A punto de cumplirse un año desde que devino aplicable el Reglamento (UE) 2016/679 de protección de las personas físicas en lo que respecta a sus datos personales (el conocido como “RGPD”), próximamente se aprobará el Reglamento sobre el respeto a la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas, comúnmente conocido como Reglamento de e-privacy. Este Reglamento responde a una realidad ineludible, y es que la era digital implica la masiva utilización de herramientas y dispositivos que generan un rastro de información sobre nuestros gustos, hábitos, opiniones, relaciones sociales, ubicaciones, etc., en definitiva sobre nosotros mismos, abarcando toda nuestra realidad.
A continuación analizamos los aspectos más destacables tal y como aparecen en la todavía Propuesta de Reglamento (que como propuesta que es, es susceptible de variar) y, en este sentido, quizá la primera cuestión a resaltar es que el Reglamento será de aplicación tanto a las comunicaciones electrónicas dirigidas a personas físicas como a personas jurídicas, de forma que incluso prolonga a estas últimas algunas de las definiciones y requerimientos del RGPD, como es el caso, por ejemplo, de los requisitos aplicables al consentimiento. Incluso el importe de las sanciones previstas coincide con el del RGPD, llegando para las infracciones más graves hasta los 20.000.000 de euros o el 4% del volumen de negocio anual total a escala mundial del ejercicio anterior (se optará por la de mayor cuantía).
El Reglamento se aplicará a proveedores de servicios de comunicaciones electrónicas, proveedores de guías accesibles al público y proveedores de programas informáticos que permitan acceder a servicios de comunicaciones electrónicas, pero también a las personas físicas y jurídicas que utilizan los servicios de comunicaciones electrónicas para el envío de comunicaciones comerciales de mercadotecnia directa, o que recopilan información de los usuarios finales o la información almacenada en sus equipos y terminales.
En consonancia con la evolución de los servicios utilizados con fines de comunicación -que han pasado de los tradicionales de telefonía vocal, mensajes de texto o correo electrónico, a servicios online con función equivalente- se amplía el concepto de servicios de comunicaciones electrónicas, englobando no solo los servicios de acceso a internet y los que consisten total o parcialmente en la transmisión de señales, sino también los servicios de comunicaciones interpersonales tales como servicios de voz a través de internet, correo electrónico o mensajería basado en la web e incluso a la transmisión de comunicaciones de máquina a máquina (Internet de las cosas).
También se acoge un concepto amplio de datos, incluyendo el contenido transmitido y los metadatos (como son, por ejemplo, los datos de geolocalización de la comunicación, fecha, hora, duración y tipo de comunicación, ubicación del dispositivo, etc.). Respecto a estos últimos, se exige para su tratamiento el previo consentimiento del usuario final, salvo en los supuestos legalmente previstos o cuando la información haya sido anonimizada.
La norma regula en qué supuestos está autorizado el tratamiento de los datos, del contenido y de los metadatos de las comunicaciones y en qué casos será necesario recabar el consentimiento del usuario final.
Un ámbito en el que la norma tendrá especial impacto es en el del tratamiento de la información almacenada en los equipos terminales de los usuarios y relativa a dichos equipos, esto es, en las cookies, huella digital del dispositivo y herramientas similares. Se prevé la posibilidad de que el consentimiento se obtenga a través del navegador, solicitando al usuario la opción por una configuración determinada en materia de confidencialidad en el momento de su instalación, que además sea fácilmente modificable en cualquier momento.
También en lo que a la publicidad telefónica se refiere se introducen importantes novedades: restricción de la identificación de las llamadas, bloqueo de llamadas entrantes no deseadas, etc.
Para el envío de comunicaciones comerciales a clientes, se mantiene (en similares términos al art. 21 de la vigente Ley de Servicios de la Sociedad de la Información) el sistema de opt-out (derecho de oposición) siempre que la comunicación se refiera a la comercialización de sus propios productos o servicios similares a los que hubiera contratado el cliente.
De todo lo anterior no cabe sino recomendar la agilidad en la adopción de las medidas necesarias para dar oportuno cumplimiento a la norma, poniendo en práctica las lecciones aprendidas en el proceso de adecuación al RGPD que, al igual que aquel, exigirá a los sujetos obligados la adopción de toda una serie de medidas para su cumplimiento dentro del nuevo entorno de responsabilidad pro activa que impera en esta materia.
