [0004]