Directiva sobre privacidad electrónica

Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas La Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas, también conocida como Directiva ePrivacy (ePD), es una directiva de la UE sobre protección de datos y privacidad en la era digital. ^[1] Representa una continuación de esfuerzos anteriores, más directamente la Directiva de protección de datos . Trata la regulación de una serie de cuestiones importantes como la confidencialidad de la información, el tratamiento de datos de tráfico, el spam y las cookies . Esta Directiva ha sido modificada por la Directiva 2009/136, que introduce varios cambios, especialmente en lo que respecta a las cookies, que ahora están sujetas al consentimiento previo.

Existen algunas interacciones entre el Reglamento sobre privacidad y comunicaciones electrónicas (ePR) y el Reglamento general de protección de datos (RGPD). ^[2] Algunos legisladores de la UE esperaban que el Reglamento sobre privacidad y comunicaciones electrónicas (ePR) pudiera entrar en vigor al mismo tiempo que el Reglamento general de protección de datos (RGPD) en mayo de 2018. ^[3] De esta manera, derogaría la Directiva sobre privacidad y comunicaciones electrónicas 2002/58/CE y acompañaría al RGPD en la regulación de los requisitos para el consentimiento para el uso de cookies y las opciones de exclusión voluntaria. ^{[1] [4] [5]}

Objeto y ámbito de aplicación

La Directiva sobre privacidad electrónica se ha redactado específicamente para abordar los requisitos de las nuevas tecnologías digitales y facilitar el avance de los servicios de comunicaciones electrónicas. ^[6] La Directiva complementa la Directiva sobre protección de datos y se aplica a todos los asuntos que no están específicamente cubiertos por esta última. ^[7] En particular, el tema de la Directiva es el "derecho a la privacidad en el sector de las comunicaciones electrónicas" y la libre circulación de datos, equipos y servicios de comunicación.

La Directiva no se aplica a los Títulos V y VI ( Segundo y Tercer Pilares constitutivos de la Unión Europea ). Tampoco se aplica a cuestiones relativas a la seguridad pública y la defensa, la seguridad del Estado y el derecho penal. ^[8] Sin embargo, la interceptación de datos estaba cubierta por la Directiva de conservación de datos de la UE , antes de su anulación por el Tribunal de Justicia de la Unión Europea .

A diferencia de la Directiva de protección de datos, que se dirige específicamente sólo a las personas físicas, el artículo 1(2) deja claro que la Directiva sobre privacidad electrónica también se aplica a las personas jurídicas.

Disposiciones principales

La primera obligación general de la Directiva es la de garantizar la seguridad de los servicios. ^[9] Los destinatarios son los proveedores de servicios de comunicaciones electrónicas. Esta obligación también incluye el deber de informar a los abonados cuando exista un riesgo particular, como un ataque de virus u otro malware. ^[10]

La segunda obligación general es la de mantener la confidencialidad de la información. ^[11] Los destinatarios son los Estados miembros , que deben prohibir la escucha, interceptación, almacenamiento u otros tipos de interceptación o vigilancia de las comunicaciones y del "tráfico relacionado", a menos que los usuarios hayan dado su consentimiento o se hayan cumplido las condiciones del artículo 15(1).

Retención de datos y otras cuestiones

La Directiva obliga a los proveedores de servicios a borrar o anonimizar los datos de tráfico tratados cuando ya no sean necesarios, a menos que se cumplan las condiciones del artículo 15. ^[12] La conservación está permitida para fines de facturación, pero solo mientras el plazo de prescripción permita que el pago se realice de forma legal. Los datos pueden conservarse con el consentimiento del usuario para servicios de marketing y de valor añadido. Para ambos usos anteriores, el interesado debe ser informado de por qué y durante cuánto tiempo se están procesando los datos.

Los abonados tienen derecho a una facturación no detallada. ^[13] Asimismo, los usuarios deben poder optar por no identificar la línea que llama. ^[14]

En el caso de que se puedan tratar datos relativos a la ubicación de los usuarios o a otro tráfico, el artículo 9 establece que esto solo se permitirá si dichos datos se anonimizan, si los usuarios han dado su consentimiento o si se trata de la prestación de servicios de valor añadido. Al igual que en el caso anterior, los usuarios deben ser informados previamente de la naturaleza de la información recogida y tienen la opción de no hacerlo. ^[15]

Correo electrónico no solicitado y otros mensajes

El artículo 13 prohíbe el uso de direcciones de correo electrónico con fines comerciales. ^[16] La Directiva establece el régimen opt-in , según el cual los correos electrónicos no solicitados solo pueden enviarse con el consentimiento previo del destinatario. Una persona física o jurídica que inicialmente recopile datos de direcciones en el contexto de la venta de un producto o servicio, tiene derecho a utilizarlos con fines comerciales siempre que los clientes tengan la oportunidad previa de rechazar dicha comunicación en el caso de que se haya recopilado inicialmente y posteriormente. Los Estados miembros tienen la obligación de garantizar que se prohibirán las comunicaciones no solicitadas, excepto en las circunstancias previstas en el artículo 13.

