Re­gla­me­n­to ePrivacy: ¿qué hay que saber?

La Unión Europea (UE) hace años que persigue la creación de un corpus normativo homogéneo para el mercado interior con el fin de aumentar la pro­te­c­ción de los co­n­su­mi­do­res y sujetos de derecho. En este contexto, el Re­gla­me­n­to ePrivacy se sitúa en el centro de todas las di­s­cu­sio­nes. Con él, la Unión Europea pretende formular una política de pri­va­ci­dad obli­ga­to­ria que tenga validez en todos los Estados miembro. El hecho de de­s­co­no­cer la fecha de entrada en vigor de este re­gla­me­n­to y qué di­re­c­tri­ces implicará para el sector digital no hace más que co­n­tri­buir a la confusión general.Pero, aparte del ePrivacy, están en vigor el Re­gla­me­n­to General de Pro­te­c­ción de Datos (RGPD) desde mayo de 2018 y la Ley Orgánica 3/2018, de 5 de diciembre, de Pro­te­c­ción de Datos Pe­r­so­na­les y garantía de los derechos digitales (LOPD-GDD), que desde diciembre de ese mismo año transpone el RGPD a la le­gi­s­la­ción nacional y vino a re­em­pla­zar a la LOPD de 1999.

Con el Re­gla­me­n­to de Pri­va­ci­dad Ele­c­tró­ni­ca, ePrivacy Re­gu­la­tion (ofi­cia­l­me­n­te Re­gu­la­tion of the European Pa­r­lia­me­nt and of the Council co­n­ce­r­ni­ng the respect for private life and the pro­te­c­tion of personal data in ele­c­tro­nic co­m­mu­ni­ca­tio­ns and repealing Directive 2002/58/EC, Re­gla­me­n­to del Pa­r­la­me­n­to Europeo y del Consejo sobre el respeto de la vida privada y la pro­te­c­ción de los datos pe­r­so­na­les en el sector de las co­mu­ni­ca­cio­nes ele­c­tró­ni­cas y por el que se deroga la Directiva 2002/58/CE ), la Unión Europea pretende reforzar la pri­va­ci­dad de los ciu­da­da­nos en Internet y regular la pro­te­c­ción de los datos dentro de la UE de un modo más estricto. Bá­si­ca­me­n­te se trata de que los ciu­da­da­nos recobren la confianza en los canales de co­mu­ni­ca­ción digitales.  El Re­gla­me­n­to ePrivacy, que aún no ha entrado en vigor, sería la tercera y pro­ba­ble­me­n­te última medida de una ini­cia­ti­va para regular la pro­te­c­ción de datos europea. Con esta ini­cia­ti­va, la Unión Europea transita por un camino más que necesario, ya que Internet no conoce fronteras. ¿Qué proponen las au­to­ri­da­des europeas con la Re­gu­la­ción ePrivacy? Es im­po­r­ta­n­te indicar en primer lugar que el Re­gla­me­n­to ePrivacy afecta a más empresas que cualquier normativa anterior sobre pri­va­ci­dad. Las pro­pue­s­tas que entrarán en vigor se dirigen en concreto a gestores de páginas web y a pro­vee­do­res de software, por ejemplo, a pro­vee­do­res de apli­ca­cio­nes como Google, Zoom,  o Meta (antes Facebook). Es decir, esta propuesta tiene un impacto fu­n­da­me­n­ta­l­me­n­te en todo el sector online.

El mayor cambio guarda sobre todo relación con el empleo de las cookies: debe fa­ci­li­tar­se a los usuarios rechazar las cookies que no son im­pre­s­ci­n­di­bles y permitir su re­gu­la­ción en la co­n­fi­gu­ra­ción del navegador, por ejemplo. Los gestores de páginas web solo deberían entonces utilizar cookies si son cookies ne­ce­sa­rias desde un punto de visto técnico para el buen fu­n­cio­na­mie­n­to de la web o si los usuarios dan su co­n­se­n­ti­mie­n­to de forma concreta. Pero, incluso si no lo hicieran, deberían poder seguir vi­sua­li­za­n­do el contenido sin ob­s­tácu­los. Así, en lugar del opt out, sería necesario aplicar un método de doble opt in.

Para los de­sa­rro­lla­do­res de na­ve­ga­do­res esto también supondría hacer frente a una serie de obli­ga­cio­nes: según el ePrivacy, los na­ve­ga­do­res web deben ofrecer a los usuarios la po­si­bi­li­dad de regular el se­gui­mie­n­to. ¿Puede una empresa seguirme con cookies? En caso afi­r­ma­ti­vo ¿con cookies de origen o de terceros? El debate gira en torno a los ajustes pre­de­fi­ni­dos, es decir, si ha de ser el usuario mismo quien se ocupe de proteger su pri­va­ci­dad. El Re­gla­me­n­to General de Pro­te­c­ción de Datos parte de la pri­va­ci­dad por defecto, lo que significa que los ajustes de pri­va­ci­dad deben ser lo más estrictos posible tras la in­s­ta­la­ción y que sea el usuario quien las suavice. En general, solo se permite la uti­li­za­ción de servicios de se­gui­mie­n­to sin el co­n­se­n­ti­mie­n­to del usuario si estos sirven de base para análisis es­ta­dí­s­ti­cos.

