El Reglamento e-Privacy


El Reglamento e-Privacy (oficialmente el Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas) será la normativa europea que sustituirá a la Directiva (UE) 2002/58 de Privacidad y Comunicaciones Electrónicas vigente en Europa, y que en España fue transpuesta por la Ley de los Servicios de la Sociedad de la Información y del Comercio Electrónico 34/2002 (la LSSI).

Junto al RGPD, será una de las normativas básicas europeas que regularán la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas, reforzando la privacidad de los ciudadanos y empresas en internet y demás canales de comunicación digitales.

Aún no está aprobado, sino que está en fase de borrador y ha sido objeto de muchísimas modificaciones. Hasta su final aprobación y aplicación aún puede sufrir múltiples variaciones.

Este Reglamento será de aplicación directa en todos los Estados Miembros (igual que el RGPD), y tendrá el carácter de “lex especialis” (ley especial) frente al carácter de “lex generalis” (ley general) que tiene el RGPD, es decir, si hubiera conflicto de aplicación entre este Reglamento y el RGPD, se aplicaría de forma preferente el Reglamento e-Privacy, pues tiene prioridad la ley especial frente a la ley general.

¿A quién protegerá el Reglamento e-Privacy?

A diferencia del RGPD que solamente protege a las personas físicas, este Reglamento protegerá tanto a usuarios particulares como a empresas; las comunicaciones electrónicas pueden contener información muy privada (como información de salud, por ejemplo), pero también pueden contener información confidencial de alto valor económico o revelar secretos comerciales, y es por ello que las empresas son merecedoras, a través de esta normativa, de protección.

Estas actividades serán protegidas independientemente para todos aquellos usuarios localizados en la UE o cuya información pertenezca a usuarios europeos.

¿Qué regulará este Reglamento?

El Reglamento e-Privacy está íntimamente ligado con el RGPD, pues ambos regulan un mismo elemento: la privacidad. Por un lado, uno la regula en su sentido más amplio (el RGPD); el otro, regula las comunicaciones mediante internet y otros canales de comunicación digitales. Este Reglamento también regulará el uso que se realice de la información obtenida sobre los equipos o terminales de los usuarios de estos servicios y los metadatos referidos a los usuarios finales que se encuentren en la UE. También regulará la restricción de la identificación de las llamadas, bloqueo de llamadas entrantes no deseadas por parte de los usuarios, etc. Y la posibilidad de que el consentimiento se obtenga a través del navegador, solicitando al usuario una configuración determinada en el momento de su instalación y modificable en cualquier momento.

¿Cuáles son las novedades que aporta este nuevo Reglamento?

Este Reglamento va a aportar varias novedades, entre ellas, las relativas al consentimiento prestado hasta ahora en las comunicaciones electrónicas, cookies y control sobre comunicaciones electrónicas y llamadas comerciales.

  • En cuanto al consentimiento, será de aplicación lo dispuesto en el RGPD, y esta vez también a las empresas, es decir, la recogida del consentimiento deberá ser expreso, libre, informado e inequívoco. Se dará prevalencia al consentimiento expresado directamente por el usuario sobre el que se preste utilizando los ajustes de los navegadores. También deberemos tener en cuenta que a los usuarios que hayan consentido el tratamiento de datos de comunicaciones electrónicas (newsletter, por ejemplo), se les tendrá que recordar periódicamente la posibilidad de retirar el consentimiento prestado, debiendo hacerlo como mínimo una vez cada doce meses. Debemos tener en cuenta que los datos deberán tratarse durante el plazo para el cumplimiento de la finalidad, y en caso que deban tratarse durante más tiempo, deberán anonimizarse. De momento, deja a los Estados Miembros que decidan durante cuánto tiempo un usuario se considera “cliente” para el envío de las comunicaciones comerciales.
  • Por lo que respecta a los metadatos, se permitirá realizar el tratamiento de estos en las comunicaciones electrónicas, en los siguientes casos:
    • Por ser necesarios para la gestión u optimización de la red o cumplir los requisitos técnicos de calidad del servicio;
    • Para la ejecución de un contrato de servicios de comunicaciones electrónicas (caso de ser necesarios para la facturación, calcular los pagos de interconexión, detectar o cesar por el uso fraudulento o abusivo de los servicios de comunicaciones electrónicas o la suscripción a los mismos);
    • Si se ha dado el consentimiento para tal fin;
    • Para la protección de intereses vitales;
    • O si se cumplen determinados requisitos, respecto a los metadatos de localización necesarios para fines de investigación científica, histórica o con fines estadísticos.

