Regulación de la privacidad electrónica: ¿Qué es lo que realmente te espera?

8 Min.
Regulación de la privacidad electrónica: Esto viene a su manera
Última actualización en

Aunque no se espera que se apruebe el "Reglamento sobre la privacidad y las comunicaciones electrónicas" (Reglamento sobre la privacidad electrónica) hasta más adelante en 2020, ya está proyectando su sombra. En este artículo, me gustaría darles una visión general de lo que trata la regulación de la privacidad electrónica, cómo es la situación legal actual para el uso del rastreoHerramientas y cómo podría cambiar bajo el EPC. Al final explicaré brevemente por qué la nueva regulación es importante desde mi punto de vista. Pero no te asustes: Así como el mundo, en contra de todas las predicciones, no es inmune a la RGPD el 25 de mayo de 2018, tampoco se espera que esto ocurra en lo que respecta a la validez de la normativa sobre privacidad electrónica.

I. El Reglamento sobre la privacidad electrónica

1. ¿Qué es la regulación de la privacidad electrónica?

El Reglamento sobre la privacidad electrónica (EPVO) es un reglamento que se está debatiendo actualmente a nivel europeo. Proyecto de Reglamento de la Comisión Europeaque sustituye a la directiva sobre la privacidad electrónica que está en vigor desde 2002 (Directiva 2002/58/CEen su última versión modificada por Directiva 2009/136/CEDirectiva sobre la privacidad electrónica) y adaptarlos al estado actual de la técnica (por ejemplo, los denominados servicios "over-the-top", es decir, los servicios de comunicación basados en el IP, no están actualmente cubiertos por la Directiva sobre la privacidad electrónica).

Como reglamento europeo, la OEPM será directa e inmediatamente aplicable en toda la Unión Europea. A diferencia de la directiva sobre la privacidad electrónica, no dependerá de la aplicación en la legislación nacional por parte de cada uno de los Estados miembros. Por cierto, esta transposición de la directiva sobre la privacidad electrónica a la legislación nacional nunca ha tenido lugar en España la parte de protección de datos pertinente a los operadores de sitios web.

2. ¿Cuál es el objetivo de la regulación de la privacidad electrónica?

El reglamento de privacidad electrónica tiene por objeto proteger la confidencialidad de las comunicaciones y la confidencialidad e integridad del equipo terminal de los usuarios.

En términos sencillos, se debe proteger a los usuarios para que no sean espiados sin su conocimiento cuando visiten un sitio web o utilicen un correo electrónico o un servicio de mensajería.

A diferencia de la RGPD, no sólo las personas físicas (personas) sino también las personas jurídicas (empresas y asociaciones) están protegidas. El reglamento sobre la privacidad electrónica aclara y complementa las disposiciones RGPD relativas a los datos de comunicación electrónica, que son datos personales.

3. ¿Qué regula la reglamentación de la privacidad electrónica?

La Ordenanza sobre la privacidad electrónica no sólo regula la comunicación por medio de la telefonía vocal (clásica), los mensajes de texto (SMS) y el correo electrónico, sino también la comunicación por medio de la telefonía VoIP, los servicios de mensajería y los servicios de correo electrónico basados en la web. También se aplica a la cada vez más importante comunicación entre máquinas (palabra clave "Internet de las cosas").

La OEPM presta especial atención a la forma en que el equipo terminal de los usuarios (por ejemplo, computadoras y teléfonos inteligentes) almacena o envía, solicita o procesa la información. Ello se debe a que en estos dispositivos finales se almacenan prácticamente siempre datos personales sensibles (por ejemplo, correos electrónicos y mensajes, fotografías, datos de contacto y de localización). Por consiguiente, los usuarios de los dispositivos finales deben estar protegidos contra el uso del rastreoHerramientas para observar secretamente sus actividades sin su conocimiento (por ejemplo, cookies, huellas de navegadores y tecnologías similares para rastrear el comportamiento de los usuarios).

4. ¿Cuándo entrará en vigor el reglamento sobre la privacidad electrónica?

