Es necesario actualizar la actual Directiva sobre la privacidad y las comunicaciones electrónicas, de 2002, para tener en cuenta los nuevos avances tecnológicos y del mercado, como el uso generalizado que actualmente se observa de los servicios de voz sobre IP, los servicios de correo web y de mensajería, y el surgimiento de nuevas técnicas que permiten rastrear los comportamientos en línea de los usuarios.
El proyecto de Reglamento sobre la privacidad y las comunicaciones electrónicas derogará la actual Directiva sobre la privacidad y las comunicaciones electrónicas y, en tanto que lex specialis del Reglamento general de protección de datos (RGPD), servirá para precisar y complementar dicho Reglamento. Por ejemplo, a diferencia del RGPD, muchas disposiciones en materia de privacidad y comunicaciones electrónicas se aplicarán tanto a las personas físicas como a las personas jurídicas.
Mandato del Consejo
De conformidad con el mandato del Consejo, el Reglamento cubrirá el contenido de comunicaciones electrónicas transmitido mediante servicios y redes accesibles al público, así como los metadatos en relación con la comunicación. Entre estos metadatos se incluye, por ejemplo, información relativa a la ubicación, la hora y el destinatario de la comunicación. Se considera que estos metadatos pueden ser tan sensibles como el contenido.
Para garantizar la plena protección de los derechos a la privacidad y promover una internet de las cosas fiable y segura, las normas también regularán los datos de máquina a máquina transmitidos por una red pública.
Las normas se aplicarán cuando los usuarios finales se encuentren en la UE. Ello también afecta a los casos en los que el tratamiento tiene lugar fuera de la UE o el proveedor de servicios está establecido o situado fuera de la UE.
Como norma general, los datos de comunicaciones electrónicas serán confidenciales. Salvo cuando lo autorice el Reglamento sobre la privacidad y las comunicaciones electrónicas, estará prohibida cualquier interferencia, incluidos la escucha, el seguimiento o el tratamiento de datos por parte de cualquiera que no sea un usuario final.
En el tratamiento autorizado de datos de comunicaciones electrónicas sin el consentimiento del usuario se incluye, por ejemplo, todo tratamiento destinado a garantizar la integridad de los servicios de comunicaciones, verificar la presencia de programas maliciosos o de virus, o casos en los que el proveedor de servicios está sujeto al Derecho de la UE o de un Estado miembro en lo que respecta al enjuiciamiento de infracciones penales o la prevención frente a amenazas contra la seguridad pública.
Los metadatos podrán tratarse, por ejemplo, a efectos de facturación o para detectar o impedir una utilización fraudulenta. Con el consentimiento del usuario, los proveedores de servicios podrían, por ejemplo, utilizar metadatos para mostrar los movimientos del tráfico y ayudar así a las autoridades públicas y los operadores de transporte a crear nuevas infraestructuras donde sea más necesario. También podrán tratarse metadatos para proteger los intereses vitales de los usuarios, por ejemplo, para el seguimiento de epidemias y de su propagación y para emergencias humanitarias, en particular las catástrofes naturales y las de origen humano.
En determinados casos, los proveedores de redes y servicios de comunicaciones electrónicas podrán tratar metadatos para un fin distinto de aquel para el que se hubieran recopilado, incluso si el tratamiento no está basado en el consentimiento del usuario o en determinadas disposiciones sobre medidas legislativas del derecho de la UE o de un Estado miembro. Este tratamiento de finalidad distinta debe ser compatible con la finalidad inicial, y se le aplican garantías específicas y sólidas.
Dado que el equipo terminal del usuario, que incluye tanto el equipo físico como los programas informáticos, puede contener información muy personal —como fotos y listas de contactos— el uso de las capacidades de tratamiento y almacenamiento y la recopilación de información del dispositivo solo han de permitirse con el consentimiento del usuario o para otros fines específicos y transparentes que se prevean en el Reglamento.
El usuario final debe poder elegir realmente si acepta cookies o identificadores similares. Condicionar el acceso al contenido de un sitio web al consentimiento para el uso de cookies con fines adicionales como alternativa a una barrera de pago solo estará permitido si el usuario puede elegir entre esa opción y otra opción equivalente del mismo proveedor que no implique aceptar las cookies.
Para evitar la fatiga por el consentimiento de cookies, el usuario final puede aceptar el uso de determinados tipos de cookies incluyendo en una lista blanca a uno o varios proveedores en sus parámetros del navegador. Se animará a los proveedores de programas informáticos a facilitar a los usuarios la posibilidad de crear y modificar listas blancas y de retirar su consentimiento en cualquier momento.
El texto también incluye normas en materia de identificación de la línea, directorios públicos y mercadotecnia directa y no solicitada.
El Reglamento entraría en vigor veinte días después de su publicación en el Diario Oficial de la Unión Europea y empezaría a aplicarse dos años después.
Procedimiento
El mandato hoy acordado ha sido aprobado por los representantes permanentes reunidos en el Comité de Representantes Permanentes (Coreper) del Consejo.
La Comisión presentó su propuesta en enero de 2017.
El Consejo y el Parlamento Europeo negociarán los términos del texto definitivo.