Help Print this page 
Title and reference
Protección de datos en el sector de las comunicaciones electrónicas

Summaries of EU legislation: direct access to the main summaries page.
Languages and formats available
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html ES html CS html DA html DE html EL html EN html FR html IT html HU html NL html PL html PT html RO html FI html SV
Multilingual display
Text

Protección de datos en el sector de las comunicaciones electrónicas

Las tecnologías de la información y la comunicación (TIC), en particular Internet y el correo electrónico, han de cumplir determinadas normas para asegurar el derecho a la intimidad. La presente Directiva contiene normas para garantizar la confianza de los usuarios en los servicios y tecnologías de las comunicaciones electrónicas. En concreto, tiene por objetivo proteger la intimidad y la confidencialidad en el sector de las comunicaciones electrónicas, incluidas la seguridad en el tratamiento de los datos personales, la notificación de las infracciones, la confidencialidad de las comunicaciones y la prohibición de las comunicaciones no solicitadas, con el consentimiento previo del usuario.

ACTO

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) [Véanse los actos modificativos].

SÍNTESIS

La Directiva 2002/58/CE forma parte del paquete de telecomunicaciones, que es el conjunto de disposiciones legislativas que regula el sector de las comunicaciones electrónicas. El paquete de telecomunicaciones comprende otras cuatro directivas relativas al marco general, al acceso y la interconexión, a la autorización y las licencias, y al servicio universal.

En diciembre de 2009 se modificó el Paquete telecomunicaciones mediante las Directivas Legislar mejor y Derechos de los ciudadanos, y mediante un Reglamento para la instauración de un Organismo de Reguladores Europeos de Comunicaciones Electrónicas (ORECE).

La presente Directiva afecta principalmente al tratamiento de datos de carácter personal en el marco de la prestación de servicios de comunicaciones.

Seguridad del tratamiento

El proveedor de un servicio de comunicaciones electrónicas está obligado a proteger la seguridad de sus servicios:

  • garantizando que únicamente acceden a los datos de carácter personal las personas autorizadas;
  • protegiendo los datos de carácter personal frente a su pérdida o alteración accidental y a otras formas de tratamiento ilícitas o no autorizadas;
  • garantizando la aplicación de una política de seguridad relativa al tratamiento de datos de carácter personal.

En caso de violación de la seguridad de los datos de carácter personal, el proveedor de servicios debe advertir a la autoridad nacional en un plazo de veinticuatro horas. Si dicha infracción puede dañar los datos personales o la intimidad de un abonado o una persona, el proveedor de servicios debe informar a este abonado o persona en cuestión, salvo si el proveedor de servicios ha adoptado medidas tecnológicas de protección que hacen que los datos no sean comprensibles para nadie sin acceso autorizado (véase el Reglamento (UE) no611/2013).

Confidencialidad de las comunicaciones

La Directiva recuerda que los Estados miembros deben garantizar la confidencialidad de las comunicaciones realizadas a través de las redes públicas de comunicaciones electrónicas. En particular, han de prohibir que personas distintas de los usuarios escuchen, intercepten o almacenen comunicaciones y datos de tráfico sin el consentimiento de los usuarios afectados, salvo si esta persona está autorizada legalmente a hacerlo. También deben garantizar que únicamente se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un abonado o usuario a condición de que este haya dado su consentimiento tras haber recibido información clara y completa como mínimo, sobre los usos finales del tratamiento.

Tratamiento de datos de tráfico y localización

La Directiva establece que los datos relativos al tráfico deben borrarse o volverse anónimos cuando dejen de ser necesarios para la comunicación o facturación.

No obstante, el proveedor del servicio de comunicaciones electrónicas debe tratar los datos de tráfico en la medida y durante el tiempo necesarios para la prestación o la distribución de servicios de comunicaciones electrónicas con valor añadido, durante el tiempo para el cual el abonado o usuario haya dado su consentimiento previo.

En cuanto a los datos de localización distintos de los datos de tráfico, solo podrán tratarse una vez anonimizados o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios para la prestación de un servicio con valor añadido.

Los usuarios y abonados tienen la posibilidad de retirar en todo momento su consentimiento para el tratamiento de los datos de tráfico y localización.

