El Reglamento europeo de ePrivacy y las cookies- ¿Qué necesito saber?
- 5 noviembre, 2019
- Posted by: CEA Digital Law
- Categoría: Blog
Justo después del Reglamento general de protección de datos (RGPD), otra ley de la UE en materia de privacidad personal está en proceso de aprobación. El reglamento de ePrivacy, que en un principio tenía que haber estado finalizado para la fecha de entrada en vigor del RGPD, 25 de mayo de 2018, se debería aprobar ahora a lo largo del 2019, con fecha de entrada en funcionamiento todavía por decidir.
¿De qué trata el Reglamento de ePrivacy? ¿Qué relación tiene con el RGPD y por qué necesitamos dos conjuntos de leyes en dicha materia? ¿Cuáles son los requisitos del Reglamento de ePrivacy? ¿Qué conllevará para el uso de cookies en su web y cómo puede usted prepararse? Encuentre las respuestas a continuación.
¿Qué es el Reglamento de ePrivacy? I Definición
El Proyecto de ley para el Reglamento de Privacidad y Comunicaciones electrónicas, también conocido como el Reglamento de ePrivacy, es una ley en proceso de aprobación por la Comisión Europea.
Su propósito es asegurar el “respeto por la vida privada, confidencialidad de comunicación y la protección de datos personales en el ámbito de las comunicaciones electrónicas” en la UE.
Una vez en funcionamiento, el Reglamento de ePrivacy sustituirá a la Directiva ePrivacy de 2002.
Muchos pueden conocer la directiva ePrivacy por su sobrenombre, “La Ley Cookie” (uno de sus impactos más visibles ha sido los pop-ups de consentimiento de cookies, que hacen su aparición en la mayoría de las páginas de inicio de las webs).
Una vez que la Directiva ePrivacy sea sustituida por el Reglamento de ePrivacy, la legislación se ampliará automáticamente en todos los países de la UE.
Eso es, de hecho, la principal diferencia entre un reglamento y una directiva: mientras los reglamentos se convierten automáticamente en legalmente vinculables a lo largo de la UE desde la fecha de su entrada en vigor, las directivas deben ser incorporadas en las propias leyes de los países miembros.
Con una directiva, a los países se les exige llegar a un resultado, pero son libres de elegir cómo hacerlo. Sin embargo, el reglamento no es simplemente una versión más estricta de la directiva.
La propuesta de ley está basada en una evaluación exhaustiva de la directiva, y aborda, por un lado, las deficiencias de la directiva y, por otro, los avances digitales y legislativos (como el RGPD) que han ocurrido desde su última revisión en 2009.
Hasta la fecha se han publicado dos borradores: uno de la Comisión Europea y otro del Parlamento Comunitario.
Los gobiernos nacionales en todos los 28 estados miembros, incluyendo el Reino Unido, han tenido la oportunidad de apelar a la propuesta de reglamento.
Actualmente, la Comisión de la UE, el Parlamento comunitario y el Consejo están en conversaciones, las denominadas “negociaciones a tres bandas”, que darán como resultado el texto oficial del Reglamento.
El Reglamento de ePrivacy, originariamente planeado para ser aprobado simultáneamente con la entrada en vigor del RGPD, se finalizará probablemente a lo largo de 2019.
A partir de ahí, seguirá un periodo de adaptación antes de su entrada en funcionamiento como ley de la UE.
Así como el RGPD, que fue aprobado el 14 de abril de 2016 y entró en vigor dos años más tarde, el 25 de mayo de 2018.
¿Qué conlleva el Reglamento de ePrivacy para mi uso de cookies?
Las cookies son un asunto importante y materia controvertida en las negociaciones en relación con la redacción final del Reglamento de ePrivacy.
La propuesta de ley intenta abordar la “fatiga del consentimiento”, causada por la Ley Cookie.
El problema con el consentimiento en la directiva ePrivacy es que ha sido interpretada en la mayoría de los países como un requisito por un banner de consentimiento como el siguiente:
Esto ha demostrado ser altamente ineficaz porque:
- La mayoría de la gente no saben a qué están dando su consentimiento cuando pulsan en la casilla.
