Es un Reglamento comunitario sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas, que pretende regular este tipo de comunicaciones para así derogar la Directiva de 2002 que se había quedado obsoleta y es bastante difusa en cuanto al concepto de seguridad y confidencialidad.

Hasta ahora, el marco jurídico de la privacidad en comunicaciones electrónicas estaba formado por muchas leyes diferentes (LSSI 34/2002, LGT 9/2014, Ley de secretos empresariales, etc.) y, tras años de discusiones, por fin se va a unificar en un solo reglamento. Cuando el ePrivacy entre en vigor, será el único a tener en cuenta para regular este aspecto.

¿Qué relación tiene el ePrivacy con el GDPR? Podríamos decir que son reglamentos “gemelos” ya que, en teoría, desarrolla y especifica el GDPR en asuntos empresariales. Es decir, mientras que el GDPR protege los datos de personas físicas (datos personales), el nuevo Reglamento concede como novedad derechos también a personas jurídicas. Sin embargo, este Reglamento está muy centrado en las comunicaciones electrónicas y es posible que, en algún punto, contradiga lo dispuesto por el GDPR. En el momento que entre en vigor el e-Privacy, este prevalecerá.

¿Qué novedades incluye?

La principal novedad que aporta el ePrivacy es, como hemos comentado, que ahora también se va a proteger a las personas jurídicas. Pero no es la única. El reglamento cambia ciertos conceptos que es importante destacar.

En primer lugar, se abandona la idea de centrarse únicamente en correos electrónicos y se opta por el concepto de mensajes electrónicos para cubrir también las comunicaciones a través de redes sociales.

Además, cambia el qué regular. Hasta ahora, era el contenido de las comunicaciones, aunque, en la práctica, los metadatos también se recogían. Entre otros, los metadatos dan información sobre el origen o destino de aquellos que se están comunicando, la localización del dispositivo, las fechas, hora, la duración de las comunicaciones… A partir de ahora, y para aumentar la seguridad del usuario, esos metadatos también estarán regulados.

En cuanto al principio de confidencialidad, el tratamiento de los datos de comunicaciones electrónicas y su almacenamiento y supresión, el ePrivacy también recoge novedades.

Por un lado, se establece el secreto de las comunicaciones, garantizando así la confidencialidad de los datos de las comunicaciones electrónicas. Este deber de confidencialidad que se exige a los operadores de telecomunicaciones (quienes nos ofrecen el servicio de red y nos permiten realizar comunicaciones electrónicas entre nosotros) se extiende no solo a los datos personales vinculados a las comunicaciones, sino también a cualquier contenido que haya en ellas, como audios, videos o imágenes, y a los metadatos que se generan como consecuencia de estas comunicaciones.

Se protege también la información almacenada en los equipos de los usuarios finales y también aquella relativa a esos equipos. Se considera que el terminal del usuario es parte de su esfera privada por lo que el uso, procesamiento u obtención de datos de cualquier otro contenido que haya en el mismo, quedan prohibidos. No obstante, hay algunas excepciones en las que estos datos pueden utilizarse. En este sentido, el Reglamento incluye medidas de protección para el usuario. Por ejemplo, que el software que permita las comunicaciones electrónicas (como, por ejemplo, los navegadores) debe informar a los usuarios sobre la privacidad en el momento de su instalación y permitirles seleccionar la configuración de privacidad que ellos prefieran.

Sobre el consentimiento que dan los usuarios para que se puedan tratar sus datos, sigue las condiciones de aplicación del GDPR y es revocable. Sin embargo, esta regulación establece niveles de consentimiento diferenciando el valor que tiene un consentimiento según la forma de otorgarlo. En este caso, dan más valor y, por tanto, prevalencia, al consentimiento explícito, aquel directamente expresado por un usuario. En frente tendríamos un consentimiento tácito, por ejemplo, el que das a través de los ajustes de programas informáticos como la configuración de tu navegador.

El e-Privacy también añade que a quienes hayan dado su consentimiento, se les deberá recordar periódicamente, como mínimo cada 12 meses, la posibilidad de retirarlo.

