El evento contó con la presencia de dos ponentes de la Comisión Europea: Peter Ebers, jefe de la unidad de Redes de Comunicación, Contenido y Tecnologías, encargada de la tramitación de la propuesta de Reglamento de ePrivacy en la Comisión, y Agnieszka Wawrzyk, policy officer en la unidad responsable de la política de ciberseguridad y privacidad digital de la DG Connect. En su exposición, abordaron las últimas novedades sobre la tramitación de la propuesta, algunos detalles sobre su contenido y los principales elementos de la posición del Parlamento Europeo y del Consejo de la Unión Europea sobre la misma.
La propuesta de Reglamento de ePrivacy fue presentada por la Comisión Europea en enero de 2017, en el marco de la Estrategia del Mercado Único Digital. Su objetivo era derogar la Directiva 2002/58/CE, más conocida como directiva sobre privacidad y comunicaciones electrónicas o Directiva Eprivacy, así como complementar, en lo que afecta a las comunicaciones electrónicas, al Reglamento (UE) 2016/679, conocido como Reglamento General de Protección de Datos (RGPD). En octubre de 2017, el Parlamento presentó su informe sobre la propuesta de Reglamento, que fue posteriormente ratificado en 2019. Sin embargo, las deliberaciones en el Consejo Europeo continúan estancadas y se han sucedido diversos intentos dirigidos a la aprobación de su posición. En julio de 2020, la Presidencia Alemana presentó su primer informe sobre el Reglamento de ePrivacy, que toma como referencia el último presentado por la Presidencia croata, en el mes de marzo.
El contenido del Reglamento de ePrivacy
Peter Ebers explicó que el Reglamento de ePrivacy sustituirá a la actual Directiva de ePrivacy para garantizar la coherencia con el RGPD, aumentar los niveles de protección en las comunicaciones electrónicas e impulsar las oportunidades comerciales. A diferencia de la Directiva, el Reglamento de ePrivacy se aplicará directamente a los Estados miembros, lo cual mejorará su eficiencia, aunque permitirá a los Estados miembros cierto margen para determinar por sí mismos algunas cuestiones.
En este sentido, la propuesta de Reglamento de ePrivacy es bastante similar al de la Directiva a la que sustituye, aunque amplía su ámbito de aplicación a los operadores OTTs (Over-the-top) y a los servicios de comunicaciones que no dependen, para su prestación, de la obtención de una numeración.
Además, se revisan y establecen nuevos principios, como:
- El principio de confidencialidad de las comunicaciones y el procesamiento de la información (arts 6.1 y 6.2). Se establece un principio general de confidencialidad o inviolabilidad de las comunicaciones y una serie de excepciones. El deber de confidencialidad exigible a los operadores se extiende no solo a los datos de carácter personal vinculados a las comunicaciones, sino también a cualquier contenido de las comunicaciones (audio, video o imágenes) y a los metadatos que se generan como consecuencias de la realización de comunicaciones. Se establece un deber general de borrado o anonimización excepto en determinados supuestos, como la seguridad, la facturación de los servicios o cuando se cuente con el consentimiento de los usuarios.
- La inviolabilidad de los equipos terminales de los usuarios (art 8). Se considera que el terminal del usuario es parte de su esfera privada por lo que el uso, procesamiento u obtención de datos o de cualquier otro contenido que haya en el mismo quedan prohibidos. No obstante se establecen algunas excepciones a este principio como podría ser la posibilidad de usar herramientas de medición de audiencias como las cookies de analitica en determinados supuestos. En este sentido, el artículo 10 de la propuesta incluye una provisión por la cual el software que permita las comunicaciones electrónicas (como, por ejemplo, los navegadores) debe informar a los usuarios sobre la privacidad en el momento de su instalación y permitirles seleccionar las opciones de configuración de privacidad que consideren.
- Comunicaciones comerciales, se establece la necesidad de obtener el consentimiento previo para la realización de publicidad a través de llamadas automatizadas y el envío de sms y emails, salvo que exista una relación contractual previa. Para la realización de llamadas no automatizadas es necesario la obtención del consentimiento previo salvo que exista un sistema común de exclusión publicitaria para llamadas telefónicas.
La posición del Parlamento Europeo
Agnieszka Wawrzyk, policy officer en la unidad responsable de la política de ciberseguridad y privacidad digital de la DG Connect, fue, por su parte, la encargada de exponer la posición del Parlamento Europeo. En este sentido, siguiendo las directrices del informe de 2019, la ponente destacó la propuesta de inclusión de: (i) en el artículo 6, la posibilidad de permitir el procesamiento electrónico de los datos por motivos de seguridad y para proveer al usuario de los servicios que el mismo haya solicitado (ii) en el artículo 11, la excepción para los Estados miembros de adoptar medidas legislativas para proteger la seguridad nacional, limitando ciertas restricciones y vinculando ciertas condiciones a dichas medidas legislativas; (iii) en el artículo 8, la prohibición de los cookie walls (junto a la clarificación de la manera en la que se puede realizar la medición de audiencias), la posibilidad de acceder o almacenar información de un usuario por motivos de seguridad y la privacidad por defecto.
Por otro lado, al final de la ponencia se recordó que en el mes de julio la Comisión Europea presentó una propuesta de Reglamento que deroga provisionalmente algunas disposiciones de la Directiva Eprivacy para facilitar la detección de contenidos con pornografía infantil. La propuesta pretende permitir a los operadores de servicios de mensajería, entre otros, que puedan realizar labores de detección de contenidos relacionados con la explotación sexual de los menores, a través de la derogación de los artículos 5 y 6 de la Directiva Eprivacy. El texto se aplicaría temporalmente, entre diciembre de 2020 y diciembre de 2025, siempre y cuando el Parlamento Europeo y el Consejo de la UE consigan completar la tramitación del Reglamento. Mientras tanto, la Comisión anunció recientemente sus planes de introducir legislación en este sentido, para el segundo trimestre de 2021. De esta manera, en el caso que entrase en vigor antes del 31 de diciembre de 2025 derogaría el Reglamento provisional. A este respecto, la Comisión ha abierto un proceso de consulta pública para recabar opiniones sobre la propuesta.
El futuro de la propuesta Reglamento de ePrivacy
La propuesta se encuentra actualmente en fase de negociación en el Consejo. En este sentido, se espera que la Presidencia alemana alcance un acuerdo entre los Estados miembro para finales del cuatro trimestre de este año. De ser así, en el primer trimestre de 2021, podrían comenzar los trílogos entre las instituciones europeas para aprobar la propuesta en el primer trimestre del año que viene.