La Directiva de privacidad y comunicaciones electrónicas 2002/58/CE sobre privacidad y comunicaciones electrónicas, también conocida como Directiva de privacidad electrónica (ePD), es una directiva de la UE sobre protección de datos y privacidad en la era digital. [1] Presenta una continuación de esfuerzos anteriores, más directamente la Directiva de Protección de Datos . Se ocupa de la regulación de una serie de cuestiones importantes como la confidencialidad de la información, el tratamiento de los datos del tráfico, el spam y las cookies . Esta Directiva ha sido modificada por la Directiva 2009/136, que introduce varios cambios, especialmente en lo que respecta a las cookies, que ahora están sujetas a consentimiento previo.
Existen algunas interacciones entre el Reglamento de privacidad electrónica (ePR) y el Reglamento general de protección de datos (GDPR). [2] Algunos legisladores de la UE esperaban que el Reglamento ePrivacy (ePR) pudiera entrar en vigor al mismo tiempo que el Reglamento general de protección de datos (GDPR) en mayo de 2018. [3] De esta manera, derogaría la Directiva ePrivacy 2002/ 58/CE y acompañan al RGPD en la regulación de los requisitos de consentimiento para el uso de cookies y opciones de exclusión voluntaria. [1] [4] [5]
La Directiva sobre privacidad electrónica se redactó específicamente para abordar los requisitos de las nuevas tecnologías digitales y facilitar el avance de los servicios de comunicaciones electrónicas. [6] La Directiva complementa la Directiva sobre protección de datos y se aplica a todos los asuntos que no están específicamente cubiertos por dicha Directiva. [7] En particular, el objeto de la Directiva es el "derecho a la privacidad en el sector de las comunicaciones electrónicas" y la libre circulación de datos, equipos y servicios de comunicación.
La Directiva no se aplica a los Títulos V y VI ( Segundo y Tercer Pilar que constituye la Unión Europea ). Asimismo, no se aplica a cuestiones relativas a la seguridad y defensa públicas, la seguridad del Estado y el derecho penal. [8] Sin embargo, la interceptación de datos estaba cubierta por la Directiva de retención de datos de la UE , antes de su anulación por el Tribunal de Justicia de la Unión Europea .
A diferencia de la Directiva de protección de datos, que se dirige específicamente sólo a las personas físicas, el artículo 1, apartado 2, deja claro que la Directiva sobre privacidad electrónica también se aplica a las personas jurídicas.
La primera obligación general de la Directiva es garantizar la seguridad de los servicios. [9] Los destinatarios son proveedores de servicios de comunicaciones electrónicas. Esta obligación también incluye el deber de informar a los suscriptores siempre que exista un riesgo particular, como un virus u otro ataque de malware. [10]
La segunda obligación general es mantener la confidencialidad de la información. [11] Los destinatarios son los Estados miembros , que deben prohibir la escucha, la escucha, el almacenamiento u otros tipos de interceptación o vigilancia de las comunicaciones y del "tráfico conexo", a menos que los usuarios hayan dado su consentimiento o se hayan cumplido las condiciones del artículo 15, apartado 1. .
La directiva obliga a los proveedores de servicios a borrar o anonimizar los datos de tráfico tratados cuando ya no sean necesarios, a menos que se hayan cumplido las condiciones del artículo 15. [12] La retención se permite a efectos de facturación, pero sólo mientras el plazo de prescripción permita que el pago se realice legalmente. Los datos pueden conservarse con el consentimiento del usuario para marketing y servicios de valor agregado. Para ambos usos anteriores, se deberá informar al interesado por qué y durante cuánto tiempo se están tratando los datos.
Los suscriptores tienen derecho a una facturación no desglosada. [13] Asimismo, los usuarios deben poder optar por no participar en la identificación de la línea llamante. [14]
Cuando se puedan procesar datos relacionados con la ubicación de los usuarios u otro tráfico, el artículo 9 establece que esto sólo se permitirá si dichos datos son anónimos, cuando los usuarios hayan dado su consentimiento o para la prestación de servicios de valor añadido. Como en el caso anterior, los usuarios deben ser informados previamente del carácter de la información recopilada y tener la opción de optar por no recibirla. [15]
El artículo 13 prohíbe el uso de direcciones de correo electrónico con fines de marketing. [16] La Directiva establece el régimen de aceptación voluntaria , según el cual los correos electrónicos no solicitados sólo podrán enviarse con el acuerdo previo del destinatario. Una persona física o jurídica que inicialmente recopile datos de dirección en el contexto de la venta de un producto o servicio, tiene derecho a utilizarlos con fines comerciales siempre que los clientes tengan una oportunidad previa de rechazar dicha comunicación donde se recopiló inicialmente y posteriormente. Los Estados miembros tienen la obligación de garantizar que se prohíban las comunicaciones no solicitadas, excepto en las circunstancias previstas en el artículo 13.
También quedarán excluidas del alcance de la prohibición dos categorías de correos electrónicos (o comunicaciones en general). La primera es la excepción para las relaciones con clientes existentes y la segunda para la comercialización de productos y servicios similares. [17] El envío de mensajes de texto no solicitados, ya sea en forma de mensajes SMS, mensajes de correo push o cualquier formato similar diseñado para dispositivos portátiles de consumo (teléfonos móviles, PDA), también está cubierto por la prohibición del artículo 13. [18]
La disposición de la Directiva aplicable a las cookies es el artículo 5, apartado 3. El considerando 25 del preámbulo reconoce la importancia y la utilidad de las cookies para el funcionamiento de la Internet moderna y relaciona directamente el artículo 5, apartado 3, con ellas, pero el considerando 24 también advierte del peligro que tales instrumentos pueden representar para la privacidad. El cambio de ley no afecta a todos los tipos de cookies; Quedan exentas aquellas que se consideran "estrictamente necesarias para la prestación de un servicio solicitado por el usuario", como por ejemplo, las cookies que rastrean el contenido del carrito de compras de un usuario en un servicio de compras en línea .
El artículo es tecnológicamente neutral y no menciona ningún medio tecnológico específico que pueda usarse para almacenar datos, pero se aplica a cualquier información que un sitio web haga que se almacene en el navegador de un usuario. Esto refleja el deseo del legislador de la UE de dejar el régimen de la directiva abierto a futuros desarrollos tecnológicos.
Los destinatarios de la obligación son los Estados miembros, que deben garantizar que el uso de redes de comunicaciones electrónicas para almacenar información en el navegador de un visitante sólo esté permitido si se proporciona al usuario "información clara y completa", de conformidad con la Directiva de Protección de Datos . sobre los propósitos del almacenamiento o acceso a esa información; y ha dado su consentimiento.
El régimen de configuración puede describirse como opt-in , lo que significa efectivamente que el consumidor debe dar su consentimiento antes de que se almacenen cookies o cualquier otra forma de datos en su navegador. Las regulaciones del Reino Unido permiten que el consentimiento se indique mediante configuraciones futuras del navegador, que aún no se han introducido pero que deben ser capaces de presentar suficiente información para que un usuario pueda dar su consentimiento informado e indicar a un sitio web de destino que se ha obtenido el consentimiento. El consentimiento inicial se puede trasladar a solicitudes repetidas de contenido a un sitio web. La Directiva no proporciona ninguna directriz sobre lo que puede constituir una exclusión voluntaria, pero exige que no se coloquen cookies distintas de las "estrictamente necesarias para la prestación de un servicio solicitado por el usuario" sin el consentimiento del usuario.