Ayuda Ley Protección Datos

Reglamento e-Privacy: Todo lo que necesitas saber

El Reglamento ePrivacy podría estar más cerca de aprobarse y traer varios cambios sobre cómo se gestiona la privacidad en las comunicaciones electrónicas y el uso de las cookies. En el artículo vamos a ver las principales características del último borrador del Reglamento e-Privacy, que se está negociando actualmente en el seno de la Unión Europea.

¿Qué es el Reglamento e-Privacy?

El Reglamento e-Privacy o Reglamento sobre la privacidad y comunicaciones electrónicas es un proyecto de ley elaborado por el Consejo de la Unión Europea cuyo objetivo es regular las comunicaciones electrónicas en redes y servicios para los individuos que residen en la Unión Europea.

El Reglamento e-Privacy, también conocido como el Reglamento sobre la privacidad y las comunicaciones electrónicas, es un proyecto de ley sobre el que el Consejo Europeo lleva trabajando varios años y que vendría a complementar el RGPD en la regulación de las comunicaciones electrónicas dentro de la UE.

Este Reglamento derogaría la actual Directiva 2002/58/CE, o Directiva e-Privacy, también conocida como ley de cookies, cuya última actualización se produjo en 2009 y que actualmente se habría quedado obsoleta en algunos aspectos tras el avance tecnológico vivido en los últimos años, especialmente con la llegada del IoT (Internet de las Cosas).

Con este Reglamento se pretende abarcar todo tipo de comunicaciones electrónicas, desde el correo electrónico hasta las redes sociales, pasando por la comunicación de máquina a máquina, reforzando aún más el consentimiento expreso, libre, específico, informado e inequívoco de los ciudadanos, de manera que quede prohibida cualquier tipo de intromisión en su privacidad sin este consentimiento.

Reglamento ePrivacy vs. Directiva ePrivacy vs. RGPD

Como decíamos, actualmente está en vigor la Directiva ePrivacy, actualizada en 2009 para introducir varias consideraciones sobre el uso de cookies en páginas web. El Reglamento ePrivacy será una evolución de esta Directiva 2002/58 para poder incluir todo el avance tecnológico que se ha producido en los últimos años y que no estaría contemplado en ella, como por ejemplo, el uso de los metadatos, el acceso al dispositivo final del usuario, etc.

Respecto al RGPD, mientras que este es una ley general sobre el tratamiento de datos personales, el Reglamento ePrivacy es lo que se denomina una lex specialis (ley especial), es decir, toma precedencia sobre el RGPD en lo que respecta a la comunicación electrónica.

En ese sentido, el Reglamento ePrivacy regula aspectos más concretos que el RGPD y se aplicará a todos los «usuarios de terminales electrónicos», lo que incluye tanto a personas físicas como a personas jurídicas (es decir, comunicaciones entre particulares y particulares, entre empresas y empresas y entre particulares y empresas).

Así, uno de los objetivos del Reglamento ePrivacy es garantizar la confidencialidad e integridad de los dispositivos finales de los usuarios, a los que solo se podrá acceder con el consentimiento expreso de los mismos.

Si el RGPD da mayor control sobre sus datos a los ciudadanos, el Reglamento ePrivacy se aplica sobre el flujo de información que se produce cuando estos emplean dispositivos electrónicos y se comunican a través de ellos.

Objetivos del Reglamento ePrivacy

Los objetivos del Reglamento ePrivacy son regular todas las comunicaciones electrónicas, reforzando la privacidad de las mismas, así como regular las comunicaciones comerciales electrónicas y el uso de cookies y otros rastreadores web, actualizando lo que viene siendo de aplicación con la Directiva ePrivacy.

Se trata, como ocurre con el RGPD, de dar mayor control a los ciudadanos sobre la protección de su privacidad, poniendo el foco sobre el consentimiento expreso de estos para llevar a cabo cualquier tipo de comunicación electrónica, que siempre han de tratarse de forma confidencial.

En definitiva, se trata de reforzar la ley de privacidad sobre las comunicaciones electrónicas.

¿A quién afecta el Reglamento e-Privacy?

El Reglamento e-Privacy afecta a todos los usuarios finales dentro de la UE, tanto físicos como jurídicos. Además, esta normativa también cubre aquellos casos en los que el proveedor de servicios está ubicado fuera de la UE, pero atiende a ciudadanos de la Unión.

Especialmente afecta a las empresas que presten servicios de telecomunicaciones, tanto por vía telefónica como electrónica; cualquier empresa que para desarrollar una labor comercial o suministrar sus servicios, use registros de empresas o particulares.

Principales novedades del Reglamento ePrivacy

El último texto publicado del Reglamento e-Privacy fue el 10 de febrero de 2021; esta última actualización se encuentra ahora en fase de negociación entre el Consejo de Europa, el Parlamento Europeo y la Comisión Europea, de donde saldrá o debería salir una propuesta definitiva, que se convertirá en una ley que todos los Estados miembros de la UE tendrán que aplicar en sus legislaciones.

