El pasado 10 de enero la Comisión Europea publicó su nueva propuesta de Reglamento sobre Privacidad y Comunicaciones Electrónicas – Reglamento ePrivacy (que puedes consultar aquí íntegramente en castellano). Esta nueva normativa viene a complementar el Reglamento General de Protección de Datos, RGPD, que entró en vigor el 26 de mayo de 2016 y que será de obligado cumplimiento en toda la Unión el 25 de mayo de 2018. Igualmente puedes consultarlo aquí.
El objetivo de ambos Reglamentos es, por un lado, aumentar los niveles de protección de las comunicaciones electrónicas y, por otro, impulsar las oportunidades comerciales. Si se ofrece un alto nivel de protección a los consumidores se reforzará la confianza y la seguridad en el Mercado Único Digital. Además, como veremos, el nuevo Reglamento ofrece a las empresas la posibilidad de innovar y de buscar nuevas líneas de negocio relacionadas con el Big Data.
¿Cómo nos va a afectar este nuevo Reglamento a nivel particular? ¿Cómo va a afectar a nuestras empresas? A continuación resumimos el alcance de la norma en 10 claves.
- Unificación de normas en toda la UE. Con la aplicación del nuevo Reglamento todos los ciudadanos y empresas de la UE disfrutarán del mismo nivel de protección en sus comunicaciones electrónicas. Además todas las empresas de la UE deberán seguir un único conjunto de normas.
- OTTs. Hasta ahora solo las operadoras de telecomunicaciones tradicionales tenían que acatar las directivas de la UE sobre privacidad y comunicaciones electrónicas. Sin embargo, las opciones de los ciudadanos a la hora de comunicarnos e intercambiar mensajes se han visto ampliadas enormemente con el auge de las llamadas empresas OTT (Over The Top). El nuevo Reglamento ePrivacy contempla que este tipo de empresas como WhatsApp, Facebook Messenger, Skype o Gmail, también estén obligadas a cumplir la normativa. La medida ha generado bastante polémica, por un lado, las operadoras tradicionales consideran que de esta forma realmente se fomenta la libre competencia, mientras que empresas online como Facebook o Google han manifestado su disconformidad.
El 92% de los europeos afirman que es importante que sus correos electrónicos y sus mensajes en línea mantengan la confidencialidad.
- Se amplía la protección a los metadatos de nuestras comunicaciones. Por ejemplo, la hora y el lugar desde el que hemos realizado una llamada. Estos elementos, cuyo componente de privacidad es tan elevado, deberán anonimizarse o suprimirse si los usuarios no han dado su consentimiento, salvo que se necesiten por ejemplo, para la facturación de los servicios prestados.
- Nuevas oportunidades comerciales: Las operadoras van a poder hacer un mayor uso de los datos y los metadatos que obtengan con el consentimiento de los usuarios abriendo así la puerta a que puedan ofrecer nuevos servicios. Haciendo uso del Big Data las empresas podrán abrir nuevas líneas de negocio.
- Simplificación de las normas sobre las cookies: Desde que entrara en vigor la “disposición sobre cookies” hace unos años, los usuarios nos hemos visto un poco saturados por el exceso de solicitudes de autorización al uso de cookies que hemos tenido que aceptar. Ahora la propuesta aclara que no es necesario obtener el consentimiento para las cookies invasivas ajenas a la privacidad que mejoran la experiencia de Internet (por ejemplo, recordar el historial del carrito de la compra). También dejará de ser necesario el consentimiento del usuario en el caso de las cookies instaladas en un sitio web visitado que efectúen el recuento del número de visitantes a dicho sitio.
- Protección contra el correo basura: El nuevo reglamento prohíbe las comunicaciones electrónicas no solicitadas por cualquier medio (email, mensajes de texto, etc.) si los usuarios no han dado su consentimiento. En cuanto a las llamadas comerciales la nueva normativa también endurece los requisitos. Se barajan ideas como que los consumidores puedan oponerse a la recepción de llamadas comerciales mediante el registro de su número de teléfono en una lista “no llame” o que quienes realicen este tipo de llamadas tengan que identificarse con un prefijo especial.
- Seguimiento y cumplimiento: Las agencias nacionales de protección de datos serán las encargadas de que se cumpla el Reglamento en las empresas e instituciones de su país. Evidentemente cualquier persona cuyos datos personales sean tratados por las instituciones u organismo europeos (supranacionales) también tienen garantizado el cumplimiento de esta normativa.
- Protección internacional de los datos: La nueva norma también establece un enfoque estratégico para las transferencias internacionales de datos personales, lo que facilitará los intercambios comerciales y fomentará una mayor cooperación policial, al tiempo que garantiza un elevado nivel de protección de datos. El objetivo es alcanzar acuerdos para el libre flujo de datos personales a países con normas de protección de datos “esencialmente equivalentes” a los de la UE y que sean socios comerciales estratégicos como Japón, Corea del Sur, Asia Oriental, América Latina u otros países europeos.
A modo de resumen, aquí podéis ver la comunicación oficial que la Unión Europea ha realizado al hilo de la publicación del nuevo reglamento de ePrivacity. Pinchando sobre la imagen podéis descargar el documento en PDF.
¿Y qué hay sobre el Reglamento General de Protección de Datos?
Lo primera gran novedad con respecto a las anteriores directivas es que el Reglamento es de directa aplicación en toda Europa sin necesidad de que los estados miembros lo incorporen a su ordenamiento interno. Es decir, todos los profesionales, instituciones y empresas deberán comenzar a aplicarlo de forma obligatoria el 25 de mayo de 2018.
En él no solo se reconocen los ya clásicos derechos de acceso, rectificación, cancelación y oposición, sino que se regulan dos nuevos derechos: el denominado “derecho al olvido”, como efectivo derecho de supresión, y la portabilidad de los datos.
También se detallan mejorar especificaciones y excepciones de conceptos como el de deber de información, deber de transparencia o la limitación del tratamiento de datos personales con fines de archivo en interés público, de investigación científica e histórica o fines estadísticos.
Otra novedad práctica muy significativa consiste en que el Reglamento se aplicará al procesamiento de datos de europeos por entidades establecidas en Europa, pero también por aquellas empresas situadas fuera de la Unión Europea que realicen actividades dentro de la UE y que impliquen el tratamiento de datos personales, incluso aunque no tengan presencia física en el territorio de la Unión.
También se regula la nueva figura del Data Protection Officer (DPO) – que será obligatorio en ciertas empresas e instituciones – cuya misión es la de garantizar el cumplimiento de la normativa en vigor y que se diferencia del Responsable de Seguridad por la exclusividad del DPO en sus funciones. Finalmente, las cuantías de las sanciones también se verán elevadas sustancialmente.
* Toda la información contenida en esta página web expresa únicamente la opinión de sus autores y la Comisión Europea no se hace responsable de ningún uso que pudiera hacerse de la información que contienen.
*El proyecto en el que se enmarca esta publicación cuenta con financiación de la Unión Europea.
