En aplicación de las estrategias de la Comisión Europea sobre el mercado único digital, el Parlamento Europeo publicó el pasado 10 de enero una propuesta de Reglamento que tiene como objetivo regular la privacidad en el ámbito de las comunicaciones electrónicas y eliminar, de este modo, las barreras comerciales existentes entre los estados miembros.
Tras su aprobación, todas las entidades españolas que realicen actividades de comercio electrónico, con independencia del sector al que pertenezcan, deberán revisar sus estrategias de digitalización para adecuarlas a este nuevo marco normativo que resultará directamente aplicable en nuestro país a partir del 25 de mayo de 2018.
Una de las principales novedades introducidas por este Reglamento consiste en la extraterritorialidad de sus obligaciones, resultando aplicables a aquellas entidades ubicadas fuera de la UE cuyos servicios sean utilizados por usuarios finales de la UE. De la misma manera, amplía su ámbito de aplicación objetivo a los servicios de aplicaciones de mensajería, correo web, Voz IP, tecnologías device fingerprinting –que facilitan la navegación del usuario y ofrecen una publicidad basada en sus hábitos de navegación-, los metadatos -grupos de datos que describen el contenido de las comunicaciones electrónicas, que únicamente podrán ser tratados con el consentimiento de los afectados, salvo que se utilicen con fines de seguridad- y, de manera especial, a la interconexión digital de objetos cotidianos con internet (Internet de las cosas o IoT, por sus siglas en inglés).
Otro aspecto de gran relevancia son las novedades que incorporará en la instalación de cookies y tecnologías similares, en concreto, con el objetivo de reducir la saturación de las actuales Políticas de cookies en las páginas web. El Reglamento permitirá la obtención del consentimiento a través de la configuración de los navegadores web, que deberán ofrecer a los usuarios la posibilidad de seleccionar alguno de los siguientes niveles de privacidad: desde no aceptar ninguna cookie, hasta aceptarlas todas y una opción intermedia, consistente en aceptar únicamente aquellas cookies de análisis instaladas por el editor de la web que traten datos agregados con una finalidad estrictamente estadística, estando exceptuadas de la obligación de informar y obtener el consentimiento las cookies técnicas o de personalización.
Quizás el aspecto más controvertido del Reglamento radica en el régimen aplicable al envío de comunicaciones electrónicas (e-mail, SMS, MMS, Bluetooth, etc.), en el que se mantiene la necesidad de obtención de una autorización previa de los destinatarios, junto con un sistema de opt-out para el envío a través de correo electrónico, de comunicaciones relativas a productos o servicios de la propia empresa, que sean similares a los que inicialmente fueron objeto de contratación por el cliente. Esta previsión del Reglamento difiere de lo determinado en el considerando 47 del Reglamento UE 2016/679, General de Protección de Datos, que apuntaba la posibilidad para las empresas de poder tratar datos personales para finalidades de publicidad y prospección comercial en base a un interés legítimo. Así las cosas, teniendo en cuenta que el Reglamento de privacidad on-line se constituye como una Lex specialis, la determinación de la posible aplicación de un interés legítimo sólo cabría, en principio, respecto a aquellos comunicaciones que no se realizan por vía electrónica.
Finalmente, es importante destacar el elevado incremento del régimen sancionador, que en línea con el Reglamento General de Protección de Datos, puede implicar para las entidades que incumplan las disposiciones del Reglamento la imposición de sanciones de hasta 20 millones de euros, o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.