En el borrador de la ePrivacy re­gu­la­tion también se incluyó la co­mu­ni­ca­ción “máquina a máquina”. Con ello, la UE reacciona a los retos que conlleva el Internet de las cosas: en este tipo de tra­n­s­fe­re­n­cia de datos, debería aplicarse lo mismo que para las tra­n­s­fe­re­n­cias en las que los usuarios se ven in­vo­lu­cra­dos de forma directa. En este sentido, el objetivo es que solo se tra­n­s­mi­tan datos pe­r­so­na­les si el usuario da su co­n­se­n­ti­mie­n­to, lo que podría afectar, por ejemplo, a los datos del GPS de los teléfonos in­te­li­ge­n­tes.

En general, se tiene que informar a los usuarios del tipo de datos pe­r­so­na­les que se recopilan y con qué objetivo, de ahí que el co­n­se­n­ti­mie­n­to no deba estar oculto en los Términos y Co­n­di­cio­nes o vinculado a otros servicios. Si al comprar online se tienen que facilitar datos pe­r­so­na­les, algo que es in­e­vi­ta­ble, en este caso sí está permitido. No estaría permitido, sin embargo, si se uti­li­za­ran tales datos para fines pu­bli­ci­ta­rios, para lo que sería necesario volver a dar el co­n­se­n­ti­mie­n­to.

El Re­gla­me­n­to ePrivacy no se limita úni­ca­me­n­te a la re­co­pi­la­ción de datos pe­r­so­na­les por parte de las empresas; la in­te­r­ve­n­ción gu­be­r­na­me­n­tal también debe estar regulada por el ePrivacy. Así, es obli­ga­to­rio recurrir a un cifrado de extremo a extremo, con lo que toda tra­n­s­mi­sión de datos debe estar de­bi­da­me­n­te cifrada incluso a los gobiernos. Asimismo, debe prohi­bi­r­se también la in­s­ta­la­ción de puertas traseras, tal como hacen algunos fa­bri­ca­n­tes para permitir el acceso a los gobiernos, lo que entonces sería ilegal.

Fuera del ámbito de Internet, la ePrivacy re­gu­la­tion también tiene algo que decir en lo que a marketing directo se refiere: mientras que en principio no se in­tro­du­cen cambios para el email marketing, el ePrivacy resulta algo más estricto para el te­le­ma­r­ke­ti­ng. Su propuesta sugiere que solo pueden rea­li­zar­se llamadas te­le­fó­ni­cas con fines pu­bli­ci­ta­rios cuando aquellos que las realizan revelan sus números de teléfono o utilizan un código obli­ga­to­rio para señalar que se trata de una llamada pro­mo­cio­nal.

El Re­gla­me­n­to de pri­va­ci­dad ele­c­tró­ni­ca debe sustituir a la antigua directiva de ePrivacy y flanquear al RGPD. La antigua re­gu­la­ción existe desde 2002 y se amplió en 2009. Los preceptos de la Comunidad Europea no tienen carácter de derecho in­me­dia­ta­me­n­te eficaz y vi­n­cu­la­n­te, sino que son di­re­c­ti­vas que deben aplicarse a las leyes na­cio­na­les, por lo que a cada uno de los países se le otorga un plazo más pro­lo­n­ga­do. El caso de los re­gla­me­n­tos es distinto, pues estos, como, p. ej., el RGPD, co­n­s­ti­tu­yen un derecho vi­n­cu­la­n­te para toda la UE y que entra en vigor de forma inmediata. Con todo, la ley puede conceder un período tra­n­si­to­rio.

Ahora bien ¿qué pasa con el RGPD? ¿A qué normativa hay que atenerse? En cuanto entre en vigor el Re­gla­me­n­to de Pri­va­ci­dad Ele­c­tró­ni­ca la respuesta es: a ambas. Lo que se pretende es que el Re­gla­me­n­to ePrivacy concrete lo es­ti­pu­la­do en el RGPD. Este nuevo or­de­na­mie­n­to, también conocido como ePV, co­n­s­ti­tu­ye una lex specialis (ley especial), lo que significa que tiene prioridad ante el Re­gla­me­n­to General de Pro­te­c­ción de Datos, concebido como una lex generalis (ley general). El RGPD es un documento más general, cuyos puntos de co­n­cre­ti­zan en el ePV. Cabe mencionar que el Re­gla­me­n­to General no se limita a regular la co­mu­ni­ca­ción en Internet; en este sentido, el ePrivacy ofrece una pro­te­c­ción más notable.

