El futuro Reglamento de privacidad electrónica (e-Privacy) debe sustituir a la antigua Directiva de e-Privacy [1] y flanquear al RGPD. La antigua regulación existe desde 2002 y se amplió en 2009.
Las directivas de la Unión Europea no tienen carácter de derecho inmediatamente eficaz y vinculante, sino que son preceptos que deben transponerse a las leyes nacionales, por lo que a cada uno de los países se le otorga un plazo más prolongado.
El caso de los reglamentos es distinto, pues estos, como, p. ej., el RGPD, constituyen un derecho vinculante para toda la UE y entran en vigor de forma inmediata. Con todo, la ley puede conceder un período transitorio.
Lo que se pretende es que el Reglamento e-Privacy (ePV) concrete lo estipulado en el RGPD. Este nuevo ordenamiento constituye una lex specialis (ley especial), lo que significa que tiene prioridad ante el Reglamento General de Protección de Datos, concebido como una lex generalis (ley general). El RGPD es un documento más general, que el ePV concreta en algunos puntos: P. ej, el RGPD no se limita a regular la comunicación en Internet; en este sentido, el ePV ofrece una protección más notable.
La aplicación de estas dos regulaciones no implica que el resto de normativas caigan en el olvido. Esto ya se ha decidido en el RGPD, y el ePV también debe incluir cláusulas de apertura: las normas locales también influyen en algunos puntos del Reglamento en cuanto a sus detalles de aplicación. La modificación o adaptación de los puntos que contradicen a las leyes europeas recae bajo responsabilidad de legisladores nacionales.
Se empezó a hablar del ePV ya en abril de 2016 y, desde entonces, todavía no se ha tomado una decisión vinculante, aunque en enero de 2017 la Comisión Europea publicó un primer proyecto [2]. Posteriormente, varios comités expresaron sus opiniones sobre las propuestas de la Comisión, lo que dio lugar a que el Parlamento Europeo introdujera su propio proyecto en octubre de 2017, momento en el que ya se había acordado el RGPD. Casi un mes después, la Presidencia del Consejo de la Unión Europea publicó un informe de situación que recogía el estado actual del asunto, tras lo cual no ha habido cambios. El siguiente paso es que el Consejo Europeo tome una decisión sobre el proyecto.
La idea inicial era que el ePV y el RGPD entraran en vigor simultáneamente, aunque esto es algo que se descartó hace tiempo.
Los Estados miembro de la UE no consiguen ponerse de acuerdo en una sola línea del proyecto de ley y en noviembre de 2019 rechazaron una propuesta de acuerdo. Algunos miembros del Consejo proponen incluso una completa nueva redacción de la regulación. Dado que en el caso del ePV también está previsto otorgar un período transitorio de un año, a día de hoy no se puede contar con la súbita aplicación del proyecto. Determinar hasta qué punto se va a modificar el documento es algo complicado hasta la fecha. Lo que es más que probable es que no estamos ante la versión definitiva.
Los recortes que plantea el Reglamento de privacidad electrónica y la manera en que este se negocia afectan, además de a los ciudadanos, sobre todo a los gestores de páginas web y a la rama del marketing online. Por ello no resulta raro que la mayoría de las críticas procedan de estos dos sectores. Concretamente, es el ámbito publicitario el que censura el proyecto de la UE por diversos motivos:
Más trabajo para los usuarios: el sector asume que, en un futuro, los usuarios se van a ver abrumados por la cantidad de autorizaciones que requiere la utilización del ePV, pues se cree que se tendrá que dar el consentimiento con cada intercambio de datos.
La financiación de los medios online está en peligro: el aspecto más criticable se encuentra en el hecho de que los medios online financiados mediante publicidad están en peligro. Actualmente hay algunos blogs, sitios web de periódicos y de otros medios que tienen modelos de negocio que dependen de las inserciones publicitarias. Los usuarios no pagan con dinero, sino con el consumo de publicidad.
La selección de los anuncios se basa mayoritariamente en los datos que recolectan los anunciantes gracias al seguimiento. Si el Reglamento ePV entrara en vigor con su forma actual, dicha publicidad solo sería posible con el consentimiento explícito correspondiente que no todos los usuarios podrían dar, de modo que algunos sectores del marketing online temen que se impida la libre disponibilidad de datos en Internet.
