ePrivacy, para asegurar la privacidad en las comunicaciones electrónicas

Después del Reglamento Europeo de Protección de Datos (GDPR en sus siglas en inglés) viene en camino otra normativa, ePrivacy, para asegurar la privacidad de las comunicaciones electrónicas.

Durante la vacatio legis establecida para la plena aplicabilidad del Reglamento General de Protección de Datos (GDPR), la Comisión y el propio Parlamento, en un afán de dotar de un instrumento jurídico específico a nuestro ordenamiento para asegurar la privacidad de las comunicaciones electrónicas, y de cara a completar el marco regulatorio de protección de datos en favor de los ciudadanos de la Unión Europea, trabajaron en un texto cuyo primer borrador vio la luz el día 10 de Enero de 2017.

La propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y que deroga la Directiva 2002/58/CE o más comúnmente conocida como ePrivacy, pretende tal y como su propio nombre indica, la derogación de la directiva 2002/58/CE.

El documento será de aplicación directa a todos los estados miembros de la Unión Europea. Actualmente se encuentra bajo revisión parlamentaria, tras haber recibido comentarios por algunas entidades como el Supervisor Europeo de Protección de Datos en su “declaración sobre la revisión del documento”, así como por el WP TELE en su “documento 7820/18 de 13 de Abril”.

Principales novedades

Las principales novedades de esta regulación que viene en camino van orientadas a asegurar la confidencialidad y privacidad de las comunicaciones electrónicas y, en particular, amplía su ámbito de aplicación a los servicios over the top así como al conjunto de los servicios de comunicaciones electrónicas que tengan como destinatarios usuarios que se encuentren dentro de la Unión Europea.

Cabe subrayar el hecho de que no necesariamente tiene que realizarse una transmisión de datos personales para que esta norma sea de aplicación obligatoria. Por ello, entran en su alcance las comunicaciones electrónicas con datos ya sean personales o no, y cuyos dueños sean personas físicas o jurídicas.

Otra de las novedades que se introducen es la necesidad de facilitar el consentimiento expreso libre, específico, informado e inequívoco por parte de los usuarios finales para la recepción de comunicaciones de marketing directo, tratamientos de metadatos, incluir los teléfonos de los usuarios finales en las guías de teléfonos disponibles al público, así como para la instalación de cookies en los equipos terminales.

Asimismo, en equivalencia con el GDPR, el consentimiento puede ser retirado por el usuario en cualquier momento después de haberlo otorgado. Y, lo que es más, hay que informar de este derecho al usuario con carácter semestral.

Conforme a lo anterior, se destaca la prerrogativa de instalar programas por parte de los usuarios finales con opciones de impedir a terceros el almacenamiento de información en equipos terminales, así como el tratamiento de la información ya almacenada en dichos equipos. Además, se aplica esta obligación también a los programas y/o webs que recuperan y presentan información en Internet.

Las Autoridades de Protección de Datos de los estados miembros tendrán la responsabilidad de supervisar la aplicación del Capítulo II del reglamento sobre ‘La protección de las comunicaciones electrónicas de los usuarios finales y de la integridad de sus equipos terminales’, así como de imponer sanciones administrativas análogas a las del RGPD y que, en el peor de los casos, podrían suponer el 4% del volumen de negocio anual a escala mundial o hasta un máximo de 20 millones de euros.

Implicaciones de la regulación

La normativa expuesta, supone un cambio fundamental en la forma en que actualmente los operadores y prestadores de servicios de comunicaciones vienen tratando los datos que obtienen de dichas comunicaciones. Estos cambios comenzarán a aplicarse directamente a aquellos servicios que no necesariamente son operadores de telecomunicaciones tradicionales, pero sí prestan comunicaciones electrónicas de cualquier tipo y hoy día muchos son líderes en mensajería, mensajería instantánea, contenidos audiovisuales o voz IP.

Tal y como se puede deducir de la norma y de lo anteriormente expuesto, el alcance de esta norma será muy amplio y afectará a todas aquellas compañías que tengan página web o realicen comunicaciones electrónicas.

Los sectores que se verán más afectados por el ePrivacy serán aquellos que realizan gran parte de sus contactos con clientes a través de las redes de información o mediante comunicaciones comerciales. Es el caso de empresas del sector retail, telecomunicaciones y banca, donde se está realizando en los últimos años un viraje importante hacia la digitalización de contenidos y comunicaciones con clientes y usuarios.

En definitiva, el objetivo del ePrivacy, es garantizar la confidencialidad y protección de la intimidad de las comunicaciones electrónicas, así como establecer condiciones de competencia equitativas para todos los agentes del mercado. Y podría impactar significativamente en el sector de medios de comunicación, creadores de contenidos y apps gratuitas, que están muy apalancados en los ingresos publicitarios.

En cuanto a su entrada en vigor, las últimas versiones del texto hablan de un año después de su publicación, no obstante, si nos atenemos a los plazos que cumplió en su día el RGPD, la propuesta de la Comisión Europea data del año 2012 mientras que el texto definitivo comenzó a ser de plena aplicabilidad seis años después, el día 25 de mayo de 2018. Así que quizá queda un tiempo por delante, que muchos deberían aprovechar para prepararse.

Artículo elaborado con la colaboración del equipo de Privacidad del área de Ciberseguridad de KPMG en España.