Las normas sobre protección de la privacidad en entornos electrónicos no acaban con el RGPD

Written on 22 Jun 2018

La Propuesta de Reglamento de la UE sobre la privacidad y las comunicaciones electrónicas, que derogará la Directiva 2002/58/CE (modificada por la Directiva 2009/136/CE), ha generado una creciente preocupación entre las empresas de software ya que puede suponer un impacto de más de 500.000 millones de euros en la industria.  Recientemente, el Comité Europeo de Protección de Datos se ha pronunciado sobre la revisión de esta Propuesta y su impacto en la protección de los ciudadanos con respecto a la privacidad y confidencialidad de sus comunicaciones.

Además del Reglamento General de Protección de Datos (“RGPD“), existe otro reglamento europeo pendiente de aprobación que hay que tener en cuenta: el Reglamento sobre la privacidad y las comunicaciones electrónicas. El 10 de enero de 2017 la Comisión Europea emitió una Propuesta de Reglamento sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas (Reglamento de e-Privacy), con el objetivo de reforzar la confianza y la seguridad en el Mercado Único Digital. Inicialmente, se pretendió que la Propuesta deviniese aplicable el mismo día que el RGPD, sin embargo se retrasó su aprobación y se desconocen los plazos para su promulgación, entrada en vigor y aplicación. El ámbito de aplicación del Reglamento de e-Privacy abarcaría las comunicaciones electrónicas en un sentido realmente amplio, de manera que resulte aplicable a cualquier comunicación que afecte la privacidad de los consumidores en cuanto a sus correos electrónicos, mensajería instantánea, lo cual incluirá –de manera no exhaustiva– el spam, marketing directo y las cookies y tecnologías similares. La industrial digital europea  ha mostrado su preocupación por la propuesta de Reglamento ya que la misma puede llegar a suponer un importante impacto económico. Por otro lado, el Comité Europeo de Protección de Datos (que reemplaza al Grupo de Trabajo del Artículo 29 desde el 25 de mayo de 2018) ha hecho pública su opinión respecto a la Propuesta del Reglamento de e-Privacy el mismo día de su comienzo de actividad.

El Reglamento de e-Privacy que se propone tiene por objetivo actualizar el marco legal existente en esta materia, así como unificar la ley aplicable para los distintos Estados Miembros. En particular, con su aplicación se busca establecer unas normas sobre las cookies que faciliten su uso al usuario, habilitando para que otorgue (o no) su consentimiento a través de los ajustes del navegador. Estas normas sobre las cookies implicarían que no aparezcan nuevos avisos sobre políticas de cookies, sino por el contrario, puede suponer que emerjan nuevos avisos para que los usuarios acepten las cookies (si queremos seguir navegando) de manera similar a cómo se les invita a que deshabiliten los bloqueadores de publicidad. No obstante, el texto actual de la propuesta no requiere que se otorgue consentimiento para las cookies que no supongan una invasión en la privacidad del usuario (como por ejemplo: cookies de comercio electrónico). Así mismo, el considerando primero del texto introductorio de la Propuesta menciona que ‘el principio de confidencialidad debe aplicarse a los medios de comunicación actuales y futuros’; lo que engloba claramente a correos electrónicos y servicios de mensajería instantánea (servicios de comunicación Over-The-Top (“OTT“)), pero también engloba a las comunicaciones realizadas en el marco del Internet de las Cosas (IoT, por sus siglas en inglés) y las comunicaciones entre máquinas (“M2M“). La Propuesta de Reglamento de e-Privacy también cuenta con disposiciones sobre Big Data, por las que se establece la posibilidad para que las empresas de telecomunicaciones desarrollen nuevos servicios utilizando contenidos y/o metadatos cuando se otorga consentimiento para el tratamiento (de lo contrario, se requiere que se anonimicen o eliminen los datos, salvo en casos de facturación).

La Agencia Española de Protección de Datos (AEPD) celebró el día 4 de junio de 2018 la décima Sesión Anual Abierta, en la que se exponen las novedades sobre protección de datos. En el seno de la Sesión, se expuso el tema de cómo deben tratarse las cookies de modo que cumplan con las normas establecidas en el RGPD sobre consentimiento de los tratamientos. En España, la Ley de Comercio Electrónico (Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico) es ley especial respecto al RGPD –lex specialis derogat legi generali-, pero remite a éste en cuanto a lo que se refiere a consentimiento informado. Basándose en los requisitos que establece el RGPD sobre la obtención de un consentimiento suficientemente informado, los ponentes abordaron la manera en que deberían utilizarse las cookies de ahora en adelante, y en particular, cómo la información tiene que mostrarse al consumidor o cómo se tiene que dar/revocar el consentimiento.

Tal y como se menciona anteriormente, el Reglamento de e-Privacy ahora abarcaría los servicios de comunicación Over-The-Top (servicios de voz sobre protocolos de Internet y mensajería instantánea), los cuales no se hallaban incluidos en la definición de servicios de comunicaciones electrónicas de la Ley General de Telecomunicaciones. La naturaleza jurídica de estos servicios de comunicaciones, en muchas ocasiones operados por los grandes operadores del mercado digital mundial, ha sido un tema controvertido en tanto que no les resultaría aplicable ninguna norma en materia de telecomunicaciones en España, al tiempo que presentaban una dura competencia para los operadores regulados en el mercado español de telecomunicaciones. Será interesante comprobar se construye finalmente la definición de los servicios de comunicaciones electrónicas por referencia a la Directiva que establece el Código Europeo de las Comunicaciones Electrónicas para abarcar los modelos de negocio de los OTT.

