La propuesta de Reglamento de ePrivacy ha sido calificada como prioritaria por parte de los órganos legislativos de la UE para el año 2021. Tras casi 4 años de debates sin acuerdo, parece posible que la norma, que busca crear un entorno que asegure la igualdad para las empresas, sea finalmente aprobada este año.
En enero de 2017, se publicó la propuesta de Reglamento del Parlamento Europeo y del Consejo de la UE sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas, más conocido como ePrivacy. Esta norma viene a derogar la Directiva 2002/58/CE, y completa lo dispuesto en el Reglamento General de Protección de Datos (RGPD) en lo que respecta a las comunicaciones electrónicas.
La propuesta de ePrivacy, a diferencia del RGPD, se aplica tanto a las personas físicas como a las jurídicas. Además, incluye en su ámbito de aplicación a los denominados operadores OTTs “over the top»” y a los servicios de comunicaciones que no dependen para su prestación de numeración.
Todo ello para garantizar un entorno que asegure la igualdad de condiciones para las empresas, en particular: (i) a través del fortalecimiento de la seguridad y la confidencialidad de las comunicaciones y (ii) definiendo normas más claras sobre las tecnologías de rastreo, como pueden ser las cookies, en las que se incluyan formas de prestar consentimiento más favorables para los usuarios.
Casi cuatro años más tarde, parece que esta propuesta de Reglamento, calificada como prioritaria por parte de los órganos legislativos de la UE, será por fin aprobada. Hoy repasamos su trayectoria y el estado actual de las negociaciones.
La tramitación europea de la propuesta
El Parlamento Europeo da los primeros pasos del Reglamento de ePrivacy en junio de 2017. La Comisión encargada de este asunto fue la de Libertades Civiles (LIBE) y, en un principio, su rapporteur fue la eurodiputada Marju Lauristin (Estonia, S&D). Esta presentó su informe en junio de 2017, tomando como referencia la propuesta presentada por la Presidencia croata y cuyo enfoque iba destinado a reforzar la confidencialidad de las comunicaciones y en las comunicaciones entre dispositivos. El Parlamento aprobó este informe en octubre de 2017 y, desde entonces, Birgit Sippel (Alemania, S&D) asumió el cargo de rapporteur que continúa ejerciendo hasta el momento.
Desde entonces, también se han pronunciado sobre esta propuesta normativa las Autoridades Europeas de Protección de Datos, reunidas en el Comité Europeo de Protección de Datos (CEPD), a través de la adopción de una serie de Declaraciones.
En el Consejo de la Unión Europea los debates han estado estancados durante cuatro años en los cuales las distintas Presidencias rotatorias han propuesto hasta catorce borradores. En este sentido, las Presidencias austriaca, rumana, finlandesa, croata y alemana no lograron alcanzar un compromiso sobre el texto.
Entre las cuestiones más debatidas en el seno del Consejo de la Unión Europea, se encuentra: la necesidad de aclarar la relación entre la propuesta de Reglamento de ePrivacy y el RGPD; la configuración de los ajustes de privacidad en los navegadores; las bases jurídicas para el tratamiento de los distintos tipos de datos como el consentimiento y la aplicabilidad de la norma a los operadores con fines de seguridad por parte de las las autoridades, y el concepto de interés público como base que justifica las medidas restrictivas.
En este sentido, entre los últimos avances, destaca:
- La Presidencia rotatoria alemana eliminó el interés legítimo como base para justificar el tratamiento de datos, incluido por la Presidencia croata, y una disposición que permitía a las empresas procesar los metadatos de los usuarios sin consentimiento expreso, si su uso era compatible con las finalidades que los usuarios consistieron originalmente. Sin embargo, tras varios intentos, las propuestas alemanas fueron rechazadas por las delegaciones de los Estados miembros. El 23 de noviembre de 2020, la Presidencia alemana presentó su informe de situación, afirmando que colaboraría estrechamente con la próxima Presidencia portuguesa para facilitar nuevos debates y garantizar que se llegase a un acuerdo sobre el texto.
- El 29 de enero, la Presidencia portuguesa del Consejo de la Unión Europea circuló una nueva propuesta de texto de compromiso sobre el Reglamento de ePrivacy, retomando la propuesta circulada por la Presidencia finlandesa. Además, la mayoría de los cambios relativos al artículo 6 se realizaron con vistas a alinear la propuesta con las disposiciones del RGPD. Por ejemplo, la supresión del artículo 6c (3) (a) (c) y (d), en el que se introducían determinadas condiciones para un tratamiento posterior compatible. En cuanto al artículo 8, los cambios introducidos recuperan parcialmente la propuesta de la Presidencia finlandesa, al aclarar la finalidad del tratamiento de datos con fines de medición de audiencia y simplificar el texto en aras de darle una mayor claridad jurídica. El 5 de febrero, la Presidencia portuguesa del Consejo de la UE circuló una última propuesta de texto de compromiso sobre el Reglamento de ePrivacy, con algunos pequeños cambios respecto de la anterior versión, en la que destaca la reintroducción de la posibilidad de procesar los metadatos y utilizar las capacidades de procesamiento y almacenamiento del equipo terminal del usuario final (cookies), incluida la recogida de información para su tratamiento posterior con finalidades compatibles.
- En la reunión del Coreper I, del día 10 de febrero, los representantes permanentes adjuntos de los Estados miembros llegaron a un acuerdo sobre la propuesta de Reglamento de ePrivacy.
Contenido de la propuesta aprobada en el Consejo de la UE
De esta manera, la propuesta de la Presidencia portuguesa reintroduce la posibilidad de tratar los metadatos y de usar cookies para finalidades compatibles con las iniciales; establece como plazo de entrada en vigor 24 meses desde el momento de la publicación; reintroduce la posibilidad de que los operadores puedan tratar los datos con la finalidad de prevenir o detectar delitos y permite el uso de cookies con el consentimiento sólo si la información finalmente se hace anónima, si el procesamiento se limita a la información que está seudonimizada y si la información o los datos no se utilizarán para crear un perfil del usuario final.
Asimismo, introduce cambios para reforzar el carácter de lex specialis del Reglamento con respecto al RGPD, precisando y completando en todo lo relativo a los datos de comunicaciones electrónicas que se consideran datos personales. En este sentido, todas las cuestiones relacionadas con el tratamiento de datos personales que no se contemplan específicamente en la propuesta quedan amparadas por el RGPD.
Próximamente, en el Parlamento…
Con el acuerdo alcanzado en el Consejo de la UE, la Presidencia portuguesa podrá iniciar las conversaciones con el Parlamento Europeo sobre el texto definitivo, cuya posición sobre el texto es crucial de cara a avanzar en las negociaciones.
Sin embargo, la aprobación por parte del Consejo de la UE sólo marca el principio de nuevas negociaciones en la fase de trílogos que podrían prorrogarse hasta final de 2021. Prueba de las discrepancias respecto de esta última versión es la respuesta dada por Ulrich Kelber, representante de la agencia de protección de datos alemana, que hizo un llamamiento al Parlamento y a la Comisión Europea para que defiendan un aumento del nivel de protección de los datos en las negociaciones en la fase de trílogos.