El Reglament e-Privacy

reglamento-eprivacy-pymelegal

El Reglament e-Privacy (oficialment el Reglament del Parlament Europeu i del Consell sobre el respecte de la vida privada i la protecció de les dades personals en el sector de les comunicacions electròniques) serà la normativa europea que substituirà a la Directiva (UE) 2002/58 de Privacitat i Comunicacions Electròniques vigent a Europa, i que a Espanya va ser transposada per la Llei dels Serveis de la Societat de la Informació i del Comerç Electrònic 34/2002 (la LSSI).

Junt al RGPD, serà una de les normatives bàsiques europees que regularan la vida privada i la protecció de les dades personals en el sector de les comunicacions electròniques, reforçant la privacitat dels ciutadans i empreses a internet i altres canals de comunicació digitals.

Encara no està aprovat, sinó que està en fase d’esborrany i ha sigut objecte de moltíssimes modificacions. Fins a la seva final aprovació i aplicació encara pot patir múltiples variacions.

Aquest Reglament serà d’aplicació directa en tots els Estats Membres (igual que el RGPD), i tindrà el caràcter de “lex especialis” (llei especial) front al caràcter de “lex generalis” (llei general) que té el RGPD, és a dir, si hagués conflicte d’aplicació entre aquest Reglament i el RGPD, s’aplicaria de manera preferent el Reglament e-Privacy, doncs té prioritat la llei especial front a la llei general.

A qui protegirà el Reglament e-Privacy?

A diferència del RGPD que només protegeix a les persones físiques, aquest Reglament protegirà tant a usuaris particulars com a empreses; les comunicacions electròniques poden contenir informació molt privada (com informació de salut, per exemple), però també poden contenir informació confidencial d’alt valor econòmic o revelar secrets comercials, i és per això que les empreses són mereixedores, a través d’aquesta normativa, de protecció.

Aquestes activitats seran protegides independentment per a tots aquells usuaris localitzats a la UE o la informació dels quals pertanyi a usuaris europeus.

Què regularà aquest Reglament?

El Reglament e-Privacy està íntimament lligat amb el RGPD, doncs ambdós regulen un mateix element: la privacitat. Per un costat, un la regula en el seu sentit més ampli (el RGPD); l’altre, regula les comunicacions mitjançant internet i altres canals de comunicació digitals. Aquest Reglament també regularà l’ús que es realitzi de la informació obtinguda sobre els equips o terminals dels usuaris d’aquests serveis i les metadades referides als usuaris finals que es trobin a la UE. També regularà la restricció de la identificació de les trucades, bloqueig de trucades entrants no desitjades per part dels usuaris, etc. I la possibilitat de què el consentiment s’obtingui a través del navegador, sol·licitant a l’usuari una configuració determinada en el moment de la seva instal·lació i modificable en qualsevol moment.

Quines són les novetats que aporta aquest nou Reglament?

Aquest Reglament aportarà vàries novetats, entre elles, les relatives al consentiment prestat fins ara a les comunicacions electròniques, cookies i control sobre comunicacions electròniques i trucades comercials.

  • Quant al consentiment, serà d’aplicació el disposat al RGPD, i aquesta vegada també a les empreses, és a dir, la recollida del consentiment haurà de ser exprés, lliure, informat i inequívoc. Es donarà prevalença al consentiment expressat directament per l’usuari sobre el que es presti utilitzant els ajustos dels navegadors. També haurem de tenir en compte que als usuaris que hagin consentit el tractament de dades de comunicacions electròniques (newsletter, per exemple), se’ls haurà de recordar periòdicament la possibilitat de retirar el consentiment prestat, havent de fer-lo com a mínim una vegada cada dotze mesos. Hem de tenir en compte que les dades hauran de tractar-se durant el termini per al compliment de la finalitat, i en cas que s’hagin de tractar durant més temps, hauran d’anonimitzar-se. De moment, deixa als Estats Membres que decideixin durant quant temps un usuari es considera “client” per a l’enviament de les comunicacions comercials.
  • Pel que respecta a les metadades, es permetrà realitzar el tractament d’aquestes en les comunicacions electròniques, en els següents casos:
    • Per ser necessàries per a la gestió o optimització de la xarxa o complir els requisits tècnics de qualitat del servei;
    • Per a l’execució d’un contracte de serveis de comunicacions electròniques (cas de ser necessàries per a la facturació, calcular els pagaments d’interconnexió, detectar o cessar per l’ús fraudulent o abusiu dels serveis de comunicacions electròniques o la subscripció als mateixos);
    • Si s’ha donat el consentiment per a tal fi;
    • Per a la protecció d’interessos vitals;
    • O si es compleixen determinats requisits, respecte a les metadades de localització necessàries per a fins d’investigació científica, històrica o amb fins estadístics.

