21.05.19
actualizado el 05.12.23
Mario Steinberg
0 comentarios
Índice de contenidos
Cambio de la legislación sobre privacidad en la UE

Reglamento sobre privacidad electrónica: ¿Qué te espera?

Aunque no está previsto que el "Reglamento sobre la privacidad y las comunicaciones electrónicas" (Reglamento sobre la privacidad y las comunicaciones electrónicas) se adopte hasta más adelante en 2020, ya está proyectando su sombra. En este artículo, me gustaría darte una visión general de lo que es el Reglamento sobre la privacidad y las comunicaciones electrónicas, cómo es la situación jurídica actual del uso de herramientas de seguimiento y cómo podría cambiar con la OEPV. Al final, explicaré brevemente por qué creo que el nuevo Reglamento es importante. Pero que no cunda el pánico: Al igual que, en contra de todas las predicciones, el mundo no cambiará con la entrada en vigor del RGPD el 25 de mayo de 2018, tampoco lo hará la vigencia del Reglamento sobre privacidad electrónica.

I. El Reglamento sobre privacidad electrónica

1 ¿Qué es el Reglamento sobre privacidad electrónica?

El Reglamento sobre la privacidad y las comunicaciones electrónicas (RPE) es un proyecto de reglamento que está siendo debatido actualmente a nivel europeo por la Comisión Europea, y que pretende sustituir a la Directiva sobre la privacidad y las comunicaciones electrónicas(Directiva 2002/58/CE, modificada en último lugar por la Directiva 2009/136/CE; Directiva sobre la privacidad y las comunicaciones electrónicas), en vigor desde 2002, y adaptarla al estado actual de la técnica (por ejemplo, los llamados servicios over-the-top, es decir, los servicios de comunicación basados en IP, no están cubiertos actualmente por la Directiva sobre la privacidad y las comunicaciones electrónicas).

Como reglamento europeo, el RGPD se aplicará directa e inmediatamente en toda la Unión Europea. A diferencia de la Directiva sobre la privacidad y las comunicaciones electrónicas, no dependerá de la transposición a la legislación nacional por parte de los distintos Estados miembros. Por cierto, esta transposición de la Directiva ePrivacy a la legislación nacional nunca ha tenido lugar en Alemania en lo que respecta a la parte de protección de datos relevante para los operadores de sitios web.

2. ¿Cuál es el objetivo del Reglamento sobre privacidad electrónica?

El Reglamento sobre la privacidad y las comunicaciones electrónicas tiene por objeto proteger la confidencialidad de las comunicaciones, así como la confidencialidad e integridad de los dispositivos finales de los usuarios.

En términos más sencillos, los usuarios deben estar protegidos de ser espiados sin su conocimiento cuando visitan un sitio web o utilizan un servicio de correo electrónico o de mensajería.

A diferencia de RGPD, no sólo se protege a las personas físicas (personas), sino también a las personas jurídicas (empresas y asociaciones). El Reglamento sobre la privacidad y las comunicaciones electrónicas especifica y complementa RGPD en lo que respecta a los datos de las comunicaciones electrónicas, que son datos personales.

3. ¿Qué regula el Reglamento sobre privacidad electrónica?

El Reglamento sobre privacidad electrónica no sólo regula la comunicación por telefonía vocal (tradicional), mensajes de texto (SMS) y correo electrónico, sino también la comunicación por telefonía VoIP, servicios de mensajería y servicios de correo electrónico basados en la web. También se aplica a la comunicación de máquina a máquina, que es cada vez más importante (palabra clave "Internet de los objetos").

La OEPV presta especial atención a cómo se almacena o envía, solicita o procesa la información en los dispositivos finales de los usuarios (por ejemplo, ordenadores personales y teléfonos inteligentes). Esto se debe a que prácticamente siempre se almacenan datos personales sensibles en estos dispositivos finales (por ejemplo, correos electrónicos y mensajes, imágenes, datos de contacto y de localización). Por lo tanto, los usuarios de los dispositivos finales deben estar protegidos de las herramientas de seguimiento que se utilizan para controlar secretamente sus actividades sin su conocimiento (por ejemplo, cookies, huellas dactilares del navegador y tecnologías similares para rastrear el comportamiento del usuario).

