ePrivacy: ¿qué novedades trae el nuevo Reglamento de la UE?

Cada vez es más difícil orientarse en la jungla de las directivas digitales: mientras en Alemania se discute una ley contra las fake news en las redes sociales que podría hacer peligrar la libertad de expresión, en Estrasburgo (Parlamento Europeo) y en Bruselas (Consejo de la Unión Europea) se trata algo diferente: el Reglamento de ePrivacy. Con él la Unión Europea pretende formular una política de privacidad obligatoria que tenga validez en todos los Estados miembros. Además de este Reglamento, también entrará en juego el Reglamento General de Protección de Datos (RGPD). A todo esto, el hecho de desconocer la fecha de entrada en vigor de la ley de ePrivacy y qué directrices implicará para el sector digital no hace más que aumentar la confusión general.

Para que te hagas una idea aproximada, te contamos a continación qué es lo que se sabe hasta ahora.

Nota

El Reglamento de ePrivacy presenta algunas diferencias con respecto al RGPD, que entrará en vigor a partir de mayo de 2018 y sobre el que puedes informarte en este artículo.

¿De qué trata el Reglamento de privacidad electrónica?

Con el Reglamento de privacidad electrónica, también llamado ePrivacy, (oficialmente Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications, Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas), la Unión Europea pretende reforzar la privacidad de los ciudadanos en Internet y regular la protección de los datos de un modo más estricto. Básicamente se trata de potenciar la confianza de los ciudadanos en los canales de comunicación digitales. En todo caso, la ePrivacy regulation trae consigo el fortalecimiento del mercado único digital y es la tercera y última medida de una iniciativa en torno al sector digital de la Unión Europea. El objetivo es introducir una normativa a nivel europeo para que las empresas no tengan que enfrentarse a fronteras internacionales en Internet (al menos no a nivel europeo).

Con esta iniciativa, la Unión Europea transita por un camino más que necesario, ya que Internet no conoce fronteras. ¿Qué proponen las autoridades europeas con la ePrivacy regulation? Es importante indicar en primer lugar que el Reglamento de ePrivacy afecta a más empresas que cualquier normativa anterior sobre privacidad. Las propuestas actuales también se dirigen en concreto a proveedores de software, por ejemplo, a proveedores de aplicaciones como WhatsApp o Skype y, por lo tanto, fundamentalmente a todo el sector online.

Se endurece sobre todo la normativa con respecto a la utilización de cookies. En la actualidad es suficiente con el aviso que los usuarios reciben sobre su uso cuando entran en una página web (si no están de acuerdo, deben abandonar la página). Esto va a cambiar con el nuevo Reglamento de privacidad electrónica, y es que los gestores de páginas web solo pueden utilizar cookies si los usuarios dan su consentimiento, pero incluso si no lo hacen, podrán seguir visualizando todos los contenidos. Así, en lugar del opt out, sería necesario aplicar el opt in.

Para conseguirlo, los desarrolladores de navegadores también tendrían que hacer frente a una serie de obligaciones: según el ePrivacy, los navegadores web deben ofrecer a los usuarios la posibilidad de regular el seguimiento. ¿Puede una empresa seguirme con cookies? En caso afirmativo ¿con cookies de origen o de terceros? El debate gira en torno a los ajustes predefinidos, es decir, si ha de ser el usuario mismo quien se ocupe de proteger su privacidad. El Reglamento General de Protección de Datos habla de la “privacy by default”, lo que significa que los ajustes de privacidad deben ser lo más estrictos posible tras la instalación y que sea el usuario quien las suavice. En general, solo se permite la utilización de servicios de seguimiento sin el consentimiento del usuario si estos sirven de base para análisis estadísticos.

