Hay que reconocer que el Reglamento General de Protección de Datos (RGPD), y su exigibilidad a partir del 25 de mayo de 2018, no ha pasado desapercibida, especialmente por su impacto directo en todos y cada uno de nosotros, que hemos visto como nuestras bandejas de correo electrónico y dispositivos se llenaban de mensajes anunciándonos, junto con la llegada del Reglamento, algunas otras cuestiones de interés en relación con el uso de nuestros datos personales en un esfuerzo de «transparencia» sin precedente.
Pues bien, muy probablemente el Reglamento sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas, conocido como Reglamento «ePrivacy», tampoco pasará desapercibido cuando sea aprobado o entre en vigor. Ambos reglamentos tienen mucho en común. Por ejemplo, según la versión que está siendo objeto de tramitación en las instituciones europeas, este último debería haber sido «aplicable a partir del 25 de mayo de 2018», cosa que evidentemente ya no va a suceder. Al respecto, hay que añadir que la última situación en relación con su tramitación, que es la de procedimiento legislativo ordinario, es que aún se encuentra a debate en el Consejo Europeo.
El Reglamento ePrivacy derogará la directiva sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58), estableciendo normas relativas a la protección de los derechos y las libertades fundamentales de las personas físicas y jurídicas en el ámbito de la prestación y utilización de servicios de comunicaciones electrónicas, con especial atención al derecho al respeto de la vida privada y las comunicaciones, así como al derecho a la protección de los datos de carácter personal.
Respecto a la protección de las personas físicas en relación con el tratamiento de sus datos personales, el Reglamento ePrivacy hace precisiones y complementa lo previsto en el RGPD. Por tanto, establece normas específicas de modo que, atendiendo al principio de especialidad, el Reglamento ePrivacy prevalecerá sobre el RGPD, que es de carácter general, cuando se traten datos de carácter personal en el ámbito de aplicación del primero.
Lo previsto en el ePrivacy será aplicable al tratamiento de datos de comunicaciones electrónicas, es decir, al contenido de las comunicaciones electrónicas, incluyendo los metadatos de esas comunicaciones, en tanto se lleven a cabo en relación con la prestación y utilización de servicios de comunicaciones electrónicas, aplicándose también a la información relacionada con los equipos de los usuarios finales conectados a las redes públicas de telecomunicaciones. En lo que respecta al ámbito territorial, como en el RGPD, incluye la prestación de servicios de comunicaciones electrónicas a los usuarios y equipos terminales situados en la Unión Europea.
Metadatos
Por «metadatos de comunicaciones electrónicas» debemos entender lo que hasta ahora se identificaban como «datos de tráfico», por lo que hay que diferenciarlos del «contenido de las comunicaciones electrónicas». Los metadatos se podrán tratar para diferentes finalidades, por ejemplo, a los efectos de proteger los sistemas (seguridad) o bien detectar fallos, evitar el fraude o abusos de los servicios, o incluso proporcionar servicios de valor añadido (en este último caso deberá contarse con el consentimiento de los usuarios).
Hay que tener en cuenta que, en relación con la confidencialidad de los datos de comunicaciones electrónicas, se parte de la regla general de la prohibición de cualquier interferencia que afecte a los mismos, salvo que el reglamento lo autorice; por tanto, se prevén las circunstancias en las que el tratamiento está autorizado. Esa prohibición alcanza también al uso de las capacidades de tratamiento y almacenamiento de los equipos terminales, así como a la recopilación de información de esos equipos.
Sin entrar a analizar aquí las diversas casuística en que se autoriza el tratamiento, conviene, por su relevancia, referirnos al consentimiento de los usuarios, en particular con relación a la información vinculada a los equipos terminales de los usuarios finales.
‘Cookies’ y consentimiento
El uso de las capacidades de tratamiento y almacenamiento de los equipos terminales, y la recopilación de información de estos, podrá llevarse a cabo en tanto se cuente con el consentimiento del usuario, que también podrá utilizarse para recopilar información emitida por esos equipos terminales con el fin de conectarse a otro dispositivo o a un equipo de red, siempre y cuando se informe adecuadamente de las modalidades de recopilación, su finalidad, las personas responsables de ella y la información restante requerida de conformidad con el artículo 13 del RGPD, en el caso de que se recojan datos personales.
En definitiva, el regulador se está refiriendo a las cookies y a otros medios de almacenamiento de datos, que en estos momentos resultan necesarios para el funcionamiento de la publicidad digital, y en general para otras muchas funcionalidades de Internet. De ahí que cuando ePrivacy entre en vigor modificará el actual régimen de uso de las cookies. Por otro lado, hay que añadir que ePrivacy no se dedica exclusivamente a las cookies, puesto que también regula el uso de datos que a priori no son de carácter personal; pero esa es una cuestión en la que no entraré.
Por lo que respecta al consentimiento al cual se hace referencia en ePrivacy, hay que tener en cuenta que debe tener las mismas características y recogerse en las mismas condiciones que las previstas en el RGPD, haciéndose referencia directa al apartado 11 del artículo 4 del RGPD y a su artículo 7. Por tanto, deberá tratarse de una «manifestación de voluntad libre, específica, informada e inequívoca», mediante la cual se acepta que el tratamiento se lleve a cabo, siempre en base a «una declaración o una clara acción afirmativa», cuestión que, como sabemos, ha causado en buena medida el aluvión de comunicaciones en los días previos a la plena exigencia del RGPD.
Pero en este punto ePrivacy añade, en relación con el consentimiento, algunas cuestiones relevantes y no exentas de dificultades, ya que permite que este pueda expresarse a través de una configuración técnica de las aplicaciones que permiten el acceso o uso de los servicios de Internet, comúnmente los navegadores.
En la práctica el usuario deberá configurar su navegador para que se instalen las cookies, ya que por defecto este deberá estar configurado para no recibirlas. Por ello parece que ya no serían necesarios los avisos de las páginas web, puesto que el consentimiento se obtendría a partir de la configuración del navegador. Tal y como dispone ePrivacy, en su actual versión, al iniciarse la instalación de las aplicaciones de acceso a Internet deberá informase a los usuarios sobre las opciones de configuración de confidencialidad de que dispone, debiendo solicitar el consentimiento previo del usuario final respecto de una configuración de privacidad determinada.
Por supuesto ese consentimiento debe poder ser retirado en cualquier momento, y habrá que recordar esa posibilidad de retirada del consentimiento cada seis meses, en tanto permanezca el tratamiento.
Seguridad del tratamiento
La alineación con el RGPD también alcanza a cuestiones como la seguridad de los tratamientos, puesto que deberán aplicarse medidas técnicas y organizativas que garanticen un nivel de seguridad apropiado para mitigar los riesgos que puedan concurrir en el tratamiento de datos personales que se derive de las comunicaciones electrónicas; es decir, atendiendo a lo dispuesto en el artículo 32 del RGPD.
En definitiva, después del impacto que ha tenido el RGPD, al menos de manera visible para los usuarios, nos espera una segunda ola de cambios en algo tan relevante como la navegación por Internet. En buena parte dependerá de cómo quede aprobado finalmente el Reglamento sobre la privacidad y las comunicaciones electrónicas, así que habrá que estar atentos. Recomiendo recordar las lecciones aprendidas con la adecuación al RGPD.