4 ¿Cuándo llegará el Reglamento sobre privacidad electrónica?

La intención original era que el Reglamento sobre privacidad electrónica entrara en vigor al mismo tiempo que RGPD . La Comisión Europea ya había publicado su proyecto de Reglamento sobre privacidad electrónica a principios de enero de 2017. Sin embargo, como el Parlamento Europeo y el Consejo de la Unión Europea también deben participar en el proceso legislativo, numerosas disposiciones del Reglamento sobre privacidad electrónica siguen siendo objeto de debate político. Debido a la complejidad del proceso legislativo, es poco probable que el Reglamento sobre la privacidad y las comunicaciones electrónicas entre en vigor en 2019. Además, es probable que haya un periodo transitorio, similar al de RGPD , hasta que el Reglamento sobre privacidad electrónica entre realmente en vigor.

II Situación legal para el uso de herramientas de seguimiento

1. ¿Qué son las herramientas de seguimiento?

Las herramientas de seguimiento tienen como objetivo hacer comprensible el comportamiento de los usuarios de Internet: ¿Con qué frecuencia accede a un sitio web un usuario concreto o se utiliza un servicio de mensajería (si se "analiza" el comportamiento de un usuario concreto, ya no es una herramienta pura de análisis y estadísticas, sino de seguimiento)? ¿Cuál es el contenido de los mensajes enviados? ¿Qué artículos se buscan y piden en una tienda web? ¿En qué cuentas de redes sociales están conectados los usuarios? ¿Se hace clic en un artículo enlazado y se compra (marketing de afiliación)?

Los datos no sólo se recogen cuando se visita el sitio web o se utiliza el servicio, sino a menudo mucho después. Esto se debe a que las cookies, los píxeles de recuento, etc. instalados en el dispositivo final no suelen eliminarse cuando se termina el servicio. A menudo permanecen en el dispositivo del usuario durante varios meses y siguen enviando datos sin que el usuario sea consciente de ello.

En muchos casos, los datos recogidos de esta manera no sólo son recogidos y procesados por el propio proveedor de servicios, sino que a menudo también se transmiten a terceros.

Como resultado, se crea un gran número de perfiles de usuario sin que el usuario sea consciente de ello.

2. ¿Dónde está regulado actualmente el uso de herramientas de seguimiento?

Nota preliminar: Esta parte está necesariamente formulada de forma algo legal. Si no le interesan estas sutilezas, puede seguir leyendo en 3. sin problemas.

En Alemania, los requisitos para los servicios electrónicos de información y comunicación están regulados en la Ley de Telemedios (TMG). La Ley de Telemedios entró en vigor en 2007 y fue modificada por última vez en septiembre de 2017. Sin embargo, la Directiva sobre la privacidad y las comunicaciones electrónicas, que se modificó en 2009 y regula el almacenamiento y el acceso a la información almacenada en el dispositivo del usuario en su Art. 5 Párr. 3, no se ha transpuesto formalmente a la legislación alemana. El trasfondo de esto es que el Gobierno Federal no lo consideró necesario debido a las regulaciones ya contenidas en la Sección 15 (3) de la TMG. Las disposiciones sobre protección de datos de la Ley de Telemedios (Artículo 4; Artículos 11 y siguientes de la TMG), que regulan las obligaciones de los proveedores de servicios, tampoco se adaptaron a RGPD .

La consecuencia de esto es que la norma de conflicto del Art. 95 RGPD, que regula la relación entre RGPD y la Directiva sobre privacidad electrónica, no es aplicable. Como tampoco es posible una aplicación directa de la Directiva sobre privacidad electrónica (a diferencia de los reglamentos europeos, las directivas europeas no se aplican directa e inmediatamente), RGPD sigue teniendo preferencia.

Esto significa que, desde la entrada en vigor de la RGPD Ley de Telemedios, es decir, desde el 25 de mayo de 2018, el fundamento jurídico del tratamiento de datos personales por los proveedores de servicios ha sido exclusivamente el artículo 6 1 RGPD); las disposiciones correspondientes de la Ley de Telemedios ya no son aplicables.

