1. Contexto y motivación de la Propuesta de Reglamento
El documento objeto de análisis un borrador de Propuesta de Reglamento, y lógicamente sujeto a modificaciones, pero de su contenido actual se puede concluir que la motivación de su redacción es incrementar la confianza y seguridad de los consumidores, respecto los servicios digitales, ajustando el texto a la realidad tecnológica actual.
En especial, el regulador europeo amplia las obligaciones establecidas para los operadores tradicionales de telecomunicaciones a aquellos que prestan servicios de comunicaciones electrónicas ‘Internet-based’, mediante tecnologías conocidas como “Over The Top” (Skype, Gmail, WhatsApp, Facebook Messenger, Viber, Telegram, iMessage, Facetime…), así como a las transmisiones de información entre dispositivos conectados en el ámbito del «Internet de las Cosas» (Internet of Things o IoT por su acrónimo en inglés).
2. Ámbito territorial y temporal
En línea con el nuevo Reglamento Europeo de Protección de Datos (RGPD), el legislador europeo amplia la aplicación del Reglamento e-Privacy a todos los servicios de comunicaciones electrónicas que tengan como destinatarios usuarios que se encuentren dentro de la UE.
Mediante la ampliación del ámbito territorial de aplicación, se pretende solventar la falta de protección del consumidor frente las empresas prestadoras de este tipo de servicios ubicadas fuera de la UE, hasta el momento, no sujetas a la normativa de aplicación de la UE.
Ahora bien, ello supondrá que incluso servicios no inicialmente diseñados para ser utilizados desde Europa, deberían en principio cumplir con el Reglamento en caso de ser utilizados por usuarios europeos, viéndose obligados a nombrar un representante en un Estado Miembro.
Del mismo modo, su fecha de entrada en vigor, el 25 de mayo de 2018, coincidirá con la del RGPD evidenciando de este modo la voluntad del legislador de que ambas normas se complementen y se integren coordinadamente en el acervo comunitario.
3. Novedades que incorpora la Propuesta
a) Cookies
De la lectura de los considerandos y del articulado parece entenderse que la actual obligación de solicitar el consentimiento y facilitar información a los usuarios respecto las cookies que serán instaladas en su terminal, desaparecerá, siempre y cuando la intrusividad de las mismas sea nula, o se encuentre claramente limitada a ciertas finalidades.
Es decir, no será necesario obtener el consentimiento de los usuarios para la instalación, en sus terminales, de aquellas cookies técnicas de almacenamiento o de acceso que permitan mejorar la experiencia de internet (por ejemplo, recordar los formularios online o el historial del “carrito de la compra”), que sean necesarias para la legítima finalidad de utilizar un servicio específico solicitado previamente por el usuario final, o la utilización de cookies destinadas a la medición de visitas a un determinado sitio web, siempre que la medición la realice el mismo proveedor que proporciona el servicio de la sociedad de la información, lo que entendemos deberá incluir también la utilización de terceros que actúen en nombre y por cuenta del prestador del servicio, como es el caso habitual en el mercado con las cookies estadísticas.
El resto de cookies cuya naturaleza es más intrusiva, quedará sujeto a una acción afirmativa previa por parte de los usuarios finales. Al respecto, el borrador aboga por recabar el consentimiento de una forma lo más “user friendly” posible, sin molestos banners o avisos en la ‘homepage’ de las páginas web.
El nivel podrá variar del más alto, por ejemplo, “nunca aceptar cookies”, al más leve: “siempre aceptar cookies”.
En este sentido, el borrador promueve que los usuarios finales personalicen la configuración de privacidad deseada en el primer uso del navegador o software, indicando el nivel de privacidad deseado en cuanto a la instalación de cookies.
El usuario deberá seleccionar expresamente alguna de las opciones de configuración de privacidad que le presente el navegador o software para continuar con su instalación.
