Las autoridades de protección de datos de la Unión Europea (EDPB) consideran que la revisión de la actual Directiva sobre comunicaciones electrónicas (Directiva 2002/58/CE) es un paso importante y necesario que debe concluirse lo antes posible. Si bien el pasado 10 de enero, la Comisión Europea aprobó la nueva propuesta del Reglamento Europeo sobre la privacidad y las comunicaciones electrónicas (Reglamento e-Privacy), que sustituirá a la mencionada Directiva, el grupo EDPB ha decidido ofrecer más asesoramiento y aclaraciones sobre algunas cuestiones específicas relativas a la propuesta de Reglamento.
Por un lado podemos empezar hablando del deber de confidencialidad de las comunicaciones electrónicas. La confidencialidad de las comunicaciones es un derecho fundamental que debe aplicarse a todas las comunicaciones electrónicas (contengan o no datos personales) e independientemente de los medios por los que se envíen. Dicho deber conlleva también la protección de la integridad de los equipos terminales de cada usuario.
Por otro lado, la propuesta de Reglamento no prevé la posibilidad de tratar los contenidos y metadatos de las comunicaciones electrónicas en base a “intereses legítimos” o a la “ejecución de un contrato”. Estos tratamientos solamente son posibles con el consentimiento previo del usuario o si cumplen alguna de las excepciones previstas en la Directiva sobre intimidad y comunicaciones electrónicas. Cabe señalar que el consentimiento deberá otorgarse libremente y no se permitirá que los proveedores de servicios incluyan los denominados muros de cookies para sus usuarios.
Asimismo, el EDPB subraya que los metadatos de comunicaciones electrónicas pueden seguir tratándose sin consentimiento después de haber sido anonimizados. El EDPB anima a los proveedores de servicios de comunicaciones electrónicas a hacer uso de esta posibilidad con el fin de crear servicios innovadores preservando al mismo tiempo el derecho a la intimidad.
Otro aspecto a destacar es el relacionado con los servicios Over-the-Top (OTT). Estos servicios – como por ejemplo, Skype- se ofrecen a clientes a través de Internet pero sin estar sujetos al marco regulatorio de los operadores de telecomunicaciones. Si bien la Directiva vigente no se aplica a este tipo de servicios, sí que quedarán sujetos bajo el Reglamento e-Privacy.
Dicho todo lo anterior, finalmente, podemos concluir que el EDPB considera que:
- El Reglamento sobre la privacidad y las comunicaciones electrónicas no debería reducir el nivel de protección que ofrece la actual Directiva sobre la privacidad y las comunicaciones electrónicas.
- El Reglamento sobre la privacidad y las comunicaciones electrónicas debe proteger todos los tipos de comunicaciones electrónicas, incluidas las realizadas por los servicios “over the top”.
- El consentimiento del usuario debe obtenerse antes de tratar datos de comunicaciones electrónicas o antes de utilizar las capacidades de almacenamiento o tratamiento del equipo terminal del usuario. No debe haber excepciones para el tratamiento de estos datos basadas en el “interés legítimo” del responsable del tratamiento o en la finalidad general de la ejecución de un contrato.
- La configuración debe preservar la privacidad de los usuarios de forma predeterminada. A este respecto, el Reglamento debe seguir siendo neutro desde el punto de vista tecnológico.
- Debe fomentarse la anonimización en la operativa de las comunicaciones electrónicas.