¿Qué es el Reglamento ePrivacy? ¿Qué efectos tendrá sobre la protección de datos en las comunicaciones digitales? ¿Cuál es su ámbito de aplicación? ¿Cuándo entrará en vigor? En las siguientes líneas daremos respuestas a estas y otras cuestiones y veremos en qué estado se encuentra el Reglamento ePrivacy en 2022.
En este artículo hablamos de:
¿Qué es el Reglamento ePrivacy? Definición
El ePrivacy Regulation, o Reglamento sobre la privacidad y las comunicaciones electrónicas, es una ley de categoría especial del Consejo y el Parlamento Europeo para regular el respeto a la privacidad y la protección de datos personales en el ámbito de las comunicaciones comerciales, que derogará, cuando entre en vigor, a la Directiva 2002/58/CE o Directiva ePrivacy.
Este nuevo Reglamento ePrivacy forma parte de las diferentes medidas llevadas a cabo por la UE para reforzar y hacer más estricta la protección de datos personales de los ciudadanos europeos y en concreto se centra en las comunicaciones y medios digitales, así como en la evolución de nuevas tecnologías, como el Internet de las cosas (IoT).
Su primer borrador data de 2016, puesto que se esperaba que hubiese entrado en vigor junto al RGPD, pero la realidad es que desde entonces se han ido publicando diferentes borradores, con las correspondientes modificaciones y actualizaciones, hasta la última propuesta del Reglamento e-Privacy de 2021, que es la que actualmente se está debatiendo entre los Estados miembros.
Objetivos del Reglamento ePrivacy
Uno de los principales objetivos del Reglamento ePrivacy es adecuarse a la Estrategia para el Mercado Único Digital, cuya finalidad es incrementar la seguridad de las comunicaciones digitales y la confianza de los usuarios en el uso de estos servicios.
Por otro lado, la nueva propuesta de ley también busca alinearse con lo dispuesto en el Reglamento (UE) 2016/679 de protección de datos, para garantizar la máxima protección de la seguridad e intimidad de los usuarios, en este caso en el contexto de las comunicaciones electrónicas. Otro de sus fines principales es asegurar un escenario de competencia equitativa entre los agentes del mercado.
La nueva propuesta del Reglamento sobre la privacidad y las comunicaciones electrónicas también está diseñada para ofrecer la mayor coherencia posible con el resto de políticas de la Unión Europea. Para ello, la Comisión elaboró en 2016 un Código Europeo de las Comunicaciones Electrónicas. Aunque el Reglamento ePrivacy no forma parte de dicha propuesta, sí se alineará con sus pautas de actuación y se basará en las definiciones que figuren en este código.
Ámbito de aplicación del Reglamento ePrivacy
El Reglamento ePrivacy se aplicará al tratamiento de datos en comunicaciones electrónicas realizadas como consecuencias de las prestaciones y uso de estos servicios. Además, también se refiere al uso de la información obtenida sobre los equipos o terminales de los usuarios de dichos servicios.
En concreto, la propuesta del Reglamento ePrivacy señala la aplicación de la ley en los siguientes supuestos:
- Prestación de servicios basados en comunicaciones electrónicas a cualquier usuario de la Unión Europea, independientemente de si se trata de servicios de pago o gratuitos.
- Uso de estos servicios por parte de los usuarios.
- Protección de la información obtenida de los equipos de los usuarios que participen en las comunicaciones electrónicas dentro de la Unión Europea.
Este Reglamento afectará especialmente a las empresas del sector tecnológico y digital, como son las grandes tecnológicas (Google, Meta, Apple, etc.), así como a gestores de páginas web, proveedores de software y proveedores de Internet.
Novedades del Reglamento ePrivacy
Tras las modificaciones que ha ido sufriendo a lo largo de los años, estas son las novedades del Reglamento ePrivacy más relevantes tanto para empresas o entidades públicas como para los propios ciudadanos:
– Consentimiento
El Reglamento ePrivacy establece un consentimiento explícito más estricto para cualquier tipo de comunicaciones electrónicas, incluidas la publicidad digital, por parte de los usuarios finales. De manera que sin dicho consentimiento, cualquier comunicación electrónica queda prohibida. Este consentimiento debe ser, como ocurre con el consentimiento expreso del RGPD, libre, específico, informado e inequívoco.
– Metadatos
El Reglamento ePrivacy entra a regular por primera vez los metadatos, que son entendidos como datos personales y confidenciales (de manera simplificada, los metadatos son los datos que generamos cuando navegamos por Internet o enviamos un WhatsApp, como son la hora de conexión, la localización, el modelo de dispositivo, etc.).
El Reglamento define a los metadatos de la siguiente forma:
Datos tratados en una red de comunicaciones electrónicas con el fin de transmitir, distribuir o intercambiar contenido de comunicaciones electrónicas.
Y entre ellos se incluyen:
- Datos que permiten identificar el origen y el destino
- Datos sobre la ubicación del dispositivo (generados en el contexto de la comunicación)
- Fecha
- Hora
- Duración
- Tipo de comunicación
En el actual borrador del ePrivacy Regulation, el consentimiento explícito sigue siendo necesario para poder tratar estos metadatos, pero introduce algunas excepciones para poder tratarlos sin dicho consentimiento de los usuarios:
- Cuando el tratamiento sea necesario para garantizar los servicios de comunicaciones.
- Comprobar la presencia de malware.
