ePrivacy: ¿qué novedades trae el nuevo Reglamento de la UE?

La Unión Europea hace años que persigue la creación de un corpus normativo homogéneo para el mercado interior con el fin de aumentar la protección de los consumidores y sujetos de derecho. En este contexto, el Reglamento ePrivacy se sitúa en el centro de todas las discusiones. Con él, la Unión Europea pretende formular una política de privacidad obligatoria que tenga validez en todos los Estados miembro.

Pero, aparte de este Reglamento, hoy están en vigor el Reglamento General de Protección de Datos (RGPD) desde mayo de 2018 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), que desde diciembre de ese mismo año transpone el RGPD a la legislación nacional y vino a reemplazar a la LOPD de 1999. El hecho de desconocer la fecha de entrada en vigor del Reglamento ePrivacy y qué directrices implicará para el sector digital no hace más que contribuir a la confusión general.

Para que te hagas una idea aproximada, te contamos a continacióncontinuación qué es lo que se sabe hasta ahora.

Nota

ePrivacy presenta algunas diferencias con respecto al RGPD. En nuestra guía digital puedes informarte sobre esta regulación que afecta a todo el territorio europeo.

¿De qué trata el Reglamento de Privacidad Electrónica?

Con el Reglamento de Privacidad Electrónica, ePrivacy Regulation (oficialmente Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications, Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas), la Unión Europea pretende reforzar la privacidad de los ciudadanos en Internet y regular la protección de los datos de un modo más estricto. Básicamente se trata de potenciar la confianza de los ciudadanos en los canales de comunicación digitales. Al menos oficialmente, la Regulación ePrivacy debería traer consigo el fortalecimiento del mercado único digital y es la tercera y última medida de una iniciativa en torno al sector digital de la Unión Europea. De forma implícita, el objetivo es introducir una normativa a nivel europeo para que las empresas no tengan que enfrentarse a fronteras internacionales en Internet (al menos no a nivel europeo).

Con esta iniciativa, la Unión Europea transita por un camino más que necesario, ya que Internet no conoce fronteras. ¿Qué proponen las autoridades europeas con la Regulación ePrivacy ? Es importante indicar en primer lugar que el Reglamento ePrivacy afecta a más empresas que cualquier normativa anterior sobre privacidad. Las propuestas actuales también se dirigen en concreto a proveedores de software, por ejemplo, a proveedores de aplicaciones como WhatsApp, Skype, Facebook o Netflix –que hasta ahora estaban excluidos de la legislación vigente– y, por lo tanto, fundamentalmente a todo el sector online.

El mayor cambio guarda sobre todo relación con el empleo de las cookies: debe facilitarse a los usuarios rechazar las cookies que no son imprescindibles y permitir su regulación en la configuración del navegador, por ejemplo. Los gestores de páginas web solo deberían entonces utilizar cookies si los usuarios las consintieran de forma concreta, pero, incluso si no lo hicieran, deberían poder seguir visualizando el contenido sin obstáculos. Así, en lugar del opt out, sería necesario aplicar opt in.

Nota

Junto al RGPD, hasta hoy es la directiva ePrivacy de 2002 la que regula de qué forma los operadores de páginas web pueden instalar cookies en los navegadores de los usuarios, de ahí su sobrenombre Ley de Cookies.

Para los desarrolladores de navegadores esto también supondría hacer frente a una serie de obligaciones: según el ePrivacy, los navegadores web deben ofrecer a los usuarios la posibilidad de regular el seguimiento. ¿Puede una empresa seguirme con cookies? En caso afirmativo ¿con cookies de origen o de terceros? El debate gira en torno a los ajustes predefinidos, es decir, si ha de ser el usuario mismo quien se ocupe de proteger su privacidad. El Reglamento General de Protección de Datos parte de la privacidad por defecto, lo que significa que los ajustes de privacidad deben ser lo más estrictos posible tras la instalación y que sea el usuario quien las suavice. En general, solo se permite la utilización de servicios de seguimiento sin el consentimiento del usuario si estos sirven de base para análisis estadísticos.

