- La Comisión de la UE presentó el pasado 10 de enero el borrador del Nuevo Reglamento General destinado a remplazar la Directiva e-Privacy.
- La norma – aún en elaboración y tras su aprobación – está llamada a ser aplicable a partir del 25 de Mayo de 2018 y contiene requisitos y obligaciones que afectan a casi cualquier compañía, con independencia de su sector.
Ya se había filtrado un texto a mediados del pasado diciembre, justo a tiempo para endulzarnos (o amargarnos, según para quién) las fiestas navideñas (por cierto, nuestros mejores deseos para este nuevo año). Pero ahora ya está aquí de forma oficial. El pasado 10 de enero de 2017, Dña. Věra Jourová (Comisaria Europea de Justicia, Consumidores e Igualdad de Género), D. Frans Timmermans (Primer Vicepresidente de la Comisión) y D. Andrus Ansip (Vicepresidente a cargo del Mercado Único Digital) presentaron #alalimón el borrador del Reglamento General destinado a regular de forma específica el tratamiento de datos personales en el ámbito de las comunicaciones electrónicas (“Reglamento e-Privacy“) y remplazar la Directiva 2002/58/CE (“Directiva e-Privacy“).
El Reglamento e-Privacy incorpora modificaciones relevantes respecto del régimen existente que exigirán, sin duda alguna, añadir nuevas líneas a las largas ” TO-DO LIST ” que la generalidad de compañías y entidades afrontan en su proceso de adecuación al Reglamento (UE) 2016/679, General de Protección de Datos (“RGPD“). No por casualidad, el inicio de aplicación del Reglamento e- Privacy coincide con el del RGPD, es decir, 25 de mayo de 2018. Y no crean que la nueva norma atañe solo a operadores de comunicaciones. En absoluto, el Reglamento e-Privacy contiene obligaciones relevantes para casi cualquier compañía.
Con la vista puesta en el horizonte de 2018 y ahora que aún se está a tiempo para realizar sugerencias a un texto todavía en trámite y sujeto a modificaciones, veamos cuáles son las principales claves del Reglamento e-Privacy, centrándonos en aquellas que resultan más novedosas, y hagamos las primeras valoraciones:
1. Aplicación directa
Aunque huelgue decirlo, el Reglamento e-Privacy es un “Reglamento” y, por lo tanto, es directamente aplicable.
Ello supone una diferencia de calado con respecto al régimen actual, regido por una “Directiva” necesitada de trasposición mediante normas de los Estados Miembros que, en nuestro caso y actualmente, se contienen en determinadas disposiciones de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (y normas de desarrollo) (“LGT“) y de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (“LSSI“).
Amén de incrementar la homogeneidad en cuanto a la regulación europea – ya que, al ser directamente aplicable, su eficacia no está al albur de las más o menos rígidas normas de trasposición de cada Estado – la aplicación directa del Reglamento e- Privacy plantea (o planteará, cuando sea definitivo) dudas acerca de su inserción en el marco legal existente, exigiendo probablemente reformas de la LGT y LSSI, que deberán realizarse a tiempo y en el contexto de una inestable situación parlamentaria no propensa al consenso y que no lo pondrá fácil. Todo un reto para nuestros legisladores.
2. Eficacia cuasi-universal
El manto protector de la normativa se amplía con respecto al contemplado en la Directiva e-Privacy. Desde el punto de vista territorial – y en línea con la amplitud que preside también el RGPD – el Reglamento e-Privacy se declara aplicable no solo en relación con servicios de comunicaciones electrónicas prestados en o desde la Unión Europea (“UE“) (tenga lugar el tratamiento de datos dentro de la UE o no), sino también cuando los servicios se presten desde fuera de la UE pero sean utilizados en la UE.
Esta “utilización” no aparece cualificada de forma alguna. En especial, ninguna referencia se hace a que los servicios se destinen o dirijan precisa o prioritariamente a la UE. Si tal criterio se mantiene en el texto final del Reglamento, ello planteará una posible aplicación cuasi-universal de la norma que resultará aplicable con tal de que una persona use los servicios desde la UE, incluso en el caso de servicios no inicialmente contemplados para ser utilizados desde Europa, cuyos proveedores, además de verse sometidos a requisitos que, quizás, ni siquiera conozcan, deberán nombrar un representante en un Estado Miembro.