El Reglamento pretendería garantizar que no se revele información alguna a nadie, salvo a las partes que intervienen en una comunicación, independientemente de la naturaleza de la misma. En consecuencia, el texto propuesto para el Reglamento de e-Privacy establece que ‘el principio de confidencialidad establecido en el presente Reglamento también ha de aplicarse a la transmisión de comunicaciones de máquina a máquina’. Sin embargo, el texto actual no distingue entre transmisiones M2M que contengan comunicaciones entre humanos y aquéllas que no. En este sentido, se debe tener en cuenta que el Reglamento de e-Privacy estaría incorporando exigencias legales para los servicios que dependan de estos medios de comunicación, incluso aunque no todas las transmisiones M2M implican que haya comunicaciones interpersonales.

En resumen, la Propuesta de Reglamento establecerá normas claras y estrictas sobre protección de los datos y privacidad, lo que puede suponer un claro impacto económico según los operadores de la industria. En efecto, estas normas podrían suponer a los proveedores de servicios online la necesidad de adoptar un nuevo modelo de negocio alternativo sin los ingresos que presentan la publicidad que se basa en los datos del usuario. Según la Developers Alliance (una organización a escala global sin ánimo de lucro que apoya a desarrolladores digitales), las empresas europeas digitales muestran su preocupación por la propuesta actual de Reglamento y estiman en 551,9 billones de euros la potencial pérdida anual de ingresos. No hay que olvidar tampoco que infringir el Reglamento de e-Privacy puede llegar a suponer la imposición de multas conforme a las normas del RGPD (que pueden llegar a los 20 millones de euros o el 4% del volumen de negocios a escala mundial del ejercicio financiero anterior, optándose por la de mayor cuantía).

En el marco del procedimiento legislativo que llevará a la promulgación del Reglamento de e-Privacy, el Comité Europeo de Protección de Datos (CEPD), en atención a algunas cuestiones específicas planteadas por las propuestas de enmienda presentadas por los co-legisladores, ha decidido ofrecer información adicional para clarificar el propósito del Reglamento. El CEPD empieza mencionando que la revisión a la actual Directiva de e-Privacy es necesaria ya que las comunicaciones OTT no se encuentran reguladas por la misma. Las principales observaciones del CEPD son las siguientes:

  • Nuestro día a día, en esta era digital en la que vivimos, conlleva el uso frecuente de comunicaciones electrónicas que es probable que contengan datos personales, por las que se pueden realizar conclusiones relativas a la vida privada de particulares. Teniendo en cuenta lo anterior, la Propuesta de Reglamento de e-Privacy aporta unas nuevas reglas que deberían convertirse en la herramienta perfecta para garantizar la protección de la privacidad, ya que en ella se incluyen amplias prohibiciones, limitadas excepciones y se basa en el uso del consentimiento.
  • La protección de la confidencialidad no es una novedad y se garantiza actualmente mediante la Directiva de e-Privacy. En este sentido, el CEPD recuerda que no sólo las cookies, sino cualquier tecnología de seguimiento requiere el consentimiento del usuario (salvo que se encuentre recogida en una de las excepciones de la Directiva). Así mismo, la Propuesta de Reglamento incluye algunas excepciones que se propusieron por el Grupo de Trabajo del Artículo 29.
  • La Propuesta de Reglamento pretende garantizar una aplicación uniforme para cada Estado Miembro y para cada tipo de responsable del tratamiento, así como abarcar las comunicaciones OTT en su ámbito objetivo de aplicación. En este sentido, debe evitarse cualquier propuesta de cambio que pueda menoscabar tal objetivo. El CEPD también aclara que el consentimiento que se requiere bajo el Reglamento de e-Privacy debe tener el mismo significado que en el RGPD, lo que impediría a los proveedores de servicios online para que establezcan los llamados “muros de cookies“.
  • El artículo 10 de la Propuesta de Reglamento (información y opciones de configuración de privacidad que han de proporcionarse) está diseñado para que se otorgue al usuario control sobre las capacidades de almacenaje de su equipo terminal, lo que es respaldado por el CEPD a la vez que propugna que se incluyan de manera explícita los teléfonos inteligentes y otros dispositivos. Además, el CEPD añade que los ajustes de privacidad deben facilitar al usuario para que otorgue/retire el consentimiento de una manera sencilla.

Debe recordarse que la propuesta del Parlamento UE, tal y como está aprobada, y la versión final que apruebe el Consejo UE (que representa a los Estados Miembros) pueden variar, así como también desconocemos la fecha en que se publicará el Reglamento o cuándo será aplicable.  Hasta que se apruebe la versión final del Reglamento debemos estar pendientes de los pronunciamientos del CEPD, las autoridades nacionales de protección de datos y las partes interesadas en este asunto.