Normativa sobre privacidad electrónica: ¿qué le espera?

Mario Steinberg Última actualización 21.10.2020
8 min.
Normativa sobre privacidad electrónica: ¿qué le espera?
Última actualización 21.10.2020

Aunque no se espera que el Reglamento sobre privacidad y comunicaciones electrónicas (Reglamento sobre privacidad electrónica) se adopte hasta más adelante en 2020, ya está proyectando su sombra. En este artículo, quiero darle una visión general de lo que es el Reglamento sobre la privacidad electrónica, cuál es la situación legal actual para el uso de herramientas de seguimiento, y cómo podría cambiar bajo la OEP. Al final, expondré brevemente por qué creo que el nuevo reglamento es importante. Pero que no cunda el pánico: Al igual que el mundo ha cambiado, en contra de todas las previsiones, con la entrada en vigor del GDPR el 25.05.2018, tampoco es de esperar para la vigencia del reglamento de privacidad electrónica.

I. El Reglamento sobre la privacidad electrónica

1. ¿Qué es el Reglamento sobre privacidad electrónica?

El Reglamento sobre privacidad electrónica (EPVO) es un proyecto de reglamento que está siendo debatido a nivel europeo por la Comisión Europea. proyecto de reglamento de la Comisión Europeaque sustituye a la Directiva sobre privacidad electrónica (Directiva 2002/58/CEmodificado por última vez por Directiva 2009/136/CE(Directiva sobre privacidad electrónica), en vigor desde 2002, y adaptarla al estado actual de la tecnología (por ejemplo, los llamados servicios over-the-top, es decir, los servicios de comunicación basados en IP, no están actualmente cubiertos por la Directiva sobre privacidad electrónica).

Como reglamento europeo, la OEPM será directa e inmediatamente aplicable en toda la Unión Europea. A diferencia de la directiva sobre la privacidad electrónica, no dependerá de la aplicación en la legislación nacional por parte de cada uno de los Estados miembros. Por cierto, esta transposición de la directiva sobre la privacidad electrónica a la legislación nacional nunca ha tenido lugar en España la parte de protección de datos pertinente a los operadores de sitios web.

2. ¿Cuál es el objetivo del reglamento sobre privacidad electrónica?

El Reglamento sobre privacidad electrónica tiene por objeto proteger la confidencialidad de las comunicaciones, así como la confidencialidad e integridad de los equipos terminales de los usuarios.

En términos más sencillos, los usuarios deben estar protegidos de ser espiados sin su conocimiento cuando visitan un sitio web o utilizan un servicio de correo electrónico o de mensajería.

A diferencia de la RGPD, no sólo las personas físicas (personas) sino también las personas jurídicas (empresas y asociaciones) están protegidas. El reglamento sobre la privacidad electrónica aclara y complementa las disposiciones RGPD relativas a los datos de comunicación electrónica, que son datos personales.

3. ¿Qué regula el Reglamento sobre privacidad electrónica?

El Reglamento sobre privacidad electrónica regula no sólo la comunicación por medio de la telefonía vocal (clásica), los mensajes de texto (SMS) y el correo electrónico, sino también la comunicación por medio de la telefonía VoIP, los servicios de mensajería y los servicios de correo electrónico basados en la web. También se aplica a la cada vez más importante comunicación entre máquinas (palabra clave "Internet de los objetos").

La OEPV presta especial atención a la forma en que los dispositivos terminales de los usuarios (por ejemplo, ordenadores y teléfonos inteligentes) almacenan o envían, solicitan o procesan la información. Esto se debe a que los datos personales sensibles (por ejemplo, correos electrónicos y mensajes, imágenes, datos de contacto y de localización) se almacenan prácticamente siempre en estos dispositivos finales. Por lo tanto, los dispositivos de los usuarios finales deben estar protegidos contra las herramientas de seguimiento que se utilizan para observar secretamente sus actividades sin su conocimiento (por ejemplo, cookies, huellas digitales del navegador y tecnologías similares para rastrear el comportamiento del usuario).

4. ¿cuándo llegará el reglamento sobre privacidad electrónica?