3. Aplicación a OTTs y relevancia para el IoT
La amplitud protectora del Reglamento e-Privacy también se aprecia desde el punto de vista material. La norma utiliza un concepto de “comunicaciones electrónicas” sumamente amplio que no solo asume, sino que incluso supera, el contemplado en la reciente Propuesta de Directiva aprobando el Código de Comunicaciones Europeo (“Código de Comunicaciones Europeo“).
Así, el Reglamento e-Privacy alcanza no solo a los “tradicionales” servicios consistentes en el transporte de señales, sino también a servicios conocidos por la expresión inglesa Over-the-Top u OTT, que son utilizados para el envío de mensajes o realización de comunicaciones (como servicios de mensajería, correo Web, llamadas sobre Voz IP, etc.) pero sin que ellos mismos realicen la actividad de transporte de señales (que la lleva a cabo el operador que proporciona la línea de datos, acceso a Internet, etc.). Populares servicios como WhatsApp® o Skype® entran dentro de esta categoría y quedarán por lo tanto sometidos a estos requisitos.
Junto a ello, el Reglamento es también aplicable a aquellos servicios que permitan comunicaciones interpersonales o interactivas simplemente de forma accesoria, que actualmente se encuentran excluidos expresamente de la definición de “servicios de comunicaciones interpersonales” en el Código de Comunicaciones Europeo. Esta divergencia entre el ámbito del Reglamento e-Privacy y el Código de Comunicaciones Europeo, debería ser “pulida” en el trámite de aprobación de estas normas, debiendo, a nuestro juicio, excluirse tales servicios de las onerosas obligaciones del Reglamento e-Privacy, sin perjuicio de la aplicación del RGPD, cuando proceda.
Adopta así el Reglamento e-Privacy una perspectiva funcional, que atiende más a aquello para lo que sirven los servicios, que a aquello que son en sentido estricto. Sin duda, algo que provocará cambios en las políticas de privacidad y términos y condiciones de las más populares apps de mensajería y servicios de correo web y Voz IP.
Pero la ampliación no acaba aquí. El Reglamento también alcanza a las transmisiones de información “entre máquinas”, con clara referencia a las que llevan a cabo los dispositivos conectados en el ámbito del “Internet de las Cosas” (más conocido en inglés como Internet of Things o IoT). De nuevo, un cambio de gran repercusión que tendrá singular impacto en la configuración técnica de las aplicaciones, dispositivos y servicios IoT, sometidos ahora a unos requisitos de los que antes eran (o se sentían) ajenos.
4. Cookies y mucho más…
Estamos ya acostumbrados a la necesidad de obtener consentimiento (salvo excepciones) para la instalación o recogida de cookies y “artefactos” similares. Si tomamos como base la regulación sobre el particular contenida en la LSSI y la aplicación de la misma prevista en la Guía sobre uso de las cookies de la AEPD, podemos decir que en el Reglamento e-Privacy los requisitos (y sus excepciones) actuales se mantienen en términos generales (en otras jurisdicciones, la regulación del nuevo Reglamento tendrá mayor impacto, dadas las divergencias existentes en la transposición de la Directiva e-Privacy).
No obstante, el Reglamento sí es sensible a la actual “saturación” que sufren los usuarios de Internet con respecto a los avisos sobre cookies que aparecen por doquier en toda experiencia de navegación Web. Para mitigar esta situación, adopta el Reglamento dos medidas.
En primer lugar, exonera de consentimiento para la utilización de cookies destinadas a la medición de audiencias (uno de los usos más frecuentes de esta tecnología). Sin embargo, esta excepción se encuentra sujeta a que dicha medición la realice el mismo proveedor que proporciona el servicio de la sociedad de la información (Ej. la página Web). Esta sujeción supone un claro “palo en las ruedas” a la eficacia de la excepción. La mayor parte de servicios Web utilizan actualmente sistemas de medición de audiencias ofrecidos por terceros proveedores que, por lo tanto, parece que quedarán fuera de la excepción mencionada. Procede, en nuestra opinión, matizar dicha limitación, para incluir a terceros proveedores de servicios de audiencias que actúen por cuenta del proveedor del servicio de la sociedad de la información (es decir, encargados del tratamiento, en el contexto del RGPD, si es que consideramos que la información tratada son datos personales). Si la información es tratada por cuenta y solo para el proveedor del servicio Web, ningún sentido tiene abandonar la ficción que ya se hace en el ámbito del RGPD (y siempre se ha hecho), respecto a la inexistencia de separación entre el tratamiento realizado por el primer proveedor/responsable y aquel otro llevado a cabo por otro proveedor/encargado por cuenta del primero.