La intención original era que el Reglamento de Privacidad Electrónica entrara en vigor al mismo tiempo que el RGPD Reglamento. Así pues, la Comisión Europea ya había publicado su proyecto de OEPM a principios de enero de 2017. Sin embargo, dado que el Parlamento Europeo y el Consejo de la Unión Europea también deben participar en el proceso legislativo, muchas de las disposiciones del Reglamento sobre la privacidad electrónica siguen siendo objeto de debate político. Debido a la complejidad del procedimiento legislativo, no se prevé que el Reglamento sobre la privacidad electrónica entre en vigor antes de finales de 2019. Además, probablemente habrá un período de transición similar al del reglamento RGPD actual hasta que entre en vigor el Reglamento sobre la privacidad electrónica.

Buzones de correo electrónico RAIDBOXES

II. situación jurídica de la utilización del rastreoHerramientas

1. ¿Qué es el rastreoHerramientas ?

ElHerramientas rastreo tiene por objeto hacer comprensible el comportamiento de los usuarios de Internet: ¿Con qué frecuencia se utiliza un sitio web visitado por un usuario específico o un servicio de mensajería (si se "analiza" el comportamiento de un usuario específico, ya no es una herramienta puramente analítica y estadística, sino una herramienta de seguimiento)? ¿Qué contenido tienen los mensajes enviados? ¿Qué artículos se buscan y se piden en una tienda web? ¿A qué cuentas de medios sociales has accedido? ¿Se hace clic en un artículo vinculado y se compra (marketing de afiliados)?

Los datos no sólo se recogen cuando se visita el sitio web o se utiliza el servicio, sino a menudo durante mucho tiempo después. Esto se debe a que las cookies, los píxeles de conteo, etc. establecidos en el dispositivo terminal no suelen ser eliminados cuando se termina el servicio. A menudo permanecen en el dispositivo final del usuario durante varios meses y siguen enviando datos sin que el usuario sea consciente de ello.

En muchos casos, los datos así reunidos no sólo son recogidos y procesados por el propio proveedor de servicios, sino que a menudo también se transmiten a terceros.

La consecuencia es que se crea un gran número de perfiles de usuario sin que el usuario sea consciente de ello.

2. ¿Dónde está reguladoHerramientas actualmente el uso del rastreo?

Observación preliminar: Esta parte está necesariamente formulada de alguna manera legal. Si no te interesan estas sutilezas, puedes seguir leyendo sin problemas a las 3.

En Europa, los requisitos para los servicios de información y comunicación electrónica se definen en Ley alemana de telemedios (TMG) regulado. La Ley de Telemedios entró en vigor en 2007 y fue enmendada por última vez en septiembre de 2017. Sin embargo, la Directiva sobre la privacidad electrónica, que fue enmendada en 2009 y que regula en su artículo 5, párrafo 3, el almacenamiento y el acceso a la información almacenada en el equipo terminal del usuario, no fue transpuesta oficialmente a la legislación alemana. El trasfondo de esto es que el Gobierno Federal no lo consideró necesario sobre la base de las disposiciones ya contenidas en el párrafo 3 del artículo 15 de la TMG. Tampoco se han RGPD adaptado a ello las normas de protección de datos de la Ley de Telemedios (artículo 4; artículos 11 y siguientes de la Ley de Telemedios de Alemania), que regulan las obligaciones de los proveedores de servicios.

En consecuencia, no es aplicable la norma de conflicto del artículo 95 RGPD , que rige la relación entre la Directiva sobre la privacidad RGPD y las comunicaciones electrónicas y la Directiva. Dado que la aplicación directa de la Directiva sobre la privacidad y las comunicaciones electrónicas tampoco es posible (las directivas europeas, a diferencia de los reglamentos europeos, no son de aplicación directa e inmediata), la Primacía de la aplicación de la RGPD .

Esto significa que, desde la entrada en vigor de la RGPD Ley de Telemedios, es decir, desde el 25 de mayo de 2018, el fundamento jurídico del tratamiento de datos personales por los proveedores de servicios ha sido exclusivamente el artículo 6 1 RGPD); las disposiciones correspondientes de la Ley de Telemedios ya no son aplicables.