La intención original era que el Reglamento de Privacidad Electrónica entrara en vigor al mismo tiempo que el RGPD Reglamento. Así pues, la Comisión Europea ya había publicado su proyecto de OEPM a principios de enero de 2017. Sin embargo, dado que el Parlamento Europeo y el Consejo de la Unión Europea también deben participar en el proceso legislativo, muchas de las disposiciones del Reglamento sobre la privacidad electrónica siguen siendo objeto de debate político. Debido a la complejidad del procedimiento legislativo, no se prevé que el Reglamento sobre la privacidad electrónica entre en vigor antes de finales de 2019. Además, probablemente habrá un período de transición similar al del reglamento RGPD actual hasta que entre en vigor el Reglamento sobre la privacidad electrónica.

II. Situación legal para el uso de herramientas de seguimiento

1. ¿Qué son las herramientas de seguimiento?

Las herramientas de seguimiento tienen como objetivo hacer comprensible el comportamiento de los usuarios de Internet: ¿Con qué frecuencia accede a un sitio web un usuario concreto o se utiliza un servicio de mensajería (si se "analiza" el comportamiento de un usuario concreto, ya no es una herramienta pura de análisis y estadísticas, sino de seguimiento)? ¿Cuál es el contenido de los mensajes enviados? ¿Qué artículos se buscan y piden en una tienda web? ¿En qué cuentas de redes sociales están conectados los usuarios? ¿Se hace clic en un artículo enlazado y se compra (marketing de afiliación)?

Los datos no sólo se recogen cuando se visita el sitio web o se utiliza el servicio, sino a menudo mucho después. Esto se debe a que las cookies, los píxeles de recuento, etc. instalados en el dispositivo final no suelen eliminarse al finalizar el servicio. A menudo permanecen en el dispositivo del usuario durante varios meses y siguen enviando datos sin que el usuario sea consciente de ello.

En muchos casos, los datos recogidos de esta manera no sólo son recogidos y procesados por el propio proveedor de servicios, sino que a menudo también se transmiten a terceros.

Como resultado, se crea un gran número de perfiles de usuario sin que el usuario sea consciente de ello.

2. ¿Dónde se regula actualmente el uso de las herramientas de seguimiento?

Nota preliminar: Esta parte está necesariamente formulada de forma algo legal. Si no le interesan estas sutilezas, puede seguir leyendo en 3. sin problemas.

En España los requisitos para los servicios de información y comunicación electrónicos se establecen en la Ley de Telemedia (TMG) regulado. La Ley de Telemedia entró en vigor en 2007 y fue modificada por última vez en septiembre de 2017. Sin embargo, la Directiva sobre privacidad electrónica, modificada en 2009, que en su artículo 5 (3) regula el almacenamiento y el acceso a la información almacenada en el equipo terminal del usuario, no se ha transpuesto formalmente a la legislación alemana. El trasfondo de esto es que el Gobierno Federal no lo consideró necesario debido a las regulaciones ya contenidas en la Sección 15 (3) TMG. Las disposiciones de protección de datos de la Ley de Telemedia (sección 4; secciones 11 y siguientes de la TMG), que regulan las obligaciones de los proveedores de servicios, tampoco se adaptaron al RGPD.

La consecuencia de ello es que no es aplicable la norma de conflicto del artículo 95 del RGPD, que regula la relación entre el RGPD y la Directiva sobre privacidad electrónica. Dado que una aplicación directa de la Directiva sobre privacidad electrónica también está descartada (a diferencia de la normativa europea, las directivas europeas no se aplican directamente), el GDPR sigue teniendo prioridad. primacía de la aplicación del RGPD.

Esto significa que, desde la entrada en vigor de la RGPD Ley de Telemedios, es decir, desde el 25 de mayo de 2018, el fundamento jurídico del tratamiento de datos personales por los proveedores de servicios ha sido exclusivamente el artículo 6 1 RGPD); las disposiciones correspondientes de la Ley de Telemedios ya no son aplicables.