En cualquier caso, a continuación vamos a ver las principales novedades que presenta el proyecto del Reglamento e-Privacy.

Consentimiento

El consentimiento del usuario es el eje principal del Reglamento de la misma forma que lo es para el tratamiento de datos personales. Ninguna acción (salvo aquellas excepciones que contempla la normativa, como situaciones relacionadas con la seguridad de los ciudadanos y la colaboración con la justicia) podrá llevarse a cabo respecto a las comunicaciones electrónicas sin el consentimiento expreso de los usuarios finales.

Si bien, el Reglamento abre la puerta a buscar nuevas formas de recabar el consentimiento para facilitar al usuario tanto su concesión como su revocación.

Dentro del consentimiento, se ha vuelto a introducir en el texto del Reglamento la opción de almacenar información personal del equipo terminal del usuario con el consentimiento de este o para otros fines específicos recogidos en el Reglamento (hablaríamos de fotos, vídeos, listas de contacto, etc.).

Cookies

El uso de cookies u otros rastreadores web seguirán necesitando del consentimiento expreso de los usuarios antes de ser utilizados. El Reglamento incide en que el consentimiento de los usuarios finales es necesario para poder llevar a cabo cualquier tipo de procesamiento de información obtenida de ordenadores o cualquier otro dispositivo electrónico conectado a la Red.

El Reglamento, por tanto, refuerza aún más la necesidad de recabar siempre el consentimiento previo de los usuarios para poder proteger su privacidad en las comunicaciones electrónicas.

Sin embargo, también introduce el concepto de «fatiga del consentimiento de cookies», que hace referencia al cansancio que puede producir en los usuarios la necesidad de tener que estar dando su consentimiento cada vez que entran a una web nueva o borran los datos de su navegador.

En ese sentido, el texto habla de la posibilidad de que los usuarios finales puedan dar el consentimiento para el uso de determinadas cookies a través de la creación de una lista blanca de cookies, introduciendo así una configuración de las cookies permitidas de uno varios proveedores en la configuración del navegador. Estas listas blancas deben ser fácilmente configurables por el usuario y facilitar también la revocación del consentimiento en cualquier momento.

Además, aquellas cookies que procesan información de forma anónima dejarán de requerir el consentimiento del usuario final, lo que en la práctica significará menos muros o banners de cookies para estos. En cierto sentido, se trata de «simplificar» la política de cookies, pero sin quitar al usuario final el control sobre las mismas, que pasaría a estar en la configuración del navegador.

Metadatos

El Reglamento considera los metadatos como información confidencial y, por tanto, como norma general, establece que es necesario recabar el consentimiento expreso del usuario final para poder acceder a ellos y tratarlos.

Son metadatos según el Reglamento los que permiten identificar:

La última actualización del texto da algunos detalles más sobre los mismos, en concreto sobre las excepciones al consentimiento.

Así, el Reglamento establece que los metadatos pueden usarse sin el consentimiento del usuario cuando se empleen para garantizar la integridad de los servicios de comunicaciones, comprobar la presencia de malware o cuando el proveedor de servicios está obligado por la legislación de la UE o de los Estados miembro a colaborar con la justicia para perseguir delitos o prevenir amenazas a la seguridad pública.

Así mismo, los metadatos pueden procesarse para proteger los intereses vitales de los usuarios, como por ejemplo, en la monitorización de epidemias o emergencias humanitarias provocadas por desastres naturales o provocados por el hombre.

Además, los proveedores de redes y servicios de comunicaciones electrónicas pueden procesar metadatos con un propósito diferente al que fueron recogidos, siempre y cuando la finalidad sea compatible con el propósito inicial y se apliquen las garantías específicas adecuadas.

Ad blockers

El Reglamento e-Privacy no entra a regular el uso de ad blockers por parte de los usuarios, puesto que estos tienen libertad para instalar en sus navegadores estos programas que permiten bloquear anuncios.

Sin embargo, conscientes de que el acceso gratuito a la información en Internet depende en muchas ocasiones de los anuncios y la publicidad como medios de financiación, el texto sí permite a los sitios online comprobar si el dispositivo está usando un ad blocker sin requerir el consentimiento del usuario y preguntar si este estaría dispuesto a apagarlo.

Email marketing

Los usuarios finales deberán dar su consentimiento para recibir comunicaciones electrónicas comerciales, es decir, que las acciones email marketing quedan sujetas a que los usuarios finales las hayan aceptado previamente. Además, obliga a los vendedores a revelar su identidad y permite a los usuarios elegir no recibir más comunicaciones comerciales.

En ese sentido, el Reglamento e-Privacy toma precedencia sobre lo que dice el RGPD sobre el interés legítimo para enviar comunicaciones comerciales, siendo imprescindible contar con el consentimiento para enviar publicidad al usuario final. Si bien, establece una serie de excepciones, entre las que se incluye la comercialización a clientes ya existentes.