Esto probablemente no cambiará hasta que la regulación de la privacidad electrónica entre en vigor: En la situación actual, las disposiciones de la OEPV tendrán RGPD prioridad sobre las disposiciones correspondientes del Reglamento, siempre que persigan el mismo objetivo.

3. ¿Cuál es la situación jurídica actual en lo que respecta a la utilización del rastreoHerramientas ?

La base jurídica actual para el uso del rastreoHerramientas es el párrafo 1 RGPD del artículo 6. Esto significa que el rastreo sóloHerramientas puede utilizarse en general si

  • el procesamiento con el fin de preservar intereses legítimos el responsable del tratamiento o un tercero, salvo cuando se opongan a ello intereses o derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño (letra f RGPD) del párrafo primero del apartado 1 del artículo 6)

o

  • la persona interesada deberá dar su Consentimiento al tratamiento de los datos personales que le conciernen para uno o varios fines determinados (letra a RGPD) del párrafo primero del artículo 6.1).

>> Detalles de los intereses legítimos del proveedor de servicios

Cuando un proveedor de servicios intereses legítimos predominantes para el uso del rastreoHerramientas , no se requiere el consentimiento del usuario.

En un sitio web, por ejemplo, una casilla de verificación sería entonces superflua. El operador del sitio web sólo tendría que informar sobre el seguimientoHerramientas utilizado en la declaración de protección de datos.

Los intereses legítimos del proveedor de servicios pueden ser reales, económicos y no materiales.

A menudo, por supuesto, será intereses comerciales comercio. Éstas pueden consistir, por ejemplo, en almacenar la cesta de la compra del cliente en una tienda en línea o en integrar fuentes web, servicios de tarjetas y medios socialesPlugins en un sitio web. Pero también el análisis de la web y las estadísticasHerramientas sobre los visitantes del sitio o el uso de rastreadores de publicidad deben considerarse intereses legítimos.

Si el respectivo procesamiento de datos es necesario para salvaguardar estos intereses legítimos, éstos deben sopesarse con los intereses o los derechos y libertades fundamentales del usuario. Entre ellas figuran la protección contra las desventajas económicas, el derecho al respeto de la vida privada y la comunicación, de conformidad con el artículo 7 de la Convención. Carta de los Derechos Fundamentales de la Unión Europea (CRCh)el derecho básico de protección de datos según el Art. 8 GRCh y el derecho a la autodeterminación informativa.

Al sopesar los intereses respectivos, los efectos del tratamiento de datos previsto y su susceptibilidad al uso indebido son particularmente importantes. Otros factores que deben tenerse en cuenta son qué expectativas razonables tiene el usuario del servicio y si puede prever razonablemente que el procesamiento de datos previsto se llevará a cabo.

A veces es difícil decidir en casos individuales si los intereses legítimos del proveedor de servicios (o de un tercero) o los intereses del usuario superan los intereses legítimos del usuario.

Cabe señalar que el proveedor de servicios debe demostrar que sus intereses legítimos prevalecen. Si esta prueba no tiene éxito en una disputa, la recolección de datos fue ilegal y el proveedor de servicios debe esperar una multa.

Por lo tanto, el equilibrio de intereses debe ser una cuestión de las autoridades de supervisión rastreable ser y bien documentado será.

FREE DEV programa RAIDBOXES

>> Detalles del consentimiento del usuario

Si el proveedor de servicios no puede basar la integración del rastreoHerramientas en un interés legítimo, el consentimiento del usuario es obligatorio.

Las condiciones para el consentimiento efectivo se RGPD regulan en el art. 7. Estos son:

  • Forma comprensible;
  • un lenguaje claro y sencillo;
  • Distinción de otras situaciones;
  • previo aviso del derecho a retirarse en cualquier momento;
  • el cumplimiento de la prohibición de la vinculación (es decir, que un servicio no debe condicionarse a la concesión del consentimiento para el tratamiento de datos personales no relacionados con el servicio).

