Reglamento sobre la privacidad y las comunicaciones electrónicas (ePR) en la UE
¿Qué es la ePR?
En enero del 2017, la Comisión Europea propuso un nuevo Reglamento sobre la privacidad de las comunicaciones electrónicas (ePR) como parte de su única estrategia comercial digital.
El ePR sustituirá a la Directiva sobre la privacidad de las comunicaciones electrónicas del 2002 (la "ley de cookies") y todas las leyes de los Estados miembros que se aplican.
La ePD establece las reglas en las comunicaciones electrónicas, incluyendo los correos electrónicos de comercialización, los faxes, los textos y las llamadas de teléfono; el uso de las cookies que realizan el seguimiento de la información de los visitantes del sitio web; la seguridad de los servicios de comunicación electrónica pública, y la privacidad de los usuarios finales. Si se promociona por teléfono, correo electrónico, texto o fax, utiliza cookies o recopila directorios públicos, actualmente se aplica el PECR.
¿En qué se diferencia el ePR del ePD?
El ePR tiene un alcance más amplio y su objetivo es asegurar una mayor privacidad en todas las comunicaciones electrónicas, incluyendo los proveedores de libre transmisión (OTT) como las aplicaciones de mensajería instantánea y las plataformas de protocolo de voz a través de Internet (VoIP) y las comunicaciones de máquina a máquina como el Internet de las Cosas (IoT).
El ePR tiene el mismo alcance territorial que el Reglamento General de Protección de Datos (RGPD) de la UE, tiene un régimen de penalización idéntico por el incumplimiento y su aplicación debería haber sido efectiva desde el 25 de mayo de 2018.
Sin embargo, el plazo no pudo cumplirse a tiempo y se prevé que se finalice y sea efectivo en los próximos meses tras la fecha de aplicación inicial.
En noviembre del 2017, seis meses antes de su aplicación directa, el proceso solo había llegado a las primeras versiones revisadas, que fueron publicadas el 8 de septiembre de 2017. El siguiente resumen se basa en esa versión.
Diferencia entre las directivas y los reglamentos de la UE
La Unión Europea tiene dos tipos principales de leyes legislativas: las directivas y los reglamentos.
- Las directivas establecen objetivos comunes que deben lograr los Estados miembros de la UE. Los Estados miembros deben diseñar sus propias leyes nacionales para lograr esos objetivos.
- Por su parte, los reglamentos son leyes legislativas vinculantes que se aplican directamente en los Estados miembros y no requieren leyes locales para promulgarlas. El ePR y el RGPD están dentro de esta categoría.
Resumen de la primera versión del ePR
Puntos clave del Reglamento propuesto:
Alcance del material
El ePR se aplicará a:
- El tratamiento del contenido de las comunicaciones electrónicas en la transmisión y la metainformación de las comunicaciones electrónicas realizadas junto con la disposición y el uso de los servicios de las mismas.
- Información relacionada, tratada , emitida o almacenada en el equipo terminal de los usuarios finales.
- La puesta en el mercado del software que permite las comunicaciones electrónicas, incluyendo la recuperación y la presentación de la información en Internet.
- La oferta de un directorio disponible públicamente de usuarios finales de los servicios de las comunicaciones electrónicas.
- El envío o la presentación de las comunicaciones comerciales directa a los usuarios finales.
El ePR no se aplicará a:
- Actividades que no entren dentro del ámbito de la ley de la UE.
- Actividades del Estado miembro relacionadas con controles fronterizos, asilos e inmigración.
- Comunicaciones electrónicas que no hayan sido hechas públicamente (por ejemplo, redes corporativas cerradas).
- Actividades de autoridades competentes que estén relacionadas con la prevención, investigación, detección o persecución de delitos, e incluso, la ejecución de infracciones penales.
Alcance territorial
El ePR se aplicará a:
- La disposición de los servicios de las comunicaciones electrónicas en los usuarios finales localizados dentro de la UE.
- El procesamiento del contenido de las comunicaciones electrónicas en la transmisión o metadatos de las mismas de los usuarios finales residentes dentro de la UE.
- La protección de la información relacionada, procesada, emitida o almacenada en el equipo terminal de los usuarios finales localizados dentro de la UE.
- La oferta de directorios disponibles públicamente de usuarios finales de los servicios de las comunicaciones electrónicas localizados dentro de la UE.
- La puesta en el mercado del software que permite las comunicaciones electrónicas.
- El envío o la presentación de las comunicaciones comerciales directa a los usuarios finales localizados dentro de la UE.
Los proveedores de los servicios de las comunicaciones electrónicas que no estén establecidos dentro de la UE deben designar un representante en un Estado miembro de la UE donde estén localizados los usuarios finales de sus servicios.
Fecha de aplicabilidad
El ePR debía de ser efectivo el 25 de mayo del 2018. Por otro lado, el 9 de mayo se hizo efectiva la Directiva de Seguridad de la red y los Sistemas de Información (Directiva NIS) de la UE.