Adicionalmente, como novedad presente en el Reglamento, se establece la prohibición de recabar la información emitida por un terminal para poder conectarse con otros dispositivos o redes (lo que se denomina “huella de dispositivo” o “fingerprint”), salvo en aquellos casos en los que sea necesario para prestar un servicio y se trate solo para dicho fin y durante el plazo necesario para ello, o que se recoja tras proporcionar información clara acerca de la recogida y el tratamiento, así como las medidas que el usuario puede llevar a cabo minimizar o finalizar la recogida de dicha información.
b) Contenidos y metadatos
Cualquier tratamiento del contenido y/o los metadatos derivados de las comunicaciones electrónicas por cualquier persona física o jurídica, que implique interferencias, escuchas, intervenciones, almacenamiento, vigilancia u otro tipo de interceptación y control, sin el consentimiento de los usuarios finales implicados, estará prohibido, salvo indicación expresa en el Reglamento.
Tanto los contenidos como los metadatos tienen un alto componente de privacidad y, en virtud de las normas propuestas, deberán anonimizarse o suprimirse si los usuarios no han dado su consentimiento, salvo que se necesiten los datos, por ejemplo, para lograr la transmisión de la comunicación o para la facturación (durante el tiempo estrictamente necesario).
Cuando los usuarios hayan otorgado su consentimiento, los prestadores de servicios podrán utilizar estos datos y metadatoscon fines comerciales para prestar servicios adicionales, con la obligación de recordar a los usuarios cada 6 meses, la posibilidad de oponerse a dicho tratamiento.
c) Datos de localización
Datos como la MAC Address, el IMEI o IMSI de los dispositivos, pueden ser captados por cualquier red Wireless. Algunos prestadores de servicio ofrecen servicios de rastreo mediante los cuales escanean los dispositivos de los usuarios y captan estos datos para finalidades como contar personas situadas en una determinada zona. Sin embargo, esta información puede ser utilizada para fines más intrusivos como el envío de mensajes comerciales (mediante mensajería push, por ejemplo) en el momento en que el usuario accede a una tienda o se encuentra dentro de su perímetro, con ofertas personalizadas; así como el rastreo y seguimiento de los usuarios dentro de un establecimiento con el objetivo de obtener hábitos de consumo.
El legislador, establece que los prestadores de este tipo de servicios deberán habilitar avisos informativos respecto el uso de esta tecnología en el perímetro concreto, la finalidad, la entidad responsable de estas acciones y cómo deshabilitar esta opción por el usuario.
d) Marketing Directo
La regulación de las condiciones para la realización de comunicaciones comerciales directas no modifica sustancialmente el régimen actual presente en nuestra Ley de Servicios de la Sociedad de la Información y Ley General de Telecomunicaciones, a saber:
- Como regla general es necesario el consentimiento previo del usuario para el envío de comunicaciones comerciales por medios electrónicos ya sea mediante email o llamada telefónica;
- El usuario deberá poder retirar su consentimiento en cualquier momento y mediante un procedimiento sencillo y gratuito.
- Las comunicaciones comerciales deberán ser fácilmente identificables e indicar la identidad de la persona física o jurídica que la transmite; así como la información necesaria para que los usuarios puedan ejercer su derecho de oponerse a recibir más comunicaciones comerciales, mediante un link en la parte inferior del email o método equivalente en las llamadas telefónicas.
e) Bloqueo de llamadas entrantes
Las empresas de telecomunicaciones facilitaran procedimientos que permitan a los consumidores limitar la recepción de llamadas no deseadas, incluso solicitar el bloqueo de números de teléfono específicos de forma gratuita.
f) Guías telefónicas disponibles al público
Los prestadores de tales servicios deberán obtener el consentimiento previo de los usuarios finales (personas físicas) y solicitar qué categoría de datos desean incluir en la Guía, siempre y cuando los datos sean relevantes para la finalidad para la cual serán tratados.
g) Sanciones
En línea con el RGPD, se impondrán sanciones administrativas que podrán ser de dos tipos en función de la naturaleza de la infracción: (i) hasta 10 millones de euros o el 2% de la facturación total mundial del último ejercicio; o (ii) hasta 20 millones de euros o el 4% de la facturación total mundial del último ejercicio.