Reglamento ePrivacy: ¿qué hay que saber?

La Unión Europea (UE) hace años que persigue la creación de un corpus normativo homogéneo para el mercado interior con el fin de aumentar la protección de los consumidores y sujetos de derecho. En este contexto, el Reglamento ePrivacy se sitúa en el centro de todas las discusiones. Con él, la Unión Europea pretende formular una política de privacidad obligatoria que tenga validez en todos los Estados miembro. El hecho de desconocer la fecha de entrada en vigor de este reglamento y qué directrices implicará para el sector digital no hace más que contribuir a la confusión general.Pero, aparte del ePrivacy, están en vigor el Reglamento General de Protección de Datos (RGPD) desde mayo de 2018 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), que desde diciembre de ese mismo año transpone el RGPD a la legislación nacional y vino a reemplazar a la LOPD de 1999.

Con el Reglamento de Privacidad Electrónica, ePrivacy Regulation (oficialmente Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC, Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE ), la Unión Europea pretende reforzar la privacidad de los ciudadanos en Internet y regular la protección de los datos dentro de la UE de un modo más estricto. Básicamente se trata de que los ciudadanos recobren la confianza en los canales de comunicación digitales.  El Reglamento ePrivacy, que aún no ha entrado en vigor, sería la tercera y probablemente última medida de una iniciativa para regular la protección de datos europea. Con esta iniciativa, la Unión Europea transita por un camino más que necesario, ya que Internet no conoce fronteras. ¿Qué proponen las autoridades europeas con la Regulación ePrivacy? Es importante indicar en primer lugar que el Reglamento ePrivacy afecta a más empresas que cualquier normativa anterior sobre privacidad. Las propuestas que entrarán en vigor se dirigen en concreto a gestores de páginas web y a proveedores de software, por ejemplo, a proveedores de aplicaciones como Google, Zoom,  o Meta (antes Facebook). Es decir, esta propuesta tiene un impacto fundamentalmente en todo el sector online.

El mayor cambio guarda sobre todo relación con el empleo de las cookies: debe facilitarse a los usuarios rechazar las cookies que no son imprescindibles y permitir su regulación en la configuración del navegador, por ejemplo. Los gestores de páginas web solo deberían entonces utilizar cookies si son cookies necesarias desde un punto de visto técnico para el buen funcionamiento de la web o si los usuarios dan su consentimiento de forma concreta. Pero, incluso si no lo hicieran, deberían poder seguir visualizando el contenido sin obstáculos. Así, en lugar del opt out, sería necesario aplicar un método de doble opt in.

Para los desarrolladores de navegadores esto también supondría hacer frente a una serie de obligaciones: según el ePrivacy, los navegadores web deben ofrecer a los usuarios la posibilidad de regular el seguimiento. ¿Puede una empresa seguirme con cookies? En caso afirmativo ¿con cookies de origen o de terceros? El debate gira en torno a los ajustes predefinidos, es decir, si ha de ser el usuario mismo quien se ocupe de proteger su privacidad. El Reglamento General de Protección de Datos parte de la privacidad por defecto, lo que significa que los ajustes de privacidad deben ser lo más estrictos posible tras la instalación y que sea el usuario quien las suavice. En general, solo se permite la utilización de servicios de seguimiento sin el consentimiento del usuario si estos sirven de base para análisis estadísticos.

En el borrador de la ePrivacy regulation también se incluyó la comunicación “máquina a máquina”. Con ello, la UE reacciona a los retos que conlleva el Internet de las cosas: en este tipo de transferencia de datos, debería aplicarse lo mismo que para las transferencias en las que los usuarios se ven involucrados de forma directa. En este sentido, el objetivo es que solo se transmitan datos personales si el usuario da su consentimiento, lo que podría afectar, por ejemplo, a los datos del GPS de los teléfonos inteligentes.

En general, se tiene que informar a los usuarios del tipo de datos personales que se recopilan y con qué objetivo, de ahí que el consentimiento no deba estar oculto en los Términos y Condiciones o vinculado a otros servicios. Si al comprar online se tienen que facilitar datos personales, algo que es inevitable, en este caso sí está permitido. No estaría permitido, sin embargo, si se utilizaran tales datos para fines publicitarios, para lo que sería necesario volver a dar el consentimiento.

El Reglamento ePrivacy no se limita únicamente a la recopilación de datos personales por parte de las empresas; la intervención gubernamental también debe estar regulada por el ePrivacy. Así, es obligatorio recurrir a un cifrado de extremo a extremo, con lo que toda transmisión de datos debe estar debidamente cifrada incluso a los gobiernos. Asimismo, debe prohibirse también la instalación de puertas traseras, tal como hacen algunos fabricantes para permitir el acceso a los gobiernos, lo que entonces sería ilegal.

Fuera del ámbito de Internet, la ePrivacy regulation también tiene algo que decir en lo que a marketing directo se refiere: mientras que en principio no se introducen cambios para el email marketing, el ePrivacy resulta algo más estricto para el telemarketing. Su propuesta sugiere que solo pueden realizarse llamadas telefónicas con fines publicitarios cuando aquellos que las realizan revelan sus números de teléfono o utilizan un código obligatorio para señalar que se trata de una llamada promocional.