Esto probablemente no cambiará hasta que la regulación de la privacidad electrónica entre en vigor: En la situación actual, las disposiciones de la OEPV tendrán RGPD prioridad sobre las disposiciones correspondientes del Reglamento, siempre que persigan el mismo objetivo.

3. ¿Cuál es la situación legal actual para el uso de herramientas de seguimiento?

La base jurídica actual para el uso del rastreoHerramientas es el párrafo 1 RGPD del artículo 6. Esto significa que el rastreo sóloHerramientas puede utilizarse en general si

  • el tratamiento es necesario para proteger intereses legítimos del responsable del tratamiento o de un tercero, salvo cuando prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de los datos personales, en particular cuando el interesado sea un niño (artículo 6, apartado 1, párrafo primero, letra f) del RGPD)

o

  • el sujeto de los datos da su consentimiento al tratamiento de los datos personales que le conciernen para uno o varios fines específicos (artículo 6.1, párrafo primero, letra a) del RGPD).

>> Detalles de los intereses legítimos del proveedor de servicios

Si un proveedor de servicios tiene intereses legítimos preponderantes para el uso de herramientas de seguimiento, no se requiere el consentimiento del usuario.

En un sitio web, por ejemplo, una casilla de verificación sería entonces superflua. El operador del sitio web sólo tendría que informar sobre las herramientas de seguimiento utilizadas en la política de privacidad.

Los intereses legítimos del proveedor de servicios pueden ser reales, económicos y no materiales.

A menudo, por supuesto, será intereses económicos están involucrados. Éstas pueden consistir, por ejemplo, en guardar el carro de la compra del cliente en una tienda online o en integrar fuentes web, servicios de mapas y medios socialesPlugins en un sitio web. Pero también se consideran intereses legítimos las herramientas de análisis y estadísticas web sobre los visitantes de las páginas o el uso de rastreadores de publicidad.

Si el respectivo tratamiento de datos es necesario para salvaguardar estos intereses legítimos, éstos deben sopesarse con los intereses o los derechos y libertades fundamentales del usuario. Entre ellos, la protección contra las desventajas económicas, el derecho al respeto de la vida privada y de las comunicaciones en virtud del art. 7 de la Carta de los Derechos Fundamentales de la Unión Europea (CFR)el derecho fundamental a la protección de datos en virtud del artículo 8 del RFC y el derecho a la autodeterminación informativa.

A la hora de sopesar los respectivos intereses, los efectos del tratamiento de datos previsto y su susceptibilidad de abuso son de importancia primordial. Además, hay que tener en cuenta, entre otras cosas, qué expectativas razonables tiene el usuario del servicio y si puede prever razonablemente que el tratamiento de datos previsto puede tener lugar.

A veces es difícil decidir en cada caso si prevalecen los intereses legítimos del proveedor de servicios (o de un tercero) o los intereses del usuario.

Cabe señalar que el proveedor de servicios debe demostrar que sus intereses legítimos prevalecen. Si no se puede aportar esta prueba en caso de litigio, la recogida de datos fue ilegal y el proveedor de servicios debe esperar una multa.

Por lo tanto, el equilibrio de intereses debe ser comprensible para los supervisores comprensible y bien documentado estar bien documentado.

>> Detalles del consentimiento del usuario

Si el proveedor de servicios no puede basar la integración de una herramienta de seguimiento en un interés legítimo, el consentimiento del usuario es obligatorio.

Las condiciones para el consentimiento efectivo se RGPD regulan en el art. 7. Estos son:

  • Forma comprensible;
  • un lenguaje claro y sencillo;
  • Distinción de otros hechos;
  • previa referencia al derecho de desistimiento en cualquier momento;
  • respecto a la prohibición de la vinculación (es decir, que un servicio no debe condicionarse a la concesión del consentimiento para el tratamiento de datos personales que no estén relacionados con el servicio).

El consentimiento también puede darse por implicación, es decir, por acción concluyente. Sin embargo, siempre se requiere el consentimiento explícito cuando se procesan categorías especiales de datos personales (véase el apartado a RGPD) del párrafo 2 del artículo 9).