Esto probablemente no cambiará hasta que la regulación de la privacidad electrónica entre en vigor: En la situación actual, las disposiciones de la OEPV tendrán RGPD prioridad sobre las disposiciones correspondientes del Reglamento, siempre que persigan el mismo objetivo.

"*"indica que los campos son obligatorios

Me gustaría suscribirme a newsletter para estar informado sobre nuevos artículos del blog, ebooks, funciones y noticias sobre WordPress. Puedo retirar mi consentimiento en cualquier momento. Ten en cuenta nuestra Política de privacidad.
Este campo es de validación y no debe modificarse.

3. ¿cuál es la situación legal actual para el uso de herramientas de seguimiento?

La base jurídica actual para el uso del rastreoHerramientas es el párrafo 1 RGPD del artículo 6. Esto significa que el rastreo sóloHerramientas puede utilizarse en general si

  • el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo que prevalezcan sobre dichos intereses intereses intereses el interés o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño (letra f) del párrafo primero del apartado 1 del artículo 6 RGPD)

o

  • el interesado ha dado su consentimiento al tratamiento de los datos personales que le conciernen para uno o varios fines específicos (letra a) del párrafo primero del apartado 1 del artículo 6 RGPD).

>> Detalles de los intereses legítimos del proveedor de servicios

Si un proveedor de servicios tiene intereses legítimos preponderantes en el uso de herramientas de seguimiento, no se requiere el consentimiento del usuario.

En un sitio web, por ejemplo, una casilla de verificación sería entonces superflua. El operador del sitio web sólo tendría que informar sobre las herramientas de seguimiento utilizadas en la política de privacidad.

Los intereses legítimos del proveedor de servicios pueden ser reales, económicos y no materiales.

A menudo, por supuesto, se tratará de intereses comerciales. Estos pueden incluir, por ejemplo, guardar la cesta de la compra del cliente en una tienda online o integrar fuentes web, servicios de mapas y plugins de redes sociales en un sitio web. Sin embargo, también se consideran intereses legítimos las herramientas de análisis y estadísticas sobre los visitantes del sitio web o el uso de rastreadores de publicidad.

Si el tratamiento de datos correspondiente es necesario para salvaguardar estos intereses legítimos, éstos deben sopesarse con los intereses o derechos y libertades fundamentales del usuario. Estos incluyen la protección contra desventajas económicas, el derecho al respeto de la vida privada y la comunicación de acuerdo con el Art. 7 de la Carta de los Derechos Fundamentales de la Unión Europea (CDF), el derecho fundamental a la protección de datos de acuerdo con el Art. 8 de la CDF y el derecho a la autodeterminación informativa.

Al sopesar los intereses respectivos, son especialmente importantes los efectos del tratamiento de datos previsto y su susceptibilidad de uso indebido. Además, también deben tenerse en cuenta las expectativas razonables del usuario sobre el servicio y si el usuario puede prever razonablemente que el tratamiento de datos previsto puede tener lugar.

A veces es difícil decidir en cada caso si prevalecen los intereses legítimos del proveedor de servicios (o de un tercero) o los intereses del usuario.

Cabe señalar que el proveedor de servicios debe demostrar que sus intereses legítimos prevalecen. Si no se puede aportar esta prueba en caso de litigio, la recogida de datos fue ilegal y el proveedor de servicios debe esperar una multa.

Por tanto, el equilibrio de intereses debe ser comprensible para las autoridades supervisoras y estar bien documentado.

>> Detalles del consentimiento del usuario

Si el proveedor de servicios no puede basar la integración de una herramienta de seguimiento en un interés legítimo, el consentimiento del usuario es obligatorio.

Las condiciones para el consentimiento efectivo se RGPD regulan en el art. 7. Estos son:

  • Forma comprensible;
  • un lenguaje claro y sencillo;
  • Distinción de otros hechos;
  • previa referencia al derecho de desistimiento en cualquier momento;
  • respecto a la prohibición de la vinculación (es decir, que un servicio no debe condicionarse a la concesión del consentimiento para el tratamiento de datos personales que no estén relacionados con el servicio).

El consentimiento también puede darse por implicación, es decir, por acción concluyente. Sin embargo, siempre se requiere el consentimiento explícito cuando se procesan categorías especiales de datos personales (véase el apartado a RGPD) del párrafo 2 del artículo 9).