Falta de coherencia del RGPD: el Reglamento General de Protección de Datos presenta algunas contradicciones. Por este motivo, las organizaciones competentes reconocen que el nuevo ePV no plantea más transparencia en cuanto a la protección de datos en la comunicación online, tal y como prevé la Comisión Europea, sino más inseguridad jurídica. Por ello se teme que los cambios realizados en los modelos de negocio para el RGPD vayan a tener que modificarse dentro de poco tiempo.
Empleo de las ‘cookies’.
El mayor cambio guarda sobre todo relación con el empleo de cookies: debe facilitarse a los usuarios rechazar las cookies que no son imprescindibles y permitir su regulación en la configuración del navegador, por ejemplo. Los gestores de páginas web solo deberían entonces utilizar cookies si los usuarios las consintieran de forma concreta, pero, incluso si no lo hicieran, deberían poder seguir visualizando el contenido sin obstáculos. Así, en lugar de opt out, sería necesario aplicar opt in.
Para los desarrolladores de navegadores esto también supondría hacer frente a una serie de obligaciones: según el ePV, los navegadores web deben ofrecer a los usuarios la posibilidad de regular el seguimiento. ¿Puede una empresa seguirme con cookies? En caso afirmativo ¿con cookies de origen o de terceros? El debate gira en torno a los ajustes predefinidos, es decir, si ha de ser el usuario mismo quien se ocupe de proteger su privacidad.
El RGPD parte de la privacidad por defecto, lo que significa que los ajustes de privacidad deben ser lo más estrictos posible tras la instalación y que sea el usuario quien las suavice. En general, solo se permite la utilización de servicios de seguimiento sin el consentimiento del usuario si estos sirven de base para análisis estadísticos.
El World Wide Web Consortium (W3C) también se ha ocupado de la protección de la privacidad. El resultado es el encabezado HTTP “Do not track” (DNT) que muchos navegadores actuales ya soportan. Con él, los usuarios pueden configurar ya en el navegador que no se realice ningún tipo de seguimiento.
Posteriormente, este encabezado HTTP transmite la información a la página web. Actualmente, no obstante, los proveedores de páginas web no tienen la obligación de aplicarlo, aunque es posible que esto cambie con el ePV, que va todavía un poco más lejos: según dicha normativa tanto el navegador, como cualquier tecnología de transferencia de datos, estarían implicados en la protección de datos.
Es por esto que en el borrador de ePV también se incluyó la comunicación “máquina a máquina”. Con ello, la UE reacciona a los retos que conlleva el Internet de las Cosas (IoT): en este tipo de transferencia de datos, debería aplicarse lo mismo que para las transferencias en las que los usuarios se ven involucrados de forma directa. En este sentido, el objetivo es que solo se transmitan datos personales si el usuario da su consentimiento, lo que podría afectar, por ejemplo, a los datos del GPS de los teléfonos inteligentes.
En general, se tiene que informar a los usuarios del tipo de datos personales que se recopilan y con qué objetivo, de ahí que el consentimiento no deba estar oculto en los Términos y Condiciones o vinculado a otros servicios. Si al comprar online se tienen que facilitar datos personales, algo que es inevitable, en este caso sí está permitido. No estaría permitido, sin embargo, si se utilizaran tales datos para fines publicitarios, para lo que sería necesario volver a dar el consentimiento.
El ePV no se limita únicamente a la recopilación de datos personales por parte de las empresas, sino que si esto se hace desde un punto de vista gubernamental; la situación también debe estar intensamente regulada por el ePV.
Así, es obligatorio recurrir a un cifrado de extremo a extremo, con lo que toda transmisión de datos debe estar debidamente cifrada y debe evitarse el acceso incluso a los gobiernos. Asimismo, debe prohibirse también la instalación de “puertas traseras”, tal como hacen algunos fabricantes para permitir el acceso a los gobiernos, lo que entonces sería ilegal.
Fuera del ámbito de Internet, ePV también tiene algo que decir en lo que a marketing directo se refiere: mientras que en principio no se introducen cambios para el email marketing, ePV resulta algo más estricto para el telemarketing [3].
[1] Junto al RGPD, hasta hoy es la directiva e-Privacy de 2002 la que regula de qué forma los operadores de páginas web pueden instalar cookies en los navegadores de los usuarios, de ahí su sobrenombre “Ley de Cookies”.
[2] Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas).
https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52017PC0010
[3] Su propuesta sugiere que solo pueden realizarse llamadas telefónicas con fines publicitarios cuando aquellos que las realizan revelan sus números de teléfono o utilizan un código obligatorio para señalar que se trata de una llamada promocional.
Este post Reglamento e-Privacy, Directiva e-Privacy y RGPD apareció originalmente en SIQURË Safety & Security.