El consentimiento también puede darse por implicación, es decir, por acción concluyente. Sin embargo, siempre se requiere el consentimiento explícito cuando se procesan categorías especiales de datos personales (véase el apartado a RGPD) del párrafo 2 del artículo 9).

Cabe señalar también que el consentimiento puede ser revocado en cualquier momento. Por lo tanto, el procesamiento de los datos debe cesar a partir del momento en que el interesado haya retirado su consentimiento.

En la actualidad, el consentimiento para el uso de cookies y tecnologías similares en los sitios web suele obtenerse mediante la llamada "casilla de verificación", que el usuario debe marcar activamente (opt-in).

Si no sólo se establecen las cookies técnicamente necesarias, se da una pista sucinta en el llamado "Cookie Banner", que sólo se confirma haciendo clic en el botón "OK", insatisfactoria.

En cualquier caso, los usuarios deben ser informados en la política de privacidad sobre el rastreoHerramientas utilizado.

4. ¿Cuál es la situación jurídica prevista para la utilización del rastreoHerramientas ?

La Comisión Europea ha publicado el Proyecto de reglamento sobre la privacidad electrónica está actualmente en discusión política. Entre otras cosas, hay declaraciones de la Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datoslas enmiendas del Parlamento Europeo y los documentos de debate del Consejo de la Unión Europea.

Por lo tanto, está abierto el texto exacto que tendrá la regulación de la privacidad electrónica.

Sin embargo, en vista de los actuales "escándalos de datos" de los últimos tiempos, los proteccionistas de datos en particular están haciendo cada vez más campañas para asegurar que la OEPV no quede por debajo del nivel actual de protección en virtud de la Directiva sobre RGPD la privacidad y las comunicaciones electrónicas.

El Comité Europeo de Protección de Datos ha en un documento de mayo de 2018 expresó la opinión de que la confidencialidad de las comunicaciones electrónicas requiere una protección especial, que debe ir más allá de eso RGPD Por lo tanto, los intereses legítimos del proveedor de servicios ya no deben ser la base jurídica para el tratamiento del contenido y los metadatos de las comunicaciones electrónicas en el futuro.

Si prevalece esta opinión, el rastreoHerramientas sólo debe utilizarse con el consentimiento previo del usuario (por ejemplo, mediante una casilla de verificación).

III. Por qué la regulación de la privacidad electrónica es algo bueno

Contrariamente a todas las profecías de la fatalidad, la OVPE es una regulación sensata y largamente esperada. Después de todo, la completa supervisión de nuestro comportamiento como usuarios, que ahora es técnicamente posible, no debería aceptarse así como así.

Por consiguiente, es conveniente que los operadores de sitios web y los proveedores de servicios proporcionen de antemano información clara y transparente sobre los datos que se reúnen cuando se visita un sitio web o se utiliza un servicio y a quién se transmite y con qué fines. Sólo así pueden los visitantes y usuarios del sitio web decidir si realmente vale la pena que visiten el sitio web o utilicen el servicio divulgando sus datos.

Sin embargo, como operador de un sitio web no tienes que enterrar la cabeza en la arena. Como medida inmediata, lo mejor es comprobar si puede basar todos los servicios incluidos en su sitio web en un interés o consentimiento legítimo de los usuarios. De no ser así, debe obtener el consentimiento que falta de los usuarios. Además, también debe hacer transparentes sus actividades de rastreo en la política de privacidad.

Tan pronto como se conozca el texto definitivo de la reglamentación sobre la privacidad electrónica, se debe comprobar en primer lugar si se debe obtener un consentimiento adicional y, de ser necesario, a partir de cuándo. Para que usted pueda implementar esto y todo lo demás que es necesario en paz y tranquilidad, vale la pena mantener la vista en la regulación de la privacidad electrónica.

Foto: Scott Webb [Pexels]

Mario Steinberg es abogado y especialista en derecho administrativo en LIEB.Rechtsanwälte. Una de sus principales áreas de especialización es el asesoramiento en materia de protección de datos y leyes de seguridad informática. También es cofundador de la red de consultores "dando forma a su organización"que asesora a las empresas en las áreas de informática empresarial, cumplimiento y diseño legal.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con * marcado.