Como segunda medida de reducción de avisos de cookies, el Reglamento e-Privacy pone énfasis en la utilización de los navegadores de Internet como vehículo idóneo para consentir la instalación de cookies y dispositivos similares. Se establece así la obligación de tales navegadores de ofrecer a los usuarios en el momento de la instalación la posibilidad de seleccionar distintas opciones respecto a la instalación y recuperación de cookies, desde “aceptar todas las cookies” hasta “no aceptar ninguna cookie”, siendo necesario que el usuario opte por una alternativa antes de seguir con la instalación. Es interesante destacar la evolución acaecida en este punto desde el borrador de Reglamento filtrado a mediados de diciembre hasta el borrador finalmente presentado. Mientras que el documento filtrado implementaba un claro “DO NOT TRACK”, obligando a los navegadores a tener por defecto una configuración que rechazase las cookies (es decir, el silencio equivalía a rechazar todas las cookies), el borrador definitivo se decanta por una solución más equilibrada como es la de obligar al usuario a tomar partido en el momento de la instalación y decidir acerca de las cookies. Desde nuestro punto de vista, esta solución ensalza el valor de los interesados como titulares auténticos del derecho a proteger. Interpretar el silencio como un rechazo, no deja de ser una forma de poner palabras en la boca de alguien que, en realidad, no se ha posicionado.
Por otra parte, este criterio excede del ámbito de las comunicaciones electrónicas y aporta elementos relevantes cara a confirmar el verdadero alcance del Privacy-by-Default y Privacy-by-Design bajo el RGPD (que a veces se confunde). Esto no se refiere a no tratar datos personales “por defecto”, sino a implementar procedimientos “por defecto” que hagan necesario que el interesado opine acerca de cómo quiere que se traten sus datos personales. El considerando 23 del Reglamento e-Privacy creemos que lo deja bien claro.
Eso sí, convertir a los navegadores en custodios de la capacidad de decisión de los usuarios acerca de las cookies, obligará a éstos a realizar desarrollos adicionales que, además, en el caso de navegadores ya instalados, deberán implementarse con la primera actualización y no más tarde del 25 de agosto de 2018.
Pero, al margen de las cookies, donde realmente encontramos novedades es en la regulación de la utilización de otro tipo de tecnologías sumamente arraigadas y que el Reglamento e-Privacy considera claramente invasoras de la privacidad.
En efecto, el Reglamento extiende el régimen regulador de las cookies a la recogida de la siguiente información de o sobre los terminales de los usuarios, incluso aunque ello no implique cookies ni tecnologías similares:
- Información sobre las características del software o hardware, lo que apunta claramente hacia la denominada “huella del dispositivo”, utilizada comúnmente para identificar terminales en el uso de servicios on-line. Sorprende en todo caso (véase el considerando 20 del Reglamento) que se ponga “en el mismo saco” a los mecanismos de recogida de la “huella del dispositivo” y al uso de software tan nocivo como el spyware. Es obvio que las finalidades y capacidad intrusiva de una y otra tecnología no es la misma y, por ello, el tratamiento que la norma proporciona, debería ser también diferenciado; y ……………………………………………………………………………………….
- Cualquier información almacenada en el terminal del usuario, como fotografías, directorios, etc.
Por otro lado, la recogida de información difundida por equipos terminales para permitir su conexión con otros dispositivos o redes (lo que alcanza, sin dificultad, a información de conexión en servicios IoT, entre otras) queda prohibida, salvo que sea imprescindible para prestar un servicio y se trate solo para dicho fin y durante el plazo necesario para ello, o que se recoja tras proporcionar información clara acerca de la recogida y el tratamiento, siendo posible informar a través de iconos informáticos estandarizados.
5. Limitaciones en el marketing directo
La regulación de las condiciones para la realización de comunicaciones comerciales directas, se alinea con la contenida en la LGT y LSSI. En general, se sigue requiriendo consentimiento expreso para llamadas comerciales automáticas y comunicaciones comerciales por cauces electrónicos, que el Reglamento enfatiza incluyen las realizadas a través de cualquier canal, como SMS, email, mensajería e incluso Bluetooth. Las llamadas comerciales realizadas con “operadores humanos” quedan sometidas a “opt-out” como hasta ahora.
