Antes de que concluya 2018 podría aprobarse el nuevo Reglamento Europeo de ePrivacy, una norma especial sobre privacidad y comunicaciones electrónicas que complementa al RGPD y con la que conviene empezar a familiarizarse.
El Reglamento General de Protección de Datos (RGPD) que comenzó a aplicarse el pasado 25 de mayo ha marcado un antes y un después en materia de privacidad. A buen seguro, en las jornadas previas a la citada fecha –incluso ese mismo día y a posteriori–, los lectores del blog de Senassur recibieron un sinfín de correos electrónicos de empresas que solicitaban su consentimiento para el tratamiento de sus datos personales.
Y es que, sin duda, el RGPD ha obligado a muchas organizaciones, entre ellas las del sector asegurador, a “ponerse las pilas” en materia de privacidad y cumplimiento normativo. Con anterioridad a la aprobación del citado reglamento, bastaba con ajustarse a la regulación vigente. Pero el RGPD va un paso más allá y obliga a las organizaciones a aplicar una responsabilidad proactiva. Y no sólo eso. Contempla un régimen sancionador que puede suponer el pago de hasta 20 millones de euros o el 4% de la facturación anual global de una empresa en caso de incumplimiento.
Sin embargo, el RGPD no supondrá un punto final en lo que a la protección de datos personales se refiere. Así, en el seno de la Comisión Europea (CE) ya están trabajando en la elaboración de un nuevo texto reglamentario sobre privacidad y comunicaciones electrónicas.
¿Cuándo se aprobará el Reglamento Europeo de ePrivacy?
Se trata del conocido como Reglamento Europeo de Privacidad Electrónica o ePrivacy –en fase de propuesta–, que, una vez aprobado, derogará la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas –más conocida como Directiva sobre Privacidad y Comunicaciones Electrónicas–. Y que una vez sea transpuesto al ordenamiento jurídico español reemplazará a la actual Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.
Según reza en el Artículo 1 (Objeto) de la propuesta del futuro Reglamento Europeo de ePrivacy, las disposiciones de este último “precisan y complementan las del RGPD”, si bien, lógicamente, el nuevo texto establecerá normas específicas. Y deja claro que “será aplicable al tratamiento de datos de comunicaciones electrónicas llevado a cabo en relación con la prestación y utilización de servicios de comunicaciones electrónicas, así como a la información relacionada con los equipos terminales de los usuarios finales”.
Obviamente, tal y como sucede con el RGPD, el objetivo final del Reglamento Europeo de ePrivacy es proteger a los usuarios y permitirles que sean los propietarios efectivos de sus datos. Pero algunos expertos sostienen que no era necesaria una nueva normativa sobre privacidad digital y otros alertan de que la existencia de dos textos reglamentarios puede dar lugar a solapamientos.
Opiniones que no tienen muchos visos de ser tenidas en cuenta. Si la hoja de ruta marcada por la CE sigue la agenda prevista, cuando se publique el presente post la propuesta del Reglamento Europeo de ePrivacy entrará en su recta final y la presidencia austriaca intentará que el texto definitivo sea aprobado antes del 31 de diciembre de 2018, fecha en la que concluirá su mandato legislativo.
Metadatos: ¿qué son y cómo podrán utilizarse?
Hasta entonces, la propuesta avanza algunas novedades del futuro Reglamento Europeo de ePrivacy. Una de ellas hace referencia a los “metadatos de comunicaciones electrónicas”, que sustituyen al concepto de “datos de tráfico” y los distingue del concepto de “contenido de las comunicaciones electrónicas”. Según el texto objeto de estudio y aprobación, los metadatos de comunicaciones electrónicas son:
“Datos tratados en una red de comunicaciones electrónicas con el fin de transmitir, distribuir o intercambiar contenido de comunicaciones electrónicas. Se incluyen los datos utilizados para rastrear e identificar el origen y el destino de una comunicación, los datos sobre la ubicación del dispositivo generados en el contexto de la prestación de servicios de comunicaciones electrónicas y la fecha, la hora, la duración y el tipo de comunicación”.