También establece la posibilidad de que los Estados miembros establezcan un límite de tiempo tras el cual, las organizaciones no podrán seguir enviando comunicaciones comerciales a sus clientes, lo que tendría precedencia sobre el plazo de conservación de datos personales según el RGPD.

Así mismo, los usuarios finales tendrán derecho a oponerse a recibir más comunicaciones comerciales, es decir, revocar su consentimiento, derecho que no solo se debe atender de forma inmediata, sino que también se debe informar del mismo, así como de la intención de usar sus datos para fines de marketing directo cuando recabas el consentimiento.

Con esta regulación sobre el email marketing y las comunicaciones comerciales en general, es posible que deje de ser necesario inscribirse la lista Robinson para dejar de recibir llamadas comerciales, puesto que para ello el Reglamento exige el consentimiento previo.

Internet de las cosas

Respecto al Internet de las cosas, el Reglamento e-Privacy establece la necesidad de transparencia e información sobre el uso de los datos, especialmente en la protección de la privacidad en la comunicación máquina a máquina, sobre la que los usuarios finales no tienen control.

¿Cuándo entra en vigor el Reglamento e-Privacy?

Como decíamos, el último texto del Reglamento e-Privacy está siendo actualmente discutido y negociado por el Parlamento, la Comisión y el Consejo Europeos, por lo que no hay una fecha para su entrada en vigor todavía.

Aunque esta última propuesta establece que el Reglamento e-Privacy entraría en vigor 20 días después de su publicación en el Diario Oficial de la UE y su aplicación en los Estados miembros comenzaría dos años después.

Si el Reglamento se aprobase en algún  momento de lo que queda de 2021, comenzaría a aplicarse en 2023.

Situación actual del Reglamento

Como ya hemos señalado, el Reglamento se encuentra en fase de negociación en la sede de la UE, donde países y autoridades de control discuten el texto presentado, para, si todo va bien, se apruebe finalmente como el Reglamento e-Privacy.

Sin embargo, aunque el último texto cuenta con el beneplácito de las compañías de telecomunicaciones y grandes empresas tecnológicas, las autoridades de control de Alemania y Austria se han mostrado en desacuerdo y abstenido en su publicación y piden cambios significativos, puesto que consideran que podría chocar con el RGPD en varios puntos.

Cómo prepararse para cumplir con el Reglamento ePrivacy

El Reglamento e-Privacy se acabará aprobando en algún momento, tarde este más o menos, por lo que en base a lo que se ha publicado en su último borrador, podemos ir preparándonos para adaptarnos a su cumplimiento, puesto que cuando se convierta en ley, no hacerlo implicará la imposición de sanciones.

Almacenamiento de cookies

El almacenamiento de cookies solo estará permitido cuando:

Acceso a páginas web y apps sin cookies

Los editores de páginas web, apps, etc. deben posibilitar que los usuarios, aunque hayan expresado su deseo de no ser rastreados, accedan y usen webs o apps con funcionalidades similares sin la utilización de cookies.

Los navegadores deben, en particular, solicitar al usuario final del equipo terminal un acto afirmativo claro que manifieste su voluntad libre, específica, informada e inequívoca de aceptar el almacenamiento de esas cookies en el equipo y el acceso a las mismas.

Llamadas telefónicas con fines comerciales

Establece la necesidad de establecer prefijos específicos para la realización de llamadas comerciales. Amplía el ámbito de las obligaciones establecidas en la propuesta de la Comisión a la realización de llamadas comerciales al ámbito B2B (Business to business). Establece el derecho de los usuarios a bloquear las llamadas comerciales de forma permanente.

Configuración de privacidad por defecto

El software (navegadores o apps) deberá instalarse por defecto con la configuración de «protección de privacidad» activada, de forma que el usuario pueda cambiarla posteriormente. La configuración sobre la privacidad debe ser específica para una finalidad determinada y no puede depender de un solo consentimiento para todos los tratamientos.

Riesgos de seguridad

Este Reglamento impone al proveedor de servicios de comunicaciones electrónicas la obligación de informar sobre los riesgos de seguridad que detecte. Si ese riesgo está fuera del ámbito de las medidas de seguridad que debe aplicar el proveedor de servicios, tendrá que informar a los usuarios de las posibles soluciones y costes.

El objetivo es evitar incidentes como algunos de los ejemplos de brechas de seguridad que podéis ver en la entrada del enlace.

En definitiva, cuando se apruebe definitivamente, el Reglamento e-Privacy reforzará la protección de la privacidad en las comunicaciones electrónicas de todo tipo, dará mayor control a los usuarios finales sobre lo que se puede y no puede hacerse con sus datos y metadatos, además de limitar el rastreo electrónico y el uso de las cookies aún más, entre otras medidas.

Y tú, ¿cómo piensas que esta normativa va a afectar a las comunicaciones electrónicas?

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos