PUBLICIDAD
PUBLICIDAD

Comisión y Parlamento Europeo no se ponen de acuerdo sobre el Reglamento ‘ePrivacy’ tras catorce borradores

Varios expertos analizan para Confilegal este Reglamento de 'ePrivacy' y el debate abierto.
| | Actualizado: 21/01/2021 10:58

La Unión Europea pretende crear de un corpus normativo homogéneo para el mercado interior con el fin de aumentar la protección de los consumidores y sujetos de derecho.

En este contexto, el Reglamento ‘ePrivacy’ (ePR) se sitúa en el centro de todas las discusiones. Con esta normativa, la Unión Europea pretende formular una política de privacidad obligatoria que tenga validez en todos los Estados miembro.

Actualmente se encuentran en vigor el Reglamento General de Protección de Datos (RGPD), desde mayo de 2018, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD), que vino a reemplazar a la LOPD de 1999.

Sobre este Reglamento de ‘ePrivacy’ y el debate intenso abierto opinan, Noemí Brito, socia responsable del Area Tecnológia, Innovación y Economía Digital en Ceca Magán; Francisco Pérez bes, socio derecho digital Ecix Group, e Isabel Martínez, directora en Andersen y responsable del área de ‘Privacy, IT & Digital Business’ de la firma.

PUBLICIDAD
PUBLICIDAD

Una normativa que necesitará ajustes

Noemí Brito, socia Responsable Área de Tecnología, Innovación y Economía Digital en Ceca Magán, justifica la importancia de esta nueva normativa porque es “crucial para el desarrollo efectivo de diversos sectores, modelos y servicios en línea, particularmente aquéllos asociados al sector de la publicidad y el marketing digital. También para los llamados servicios OTT o servicios ‘over-the-top’”.

“Además, esta norma controlará las formas en que las empresas pueden utilizar los datos de mensajería y llamadas y, como todo cambio profundo a nivel legal y empresarial, supone un tiempo de ajuste, así como muchos cambios operativos y de negocio a nivel global, lo que no será fácil de implementar”, advierte.

Brito destaca que “el tratamiento de la información personal o no personal asociado a usuarios y terminales es también uno de los principales puntos que se abordan en este nuevo Reglamento de ePR”.

Señala que “introduce un nuevo concepto en torno a los metadatos, su correcto uso y compartición con terceros, incluso, a efectos estadísticos, introduciéndose nuevas obligaciones específicas en este ámbito a fin de propiciar su reutilización y uso, lo que concuerda también con las Estrategias europeas de ‘Data Sharing’, siempre que no exista vulneración a la normativa protectora de datos personales”.

PUBLICIDAD

Esta jurista explica que “algunas grandes ‘tech’ han defendido, como argumento de rechazo a la aprobación definitiva del Reglamento, que la nueva norma prohibiría a las empresas conservar y procesar metadatos que vienen junto con el contenido real de los mensajes, lo que podría llegar a obstaculizar ciertas funcionalidades y mecanismos actuales para dar debida respuesta al abuso en línea”.

También revela el impacto de dicho Reglamento en el RGPD, “la norma abordaría la regulación de todas las tecnologías que tratan datos, personales o no, lo que se debe tener en cuenta a nivel normativo pues no solo afecta al RGPD”.

A su juicio “alinear mejor el contenido de ambos Reglamentos está, precisamente, en la base de las continuas versiones que se han sucedido en el tiempo”.

PUBLICIDAD

Otra cuestión que destaca es que “desde la perspectiva de la protección de datos personales, se concretan aspectos especiales esbozados de forma general en el RGPD. Es interesante la regulación y desarrollo del concepto de metadato, así como la regulación del intercambio de datos entre dispositivos conectados (IoT), fomentando la transparencia”, señala esta experta en privacidad.

También destaca que “de igual forma, la concreción de las bases legales para ciertos tratamientos de datos y cómo operar en este ámbito podría facilitar los criterios de diseño y desarrollo legal de actividades al amparo del nuevo Reglamento”.

PUBLICIDAD

Brito revela como importante “la nueva regulación de las ‘cookies’ contenida en el Reglamento de e-Privacy y la nueva forma de recabar el consentimiento necesario para la configuración de las mismas a través de los navegadores, y no como hasta ahora se hace”.

En su opinión, “supondrá un cambio importante en la actual operativa impuesta en las entidades responsables del tratamiento de los datos personales, así como en los documentos de recomendaciones e instrucciones emitidas por las autoridades de control en protección de datos hasta el momento”.

“Muchas entidades han invertido en nuevas políticas y sistemas de configuración de ‘cookies’, precisamente, siguiendo las indicaciones de la normativa y directrices de buenas prácticas emitidas por tales autoridades, lo que puede suponer algo innecesario ahora”.

PUBLICIDAD
Noemí Brito, socia Responsable Área de Tecnología, Innovación y Economía Digital en Ceca Magán.

Desde su punto de vista, la adaptación de empresas y otros operadores a este nuevo escenario normativo no será sencilla.

Será complicado adecuar los actuales modelos de negocio y servicios a estos nuevos requerimientos, si bien muchos de ellos ya los tienen implementados por aplicación y cumplimiento de la normativa protectora de datos personales que también vienen obligados a cumplir cuando se trate de datos personales”, comenta.

A su juicio, “puede ser positivo el desarrollo de las nuevas posibilidades y modelos de uso y reutilización de los metadatos, la apuesta por medidas reforzadas de seguridad, o de minimización de impacto en el caso de datos personales, por ejemplo, a través de técnicas de anonimización o de cifrado”.

Más obligaciones para las empresas

Por su parte, Francisco Pérez Bes, socio de Ecix Group, señala que la importancia de dicho Reglamento viene dada porque “es una normativa que viene siendo muy esperada por el sector, de manera que su injustificado retraso ha creado cierta inquietud entre consumidores y empresas, ya que la norma prevé la obligación de adoptar ciertas obligaciones adicionales para las empresas, lo que va a requerir una intensa planificación y un periodo de adaptación a los nuevos requerimientos”.

Al mismo tiempo, considera que “es una norma que va a reforzar los derechos de los usuarios y consumidores online frente a abusos de las grandes plataformas ubicadas fuera de la unión europea”.

Cree que “podrá aportar claridad a algunos aspectos del RGPD, hasta ahora menos aplicados, y completará y ayudará a interpretar algunos preceptos hasta ahora controvertidos, como puede ser el caso de los metadatos y su impacto en la privacidad”.

“Este extremo, por ejemplo, ha venido siendo un tema doctrinalmente pacífico, aunque ahora se recogerá expresamente en la norma y permitirá su aplicación directa. Eso da seguridad jurídica a todos los operadores”.

Este experto en privacidad recuerda que “igualmente, también los temas relacionados con las medidas de ciberseguridad vana tener que ser replanteadas, ya que se ha demostrado que esta tecnología de rastreo puede ser una fuente de vulnerabilidad importante, y poner en riesgo la información almacenada en los dispositivos de los usuarios”.

Francisco Pérez Bes, socio de Derecho Digital de Ecix Group.

Respecto al impacto de dicho Reglamento de ePR en cuanto a la navegación en Internet y las ‘cookies’, subraya que “el seguimiento de los usuarios durante su navegación, y el negocio que se ha construido sobre esta práctica, ha venido siendo uno de los temas más controvertidos durante estos últimos años”.

“No solo por el impacto que ha tenido en la privacidad de los internautas, sino por la sensación de impunidad de aquellas plataformas que han aprovechado la tecnología con un objetivo intrusivo y poco transparente para los consumidores y para las propias autoridades de control”.

Pérez Bes indica que “en este campo, el tema de las ‘cookies’ ha venido siendo recurrente, aunque lo cierto es que esta norma pretende hacer extensivo su ámbito de aplicación a otras tecnologías de seguimiento y análisis, tipo ‘fingerprint’, ‘pixels’ o similares, con tal de intensificar el control del uso que las tecnológicas hacen de estos recursos”.

A su juicio, “la expectativa que presenta este Reglamento va en línea con el incremento de la transparencia para los usuarios durante su navegación, y con el fomento de buenas prácticas por parte de algunas plataformas. Sin embargo, no olvidemos que aquellas empresas que no quieran someterse a la norma intentarán desarrollar otras tecnologías que les permitan quedar fuera de la aplicación de la regulación europea”.

En cuanto a la adaptación de las empresas y otros operadores a este nuevo marco normativo, indica que “las empresas van a tener que analizar detenidamente cuáles son las nuevas obligaciones que plantea la norma y, particularmente, el alcance de las responsabilidades y sanciones que el Reglamento prevé”.

En este sentido,“el legislador europeo deja clara su postura -al igual que se hizo con el RGPD- de fomentar y promover el cumplimiento normativo y la responsabilidad proactiva como punto de partida, y la acreditación de diligencia a la hora de poder modular la eventual responsabilidad que pudiera derivarse del incumplimiento de las obligaciones establecidas en la norma, como puede ser el caso de la eficacia de las medidas de seguridad que puedan estar obligados a implementar, o el tema del borrado y conservación de comunicaciones electrónicas”.

También advierte que “las empresas deberán analizar cómo van a gestionar las relaciones con los usuarios finales, teniendo en cuenta que el paquete normativo amplia los medios de protección y defensa para los internautas, y trata de darles más poder y control de su información y de sus comunicaciones en el escenario online”.

Un proceso de aprobación complejo

Por su parte, Isabel Martínez, directora en Andersen en la oficina de Madrid y responsable del área de Privacy, IT & Digital Business de la firma, explica a Confilegal que “el Reglamento de ‘ePrivacy’ está atravesando un proceso de aprobación complejo, como ya en su momento pasó con el RGPD (que recordemos tardó 4 años en aprobarse), con amplios debates entre los Estados Miembros (representados en el Consejo), la Comisión Europea y el Parlamento Europeo”.

“Tienen puntos de vista diferentes sobre cómo equilibrar el derecho fundamental a la protección de datos de los ciudadanos europeos, por un lado, y dar un impulso definitivo al desarrollo de la economía de los datos en el marco del mercado único digital, por otro”, aclara.

Esta jurista revela que algunos de los asuntos que más confrontación están generando son, entre otros, su ámbito de aplicación territorial. “Podría alinearse con el RGPD y aplica a toda entidad con servicios destinados a ciudadanos o residentes europeos con independencia que se encuentre sita fuera de la UE”.

Isabel Martínez, responsable del área de Privacy, IT & Digital Business de Andersen.

También cree que amplía las obligaciones a los operadores OTT, multiplicando las obligaciones que hasta ahora tenían (a diferencia de la anterior Directiva de ‘e-Privacy’) así como extiende la protección y obligaciones de seguridad no solo a los datos de carácter personal de los usuarios, sino, en general, al contenido de las comunicaciones electrónicas y, sobre todo, regula y extiende la protección a los metadatos.

Martínez destaca que “en las diferentes propuestas de borrador del Reglamento ‘e-Privacy,’ se incluía la propuesta de exigir de forma predominante el consentimiento expreso como base de legitimación para cada tratamiento de datos y metadatos, en detrimento de otras bases de legitimación igualmente válidas, previstas en el RGPD, como es el interés legítimo o el cumplimiento de un servicio o ejecución de un contrato”.

También resalta su impacto en una “navegación más amable con el usuario y con mayor transparencia sobre los tratamientos que se realizan tanto de sus datos de carácter personal como de los metadatos que está generando con su navegación o uso del dispositivo, no dejaba clara algunas cuestiones importantes para la publicidad programática”.

Otro elemento de debate tiene que ver con la protección y confidencialidad del contenido e información guardada en los dispositivos de los usuarios, «suponían un reto para los operadores a la hora de prestar sus servicios online de un modo respetuoso con las obligaciones establecidas en relación con el acceso a los datos y metadatos guardados en el dispositivo”.

A su juicio, «tendrán, por ejemplo, que encriptar las comunicaciones y los datos que van a ser objeto de transmisión, incluso antes de compartirlos para realizar análisis estadísticos o realizar evaluaciones de impacto que analicen los tratamientos de datos”.

Isabel Martínez explica a Confilegal que “el Reglamento ‘e-Privacy’ es ley especial frente al RGPD, por tanto, complementa y detalla algunas obligaciones concretas en el marco de las comunicaciones electrónicas y las redes de transmisión de la información”.

Revela que “aspectos como las técnicas de impacto publicitario a través de ‘cookies’ y la mercadotecnia directa, todos los operadores intervinientes (ya sean publicistas o intermediarios) deberán tener en cuenta las nuevas normas específicas que incluye el Reglamento”.

“Respecto al acceso, transmisión y tratamiento de datos que no son de carácter personal, el Reglamento ‘e-Privacy’, al establecer reglas homogéneas en toda la Unión, puede ser un revulsivo para el despegue definitivo de la economía de datos dentro de la UE”, comenta.

“Tenemos que tener en cuenta que acceder y tratar volúmenes considerables de información no personal favorece ante todo la investigación, la mejora de servicios públicos, la seguridad de los transportes o la creación de soluciones innovadoras a necesidades existentes, mediante la aplicación de tecnologías de análisis de datos ‘big data’ e inteligencia artificial, de forma eficiente y beneficiosa para el conjunto de la sociedad”.

Desde su punto de vista, “existe incertidumbre en la industria sobre cuál será la posición final y las consecuencias del texto definitivo. La incorporación de un periodo de dos años ‘vacatio legis’ resulta de especial importancia para que los operadores puedan adaptar sus modelos de negocio ante los nuevos requisitos legales de un modo ordenado”.

En cuanto a la adaptación de las empresas y otros operadores a este nuevo marco normativo, “tras la experiencia que supuso el RGPD en la mayoría de organizaciones, creo que las empresas y operadores están más preparadas para dar cumplimiento a este nuevo reglamento cuando definitivamente se apruebe”.

Isabel Martínez cree que “la experiencia adquirida en un proceso similar como fue aquel y, sobre todo, la cada vez mayor concienciación en materias de cumplimiento normativo, favorecen que la transición sea más sencilla”.