- Demasiadas peticiones de consentimiento molestan y agobian a los usuarios, que al final acaban ignorando las solicitudes o aceptando sin pensar.
- La ausencia de respuesta se interpreta como consentimiento.
El reglamento está, por lo tanto, intentando hacer cambios en la manera en la que los rastreadores puedan solicitar el consentimiento del establecimiento de cookies y realizar el seguimiento de los usuarios.
La valoración de la directiva concluye que la regla del consentimiento actual es tanto demasiado inclusiva y como poco exhaustiva:
- Inclusiva en exceso, porque también cubre las prácticas intrusivas no privadas, y
- Poco exhaustiva, porque no cubre claramente con algunas técnicas de seguimiento (ej., las huellas del dispositivo) que pueden no comportar el acceso/almacenamiento en el dispositivo.
Requisitos de cookies: ¿Cómo puedo prepararme para el Reglamento de ePrivacy?
Como se ha mencionado anteriormente, todavía tiene que decirse la última palabra sobre las implicaciones directas del Reglamento de ePrivacy y su uso de cookies.
Sin embargo, aquí hay una lista de requisitos para las cookies y el seguimiento online del último borrador.
Aquellos lectores familiarizados con los requisitos del RGPD se darán cuenta de las redundancias. De hecho, muchas de las reglas en el Reglamento ePrivacy son similares a las descritas por el RGPD.
Así, como describimos más adelante en este artículo, el Reglamento de ePrivacy complementará (e invalidará), una vez en vigor, al RGPD cuando se trate de casos del ámbito de comunicaciones electrónicas.
- Consentimiento Previo. El consentimiento se debe obtener con anterioridad al establecimiento de cookies, excepto las estrictamente necesarias.
- El consentimiento debería ser otorgado libremente, como una acción libre e inequívoca. El consentimiento al uso de cookies a través de una acción clara y afirmativa. Los banners informando simplemente del uso de cookies o induciendo a “aceptar cookies” no serán válidos de ahora en adelante.
- Lenguaje claro y comprensible. Igual que el RGPD, el Reglamento ePrivacy requiere que la información sobre las cookies y sobre qué se está dando el consentimiento deben se comunicadas en lenguaje sencillo y comprensible, sin legalismos.
- La huella del navegador debería estar sujeta a dichos requisitos. Las reglas sobre las cookies deberían también ser aplicadas a la huella del navegador, un proceso que buscar identificar de manera inequívoca a usuarios utilizando la configuración de su navegador (sin actualmente establecer una cookie en ese navegador).
- Las cookies con propósitos puramente analíticos estarán exentas de esa regla. Reconociendo que no se inmiscuyen en la privacidad personal, el reglamento propone que las cookies para análisis de las webs deberían estar exentas del requisito de consentimiento. Sin embargo, la proposición sólo abarca las cookies propias. Todavía no está claro si los servicios externos como Google Analytics se beneficiarían de esa excepción.
- Nuevos requisitos para navegadores. Los navegadores deben contener control de cookies y los usuarios deben elegir aquellos establecidos como parte del proceso de instalación. En teoría, estas configuraciones podrían demostrar el consentimiento a ciertas cookies, aunque parece que hay pocas ganas por parte de los legisladores de aceptar los ajustes del navegador como suficiente.
¿Cuándo entrará en vigor el reglamento ePrivacy?
El reglamento ePrivacy aspiraba originalmente a ser aprobado en la UE junto con la implementación del RGPD, el 25 de mayo de 2018.
Sin embargo, pronto se comprobó que este programa era demasiado ambicioso.
En el último aviso, el reglamento será finalizado a lo largo de 2019.
Después, seguirá un periodo de adaptación, antes de que el reglamento sea aplicado.
Si nos atrevemos a tomar el proceso del RGPD como un ejemplo, uno puede suponer que el Reglamento de ePrivacy entrará en vigor en 2021.