Les metadades que es tractin i siguin compatibles en les comunicacions electròniques, quan el seu tractament sigui per a un fi distint a aquell per al que van ser recollides inicialment, i el seu tractament no hagi sigut basat en el consentiment de l’usuari, es requerirà al prestador que analitzi si el tractament de les dades per aquest nou fi és compatible amb l’inicialment escollit (inclús, en determinats casos, serà necessària la realització d’una Avaluació d’Impacte) i si ho fos, tan sols podrà dur-se a terme amb dades anonimitzades.

  • I en el que respecta a las galetes (cookies), es manté la prohibició de tractar aquesta informació, amb les següents excepcions:
    • Que l‘usuari hagi consentit el tractament (el supòsit més habitual).
    • Que el tractament es realitzi per a prestar el servei de comunicacions electròniques.
    • Que sigui estrictament necessari per a prestar un servei requerit per l’usuari.
    • Que sigui necessari per al mesurament d’audiències.
    • Que sigui necessari per a finalitats de seguretat, prevenció de fraus o detectar fallades tècniques.
    • En el cas que es requereixi, per a una actualització de software.
    • Per a localitzar el terminal de l’usuari final en una trucada d’emergència.

De la mateixa manera que hem vist en el consentiment o les metadades, si la informació recollida s’anés a utilitzar amb una finalitat distinta a la inicialment prevista, el prestador haurà d’analitzar la compatibilitat d’aquestes finalitats. I el tractament únicament serà d’acord si la informació és esborrada o anonimitzada quan ja no sigui necessària.

  • Una altra de les novetats més importants, és la relativa al control dels usuaris sobre les comunicacions electròniques i trucades comercials no sol·licitades.

Quant a les trucades comercials no sol·licitades, el reglament deixarà en mans dels Estats Membres el desenvolupament de regles relatives a les obligacions dels operadors (com podria ser la identificació).

Un punt important és el relatiu a les comunicacions comercials i no sol·licitades. Com a norma general, únicament es podran enviar si el destinatari ha donat el seu consentiment per això. Ara bé, es seguirà tenint en compte l’interès legítim per al seu enviament sempre i quan es doni la possibilitat d’oposar-se a l’enviament de les mateixes. A més, també s’estableix que les comunicacions hauran d’identificar al remitent, i usar una adreça a la qual se la pugui respondre, per la qual cosa, les adreces que comencin per “noreply@…” deixaran de ser vàlides.

Quines sancions preveu l’e-Privacy?

Quant a les sancions que fixa aquest Reglament, s’assimilen a les del RGPD: l‘usuari que hagi vist els seus drets vulnerats tindrà dret a rebre una compensació econòmica. I, a més, les sumes de les sancions podran arribar fins als 10 milions d’euros o 20 milions d’euros o un 2 % o 4 % dels beneficis obtingut per la societat.

I, quan entra en vigor i serà aplicable?

Es parla del Reglament e-Privacy des de 2016, havent un primer projecte ja el 2017 i la idea de la Unió Europea era aprovar-lo al mateix temps que el Reglament General de Protecció de Dades, però aquest objectiu no va arribar a complir-se i, a dia d’avui, encara no hi ha una decisió vinculant sobre la seva aprovació. Els Estats Membres de la UE no aconsegueixen posar-se d’acord.

En el que sí sembla que hi ha quòrum és que, una vegada estigui publicat, es donarà una moratòria de 2 anys a les empreses per a què puguin adaptar-se a la nova regulació i sigui plenament eficaç.

Conclusió

Pel que hem vist, aquest serà un Reglament que pivotarà sobre la base de la privacitat per defecte, com defensa el RGPD, protegint als usuaris tant particulars com empreses. Tanmateix, afegirà uns quants maldecaps als departaments de marketing i gestors de pàgines web doncs es regularan una sèrie d’obligacions molt més restrictives que les fins ara conegudes. Alguns sectors inclús temen que els canvis realitzats en els models de negoci per al RGPD s’hagin d’haver de modificar per l’arribada d’aquest Reglament.

Seguirem de ben a prop tots els avenços que es vagin produint pel que fa a aquesta regulació i us seguirem informant. Si teniu qualsevol aclariment o consulta, no dubteu en contactar amb nosaltres; estem a la vostra disposició!

L’Equip de Pymelegal