Por lo que respecta a la problemática cuestión de la retención de datos, la Directiva establece que los Estados miembros solamente pueden limitar las disposiciones en materia de protección de datos para que puedan llevarse a cabo investigaciones de actividades delictivas o para garantizar la seguridad nacional, la defensa y la seguridad pública. Una medida de este tipo sólo podrá adoptarse cuando constituya una medida necesaria, proporcionada y apropiada en una sociedad democrática y de conformidad con los derechos fundamentales.

Comunicaciones no solicitadas (spamming)

En relación con las comunicaciones electrónicas comerciales no solicitadas, la Directiva establece que los usuarios han de dar su consentimiento previo antes de recibir este tipo de mensajes (enfoque opt-in). Este sistema abarca asimismo los mensajes de SMS y los demás mensajes electrónicos recibidos en cualquier equipo terminal, fijo o móvil. No obstante, se han establecido excepciones.

Chivatos (cookies)

La Directiva prevé que los usuarios deben dar su consentimiento para que se almacene información en su equipo terminal o para que se obtenga acceso a dicha información. Para ello, los usuarios deben recibir información clara y precisa sobre la finalidad del almacenamiento o acceso. Estas disposiciones protegen la vida privada de los usuarios contra programas malintencionados, como los virus o programas espía, pero también se aplican a los chivatos (cookies).

Los chivatos (cookies) son datos ocultos intercambiados entre un usuario de Internet y un servidor web que quedan archivados en el disco duro del usuario. Su finalidad inicial era conservar datos entre dos conexiones, aunque también constituyen un medio de control de las actividades del internauta que ha sido objeto de muchas críticas.

Guías públicas

Los ciudadanos europeos deben dar su consentimiento previo antes de que su número de teléfono (fijo o móvil), su dirección electrónica y su dirección postal puedan figurar en las guías públicas.

Controles

Los Estados miembros deben determinar el régimen de sanciones, incluidas las sanciones penales, en caso de violación de las disposiciones de la Directiva. Asimismo, deben garantizar que las autoridades nacionales competentes disponen de las facultades y los recursos necesarios para supervisar y controlar el respeto de las disposiciones nacionales por las que se transpone la Directiva.

REFERENCIAS

Acto

Entrada en vigor

Plazo de transposición en los Estados miembros

Diario Oficial

Directiva 2002/58/CE

30.7.2002

31.10.2003

DO L 201 de 31.7.2002

Acto(s) modificativo(s)

Entrada en vigor

Plazo de transposición en los Estados miembros

Diario Oficial

Directiva 2009/136/CE

19.12.2009

25.5.2011

DO L 337 de 18.12.2009

ACTOS CONEXOS

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [Diario Oficial L 281 de 23.11.1995].

Esta Directiva constituye el texto europeo de referencia en materia de protección de los datos personales. Establece un marco reglamentario con el fin de lograr un equilibrio entre un elevado nivel de protección de la intimidad de las personas y la libre circulación de datos personales en la UE.

Reglamento (CE) no45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos [Diario Oficial L 8 de 12.1.2001].

Este Reglamento tiene como objetivo garantizar la protección de los datos personales en el marco de las instituciones y los organismos comunitarios. En concreto, el texto prevé la creación de una autoridad independiente responsable de controlar la aplicación de sus principales disposiciones.

Reglamento (UE) no611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas [Diario Oficial L 173 de 26. 6.2013].

Sentencia del Tribunal de Justicia, de 8 de abril de 2014, en los asuntos acumulados C-293/12 y C-594/12 . Digital Rights Ireland y Seitlinger et al.

En la presente sentencia, el Tribunal de Justicia declaró la nulidad de la Directiva 2006/24/CE sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE. En concreto, el Tribunal consideró que la Directiva 2006/24/CE sobrepasa los límites que exige el respeto del principio de proporcionalidad en relación con los artículos 7, 8 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea. Especialmente, el Tribunal señaló que la Directiva:

  • incluía una injerencia de gran magnitud y especialmente grave, sin proporcionar reglas claras y precisas que regulen el alcance de esta injerencia y no contenía garantías suficientes en consonancia con la seguridad y la protección de los datos conservados por los operadores.

Última modificación: 27.05.2014

Top