La Comisión Europea presentó el pasado 10 de enero de 2017 la Propuesta de Reglamento europeo sobre privacidad y comunicaciones electrónicas (más conocido como Reglamento e-Privacy), cuyas disposiciones pretendían entrar en vigor el 25 de mayo de 2018, junto con el Reglamento Europeo de Protección de Datos (o RGPD).
Lo cierto es que el Reglamento e-Privacy está aún en fase de debate entre las diferentes instituciones legislativas de la Unión Europea.
Pero, una vez se apruebe y entre en vigor, derogará la vigente Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas, incorporada al ordenamiento jurídico español mediante la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (o LSSI).
Las disposiciones del Reglamento e-Privacy, complementarán el RGPD e introducirán importantes novedades que obligarán a las empresas a adaptarse a esta nueva normativa europea, bajo pena de multas administrativas similares a las que recoge el RGPD: de hasta 20.000.000 de euros o, tratándose de una empresa, de hasta una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior.
Principales novedades a tener en cuenta:
1.- Ámbito de aplicación: se amplía a los proveedores de servicios de comunicaciones Over-the-Top
Mientras que la Directiva e-Privacy se aplica al tratamiento de datos en relación con la prestación de los “tradicionales” servicios de comunicaciones electrónicas (básicamente de telefonía vocal, mensajes de texto y de correo electrónico); conforme a lo dispuesto en el Proyecto de Reglamento e-Privacy, se amplía el ámbito de aplicación al tratamiento de datos de comunicaciones electrónicas efectuado en relación con la prestación y la utilización de este tipo de servicios por proveedores en un sentido amplio, incluyendo los proveedores de servicios basados en Internet.
Proveedores como Skype, WhatsApp, Facebook, Messenger, Line o Telegram y demás proveedores de mensajería instantánea o de voz sobre IP, estarán obligados a observar las obligaciones reguladas en este Reglamento
Asimismo, el Reglamento e-Privacy se aplica al Internet de las cosas, en la medida que los dispositivos conectados se comunican entre sí mediante redes de comunicaciones electrónicas.
En cuanto al ámbito territorial, al igual que hace el RGPD, el Reglamento e-Privacy se aplicará a los datos derivados de la prestación y utilización de servicios de comunicaciones electrónicas de usuarios finales, personas físicas o jurídicas, que se encuentren en la Unión Europea, independientemente de que la compañía se encuentre o no en la Unión.
2.- Nuevas obligaciones para servicios digitales
Estos otros proveedores de comunicaciones electrónicas, que hasta ahora quedaban fuera de la normativa e-Privacy, estarán obligados a garantizar la confidencialidad de los datos de las comunicaciones electrónicas durante su transporte.
En este sentido, únicamente podrán tratar estos datos con el fin de realizar la transmisión y garantizar la seguridad y la continuidad del servicio. Asimismo, podrán tratar metadatos con el fin de garantizar los requisitos necesarios de calidad de servicio y con el fin de facturación.
De esta manera, si el proveedor del servicio quisiera utilizar los datos de las comunicaciones electrónicas en tránsito, o metadatos, para la prestación de otros servicios adicionales será necesario la obtención del consentimiento del usuario final.
Por ejemplo, en el caso de que el proveedor quiera utilizar el metadato consistente en la localización del dispositivo del usuario derivado del servicio de comunicación electrónica para poder dirigirle publicidad u otros servicios, como mostrar movimientos de tráfico, con la nueva normativa, requerirá el consentimiento del usuario.
Asimismo, este tipo de servicios genera un impacto en materia de privacidad, pues requieren el tratamiento de datos de carácter personal de los usuarios, como es la geolocalización, por lo que, de acuerdo con el RGPD, al menos necesitarán realizar una evaluación de impacto.
3.- Uso de cookies y otros dispositivos similares de seguimiento
Por todos es conocido que la instalación de estos dispositivos de almacenamiento y recuperación de datos, al introducirse en nuestros terminales, suponen una intromisión en la privacidad y, como regla general, para su uso es necesario obtener el consentimiento del usuario para fines específicos y transparentes.
Para obtener este consentimiento, hasta la fecha, al navegar por internet, nos vemos abrumados por los avisos informativos de las webs solicitándonos el consentimiento.
A fin de evitar esta situación, el Reglamento e-Privacy, por un lado, prevé, como excepciones al consentimiento, el uso de cookies cuando sea necesario para proporcionar un servicio de la sociedad de la información solicitado por el usuario final o cuando sea necesario para medir la audiencia o tráfico en un sitio web. Bajo estas excepciones, estaría amparado el uso de cookies de sesión y analíticas.
Por otro lado, cambia el modo en que la información al usuario debe proporcionarse y cómo debe obtenerse el consentimiento: deberá darse la posibilidad al usuario de manifestar su consentimiento mediante el uso de ajustes adecuados del navegador u otra aplicación, adaptando el servicio a sus preferencias.
4.- Consentimiento
Cuando los usuarios finales deban dar su consentimiento para el tratamiento de datos de comunicaciones electrónicas, o para la instalación de cookies y otros dispositivos de rastreo, este consentimiento deberá darse conforme a los requisitos del RGPD, es decir, mediante “un acto afirmativo claro que manifieste su voluntad libre, especifica, informada e inequívoca”.
5.- Comunicaciones comerciales por vía electrónica
Para poder enviar comunicaciones comerciales con fines de mercadotecnia directa por medios electrónicos (mediante aplicaciones de mensajería instantánea, correo electrónico, SMS…) seguirá siendo necesario el consentimiento.
No obstante, sigue como excepción que se puedan usar los datos obtenidos en el marco de una relación contractual preexistente para poder ofrecer al usuario productos o servicios similares.
Por lo demás, persisten los requisitos de identificación del remitente, de identificación de la comunicación como publicidad y de la obligación de facilitar la retirada del consentimiento para recibir comunicaciones.
CONCLUSIONES
Tras la entrada en vigor del RGPD, las organizaciones están cambiando sus políticas y procedimientos a seguir para el tratamiento de datos; ahora no debemos perder de vista el Reglamento e-Privacy, que pretende reforzar la confianza y la seguridad en el mundo digital.
Quedan algunas dudas de cómo se adaptará el Reglamento e-Privacy para alinearse con las nuevas reglas del RGPD y supone un reto para modelos de negocio basados en publicidad y, ello, por cuanto el espíritu de la norma es garantizar el servicio de comunicaciones electrónicas aunque el usuario decida no proporcionar sus datos personales con fines ajenos a la prestación del servicio (seguimiento, publicidad u otros).