«Del RGPD al Reglamento e-Privacy», tribuna de Adriana Azúa, abogada de ECIJA, para The Law Clinic.
La vorágine de los últimos meses ha alcanzado su punto máximo el 25 de mayo de 2018, día a partir del cual es de plena aplicación el Reglamento General Europeo de Protección de Datos (en adelante RGPD). El tan esperado momento ha llegado, y con él, llega de la mano, el Reglamento e-privacy.
El pasado 28 de mayo, la Comisión Europea de Protección de Datos, EDPB por su nombre en inglés (European Data Protection Board), emitió una Declaración sobre sobre la revisión de la Propuesta de Reglamento sobre la Privacidad y las Comunicaciones Electrónicas, el mismo que ha sido concebido para complementar y reforzar lo ya establecido en el RGPD. Esta declaración nos ofrece un asesoramiento y algunas aclaraciones sobre las enmiendas presentadas a la Directiva de privacidad (2002/58/CE, modificada por 2009/136/CE), y sobre el impacto que puede tener en la protección de las personas en relación con la privacidad y confidencialidad de sus comunicaciones electrónicas.
La propuesta del Reglamento, surge a raíz de la creciente evolución tecnológica que vivimos, en donde las comunicaciones electrónicas forman parte fundamental de nuestro día a día. El legislador considera que es preciso ampliar el ámbito de aplicación a los proveedores de servicios “Over the top” (en adelante OTT), ya que considera que la autorregulación por parte del sector no basta para garantizar la protección efectiva de la privacidad, y cree necesaria la creación de una norma armónica y complementaria que sea de aplicación en todos los Estados Miembros.
La EDPB analiza cuatro puntos claves a la hora de hablar de e-privacy:
- La confidencialidad de las comunicaciones electrónicas requiere protección específica más allá del RGPD:
Dado que el contenido de las comunicaciones electrónicas probablemente contenga categorías especiales de datos personales, la EDPB apoya las propuestas del Reglamento de Privacidad basadas en las prohibiciones, excepciones y uso pleno del consentimiento. En consecuencia, el “interés legítimo” del RGPD para el procesamiento de metadatos en las comunicaciones electrónicas, pasa a estar restringido a todo aquello que vaya más allá de la prestación de un servicio de comunicaciones electrónicas.
Sobre esto la EDPB enfatiza que los metadatos de las comunicaciones electrónicas podrían procesarse sin consentimiento luego de que hayan sido genuinamente anonimizados, por lo que la EDPB alienta a los proveedores de servicios de comunicaciones electrónicas a utilizar esta posibilidad para crear servicios innovadores y preservar la privacidad.
- La Directiva de privacidad electrónica ya está en vigor:
La Directiva de privacidad (2002/58/CE, modificada por 2009/136/CE) ya estableció lineamientos claros para la protección de la confidencialidad de las comunicaciones electrónicas, implementando prohibiciones al procesamiento de datos a gran escala.
En la propuesta del Reglamento, en su versión modificada se recogen nuevas excepciones como las actualizaciones de seguridad y la medición de la audiencia. Estas excepciones tienen un riesgo muy limitado para la privacidad de los usuarios.
- El Reglamento propuesto tiene por objeto garantizar su aplicación uniforme en cada Estado miembro y a todo tipo de controlador de datos:
Los servicios de comunicaciones electrónicas ofrecidos por proveedores que operan a través de Internet, los llamados OTT, no están regulados en la actual Directiva sobre Privacidad, sin embargo, estos proveedores estarán dentro del alcance de Reglamento propuesto. La EDPB enfatiza en que la extensión de este alcance, es un elemento esencial de la reforma, y recomienda además que cualquier cambio que pueda socavar este objetivo debe evitarse, es importante garantizar la igualdad de condiciones para todos los proveedores.
- El nuevo Reglamento debe hacer cumplir el requisito de consentimiento para cookies y tecnologías similares y ofrecer a los proveedores de servicios herramientas técnicas que les permitan obtener ese consentimiento.
El Articulo 10 del Reglamento propuesto exige lo que podríamos llamar “privacidad por defecto”, es decir, que la configuración del software impida la posibilidad de que terceros almacenen o traten información en el equipo del usuario y que se proporcione una solución técnica para que los sitios web obtengan un consentimiento válido.
La EDPB no solo apoya reforzar el contenido de este artículo, sino que considera que las aplicaciones de comunicaciones electrónicas deben garantizar la elección de los usuarios independientemente de qué dispositivos electrónicos estan involucrados, y facilitar la manifestación del consentimiento, así como su revocación de manera sencilla, vinculante y ejecutable contra todas las partes, esto conforme al RGPD a través de la configuración de la privacidad.
En conclusión, la EDPB considera que el Reglamento propuesto no debería disminuir el nivel de protección que ofrece la actual Directiva de Privacidad. Que el Reglamento propuesto debe ofrecer protección para todo tipo de comunicaciones electrónicas, incluidos los servicios OTT.
Señala que el consentimiento debe obtenerse antes de procesar los datos, y que “no debe haber excepciones para procesar estos datos en función del “interés legítimo” del controlador de datos o del propósito general de la ejecución de un contrato”.
Por último, la EDPB Insiste en la importancia de alentar el uso de datos de comunicación electrónica genuinamente anonimizados.