Sin embargo, hay indicaciones de que el Reglamento de ePrivacy será aún más amplio y restrictivo que el RGPD cuando se trata de prevenir el seguimiento online y la protección de datos personales en internet.
Por lo tanto, se ha encontrado con la oposición de críticos por contrarrestar la economía de internet y paralizar a sectores enteros, como las editoriales y a los medios digitales.
Cronología y actualización: ¿Cuál es el estado del Reglamento de ePrivacy?
10 de enero de 2017: Presentación del primer borrador por la Comisión de la UE
El primer borrador oficial del nuevo Reglamento ePrivacy se presenta por la Comisión de la UE. El Reglamento propuesto debería sustituir a la directiva ePrivacy (Directiva 2009/136/EC) y clarificar y complementar al RGPD, con relación a los datos personales de las comunicaciones electrónicas. Este borrador del proyectado reglamento se traslada a, ambos, el Parlamento y el Consejo europeos.
19 de octubre de 2017: Se adopta el borrador en el Parlamento Europeo
Después de largas negociaciones, el comité de LIBE (Libertades civiles, justicia y asuntos de interior) responsable por el Reglamento de ePrivacy en el Parlamento Comunitario vota el borrador. Ante la sorpresa de la industria online, el borrador prácticamente sin cambios es adoptado por el Parlamento de la UE una semana más tarde. Al mismo tiempo, el Consejo Europeo discute también el borrador en un grupo de trabajo. Los estados miembros son invitados a presentar sus opiniones hasta el 14 de agosto.
2018: Diálogo a tres bandas entre la Comisión, el Parlamento y el Consejo
Con la adopción del borrador por el Parlamento Europeo, se da la orden para la próxima etapa del proceso -las negociaciones del Parlamento Europeo con el Consejo Europeo.
En 2018, las denominadas negociaciones a tres bandas entre la Comisión, el Parlamento y el Consejo están aún por terminar.
2019: Implementación
La Comisión ha anunciado que mantiene su objetivo del 25 de mayo de 2018, y los expertos esperan su implementación en 2019.
Texto: ¿Dónde puedo encontrar el último borrador del Reglamento ePrivacy?
El borrador oficial del Reglamento ePrivacy y sus anexos se pueden encontrar en la página de la Comisión Europa.
En esta página del trabajo en curso del reglamento puede encontrar:
- El último borrador de la propuesta actual
- la valoración de la Directiva ePrivacy
- los documentos del balance de su impacto, y
- las traducciones a los idiomas de la UE.
¿Cuál es la diferencia entre el Reglamento de ePrivacy y el RGPD?
El Reglamento de ePrivacy es una especialidad normativa (lex specialis) del Reglamento general de protección de datos, lo que quiere decir, que complementa al RGPD con reglas específicas, que se aplican específicamente en el sector de las comunicaciones electrónicas.
Como lex specialis invalida el RGPD en las áreas específicas que cubre.
Hay dos leyes porque se derivan de dos derechos diferentes de la Carta Europa de Derechos Humanos:
El RGPD cubre el derecho a la protección de los datos personales, mientras que el Reglamento ePrivacy abarca el derecho de la persona a una vida privada, incluyendo confidencialidad.
¿Cuál es el alcance del Reglamento ePrivacy vs el RGPD?
El RGPD se centra en la definición y la protección de los datos personales, ej., datos sanitarios, ya sean electrónicos o en papel. El Reglamento ePrivacy, por otro lado, particulariza el RGPD por las comunicaciones electrónicas y se centra en dispositivos, técnicas de procesamiento, almacenamiento, navegadores, etc..
Fuentes
European Commission: Proposal for a Regulation on Privacy and Electronic Communications
Nice infographic illustrating the Trialogue Negotiations of the ePrivacy Regulation
i-SCOOP: The new EU ePrivacy Regulation: what you need to know
Privacytrust.com: Simple explanation of the difference between GDPR and ePrivacy
Martechtoday: On the differences between the GDPR and the ePr
Medium.com: Good article about consent
Publishers’ joint campaign against the ePrivacy Regulation
IAPP: What happens to ePrivacy under the Romanian presidency?