Como excepción al régimen general, también se prevé en el Reglamento la posibilidad de realizar comunicaciones comerciales electrónicas sin consentimiento, cuando sean dirigidas a aquellos con los que exista una relación contractual previa, siempre y cuando la comunicación se refiera a productos o servicios semejantes a los antes contratados que sean comercializados por la misma entidad que entabló la relación contractual. Todo ello nos suena al régimen de nuestra LSSI. Sin embargo, es relevante destacar un matiz que introduce el Reglamento e-Privacy y que limita el alcance de la homóloga excepción de la norma española.
En efecto, mientras que la excepción de la LSSI habla de “obtención de datos del destinatario” y alcanza así a cualquier comunicación electrónica comercial con independencia del canal (es decir, email, SMS, etc.), el Reglamento e-Privacy limita la excepción a la “obtención de los datos del correo electrónico del destinatario“. Indirectamente, ello supone restringir el alcance de la excepción a aquellas comunicaciones comerciales que usen tal dirección de correo electrónico, es decir, excluyendo otras como SMS, mensajería electrónica, etc.
¿Se trata simplemente de un “descuido” o es ciertamente voluntad del legislador europeo limitar la excepción al email? Creemos que es lo segundo, ya que el Considerando 33 del Reglamento insiste en la mención al email. Confiamos en todo caso en que este criterio se enmiende durante la tramitación del Reglamento. Nos cuesta encontrar sentido a establecer un criterio distinto para el envío de un correo electrónico comercial (que muchas veces se lee en un smartphone) y un mensaje publicitario electrónico a través de un servicio de mensajería de móvil, por ejemplo.
En todo caso, si finalmente el criterio del legislador se mantiene, las empresas españolas deberán revisar sus políticas internas de envío de comunicaciones comerciales electrónicas que, como vemos, cambian con respecto a la actual LSSI.
Finalmente, también cabe preguntarse dónde queda ahora ese interés legítimo como base para la realización de labores de mercadotecnia directa del que nos hablaba el Considerando 47 del RGPD. A la vista de la regulación del Reglamento e-Privacy , parece que queda reducido a llamadas telefónicas por “operadores humanos”, correo en papel, y emails a clientes existentes, es decir, en la práctica, casi a cenizas, si tenemos en cuenta que la gran parte de la mercadotecnia directa se realiza ya (y aún más en el futuro) a través de cauces electrónicos. En fin, no es oro todo lo que reluce.
6. Intensificación del régimen sancionador
El régimen sancionador en caso de incumplimiento se incrementa considerablemente, alineándose con los criterios del RGPD. Así, el incumplimiento del Reglamento e-Privacy puede acarrear multas de 20 millones de Euros o, siendo empresas las infractoras, hasta el 4 % del volumen de negocio total anual global (la que sea mayor, en todo caso), amén de indemnizaciones por daños y perjuicios y, por supuesto, el daño reputacional.
7. Otras obligaciones
Finalmente, señalar que el Reglamento e-Privacy mantiene, en esencia, numerosas obligaciones que tienen los operadores de comunicaciones actualmente en lo relativo al tratamiento de datos de los usuarios y abonados. Entre otras, encontramos requisitos de confidencialidad, uso de metadatos y contenido de las comunicaciones, presentación de número de llamada saliente o entrante, bloqueo de llamadas, directorios telefónicos, información sobre riesgos de seguridad, etc.
En todo caso, la principal novedad viene por la aplicación de la mayor parte de estas conocidas obligaciones, a nuevos operadores que no estaban familiarizados con ellas, especialmente, los OTT, debido a la ampliación del ámbito objetivo de aplicación de la norma antes mencionado.
Próximos pasos
El Reglamento e-Privacy es solo un borrador, un primer paso de un marco normativo destinado a completar el del RGPD. Es, en todo caso, una disposición que atestigua el compromiso europeo para con la privacidad en lo que respecta a las comunicaciones electrónicas, entendidas en sentido amplio.
Los cambios respecto del régimen existente no deben ignorarse, siendo necesario realizar un seguimiento del desarrollo de esta norma e iniciar un proceso de adaptación que, de forma natural, debería integrarse con el de adaptación general al RGPD. Estaremos encantados de ayudarle en una y otra tarea.