El World Wide Web Consortium (W3C) también se ha ocupado de la protección de la privacidad. El resultado es el encabezado HTTP “Do not track” (DNT) que muchos navegadores actuales ya soportan. Con él, los usuarios pueden configurar ya en el navegador que no se realice ningún tipo de seguimiento. Posteriormente, este encabezado HTTP transmite la información a la página web. Actualmente, los proveedores de páginas web no tienen la obligación de aplicarlo, aunque es posible que esto cambie con el Reglamento de ePrivacy de la Unión Europea, que va todavía un poco más lejos, pues según dicha normativa tanto el navegador como cualquier tecnología de transferencia de datos estarían implicados en la protección de datos.

Es por esto que en la ePrivacy regulation también se incluye la comunicación “máquina a máquina”. Con ello, la UE reacciona a los retos que conlleva el Internet de las cosas: para este tipo de transferencia de datos se aplica lo mismo que para las transferencias en las que los usuarios se ven involucrados de forma directa. En este sentido, el objetivo es que solo se transmitan datos personales si el usuario da su consentimiento, lo que puede afectar, por ejemplo, a los datos del GPS de los teléfonos inteligentes.

En general, se tiene que informar a los usuarios del tipo de datos personales que se recopilan y con qué objetivo, de ahí que el consentimiento no deba estar oculto en los Términos y Condiciones o vinculado a otros servicios. Si al comprar online se tienen que facilitar datos personales, algo que es inevitable, en este caso sí está permitido. No estaría permitido, sin embargo, si se utilizaran tales datos para fines publicitarios, para lo que sería necesario volver a dar el consentimiento.

El Reglamento de ePrivacy no se limita únicamente a la recopilación de datos personales por parte de las empresas, sino que si esto se hace desde un punto de vista gubernamental, la situación también debe estar intensamente regulada por el ePrivacy. Así, es obligatorio recurrir a un cifrado “end to end” (de extremo a extremo), con lo que toda transmisión de datos debe estar debidamente cifrada y debe evitarse que pueda ser leída incluso por los gobiernos. Asimismo, debe prohibirse la instalación de backdoors, y es que los fabricantes crean estas puertas traseras o trampillas para permitir el acceso a los gobiernos, lo que es ilegal.

Fuera del ámbito de Internet, la ePrivacy regulation también tiene algo que decir en lo que a marketing directo se refiere: mientras que en principio no se introducen cambios para el Email Marketing, el ePrivacy resulta algo más estricto para el telemarketing. Su propuesta sugiere que solo pueden realizarse llamadas telefónicas con fines publicitarios cuando aquellos que las realizan revelan sus números de teléfono o utilizan un código obligatorio para señalar que se trata de una llamada promocional.

El Reglamento de ePrivacy frente a la directiva de ePrivacy y al RGPD

El Reglamento de privacidad electrónica (ePrivacy) se aplica como sustituto de la antigua directiva de ePrivacy y para flanquear al Reglamento General de Protección de Datos (RGPD). La antigua regulación existe desde 2008 y fue ampliada en 2009. Los preceptos de la Comunidad Europea no tienen carácter de derecho inmediatamente eficaz y vinculante, sino que son directivas que deben aplicarse a las leyes nacionales, por lo que a cada uno de los países se le otorga un plazo más prolongado. El caso de los reglamentos es distinto, pues estos, al igual que el RGPD, constituyen un derecho aplicable a toda la UE, vinculante, por tanto, para todos los Estados miembro y en vigor de forma inmediata. Sin embargo, la ley puede conceder un período transitorio, como en el caso del RGPD, que será de aplicación para todos los ciudadanos de la Unión Europea a partir del 25 de mayo de 2018.

La implantación del RGPD este año trae consigo, sin embargo, una mayor confusión. ¿A qué normativa hay que atenerse? En cuanto entre en vigor el Reglamento de privacidad electrónica la respuesta es a ambas. Lo que se pretende es que el ePrivacy concrete lo estipulado en el RGPD. Este nuevo ordenamiento, también conocido como ePV, constituye una lex specialis (ley especial), que significa que tiene prioridad frente al Reglamento General de Protección de Datos, concebido como una lex generalis (ley general). El RGPD es un documento más general que se vuelve más inteligible en algunas partes con las reglas del ePrivacy. El Reglamento General de Protección de Datos, sin embargo, no ha sido exclusivamente diseñado para Internet y, en este sentido, el ePrivacy ofrece una protección más notable.