Por último, el concepto de interés legítimo, por el que la empresa puede defender su necesidad de obtener y utilizar datos de un usuario , y la validez de este como base legitimadora han sido modificados, como veremos más adelante.

¿En qué casos se aplica?

Este reglamento se aplica cuando los afectados o prestadores pertenecen a la Unión Europea o si los productos o servicios que se ofrecen se comercializan dentro de la Unión Europea. No será de aplicación en caso de que se trate de una actividad ocasional que no tenga impacto en los Derechos Fundamentales de las personas.

¿Qué regula y cómo lo hace?

En general, el ePrivacy tiene un sistema de regulación basado en prohibir como norma general, pero dando muchas excepciones para autorizar. Estas son las principales materias que regula:

El análisis, es decir, cómo usa mi proveedor de Internet mis datos personales vinculados al envío de mensajes electrónicos.

El Reglamento prohíbe interferir en comunicaciones electrónicas para grabar, almacenar, rastrear, vigilar, monitorizar o usar datos. Únicamente se podrían utilizar estos datos en caso de seguridad pública o de detección de fallos, siempre que sea por un tiempo limitado y solo si no se pueden anonimizar.

Como hemos explicado previamente, al hablar de datos nos referimos también a metadatos y contenidos, por lo que esas excepciones se aplican también a ambos. En el caso concreto de los metadatos, las excepciones para poder utilizarlos tienen que cumplir estrictos aspectos que justifiquen su uso y una vez finalizado, se deberán borrar esos datos.

Adicionalmente, se quiere añadir un “derecho de bloqueo” que permita que, durante un determinado tiempo, instituciones como la Policía o jueces puedan conservar estos datos.

Las cookies, o cómo usa una web la información que saca de mi terminal a través de las cookies que ha instalado en él.

Una empresa, en principio, tiene prohibido usar la información sacada de mi terminal, es decir, la que ha obtenido gracias a la implantación de cookies. Sin embargo, hay excepciones en las que estaría legitimado para usar esa información. Por ejemplo, que el usuario haya dado su consentimiento, la necesidad de la empresa para prestar un servicio, medir audiencias o localizar a una persona en riesgo.

Además, podrían hacerlo por interés legítimo, pero esto solo aplica en ciertos casos: que dichos datos no sean datos sensibles, estén anonimizados y se haya realizado una evaluación de impacto para prevenir los riesgos que pueda ocasionar. En esos casos será preciso recabar el consentimiento del usuario. Además, se deberá informar al usuario e implementar medidas técnicas, como la posibilidad de configuración del navegador que hemos explicado antes. En definitiva, una empresa podrá, en ciertos casos, hacer uso de la información que recaba gracias a la implantación de cookies si esto supone un interés para ella.

El Reglamento también se aplica a las guías telefónicas y cómo se construyen, ya que permiten localizarnos y contactarnos. En general, si una persona no quiere estar en una guía, no lo está. Sin embargo, existen casos en los cuales se la puede incluir sin su consentimiento. En este caso, siempre tendrá derecho a objetar. Para no estar en una guía telefónica basta con contactar con la operadora con la que se tiene el contrato telefónico y pedirle que tus datos sean retirados de la guía. En la versión online se borrarán automáticamente y del soporte físico serán retirados en la siguiente edición.

En cuanto a los datos de las llamadas de teléfono que recibo y emito, ePrivacy va a permitir que el destinatario pueda rechazar llamadas anónimas (con número oculto), bloquear aquellas maliciosas o repetitivas y ocultar la identidad del emisor. En este sentido, se permitirá desactivar la función de número oculto (que impide que se pueda rastrear) para servicios esenciales y de emergencia, como el 112.

En el caso de la publicidad, regula cómo se puede enviar publicidad por vía electrónica y de qué forma no. En este sentido, el marketing electrónico se podrá realizar si hay consentimiento previo. Sin él, toda publicidad enviada será legítima solo cuando el destinatario sea cliente y se haga de productos similares. La novedad que aporta ePrivacy es que el amparo de que el destinatario es cliente, solo servirá durante dos años.

Como ves, a la vez que avanzan las formas y vías de comunicación, lo hace también la necesidad de regularlos y de mantener protegidos a todos los usuarios.