El Reglamento de privacidad electrónica debe sustituir a la antigua directiva de ePrivacy y flanquear al RGPD. La antigua regulación existe desde 2002 y se amplió en 2009. Los preceptos de la Comunidad Europea no tienen carácter de derecho inmediatamente eficaz y vinculante, sino que son directivas que deben aplicarse a las leyes nacionales, por lo que a cada uno de los países se le otorga un plazo más prolongado. El caso de los reglamentos es distinto, pues estos, como, p. ej., el RGPD, constituyen un derecho vinculante para toda la UE y que entra en vigor de forma inmediata. Con todo, la ley puede conceder un período transitorio.

Ahora bien ¿qué pasa con el RGPD? ¿A qué normativa hay que atenerse? En cuanto entre en vigor el Reglamento de Privacidad Electrónica la respuesta es: a ambas. Lo que se pretende es que el Reglamento ePrivacy concrete lo estipulado en el RGPD. Este nuevo ordenamiento, también conocido como ePV, constituye una lex specialis (ley especial), lo que significa que tiene prioridad ante el Reglamento General de Protección de Datos, concebido como una lex generalis (ley general). El RGPD es un documento más general, cuyos puntos de concretizan en el ePV. Cabe mencionar que el Reglamento General no se limita a regular la comunicación en Internet; en este sentido, el ePrivacy ofrece una protección más notable.

La aplicación de estas dos regulaciones no implica que el resto de normativas caigan en el olvido. Esto ya se ha decidido en el RGPD, y el ePV también debe incluir cláusulas de apertura: las normas locales también influyen en algunos puntos del Reglamento en cuanto a sus detalles de aplicación. La modificación o adaptación de los puntos que contradicen a las leyes europeas recae bajo responsabilidad de legisladores nacionales.

Se empezó a hablar del Reglamento de Privacidad Electrónica ya en abril de 2016 y, desde entonces, todavía no se ha tomado una decisión vinculante, aunque en enero de 2017 la Comisión Europea publicó un primer proyecto. Posteriormente, varios comités expresaron sus opiniones sobre las propuestas de la Comisión, lo que dio lugar a que el Parlamento Europeo introdujera su propio proyecto en octubre de 2017, momento en el que ya se había acordado el RGPD. Casi un mes después, la Presidencia del Consejo de la Unión Europea publicó un informe de situación que recogía el estado actual del asunto. El siguiente paso era que el Consejo Europeo tomase una decisión sobre el proyecto.

La idea inicial era que el ePrivacy y el RGPD entraran en vigor simultáneamente, aunque esto no se pudo llevar a cabo. Los Estados miembro de la UE han tardado tiempo en ponerse de acuerdo sobre la línea que debe seguir el proyecto. Aunque hay un rayo de esperanza: en febrero de 2021 el Consejo Europeo hizo una nueva propuesta de Reglamento, que ahora deben negociar los representantes de los tres organismos que participan en el proceso legislativo de la UE, es decir, la Comisión Europea, el Parlamento y el Consejo Europeo.

Dado que para la implantación definitiva del ePrivacy también se dispondrá de un periodo de transición de dos años, no hay que temer a una aprobación inmediata del proyecto. En 2022, Francia ejerce la presidencia del Consejo como sucesor de Portugal y Alemania.

Los recortes que plantea el Reglamento de privacidad electrónica y la manera en que este se negocia afectan, además de a los ciudadanos, sobre todo a los gestores de páginas web y a la rama del marketing online. Por ello no resulta raro que la mayoría de las críticas procedan de estos dos sectores. Concretamente, es el ámbito publicitario el que censura el proyecto de la UE por diversos motivos:

• Más trabajo para los usuarios: el sector asume que, en un futuro, los usuarios se van a ver abrumados por la cantidad de autorizaciones que requiere la utilización del ePV, pues se cree que se tendrá que dar el consentimiento con cada intercambio de datos.
   
• La financiación de los medios online está en peligro: el aspecto más criticable se encuentra en el hecho de que los medios online financiados mediante publicidad están en peligro. Actualmente hay algunos blogs, sitios web de periódicos y de otros medios que tienen modelos de negocio que dependen de las inserciones publicitarias. Los usuarios no pagan con dinero, sino con el consumo de publicidad. La selección de los anuncios se basa mayoritariamente en los datos que recolectan los anunciantes gracias al seguimiento. Si el Reglamento ePrivacy entrara en vigor con su forma actual, dicha publicidad solo sería posible con el consentimiento explícito correspondiente que no todos los usuarios podrían dar, de modo que algunos sectores del marketing online temen que se impida la libre disponibilidad de datos en Internet.
   
• Falta de coherencia del RGPD: el Reglamento General de Protección de Datos presenta algunas contradicciones. Por este motivo, las organizaciones competentes reconocen que el nuevo Reglamento no plantea más transparencia en cuanto a la protección de datos en la comunicación online, tal y como prevé la Comisión Europea, sino más inseguridad jurídica. Por ello se teme que los cambios realizados en los modelos de negocio para el RGPD vayan a tener que modificarse dentro de poco tiempo.

Por favor, ten en cuenta el aviso legal relativo a este artículo.