El Reglamento ePrivacy lleva planeando sobre las cabezas de los Estados miembros de la UE desde hace años y, aunque no parece que estemos más cerca de verlo entrar en vigor, lo cierto es que la intención es aprobarlo en algún momento, puede que en 2021 o puede que más adelante. En cualquier caso, para ir preparándonos ante su llegada, en esta entrada veremos cómo afectará el ePrivacy a las cookies y la protección de la privacidad.
¿Qué es el ePrivacy? Definición
El ePrivacy, o Reglamento de Privacidad Electrónica, es lo que se conoce como ley especial del RGPD, es decir, una ley superior y específica, complementaria al RGPD (Reglamento General de Protección de Datos).
Mientras que el RGPD es una ley general, el Reglamento ePrivacy concreta una regulación específica centrada en la protección de la privacidad digital y de las comunicaciones electrónicas. Su objetivo es crear una normativa común para todos los Estados miembros de la UE que facilite el funcionamiento de un mercado único digital, donde la protección de datos y la privacidad de los usuarios de Internet estén garantizados.
Así, el Reglamento ePrivacy se basa en cuatro pilares:
- La confidencialidad de las comunicaciones electrónicas.
- La aceptación de cookies y otros métodos de seguimiento por parte del usuario.
- Tratamiento de los datos y metadados de las comunicaciones autorizados por el usuario. El Reglamente extiende la protección a los metadatos que generan los usuarios y sus dispositivos a la hora de navegar o conectarse a Internet.
- Consentimiento expreso para recibir comunicaciones comerciales.
Es importante entender que, de momento, el Reglamento ePrivacy no es más que un borrador y aún no ha sido aprobado ni por el Consejo, ni por la Comisión, ni por el Parlamento Europeo.
Además, cabe señalar que es importante no confundir el Reglamento ePrivacy con la Directiva ePrivacy, coloquialmente llamada ley de cookies, cuya normativa (no vinculante) existe desde el año 2002. Desde entonces ha sufrido varias modificaciones, para ir dando cabida a los avances tecnológicos que han ido desarrollándose y puesto en uso.
¿Qué conlleva el Reglamento de ePrivacy para mi uso de cookies?
Sin duda, uno de los aspectos más afectados por el Reglamento ePrivacy es el empleo de las cookies, puesto que este obliga a que se facilite a los usuarios el rechazo de aquellos tipos de cookies que no sean necesarios para el funcionamiento normal de la web (cookies técnicas) y permitir la configuración de las mismas en el propio navegador. Además, no se puede ofrecer un servicio distinto o impedir el acceso al sitio online si el usuario no acepta el uso de cookies.
El Reglamento también establece que los usuarios deben ser informados previamente del tipo de cookies que se emplean en el sitio web, qué fines tienen y quienes son sus responsables, de manera que pueda dar un consentimiento informado a su uso. Esta información debe quedar recogida en la política de cookies, de forma clara y accesible desde cualquier punto de la página web y con obligación de que aparezca (o al menos un enlace a la misma) cuando se solicita el consentimiento de uso de cookies al usuario.
¿Qué cookies se verán afectadas por el Reglamento ePrivacy?
El Reglamento ePrivacy afectará sobre todo a las cookies de terceros, cuyo uso debe ser aceptado por el usuario cuando entra al sitio web, habiendo sido previamente informado antes del uso de estas cookies (como mencionamos en el punto anterior).
En sentido, las cookies de seguimiento empleadas por anunciantes van a ser las más afectadas, puesto que en lo que a cookies y privacidad se refiere, son las que menos respetan esta última, puesto que una vez instaladas en el navegador del usuario, rastrean todos sus movimientos y búsquedas en Internet, con el objetivo de recopilar datos para su análisis y elaboración de perfiles destinados a la creación de publicidad personalizada y venta de publicidad programática.
Además, el Reglamento también cubrirá las comunicaciones máquina a máquina que trae consigo el Internet de las cosas (IoT), para proteger los datos de usuarios que circulan entre estos dispositivos y que contribuyen a construir nuestra huella digital.
Así mismo, el Reglamento obligará a recurrir a un cifrado de extremo a extremo para proteger todo tipo de comunicaciones.