También hay que tener en cuenta que el consentimiento puede ser retirado en cualquier momento. Por lo tanto, el tratamiento de datos debe cesar desde el momento en que el interesado haya retirado su consentimiento.

En la actualidad, el consentimiento para la instalación de cookies y tecnologías similares en los sitios web suele obtenerse mediante la llamada "casilla de verificación", en la que el usuario debe marcar activamente una casilla (opt-in).

A menos que sólo se instalen las cookies técnicamente necesarias, un aviso sucinto en un llamado "banner de cookies", que sólo se confirma haciendo clic en un botón "OK", no es suficiente.

En cualquier caso, los usuarios deben ser informados sobre las herramientas de seguimiento utilizadas en la política de privacidad.

4. ¿Cuál es la situación legal probable para el uso de herramientas de seguimiento?

El proyecto de reglamento de privacidad electrónica publicado por la Comisión Europea a principios de enero de 2017 proyecto de reglamento sobre la privacidad electrónica sigue siendo objeto de debate político. Hay opiniones al respecto, entre otras, de la Consejo Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datosenmiendas del Parlamento Europeo y documentos de debate del Consejo de la Unión Europea.

Por lo tanto, está abierta la cuestión de cuál será la redacción exacta del reglamento sobre privacidad electrónica.

Sin embargo, en vista de los actuales "escándalos de datos" de los últimos tiempos, los proteccionistas de datos en particular están haciendo cada vez más campañas para asegurar que la OEPV no quede por debajo del nivel actual de protección en virtud de la Directiva sobre RGPD la privacidad y las comunicaciones electrónicas.

Por ejemplo, el Consejo Europeo de Protección de Datos en un artículo publicado en mayo de 2018 el Consejo Europeo de Protección de Datos argumentó que la confidencialidad de las comunicaciones electrónicas requiere una protección especial que debe ir más allá del RGPD. Por lo tanto, los intereses legítimos del proveedor de servicios ya no deberían ser una base jurídica para el tratamiento del contenido y los metadatos de las comunicaciones electrónicas en el futuro.

Si esta opinión se impusiera, las herramientas de seguimiento sólo podrían utilizarse con el consentimiento previo del usuario (por ejemplo, mediante una casilla de verificación).

III. por qué el reglamento de privacidad electrónica es bueno

En contra de todas las profecías de la fatalidad, la OEPV es una normativa sensata y que debería haberse aprobado hace tiempo. Al fin y al cabo, la vigilancia completa del comportamiento de nuestros usuarios, que ahora es técnicamente posible, no debería aceptarse sin más.

Por lo tanto, es bueno que los operadores de sitios web y los proveedores de servicios tengan que proporcionar de antemano información clara y transparente sobre los datos que se recogen cuando se visita un sitio web o se utiliza un servicio y a quién se revelan y con qué fines. Sólo así los visitantes y usuarios del sitio web pueden decidir si visitar sitio o utilizar el servicio merece realmente la pena revelar sus datos.

Sin embargo, como operador de un sitio web no tiene que enterrar la cabeza en la arena. Como medida inmediata, debe comprobar si puede basar todos los servicios integrados en tus en un interés legítimo o en el consentimiento del usuario. Si no es así, deberá obtener los consentimientos de los usuarios que faltan. Además, debe explicar de forma transparente las actividades de seguimiento de tu en la política de privacidad.

En cuanto se conozca el texto definitivo del reglamento sobre privacidad electrónica, deberá comprobar si tiene que obtener consentimientos adicionales y, en caso afirmativo, a partir de cuándo. Para asegurarse de que puede aplicar esto y todo lo demás que se requiere con tranquilidad, vale la pena estar al tanto de la normativa sobre privacidad electrónica.

Imagen aportada: Scott Webb [Pexels]

Mario Steinberg es abogado y especialista en derecho administrativo en el bufete de abogados LIEB.Rechtsanwälte. Su trabajo se centra en el derecho de la protección de datos, el derecho de la seguridad informática y el derecho de las tecnologías de la información.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

La dirección de correo electrónicotu no se publicará. Los campos obligatorios están marcados con *.