- Cuando el proveedor de servicios esté obligado por la legislación de la UE o de los Estados miembros a revelar esta información para persecución de delitos o prevención de amenazas a la seguridad pública.
- Cuando sean necesarios para proteger intereses vitales de los usuarios.
- Para monitorear epidemias y otras emergencias humanitarias, desastres naturales y desastres provocados por el hombre.
- Cuando se destinen a una finalidad diferente, pero compatible con la finalidad principal para la que se recabó el consentimiento, siempre que se apliquen garantías específicas y adecuadas.
– Email marketing
El Reglamento e-Privacy establece que los usuarios finales no pueden recibir comunicaciones de marketing directo a menos que hayan dado su consentimiento.
Luego proporciona una serie de exenciones, incluida la comercialización a clientes existentes, y establece reglas para los vendedores, incluida la obligación de revelar su identidad y brinda la oportunidad a los destinatarios de optar por no recibir más comunicaciones de comercialización.
El último borrador del Consejo se refiere a comunicaciones de marketing «no solicitadas» y directas, y agrega la opción para que los estados miembros establezcan un límite de tiempo después del cual las organizaciones no pueden enviar comunicaciones de marketing a sus clientes.
En ese sentido, el Reglamento ePrivacy choca con el RGPD, que sí permite el tratamiento de datos personales con fines de marketing directo, al considerarlo interés legítimo del responsable. Sin embargo, que el ePrivacy es una ley especial, tendrá prevalencia sobre lo que dice el RGPD, por lo que cuando entre en vigor, será lo que dice el primero lo que deberemos contemplar.
Además, los usuarios finales también tendrán el derecho absoluto de objetar, en cuyo caso debes dejar de enviar esos e-mails lo antes posible. También debes informarles sobre ese derecho, así como el hecho de que tienes la intención de utilizar sus datos para fines de marketing directo.
Por lo tanto, está claro que se introduce un consentimiento más estricto para la publicidad digital.
– Cookies
Aunque las páginas web ya están obligadas a informar sobre el uso de cookies (política de cookies), a permitir al usuario aceptarlas o rechazarlas (aviso de cookies) y no condicionar la navegación por la web a la aceptación de las cookies, el Reglamento ePrivacy quiere reforzar aún más el control de los usuarios sobre estas, pero al mismo tiempo evitar la denominada «fatiga del consentimiento de cookies» (que actualmente, nos lleva a los usuarios a tener que aceptar o rechazarlas siempre que accedemos a una web por primera vez o tras haberlas eliminado del navegador).
Para ello, el Reglamento propone el uso de listas blancas en el navegador, es decir, configurar qué cookies se aceptan directamente en el navegador, de manera que el resto queden bloqueadas y poder revocar ese consentimiento de manera sencilla. Serán los proveedores de software los que deban facilitar esta configuración en los navegadores.
– Ad blockers
Si bien, el Reglamento no entra a regular el uso de ad blockers, sí tiene en cuenta, por un lado, la libertad de los usuarios para usarlos y, por otro lado, la necesidad de la publicidad para poder seguir ofreciendo contenidos gratuitos en Internet.
Por tanto, la propuesta permite a los sitios web comprobar si el dispositivo del usuario puede recibir su contenido, incluidos los anuncios sin obtener el consentimiento del usuario, y preguntar a los usuarios si estarían dispuestos a apagarlo.
– Internet de las cosas (IoT)
Dado el desarrollo y extensión del uso de los dispositivos IoT, el Reglamento ePrivacy también contempla la protección de datos personales y la privacidad en las comunicaciones máquina-a-máquina a través de redes públicas.
Así mismo, establece la necesidad de transparencia e información con avisos destacados sobre el uso de los datos por parte de estos dispositivos.
Lo que se pretende es que el usuario sepa en todo momento dónde están sus datos y que se hace con ellos.
Reglamento ePrivacy y RGPD. Relación y diferencias
Puesto que el Reglamento ePrivacy afecta a la protección de datos personales y la privacidad de los ciudadanos, es fácil ver que entre este y el RGPD existe una relación. En concreto, y como ya señalamos, el ePrivacy es una ley especial (lex especialis) que concreta aspectos que el RGPD son más generales (puesto que este es una lex generlis).
Así, mientras que el RGPD se centra en la protección de datos en un sentido amplio, siendo de aplicación en diferentes ámbitos y sectores. El Reglamento ePrivacy se centra en regular la protección de datos y de la privacidad en el ámbito digital y de las comunicaciones electrónicas.
Por lo tanto, más que hablar de diferencias, podemos decir que ambos Reglamentos se complementan, prevaleciendo el ePrivacy en aquellos casos no regulados por el RGPD o donde entren en conflicto (esto último ha generado cierta polémica, puesto que creará confusión a la hora de atenerse a una u otra ley en determinados supuestos).
¿Cuándo entra en vigor el Reglamento ePrivacy?
Como decíamos, la última propuesta del Reglamento ePrivacy es de 2021 y actualmente está siendo debatida por los Estados miembros, sin que haya una fecha concreta para su entrada en vigor.
Es poco probable que vaya a entrar en vigor antes de 2023, pero es recomendable estar pendientes de una posible aprobación del mismo, puesto que al ser un Reglamento, es de aplicación directa en todos los Estados miembros 20 días después de su publicación el boletín oficial de la UE, si bien, el último borrador contempla un periodo de 24 meses para su adaptación a las legislaciones nacionales.