También hay que tener en cuenta que el consentimiento puede ser retirado en cualquier momento. Por lo tanto, el tratamiento de datos debe cesar desde el momento en que el interesado haya retirado su consentimiento.

En la actualidad, el consentimiento para la instalación de cookies y tecnologías similares en los sitios web suele obtenerse mediante la llamada "casilla de verificación", en la que el usuario debe marcar activamente una casilla (opt-in).

A menos que sólo se instalen cookies técnicamente necesarias, no basta con un aviso sucinto en el llamado "banner de cookies", que luego se confirma simplemente haciendo clic en un botón "Aceptar".

En cualquier caso, los usuarios deben ser informados sobre las herramientas de seguimiento utilizadas en la política de privacidad.

4. ¿cuál es la situación legal probable para el uso de herramientas de seguimiento?

El proyecto de Reglamento sobre la privacidad y las comunicaciones electrónicas publicado por la Comisión Europea a principios de enero de 2017 sigue siendo objeto de debate político. Entre otras cosas, hay dictámenes del Comité Europeo de Protección de Datos y del Supervisor Europeo de Protección de Datos, enmiendas del Parlamento Europeo y documentos de debate del Consejo de la Unión Europea.

Por lo tanto, está abierto cuál será la redacción exacta del reglamento sobre la privacidad electrónica.

Sin embargo, en vista de los actuales "escándalos de datos" de los últimos tiempos, los proteccionistas de datos en particular están haciendo cada vez más campañas para asegurar que la OEPV no quede por debajo del nivel actual de protección en virtud de la Directiva sobre RGPD la privacidad y las comunicaciones electrónicas.

En un documento publicado en Mai 2018, la Junta Europea de Protección de Datos argumentó que la confidencialidad de las comunicaciones electrónicas requiere una protección especial que debe ir más allá de RGPD . Por tanto, en el futuro, los intereses legítimos del proveedor de servicios ya no deberían ser una base jurídica para el tratamiento del contenido y los metadatos de las comunicaciones electrónicas.

Si prevalece esta opinión, las herramientas de seguimiento sólo podrán utilizarse con el consentimiento previo del usuario (por ejemplo, mediante una casilla de verificación).

III Por qué es bueno el Reglamento sobre privacidad electrónica

En contra de todas las profecías de la fatalidad, la OEPV es una normativa sensata y que debería haberse aprobado hace tiempo. Al fin y al cabo, la vigilancia completa del comportamiento de nuestros usuarios, que ahora es técnicamente posible, no debería aceptarse sin más.

Por lo tanto, es bueno que los operadores de sitios web y los proveedores de servicios tengan que proporcionar de antemano información clara y transparente sobre los datos que se recogen cuando se visita un sitio web o se utiliza un servicio y a quién se revelan y con qué fines. Sólo así los visitantes y usuarios del sitio web pueden decidir si visitar sitio o utilizar el servicio merece realmente la pena revelar sus datos.

Sin embargo, como operador de un sitio web, no tienes por qué esconder ahora la cabeza en la arena. Como medida inmediata, lo mejor es que compruebes si puedes basar todos los servicios integrados en tus en un interés legítimo o en el consentimiento del usuario. Si no es así, deberías obtener el consentimiento del usuario que falta. Además, sobre todo deberías explicar de forma transparente las actividades de seguimiento de tu en la política de privacidad.

En cuanto se conozca el texto definitivo del Reglamento sobre privacidad electrónica, deberás comprobar en particular si necesitas obtener un consentimiento adicional y, en caso afirmativo, a partir de cuándo. Merece la pena que te mantengas al tanto del Reglamento sobre la privacidad y las comunicaciones electrónicas para que puedas aplicar esto y todo lo demás necesario con tranquilidad.

Imagen destacada: Scott Webb [Pexels]

¿Te ha gustado el artículo?

Con tu valoración nos ayudas a mejorar aún más nuestro contenido.

Mario Steinberg

Mario Steinberg es abogado y especialista en derecho administrativo en el bufete de abogados LIEB.Rechtsanwälte. Sus principales áreas de práctica son el derecho de la protección de datos, el derecho de la seguridad informática y el derecho de las tecnologías de la información.

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.