El World Wide Web Consortium (W3C) también se ha ocupado de la protección de la privacidad. El resultado es el encabezado HTTP “Do not track” (DNT) que muchosnavegadores actualesya soportan. Con él, los usuarios pueden configurar ya en el navegador que no se realice ningún tipo de seguimiento. Posteriormente, este encabezado HTTP transmite la información a la página web. Actualmente, no obstante, los proveedores de páginas web no tienen la obligación de aplicarlo, aunque es posible que esto cambie con el Reglamento ePrivacy, que va todavía un poco más lejos: según dicha normativa tanto el navegador, como cualquier tecnología de transferencia de datos, estarían implicados en la protección de datos.

Es por esto que en el borrador de la ePrivacy regulation también se incluyó la comunicación “máquina a máquina”. Con ello, la UE reacciona a los retos que conlleva el Internet de las cosas: en este tipo de transferencia de datos, debería aplicarse lo mismo que para las transferencias en las que los usuarios se ven involucrados de forma directa. En este sentido, el objetivo es que solo se transmitan datos personales si el usuario da su consentimiento, lo que podría afectar, por ejemplo, a los datos del GPS de los teléfonos inteligentes.

En general, se tiene que informar a los usuarios del tipo de datos personales que se recopilan y con qué objetivo, de ahí que el consentimiento no deba estar oculto en los Términos y Condiciones o vinculado a otros servicios. Si al comprar online se tienen que facilitar datos personales, algo que es inevitable, en este caso sí está permitido. No estaría permitido, sin embargo, si se utilizaran tales datos para fines publicitarios, para lo que sería necesario volver a dar el consentimiento.

El Reglamento ePrivacy no se limita únicamente a la recopilación de datos personales por parte de las empresas, sino que si esto se hace desde un punto de vista gubernamental, la situación también debe estar intensamente regulada por el ePrivacy. Así, es obligatorio recurrir a un cifrado de extremo a extremo, con lo que toda transmisión de datos debe estar debidamente cifrada y debe evitarse el acceso incluso a los gobiernos. Asimismo, debe prohibirse también la instalación de puertas traseras, tal como hacen algunos fabricantes para permitir el acceso a los gobiernos, lo que entonces sería ilegal.

Fuera del ámbito de Internet, la ePrivacy regulation también tiene algo que decir en lo que a marketing directo se refiere: mientras que en principio no se introducen cambios para el email marketing, el ePrivacy resulta algo más estricto para el telemarketing. Su propuesta sugiere que solo pueden realizarse llamadas telefónicas con fines publicitarios cuando aquellos que las realizan revelan sus números de teléfono o utilizan un código obligatorio para señalar que se trata de una llamada promocional.

El Reglamento ePrivacy frente a la directiva de ePrivacy y al RGPD

El Reglamento de privacidad electrónica (ePrivacy) debe sustituir a la antigua directiva de ePrivacy y flanquear al RGPD. La antigua regulación existe desde 2002 y se amplió en 2009. Los preceptos de la Comunidad Europea no tienen carácter de derecho inmediatamente eficaz y vinculante, sino que son directivas que deben aplicarse a las leyes nacionales, por lo que a cada uno de los países se le otorga un plazo más prolongado. El caso de los reglamentos es distinto, pues estos, como, p. ej., el RGPD, constituyen un derecho vinculante para toda la UE y que entra en vigor de forma inmediata. Con todo, la ley puede conceder un período transitorio.

Ahora bien ¿qué pasa con el RGPD? ¿A qué normativa hay que atenerse? En cuanto entre en vigor el Reglamento de Privacidad Electrónica la respuesta es: a ambas. Lo que se pretende es que el ePrivacy concrete lo estipulado en el RGPD. Este nuevo ordenamiento, también conocido como ePV, constituye una lex specialis (ley especial), lo que significa que tiene prioridad ante el Reglamento General de Protección de Datos, concebido como una lex generalis (ley general). El RGPD es un documento más general que el ePV concretiza en algunos puntos. Cabe mencionar que el Reglamento General no se limita a regular la comunicación en Internet; en este sentido, el ePrivacy ofrece una protección más notable.