Consentimiento del uso de cookies
En el ePR ya no será necesario el consentimiento del usuario final para utilizar cookies. En su lugar, la configuración de ajustes del navegador será la que controle el intercambio de la información del usuario, garantizando que aquellos usuarios que dan consentimiento para el uso de cookies no-funcionales o primarias, no se vean afectados por estas. Esto significara que desaparecerán muchos de los banners sobre cookies ya que la responsabilidad a la hora de recoger un consentimiento conforme a los estándares exigidos bajo el RGPD recaerá sobre los navegadores o desarrolladores de sistemas operativos en el caso de los móviles.
Marketing directo
Las comunicaciones de marketing directo, es decir, "cualquier forma de publicidad, tanto escrita como oral, que se envía a alguien o a usuarios finales más identificables de los servicios de comunicaciones electrónicas, incluyendo el uso de sistemas de comunicación y llamadas automáticas con o sin la interacción humana, correos electrónicos, SMS, etc." también necesitarán el consentimiento del usuario final.
Además, cuando los usuarios finales hayan dado su consentimiento para recibir comunicaciones de comercialización directa, deberían poder retirar dicho consentimiento con facilidad en cualquier momento.
Contenido y metadatos
El ePR cubre los metadatos de las comunicaciones electrónicas — datos tratados en una red de comunicaciones electrónicas con el fin de transmitir, distribuir o intercambiar contenido de las comunicaciones electrónicas, incluso datos utilizados para realizar el seguimiento e identificar la fuente y el destino de una comunicación, datos en la ubicación del dispositivo generado en el contexto de proporcionar servicios de comunicaciones electrónicas y la fecha, la hora, la duración y el tipo de comunicación — así como su contenido en la transmisión.
Los proveedores de los servicios de comunicaciones electrónicas procesarán el contenido de dichas comunicaciones solo:
- Para el único fin de proporcionar una servicio específico a un usuario final, si el mismo ha dado su consentimiento y el servicio no se puede proporcionar sin procesar ese contenido.
- Si todos los usuarios finales interesados han dado su consentimiento para el procesamiento para fines específicos que no se puedan realizar tratando la información de un modo anónimo y el proveedor haya consultado a la autoridad supervisora, la Oficina del Comisionado de Información (ICO) del Reino Unido.
Los proveedores de los servicios de las comunicaciones electrónicas deben eliminar o anonimizar el contenido de las mismas después de que los destinatarios indicados las reciban
Los proveedores de los servicios de las comunicaciones electrónicas procesarán los metadatos de dichas comunicaciones si:
- Es necesario para cumplir con la "calidad obligatoria de los requisitos del servicio".
- Es "necesario para calcular los pagos de la interconexión, detectar o detener un uso fraudulento o abusivo, una suscripción o los servicios de las comunicaciones electrónicas.
- El usuario final ha dado el consentimiento para el procesamiento, siempre y cuando el objetivo de dicho procesamiento no haya podido realizarse mediante un procesamiento de datos anónimos.
Los proveedores de los servicios de las comunicaciones electrónicas deben eliminar o anonimizar los metadatos de dichas comunicaciones cuando ya no sean necesarios para el objetivo de transmitir una comunicación.
Cuando el procesamiento de metainformación sea necesario para objetivos de facturación, la metainformación relevante se puede conservar hasta el final del período durante el cual la factura pueda impugnarse legalmente o exigirse el pago.
Multas por incumplimiento
Al igual que en el RGPD, las multas pueden ascender hasta un máximo de 20 millones de euros o un 4 % del volumen total del ejercicio anterior de la organización, lo que sea mayor.
Los usuarios finales que sufran "daños materiales o no materiales" como resultado de la infracción del ePR, también tienen derecho a recibir una compensación por parte del infractor.
En el Reino Unido, la ICO se hace responsable de aplicar el ePR. Debido a que el Reglamento aún es un borrador, la ICO aún no ha publicado una guía de cumplimiento. Actualizaremos esta página cuando se haya publicado la guía.
ePR y RGPD
El RGPD y el nuevo proyecto de ley de protección de datos que se promulgará en el Reino Unido, se aplica al procesamiento de la información personal. El ePR fue diseñado para complementarse proporcionando reglas específicas "acerca de la protección de los derechos fundamentales y las libertades de las personas físicas y jurídicas en la provisión y uso de los servicios de las comunicaciones electrónicas".
Las obligaciones de la seguridad en el RGPD y en el Código de comunicaciones electrónicas europeo (EECC) propuesto se aplican a los proveedores de los servicios de comunicaciones electrónicas.
Haz clic aquí para obtener más información acerca del RGPD >>
Habla con tu asesor
No dudes en ponerte en contacto con nuestro equipo RGPD para realizar cualquier tipo de consulta sobre el nuevo Reglamento o si tienes alguna duda sobre nuestros productos y servicios.