Los metadatos que se traten y sean compatibles en las comunicaciones electrónicas, cuando su tratamiento sea para un fin distinto a aquel para el que fueron recogidos inicialmente, y su tratamiento no haya sido basado en el consentimiento del usuario, se requerirá al prestador que analice si el tratamiento de los datos para este nuevo fin es compatible con el inicialmente escogido (incluso, en determinados casos, será necesaria la realización de una Evaluación de Impacto) y si lo fuera, solamente podrá llevarse a cabo con datos anonimizados.

  • Y en lo que respecta a las cookies, se mantiene la prohibición de tratar dicha información, con las siguientes excepciones:
    • Que el usuario haya consentido el tratamiento (el supuesto más habitual).
    • Que el tratamiento se realice para prestar el servicio de comunicaciones electrónicas.
    • Que sea estrictamente necesario para prestar un servicio requerido por el usuario.
    • Que sea necesario para la medición de audiencias.
    • Que sea necesario para finalidades de seguridad, prevención de fraudes o detectar fallos técnicos.
    • En el caso de que se requiera, para una actualización de software.
    • Para localizar el terminal del usuario final en una llamada de emergencia.

De igual modo que hemos visto en el consentimiento o los metadatos, si la información recogida se fuese a utilizar con una finalidad distinta a la inicialmente prevista, el prestador deberá analizar la compatibilidad de estas finalidades. Y el tratamiento únicamente será acorde si la información es borrada o anonimizada cuando ya no sea necesaria.

  • Otra de las novedades más importantes, es la relativa al control de los usuarios sobre las comunicaciones electrónicas y llamadas comerciales no solicitadas.

En cuanto a las llamadas comerciales no solicitadas, el reglamento dejará en manos de los Estados Miembros el desarrollo de reglas relativas a las obligaciones de los operadores (como podría ser la identificación).

Un punto importante es el relativo a las comunicaciones comerciales y no solicitadas. Como norma general, únicamente se podrán enviar si el destinatario ha dado su consentimiento para ello. Ahora bien, se seguirá teniendo en cuenta el interés legítimo para su envío siempre y cuando se dé la posibilidad de oponerse al envío de las mismas. Además, también se establece que las comunicaciones deberán identificar al remitente, y usar una dirección a la cual se la pueda responder, por lo que las direcciones que empiecen por “noreply@…” dejarán de ser válidas.

¿Qué sanciones prevé?

En cuanto a las sanciones que fija este Reglamento, se asimilan a las del RGPD: el usuario que haya visto sus derechos vulnerados tendrá derecho a recibir una compensación económica. Y, además, las sumas de las sanciones podrán llegar hasta los 10 millones de € o 20 millones de euros o un 2 % o 4 % de los beneficios obtenidos por la sociedad.

Y, ¿cuándo entra en vigor y será aplicable?

Se habla del Reglamento e-Privacy desde 2016, habiendo un primer proyecto ya en 2017 y la idea de la Unión Europea era aprobarlo al mismo tiempo que el Reglamento General de Protección de Datos, pero este objetivo no llegó a cumplirse y, a día de hoy, aun no hay una decisión vinculante sobre su aprobación. Los Estados Miembros de la UE no consiguen ponerse de acuerdo.

En lo que sí parece que hay cuórum es que, una vez esté publicado, se dará una moratoria de 2 años a las empresas para que puedan adaptarse a la nueva regulación y sea plenamente eficaz.

Conclusión

Por lo que hemos visto, este será un Reglamento que pivotará sobre la base de la privacidad por defecto, como defiende el RGPD, protegiendo a los usuarios tanto particulares como empresas. Sin embargo, añadirá unos cuantos quebraderos de cabeza a los departamentos de marketing y gestores de páginas web pues se regularán una serie de obligaciones mucho más restrictivas que las hasta ahora conocidas. Algunos sectores incluso temen que los cambios realizados en los modelos de negocio para el RGPD vayan a tener que modificarse por la llegada de este Reglamento.

Seguiremos de cerca todos los avances que se vayan produciendo en cuanto a esta regulación y os seguiremos informando. Si tenéis cualquier aclaración o consulta, no dudéis en contactar con nosotros; ¡estamos a vuestra disposición!

El Equipo de Pymelegal