Reglamento ePrivacy: qué fue y qué normas se aplican hoy

Durante años, la Unión Europea trabajó en una propuesta de Reglamento ePrivacy para actualizar las normas sobre privacidad y confidencialidad en las comunicaciones electrónicas y sustituir la Directiva 2002/58/CE, conocida como Directiva ePrivacy. Sin embargo, esa propuesta no llegó a aprobarse y la Comisión Europea retiró formalmente la iniciativa en 2025.

Por eso, hoy no puede hablarse del Reglamento ePrivacy como una norma en vigor ni como una regulación pendiente de entrada en vigor. En la actualidad, la privacidad en las comunicaciones electrónicas sigue analizándose a partir de un marco combinado formado por la Directiva ePrivacy, el RGPD cuando hay tratamiento de datos personales y la normativa nacional aplicable en cada Estado miembro. En España, además, tienen especial relevancia la LSSI y los criterios de la AEPD en materias como cookies y tecnologías similares.

¿Qué era el Reglamento ePrivacy?

La propuesta de Reglamento ePrivacy nació con el objetivo de adaptar la protección de la privacidad a un entorno digital mucho más complejo que el de 2002. Buscaba actualizar las reglas sobre confidencialidad de las comunicaciones electrónicas, uso de metadatos, tecnologías de rastreo, marketing electrónico y protección de la información almacenada en los dispositivos de los usuarios.

Entre otras cuestiones, la propuesta pretendía ampliar el foco más allá del correo electrónico tradicional y cubrir también nuevas formas de comunicación digital, como los servicios de mensajería y otras herramientas equivalentes. También quería reforzar la regulación sobre metadatos y revisar el marco aplicable a cookies y tecnologías similares.

No obstante, tras años de negociación, la propuesta no salió adelante. Por eso, cuando hoy se habla de ePrivacy, conviene distinguir entre la propuesta de Reglamento que no fue aprobada y las normas que sí siguen vigentes.

¿Qué relación tenía con el RGPD?

La idea original era que ePrivacy funcionara como una norma especial para la privacidad en las comunicaciones electrónicas, complementaria al RGPD en aquellos ámbitos en los que ambos marcos coincidieran. El RGPD regula, con carácter general, el tratamiento de datos personales, mientras que la normativa ePrivacy se centra en la confidencialidad de las comunicaciones electrónicas y en determinados tratamientos asociados a ellas.

Hoy, como la propuesta de Reglamento ePrivacy no se aprobó, lo que sigue aplicando es la combinación entre la Directiva ePrivacy y el RGPD, junto con las normas nacionales que desarrollan o complementan ese marco. En otras palabras: no hay un nuevo reglamento ePrivacy en vigor que haya sustituido al sistema anterior.

¿Qué normas se aplican hoy?

En la práctica, la privacidad en las comunicaciones electrónicas se sigue apoyando en varias capas normativas.

Por un lado, continúa vigente la Directiva 2002/58/CE, que establece reglas específicas sobre privacidad y comunicaciones electrónicas. Por otro, cuando existe tratamiento de datos personales, se aplica el RGPD. Y en España hay que tener en cuenta, además, normas como la LSSI y la interpretación que realiza la AEPD, especialmente en cuestiones como cookies, publicidad electrónica y tecnologías de seguimiento.

Esto significa que, aunque durante años se esperó una gran unificación normativa con el ePrivacy, hoy seguimos en un modelo donde conviven varias normas y criterios interpretativos.

¿Qué implicaciones tiene en cookies, comunicaciones y marketing digital?

Uno de los ámbitos donde más se nota este marco es el de las cookies y tecnologías similares. En España, la referencia práctica principal sigue siendo la Guía sobre el uso de las cookies de la AEPD, que detalla cómo debe obtenerse el consentimiento, qué información debe facilitarse al usuario y en qué supuestos pueden aplicarse excepciones.

Por eso, no conviene simplificar esta materia diciendo que basta con el interés legítimo o con cualquier forma de aceptación. Hoy el análisis depende del tipo de tecnología utilizada, de su finalidad concreta y de si resulta o no necesario recabar un consentimiento válido conforme al RGPD y al marco ePrivacy aplicable.

También en el ámbito del marketing electrónico siguen siendo relevantes las reglas sobre comunicaciones comerciales por medios electrónicos, que en España se apoyan especialmente en la LSSI. Esto afecta, por ejemplo, al envío de publicidad por correo electrónico, SMS u otros medios equivalentes, y obliga a analizar cuándo existe consentimiento previo y en qué casos puede aplicarse alguna excepción prevista legalmente.

En definitiva, aunque la propuesta de Reglamento ePrivacy no llegara a aprobarse, la privacidad en el entorno digital sigue estando muy regulada. Cookies, comunicaciones electrónicas, metadatos y marketing digital continúan sometidos a reglas específicas que deben interpretarse junto con el RGPD y la normativa nacional aplicable.

Como ves, a medida que evolucionan las formas de comunicación digital, también lo hace la necesidad de proteger la privacidad de los usuarios y de adaptar el cumplimiento normativo a ese entorno.