¿Cuándo entrará en vigor la Ley de Cookies ePrivacy?
Aunque este Reglamento ePrivacy que afecta sobre todo a las cookies y la política de privacidad, estaba previsto que entrase en vigor junto al RGPD en 2018, lo cierto es que se ha ido retrasando año a año, por la complejidad que supone poner de acuerdo a todos los actores implicados en el proceso.
El último borrador de la que será la futura nueva ley de cookies se presentó a finales de 2020 y se esperaba que fuese aprobado entonces o principios de 2021, pero lo cierto es que las negociaciones siguen e incluso se habla de la posibilidad de una nueva redacción del borrador.
Así que por el momento, no hay una fecha concreta para la entrada en vigor del Reglamento ePrivacy.
¿Cuál es el estado del Reglamento de ePrivacy?
Mientras el Reglamento ePrivacy siga siendo un borrador, lo que se aplica en la UE y el EEE (Espacio Económico Europeo) es la Directiva ePrivacy, que ya contempla esas limitaciones al uso de cookies en sus últimas revisiones, pero que tiene carencias en otros aspectos que el futuro Reglamento sí cubrirá.
Como hemos dicho, el proceso de negociación entre los diferentes Estados miembros respecto a este acuerdo está siendo complejo, la última que rechazaron una propuesta de acuerdo sobre el mismo fue en 2020. Hasta ahora se han rechazado 14 borradores.
Recomendaciones generales para cumplir el Reglamento ePrivacy
Dado que el Reglamento ePrivacy todavía no está en vigor y su borrador se sigue negociando entre el Consejo y el Parlamento europeos, no podemos hacer más recomendaciones que seguir el desarrollo del proyecto y los cambios y modificaciones que se efectúan sobre el borrador, para poder anticipar algunas de las obligaciones que planteará la norma.
En se sentido, cumplir con la normativa publicada por la AEPD respecto al uso de cookies es un paso importante para prepararse para la llegada del Reglamento ePrivacy puesto que en su última guía respecto a la política de cookies, la Agencia Española de Protección de Datos asienta unas bases que ya se contemplan tanto en la Directiva ePrivacy como en el borrador más actual del Reglamento. Es decir, la información del usuario sobre el tipo de cookies y sus finalidades y el consentimiento expreso de este para su uso.
Diferencias entre la ley de cookies actual y el Reglamento ePrivacy
La principal diferencia entre la actual ley de cookies, es decir, la Directiva ePrivacy y el Reglamento ePrivacy está en que la primera no tiene carácter vinculante y aunque debe transponerse a las leyes nacionales, el plazo para ello es bastante amplio. Mientras, un reglamento si genera un derecho vinculante para toda la UE y por tanto debe entrar en vigor de forma inmediata (aunque se suele conceder un período transitorio para ello).
Por otro lado, el Reglamento tiene un alcance y ámbito de aplicación mucho más extenso que la Directiva ePrivacy, puesto que tienen en cuenta el desarrollo de las TIC en los últimos años, cubriendo no solo la protección de datos personales, sino también el contenido las comunicaciones electrónicas y regulando y extendido la protección a los metadatos. Además, el consentimiento expreso se toma como base legitimadora para cada tratamiento de datos y metadatos, frente a otras formas de legitimación contempladas en el RGPD (como el interés legítimo).
En ese sentido podemos ver ese carácter de lex specialis (ley especial) del Reglamento ePrivacy, puesto que desarrolla y regla aspectos concretos del ámbito digital, de una manera más exhaustiva que el RGPD.
Diferencias entre la RGPD y el Reglamento ePrivacy
Como ya hemos señalado en más de una ocasión en esta entrada, la diferencia principal entre el RGPD y el Reglamento ePrivacy está en su propia naturaleza de ley general y ley especial respectivamente. Este hecho hace que el Reglamento ePrivacy tenga prioridad sobre el RGPD en los puntos que concreta el primero.
Así, mientras el RGPD no se limita solo a regular las comunicaciones en Internet, el Reglamento ePrivacy sí lo hace, o lo hará una vez entre en vigor, desarrollando una normativa más concreta respecto a la protección de datos, metadatos, el uso de cookies y la protección de las comunicaciones electrónicas.
Escribe aquí tu comentario