Si el texto definitivo del reglamento incluye lo recogido en la propuesta, los metadatos de comunicaciones electrónicas podrán tratarse para los siguientes fines:
- Por motivos de seguridad (protección de los sistemas).
- Para detectar fallos técnicos.
- Con el objetivo de evitar el fraude o abusos del servicio.
- Para prestar servicios de valor añadido (siempre que se cuente con el consentimiento de los usuarios).
Y una vez que se haya llevado a cabo la comunicación, salvo en el supuesto de existir motivos legales para mantenerlos, los metadatos de comunicaciones electrónicas tendrán que eliminarse o “anonimizarse”.
¿El reglamento también afectará a las “cookies”?
Así es. Los datos que son enviados por un sitio web y se almacenan en el navegador del dispositivo de un usuario –popularmente conocidos como “cookies”–, así como otros medios de almacenamiento de datos necesarios, entre otros fines, para el funcionamiento de la publicidad digital, también serán objeto de revisión en el nuevo Reglamento Europeo de ePrivacy.
En concreto, lo que se propone es obtener el consentimiento de los usuarios a través de la configuración de privacidad de los navegadores, que tendrán que dar facilidades a los consumidores para que puedan revisar fácilmente sus opciones y mantener sus preferencias. Un escenario que, a priori, no haría necesarios los avisos de consentimiento de las páginas web.
En cualquier caso, tal y como recuerdan los expertos, el consentimiento podrá ser retirado por el usuario en cualquier momento. Y mientras permanezca el tratamiento de los datos, las empresas estarán obligadas a recordar cada seis meses que los consumidores tienen ese derecho.
¿Y qué otras cuestiones de interés contempla el reglamento?
Además, según recuerdan desde IAB Spain, asociación que aglutina a empresas de publicidad, “marketing” y comunicación digital en España, es importante considerar otras cuestiones de interés del futuro Reglamento General de ePrivacy:
- El reglamento será de aplicación a los datos de los servicios de los usuarios finales que estén situados dentro de la UE, independientemente de la localización de la organización.
- En cuanto al uso de bloqueadores o filtradores de publicidad (“ad blockers”), la propuesta es consciente de que los usuarios pueden instalar “software” en sus dispositivos para impedir la visualización de anuncios, pero también facilita que los sitios web puedan preguntar a los consumidores si reciben su contenido y si están dispuestos a deshabilitar la publicidad.
- Respecto al Internet de las Cosas, se hace hincapié en la transparencia y en la necesidad de informar a los usuarios, mediante avisos destacados, sobre el uso de los datos.
- En lo relativo a las comunicaciones comerciales no deseadas por teléfono (llamadas automáticas), SMS o correo electrónico, deberán tener el consentimiento previo del usuario; y en el caso de productos similares, se contemplará el denominado “opt-out” o derecho de oposición.
- Por último, el régimen sancionador propuesto es el mismo del RGPD, al que ya hemos hecho referencia: el pago de hasta 20 millones de euros o el 4% de la facturación anual global de una empresa en caso de incumplimiento.
En definitiva, el Reglamento Europeo de ePrivacy también va a suponer un importante impacto en materia de privacidad y antes de su aprobación ya ha provocado no pocas reacciones. En este sentido, hay quienes lo consideran un retroceso en el uso de Internet y que su entrada en vigor no le hará ningún favor a quienes operan en la Red.
Pareceres al margen, lo que está claro es que su versión definitiva deberá ser tenida muy en cuenta por quienes se comunican con los usuarios sirviéndose de las redes de información y las comunicaciones comerciales. Organizaciones obligadas a ser proactivas y demostrar que cumplen con sus requerimientos.
Para lograrlo, desde el blog de Senassur recomendamos a los interesados –entre ellos, los profesionales del sector asegurador– ponerse en manos de expertos en “compliance”. Nadie mejor que ellos para explicarles cómo les afectará una norma que a muchos les parecerá compleja y aconsejarles de qué manera han de proceder para garantizar la seguridad jurídica de los usuarios y evitar ser sancionados.
También puedes leer:
https://corredoresymediadores.senassur.es/noticias-seguros/rgpd-requisitos-ciberseguridad/
https://corredoresymediadores.senassur.es/noticias-seguros/delegado-de-proteccion-datos/
