ePrivacy (ePR) o Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas.
ePrivacy, ¿qué es?
Al hablar de ePrivacy nos referimos al reglamento que nace con el objetivo de derogar la Directiva 2002/58/CE sobre privacidad electrónica, en vigor desde 2002. Popularmente conocida como Ley de cookies, se espera su entrada en vigor a lo largo del 2021.
El ePrivacy (ePR) fue presentado por la Comisión Europea en 2017 en el marco de la Estrategia de Mercado Único Digital. Aparece con varios retos regulatorios:
- Ofrecer un internet de las cosas más seguro y confiable.
- Proteger los contenidos transmitidos por comunicaciones electrónicas tanto privadas como corporativas.
- Controlar las acciones de marketing directo (telemarketing).
- Homogeneizar la legislación europea en este ámbito.
- Complementar y particularizar, como lex specialis (ley especial), al Reglamento General de Protección de Datos (RGPD).
En resumen: regular las comunicaciones electrónicas a nivel comunitario y proteger tanto a personas físicas como jurídicas.
ePrivacy: regualación de cookies
Uno de los puntos que más ha dado que hablar, especialmente dentro del ecosistema de la publicidad digital, es la regulación de las cookies.
Todos nos hemos encontrado alguna vez con el “entendemos que si continúas navegando aceptas la instalación de cookies en tu dispositivo”. Leyenda que, desde la entrada en vigor del RGPD y la eliminación del consentimiento tácito como base legitimadora del tratamiento, ha sido objeto de continuo debate.
ePrivacy y RGPD
Si bien la idea inicial era que el ePR entrase en vigor de forma paralela al RGPD para clarificar y profundizar en aquellos temas sobre los que el Reglamento General de Protección de Datos se quedaba en la superficie, las deliberaciones continúan estancadas a día de hoy. Esto ha dado lugar a múltiples interpretaciones de la norma.
En este sentido, han sido varios los pronunciamientos de las Autoridades de Control de Protección de Datos dirigidos a orientar a las partes afectadas. En el caso de la Agencia Española de Protección de Datos (AEPD), cuyas indicaciones ya hemos comentado en el artículo de blog Cookies: estas son las nuevas directrices de la Agencia Española de Protección de Datos, actualizó el pasado julio su Guía para el uso de cookies. Adaptaba la guía a las últimas directrices del Comité Europeo de Protección de Datos. Según estas directrices se confirma que la opción de “seguir navegando” no constituye una forma válida para entender prestado el consentimiento del usuario para la instalación de cookies, y se elimina la posibilidad de utilizar cookie walls que impidan la navegación por un sitio web si no se aceptan las cookies.
Un gran desafío para el mundo digital
Tras esta última actualización, la AEPD concedió un plazo de 3 meses (hasta el 31 de octubre de 2020) para la implementación de los cambios necesarios. Pero ¿y si el ePrivacy introduce novedades que se contradicen con estos criterios y con el RGPD en general?, ¿tendrán las empresas que invertir de nuevo parte de sus recursos en implementar cambios? ¿es realmente necesario que el ePR regule tratamientos de datos que, por definición, están bajo el paraguas del RGPD?
En respuesta a estas preguntas parece haber un posicionamiento claro por parte de los sectores más afectados. Estos sectores consideran que, si el Reglamento ePR legisla en la misma línea que el RGPD, tal y como está redactado, plantea dudas e incertidumbre.
Configuración del uso de datos
La propuesta actual contempla la posibilidad de que los usuarios configuren sus preferencias sobre cookies a nivel dispositivo en lugar de a nivel sitio web. Por un lado, haría desaparecer los avisos individuales de cada página, recientemente modificados para adecuarlos a los criterios del RGPD según la interpretación del Comité Europeo de Protección de Datos. Por otro, pondría en una situación muy complicada a aquellas webs que viven del uso de datos ya que probablemente la mayoría de los usuarios denieguen el consentimiento para dicho tratamiento.
Todo ello supone un gran desafío para el mundo digital. Podría transformar los sitios webs tal y como los conocemos, dando lugar a contenidos limitados o a nuevas formas de identificación del usuario y medición de su navegación a través de canales alternativos para eludir un mundo sin cookies. A su vez, esto implica que, si realmente estamos ante el Cookieless World, el ePrivacy se quedará obsoleto nada más entrar en vigor, pues sus disposiciones no encontrarán, en muchos casos, casuística para su aplicación.
Asentar las bases para una armonización normativa
Por ahora, en un escenario tan cambiante y sujeto a interpretaciones, habrá que esperar a ver si Portugal, en su actual ejercicio de la presidencia del Consejo Europeo, consigue los apoyos necesarios para sacar adelante su propuesta y así asentar las bases para una armonización normativa. Lo que, a su vez, puede aportar soluciones prácticas que ayuden a responder con modelos de negocio adaptables a las novedades introducidas por el legislador, y sobre los que, a nivel jurídico, se pueda trabajar en base a un criterio uniforme con seguridad para todas las partes implicadas y logrando el punto win-win deseado entre la privacidad del usuario y la competitividad empresarial.