La aplicación de estas dos regulaciones no implica que el resto de normativas caigan en el olvido. Esto ya se ha decidido en el RGPD, y el ePV también debe incluir cláusulas de apertura: las normas locales también influyen en algunos puntos del Reglamento en cuanto a sus detalles de aplicación. La modificación o adaptación de los puntos que contradicen a las leyes europeas recae bajo responsabilidad de legisladores nacionales.

¿Cuándo entra en vigor la ePrivacy regulation?

Se empezó a hablar del Reglamento de Privacidad Electrónica ya en abril de 2016 y, desde entonces, todavía no se ha tomado una decisión vinculante, aunque en enero de 2017 la Comisión Europea publicó un primer proyecto. Posteriormente, varios comités expresaron sus opiniones sobre las propuestas de la Comisión, lo que dio lugar a que el Parlamento Europeo introdujera su propio proyecto en octubre de 2017, momento en el que ya se había acordado el RGPD. Casi un mes después, la Presidencia del Consejo de la Unión Europea publicó un informe de situación que recogía el estado actual del asunto, tras lo cual no ha habido cambios. El siguiente paso es que el Consejo Europeo tome una decisión sobre el proyecto.

La idea inicial era que el ePrivacy y el RGPD entraran en vigor simultáneamente, aunque esto es algo que se descartó hace tiempo. Los Estados miembro de la UE no consiguen ponerse de acuerdo en una sola línea del proyecto de ley y en noviembre de 2019 rechazaron una propuesta de acuerdo. Algunos miembros del Consejo proponen incluso una completa nueva redacción de la regulación. Dado que en el caso del Reglamento de Privacidad Electrónica también está previsto otorgar un período transitorio de un año, a día de hoy no se puede contar con la súbita aplicación del proyecto. Determinar hasta qué punto se va a modificar el documento es algo complicado hasta la fecha. Lo que es más que probable es que no estamos ante la versión definitiva.

Críticas al proyecto

Los recortes que plantea el Reglamento de privacidad electrónica y la manera en que este se negocia afectan, además de a los ciudadanos, sobre todo a los gestores de páginas web y a la rama del marketing online. Por ello no resulta raro que la mayoría de las críticas procedan de estos dos sectores. Concretamente, es el ámbito publicitario el que censura el proyecto de la UE por diversos motivos:

  • Más trabajo para los usuarios: el sector asume que, en un futuro, los usuarios se van a ver abrumados por la cantidad de autorizaciones que requiere la utilización del ePV, pues se cree que se tendrá que dar el consentimiento con cada intercambio de datos.
     
  • La financiación de los medios online está en peligro: el aspecto más criticablese encuentra en el hecho de que los medios online financiados mediante publicidad están en peligro. Actualmente hay algunos blogs, sitios web de periódicos y de otros medios que tienen modelos de negocio que dependen de las inserciones publicitarias. Los usuarios no pagan con dinero, sino con el consumo de publicidad. La selección de los anuncios se basa mayoritariamente en los datos que recolectan los anunciantes gracias al seguimiento. Si el Reglamento ePrivacy entrara en vigor con su forma actual, dicha publicidad solo sería posible con el consentimiento explícito correspondiente que no todos los usuarios podrían dar, de modo que algunos sectores del marketing online temen que se impida la libre disponibilidad de datos en Internet.
     
  • Falta de coherencia del RGPD: el Reglamento General de Protección de Datos presenta algunas contradicciones. Por este motivo, las organizaciones competentes reconocen que el nuevo Reglamento no plantea más transparencia en cuanto a la protección de datos en la comunicación online, tal y como prevé la Comisión Europea, sino más inseguridad jurídica. Por ello se teme que los cambios realizados en los modelos de negocio para el RGPD vayan a tener que modificarse dentro de poco tiempo.

Por favor, ten en cuenta el aviso legal relativo a este artículo.


Porque la unión hace la fuerza. En IONOS
#estamoscontigo
y por eso que queremos ayudarte a seguir impulsando
tu negocio. Diseña la tienda de tus sueños con:

eCommerce
Gratis durante los primeros 3 meses.