La apli­ca­ción de estas dos re­gu­la­cio­nes no implica que el resto de no­r­ma­ti­vas caigan en el olvido. Esto ya se ha decidido en el RGPD, y el ePV también debe incluir cláusulas de apertura: las normas locales también influyen en algunos puntos del Re­gla­me­n­to en cuanto a sus detalles de apli­ca­ción. La mo­di­fi­ca­ción o ada­p­ta­ción de los puntos que co­n­tra­di­cen a las leyes europeas recae bajo re­s­po­n­sa­bi­li­dad de le­gi­s­la­do­res na­cio­na­les.

Se empezó a hablar del Re­gla­me­n­to de Pri­va­ci­dad Ele­c­tró­ni­ca ya en abril de 2016 y, desde entonces, todavía no se ha tomado una decisión vi­n­cu­la­n­te, aunque en enero de 2017 la Comisión Europea publicó un primer proyecto. Po­s­te­rio­r­me­n­te, varios comités ex­pre­sa­ron sus opiniones sobre las pro­pue­s­tas de la Comisión, lo que dio lugar a que el Pa­r­la­me­n­to Europeo in­tro­du­je­ra su propio proyecto en octubre de 2017, momento en el que ya se había acordado el RGPD. Casi un mes después, la Pre­si­de­n­cia del Consejo de la Unión Europea publicó un informe de situación que recogía el estado actual del asunto. El siguiente paso era que el Consejo Europeo tomase una decisión sobre el proyecto.

La idea inicial era que el ePrivacy y el RGPD entraran en vigor si­mu­l­tá­nea­me­n­te, aunque esto no se pudo llevar a cabo. Los Estados miembro de la UE han tardado tiempo en ponerse de acuerdo sobre la línea que debe seguir el proyecto. Aunque hay un rayo de esperanza: en febrero de 2021 el Consejo Europeo hizo una nueva propuesta de Re­gla­me­n­to, que ahora deben negociar los re­pre­se­n­ta­n­tes de los tres or­ga­ni­s­mos que pa­r­ti­ci­pan en el proceso le­gi­s­la­ti­vo de la UE, es decir, la Comisión Europea, el Pa­r­la­me­n­to y el Consejo Europeo.

Dado que para la im­pla­n­ta­ción de­fi­ni­ti­va del ePrivacy también se dispondrá de un periodo de tra­n­si­ción de dos años, no hay que temer a una apro­ba­ción inmediata del proyecto. En 2022, Francia ejerce la pre­si­de­n­cia del Consejo como sucesor de Portugal y Alemania.

Los recortes que plantea el Re­gla­me­n­to de pri­va­ci­dad ele­c­tró­ni­ca y la manera en que este se negocia afectan, además de a los ciu­da­da­nos, sobre todo a los gestores de páginas web y a la rama del marketing online. Por ello no resulta raro que la mayoría de las críticas procedan de estos dos sectores. Co­n­cre­ta­me­n­te, es el ámbito pu­bli­ci­ta­rio el que censura el proyecto de la UE por diversos motivos:

• Más trabajo para los usuarios: el sector asume que, en un futuro, los usuarios se van a ver abrumados por la cantidad de au­to­ri­za­cio­nes que requiere la uti­li­za­ción del ePV, pues se cree que se tendrá que dar el co­n­se­n­ti­mie­n­to con cada in­te­r­ca­m­bio de datos.
   
• La fi­na­n­cia­ción de los medios online está en peligro: el aspecto más cri­ti­ca­ble se encuentra en el hecho de que los medios online fi­na­n­cia­dos mediante pu­bli­ci­dad están en peligro. Ac­tua­l­me­n­te hay algunos blogs, sitios web de pe­rió­di­cos y de otros medios que tienen modelos de negocio que dependen de las in­se­r­cio­nes pu­bli­ci­ta­rias. Los usuarios no pagan con dinero, sino con el consumo de pu­bli­ci­dad. La selección de los anuncios se basa ma­yo­ri­ta­ria­me­n­te en los datos que re­co­le­c­tan los anu­n­cia­n­tes gracias al se­gui­mie­n­to. Si el Re­gla­me­n­to ePrivacy entrara en vigor con su forma actual, dicha pu­bli­ci­dad solo sería posible con el co­n­se­n­ti­mie­n­to explícito co­rre­s­po­n­die­n­te que no todos los usuarios podrían dar, de modo que algunos sectores del marketing online temen que se impida la libre di­s­po­ni­bi­li­dad de datos en Internet.
   
• Falta de co­he­re­n­cia del RGPD: el Re­gla­me­n­to General de Pro­te­c­ción de Datos presenta algunas co­n­tra­di­c­cio­nes. Por este motivo, las or­ga­ni­za­cio­nes co­m­pe­te­n­tes reconocen que el nuevo Re­gla­me­n­to no plantea más tra­n­s­pa­re­n­cia en cuanto a la pro­te­c­ción de datos en la co­mu­ni­ca­ción online, tal y como prevé la Comisión Europea, sino más in­se­gu­ri­dad jurídica. Por ello se teme que los cambios rea­li­za­dos en los modelos de negocio para el RGPD vayan a tener que mo­di­fi­car­se dentro de poco tiempo.

Por favor, ten en cuenta el aviso legal relativo a este artículo.