Los Estados Miembros de la Unión Europea han acordado un Mandato de Negociación para la revisión con el Parlamento Europeo de la Directiva relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), con el objetivo de aprobar el tan esperado Reglamento de e-Privacy. Así lo anunció el Consejo Europeo, en su Nota de Prensa del pasado día 10 de febrero.
La actualización de la normativa de privacidad y comunicaciones electrónicas definirá los casos en los que los proveedores de servicios están autorizados a tratar datos de comunicaciones electrónicas o pueden tener acceso a datos almacenados en dispositivos de usuarios finales, derivado del aumento que se ha producido de servicios de voz sobre IP o de nuevas técnicas que permiten rastrear los comportamientos en línea de los usuarios.
El proyecto de Reglamento sobre la privacidad y las comunicaciones electrónicas derogará la actual Directiva sobre la privacidad y las comunicaciones electrónicas y, en tanto que lex specialis del Reglamento General de Protección de Datos Personales (RGPD), servirá para precisar y complementar dicho Reglamento.
Recordemos que, a diferencia del RGPD, muchas disposiciones en materia de privacidad y comunicaciones electrónicas se aplicarán tanto a las personas físicas como a las personas jurídicas.
Mandato del Consejo
De conformidad con el mandato del Consejo, el Reglamento cubrirá la regulación del contenido de comunicaciones electrónicas transmitido mediante servicios y redes accesibles al público, así como los metadatos en relación con la comunicación.
Entre estos metadatos se incluye, por ejemplo, información relativa a la ubicación, la hora y el destinatario de la comunicación. Se considera que estos metadatos pueden ser tan sensibles como el contenido de la propia comunicación.
La norma se aplicará cuando los usuarios finales se encuentren en la UE. También afectará a los casos en los que el tratamiento tiene lugar fuera de la UE o el proveedor de servicios esté establecido o situado fuera de la UE.
Como norma general, los datos de comunicaciones electrónicas serán confidenciales.
Salvo cuando lo autorice el Reglamento sobre la privacidad y las comunicaciones electrónicas, estará prohibida cualquier interferencia, incluida la escucha, el seguimiento o el tratamiento de datos por parte de cualquiera que no sea un usuario final.
En el tratamiento autorizado de datos de comunicaciones electrónicas sin el consentimiento del usuario se incluye, por ejemplo, todo tratamiento destinado a garantizar la integridad de los servicios de comunicaciones, verificar la presencia de programas maliciosos o de virus.
Con el consentimiento del usuario, los proveedores de servicios podrían, por ejemplo, utilizar metadatos para mostrar los movimientos del tráfico y ayudar así a las autoridades públicas y los operadores de transporte a crear nuevas infraestructuras donde sea más necesario.
También podrán tratarse metadatos para proteger los intereses vitales de los usuarios, por ejemplo, para el seguimiento de epidemias y de su propagación y para emergencias humanitarias, en particular las catástrofes naturales y las de origen humano.
En determinados casos, los proveedores de redes y servicios de comunicaciones electrónicas podrán tratar metadatos para un fin distinto de aquel para el que se hubieran recabado, incluso si el tratamiento no está basado en el consentimiento del usuario o en determinadas disposiciones sobre medidas legislativas del derecho de la UE o de un Estado miembro. Este tratamiento de finalidad distinta debe ser compatible con la finalidad inicial, y se le aplican garantías específicas y sólidas.
Dado que el equipo terminal del usuario, que incluye tanto el equipo físico como los programas informáticos, puede contener información personal —como fotos y listas de contactos— el uso de las capacidades de tratamiento y almacenamiento y la recopilación de información del dispositivo solo han de permitirse con el consentimiento del usuario o para otros fines específicos y transparentes que se prevean en el Reglamento.
Del mismo modo, el usuario final debe poder elegir realmente si acepta cookies o identificadores similares.
En este sentido, condicionar el acceso al contenido de un sitio web al consentimiento para el uso de cookies con fines adicionales como alternativa a una barrera, solo estará permitido si el usuario puede elegir entre esa opción y otra opción equivalente del mismo proveedor que no implique aceptar las cookies.
Para evitar la fatiga por el consentimiento de cookies, el usuario final puede aceptar el uso de determinados tipos de cookies incluyendo en una lista blanca a uno o varios proveedores en sus parámetros del navegador.
Se animará a los proveedores de programas informáticos a facilitar a los usuarios la posibilidad de crear y modificar listas blancas y de retirar su consentimiento en cualquier momento.
El texto también incluye normas en materia de identificación de la línea, directorios públicos y mercadotecnia directa y no solicitada.
Una vez esté aprobado el texto definitivo, el Reglamento entraría en vigor veinte días después de su publicación en el Diario Oficial de la UE y empezaría a aplicarse dos años después.