La aplicación de estas dos regulaciones no implica que el resto de normativas caigan en el olvido. Esto ya se ha decidido en el RGPD, y el ePV también debe incluir cláusulas de apertura: las normas locales también influyen en algunos puntos del Reglamento en cuanto a sus detalles de aplicación. La modificación o adaptación de los puntos que contradicen a las leyes europeas recae bajo responsabilidad de legisladores nacionales.

¿Cuándo entra en vigor la ePrivacy regulation?

Se empezó a hablar de Reglamento de privacidad electrónica a partir de abril de 2016 y, desde entonces, todavía no se ha tomado una decisión vinculante, aunque en enero de 2017 la Comisión Europea publicó un primer proyecto. Posteriormente, varios comités expresaron sus opiniones sobre las propuestas de la Comisión, lo que dio lugar a que el Parlamento Europeo introdujera su propio proyecto en octubre de 2017, momento en el que ya se había acordado el RGPD. Casi un mes después, la Presidencia del Consejo de la Unión Europea publicó un informe de situación que recogía el estado actual del asunto, tras lo cual no ha habido cambios. El siguiente paso es que el Consejo Europeo tome una decisión sobre el proyecto.

La idea inicial era que el ePrivacy y el RGPD entraran en vigor simultáneamente, aunque esto es algo que se descartó hace tiempo. Mientras tanto, se parte de la base de que se llegará a un acuerdo, como pronto, a principios de 2019. Dado que en el caso del Reglamento de privacidad electrónica también está previsto un período transitorio de un año, no se puede contar con la súbita aplicación del proyecto. Determinar hasta qué punto se va a modificar el documento es algo complicado hasta la fecha, pero dado que no se cuenta con la versión definitiva, esto resulta más que probable.

Críticas al proyecto

Los recortes que plantea el Reglamento de privacidad electrónica y la manera en que este se negocia afectan, además de a los ciudadanos, sobre todo a los gestores de páginas web y a la rama del marketing online. Por ello no resulta raro que la mayoría de las críticas procedan de estos dos sectores. Concretamente, es el ámbito publicitario el que censura el proyecto de la UE por diversos motivos:

  • Más trabajo para los usuarios: el sector asume que, en un futuro, los usuarios se van a ver abrumados por la cantidad de autorizaciones que requiere la utilización del ePV, pues se cree que se tiene que dar el consentimiento cada vez que se transfieran datos.

  • La financiación de los medios online está en peligro: el aspecto más criticable se encuentra en el hecho de que los medios online financiados mediante publicidad están en peligro. Actualmente hay algunos blogs, campañas publicitarias de periódicos y de otros medios que tienen modelos de negocio que dependen de inserciones publicitarias. Los usuarios no pagan con un valor numérico, sino con el consumo de publicidad. La selección de las inserciones publicitarias se basa mayoritariamente en los datos que recolectan los anunciantes haciendo seguimiento. Si el Reglamento de ePrivacy entrara en vigor con su forma actual, dicha publicidad solo sería posible con el consentimiento explícito correspondiente que no todos los usuarios podrían dar, de modo que algunos sectores del marketing online temen que se impida la libre disponibilidad de datos en Internet.

  • Falta de coherencia del RGPD: el Reglamento General de Protección de Datos presenta algunas contradicciones. Por este motivo, las organizaciones competentes reconocen que el nuevo Reglamento no plantea más transparencia en cuanto a la protección de datos en la comunicación online, tal y como prevé la Comisión Europea, sino más inseguridad jurídica. Por ello se teme que los cambios realizados en los modelos de negocio para el RGPD vayan a modificarse dentro de poco tiempo.

Por favor, ten en cuenta el aviso legal relativo a este artículo.