También se excluirán del ámbito de aplicación de la prohibición dos categorías de correo electrónico (o de comunicaciones en general). La primera es la excepción para las relaciones existentes con clientes y la segunda para la comercialización de productos y servicios similares. ^[17] El envío de mensajes de texto no solicitados, ya sea en forma de mensajes SMS, mensajes de correo push o cualquier formato similar diseñado para dispositivos portátiles de consumo (teléfonos móviles, PDA) también cae dentro de la prohibición del artículo 13. ^[18]

Galletas

La disposición de la Directiva aplicable a las cookies es el artículo 5(3). El considerando 25 del preámbulo reconoce la importancia y utilidad de las cookies para el funcionamiento de Internet moderno y relaciona directamente el artículo 5(3) con ellas, pero el considerando 24 también advierte del peligro que estos instrumentos pueden presentar para la privacidad. El cambio en la ley no afecta a todos los tipos de cookies; quedan exentas aquellas que se consideren "estrictamente necesarias para la prestación de un servicio solicitado por el usuario", como por ejemplo las cookies que rastrean el contenido del carrito de compra de un usuario en un servicio de compra en línea .

El artículo es neutral en cuanto a la tecnología y no menciona ningún medio tecnológico específico que pueda utilizarse para almacenar datos, pero se aplica a cualquier información que un sitio web haga que se almacene en el navegador de un usuario. Esto refleja el deseo del legislador de la UE de dejar el régimen de la directiva abierto a futuros avances tecnológicos.

Los destinatarios de la obligación son los Estados miembros, que deben garantizar que el uso de redes de comunicaciones electrónicas para almacenar información en el navegador de un visitante sólo se permita si al usuario se le proporciona "información clara y completa", de conformidad con la Directiva de protección de datos , sobre los fines del almacenamiento o del acceso a dicha información; y ha dado su consentimiento.

El régimen establecido de esta manera puede describirse como opt-in , lo que significa que el consumidor debe dar su consentimiento antes de que se almacenen cookies o cualquier otra forma de datos en su navegador. Las regulaciones del Reino Unido permiten que el consentimiento se manifieste mediante futuras configuraciones del navegador, que aún deben introducirse pero que deben ser capaces de presentar suficiente información para que un usuario pueda dar su consentimiento informado e indicar a un sitio web de destino que se ha obtenido el consentimiento. El consentimiento inicial puede trasladarse a solicitudes de contenido repetidas a un sitio web. La Directiva no proporciona ninguna directriz sobre lo que puede constituir una exclusión voluntaria, pero exige que no se coloquen cookies, salvo las "estrictamente necesarias para la prestación de un servicio solicitado por el usuario", sin el consentimiento del usuario.

Literatura

1. Texto completo de la Directiva
2. Orientación de la ICO del Reino Unido
3. Guía de la CNIL (Agencia Nacional de Protección de Datos de Francia) (traducida al inglés)
4. Artículo 29 Dictamen 2/2010 del Grupo de Trabajo sobre Protección de Datos
5. Artículo 29 Dictamen 16/2011 del Grupo de Trabajo sobre Protección de Datos
6. Historia de la toma de decisiones
7. Sobre el correo no deseado: Asscher, L, Hoogcarspel, SA, Regulación del correo no deseado: una perspectiva europea tras la adopción de la Directiva sobre privacidad electrónica (TMC Asser Press 2006)
8. Edwards, L, "Artículos 6 y 7, ECD; Directiva sobre privacidad y comunicaciones electrónicas de 2002" en Edwards, L. (ed.) El nuevo marco legal para el comercio electrónico en Europa (Hart 2005)

Referencias

1. Reglamento sobre privacidad electrónica en Europa.eu
2. CEPD, Dictamen 5/2019 sobre la interacción entre la Directiva sobre privacidad electrónica y el RGPD, en particular en lo que respecta a la competencia, las tareas y los poderes de las autoridades de protección de datos, adoptado el 12 de marzo de 2019.
3. "ePrivacy: Una descripción general del otro gran cambio en las reglas de privacidad de Europa". TechCrunch . 7 de octubre de 2018 . Consultado el 14 de julio de 2020 .
4. Reglamento de privacidad electrónica y RGPD en eprivacy.eu
5. Aspectos destacados de la normativa sobre privacidad electrónica en fieldfisher.com
6. Véase el Preámbulo de la Directiva
7. ver artículo 1
8. Artículo 1(3)
9. Artículo 4
10. Artículo 4(2)
11. Artículo 5
12. Artículo 6
13. Artículo 7
14. Artículo 8
15. Artículo 9(2)
16. "¿Qué son los PECR?". ico.org.uk . 20 de agosto de 2021 . Consultado el 21 de noviembre de 2021 .
17. Artículo 13(2)
18. Considerando 40, Preámbulo