Resumen ejecutivo del dictamen preliminar del Supervisor Europeo de Protección de Datos relativo a la revisión de la Directiva sobre la privacidad y las comunicaciones electrónicas (2002/58/CE)

(El texto completo del presente dictamen está disponible en alemán, francés e inglés en el sitio web del SEPD www.edps.europa.eu)

(2016/C 378/09)

RESUMEN EJECUTIVO

El presente dictamen expone la posición del SEPD en relación con las cuestiones principales relacionadas con la revisión de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas (la Directiva ePrivacy), en respuesta a una solicitud de la Comisión Europea.

La privacidad y las comunicaciones electrónicas requieren de un nuevo marco jurídico, pero es preciso que ese marco sea más comprensivo, más diáfano y más riguroso: necesitamos más claridad, pero también un mejor cumplimiento de la legislación. Lo necesitamos para garantizar la confidencialidad de nuestras comunicaciones, un derecho fundamental consagrado en el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea. Además, también son necesarias disposiciones que complementen y, si procede, especifiquen de manera más precisa las protecciones conferidas en virtud del Reglamento general sobre protección de datos (RGPD). De la misma forma, también necesitamos mantener el elevado nivel actual de protección en aquellos casos en los que la Directiva sobre la privacidad y las comunicaciones electrónicas brinde garantías más específicas que el RGPD. Las definiciones incluidas en el RGPD, su alcance territorial, los mecanismos de cooperación entre las autoridades responsables del cumplimiento de la ley y de su coherencia, así como la posibilidad de aportar flexibilidad y orientaciones deberían estar disponibles para la Directiva sobre la privacidad y las comunicaciones electrónicas.

El ámbito de aplicación del nuevo marco jurídico debe ser ampliado. Es preciso tener en cuenta los cambios tecnológicos y sociales, y garantizar que se concede a las personas el mismo nivel de protección para todos los servicios funcionalmente equivalentes, independientemente de si los prestan, por ejemplo, empresas tradicionales de telefonía, servicios de voz sobre IP o aplicaciones de mensajería para teléfonos móviles. De hecho, es necesario dar incluso un paso más allá y proteger no solo los servicios «funcionalmente equivalentes», sino también aquellos servicios que ofrecen nuevas oportunidades de comunicación. Asimismo, las nuevas normas deben seguir cubriendo inequívocamente el intercambio de comunicaciones máquina a máquina en el contexto del «internet de las cosas», independientemente del tipo de red o de servicio de comunicación utilizado. Las nuevas normas también deberían garantizar la protección de la confidencialidad de las comunicaciones de los usuarios en todas las redes de acceso público, incluidos los servicios de Wi-Fi en hoteles, cafeterías, establecimientos comerciales, aeropuertos, así como las redes que ofrecen los hospitales a los pacientes, las universidades a los estudiantes y las zonas con cobertura inalámbrica creadas por las administraciones públicas.

El consentimiento debe ser veraz, con la oferta de libre elección a los usuarios, como exige el RGPD. No debe haber más «muros de cookies». Más allá de una clara serie de excepciones (como los análisis de origen), ninguna comunicación debe ser objeto de seguimiento y control sin un consentimiento libremente expresado, ya sea mediante cookies, huella digital de los dispositivos electrónicos u otros métodos tecnológicos. Los usuarios deben, asimismo, disponer de mecanismos eficaces y manejables para ofrecer y retirar su consentimiento en el navegador (u otro software o sistema operativo).

A fin de proteger mejor la confidencialidad de las comunicaciones electrónicas, también es preciso mantener y reforzar el requisito actual relativo al consentimiento para los datos sobre tráfico y localización. El ámbito de aplicación de las presentes disposiciones debe ampliarse de manera que cubra a todos, no solo a las compañías telefónicas tradicionales y a los proveedores de servicios de internet.

Las nuevas normativas deben asimismo permitir claramente a los usuarios la utilización del cifrado de extremo a extremo (sin «puertas traseras») para proteger sus comunicaciones electrónicas. El descifrado, la ingeniería inversa o el seguimiento de las comunicaciones protegidas mediante cifrado deben quedar prohibidos.

Por último, las nuevas normas sobre privacidad y comunicaciones electrónicas han de ofrecer protección frente a las comunicaciones no solicitadas, y deben actualizarse y reforzarse, exigiendo el consentimiento previo de los destinatarios para todo tipo de comunicación electrónica no solicitada, con independencia de los medios utilizados.

I.   INTRODUCCIÓN Y ANTECEDENTES

El presente dictamen preliminar (el dictamen) responde a la solicitud formulada por la Comisión Europea (Comisión) al Supervisor Europeo de Protección de Datos (SEPD), en tanto que autoridad supervisora independiente y órgano consultivo, para que facilite un dictamen sobre la revisión de la Directiva sobre la privacidad y las comunicaciones electrónicas (1).

La consulta al SEPD se efectuó en paralelo a una consulta pública de la Comisión que se permaneció abierta hasta el 5 de julio de 2016 (2). La Comisión solicitó también el dictamen del Grupo de Trabajo para la Protección de Datos creado en virtud del artículo 29 (GT29), al que el SEPD contribuyó como miembro de pleno derecho (3).

El presente dictamen expone la posición preliminar del SEPD en relación con la revisión de la Directiva sobre la privacidad y las comunicaciones electrónicas, y se centra en aquellas cuestiones sobre las que la Comisión le ha solicitado expresamente su opinión. El dictamen constituye asimismo la contribución del SEPD a la consulta pública y, como tal, puede abordar también otras cuestiones que no responden a la solicitud expresa de la Comisión. Asimismo, podremos facilitar asesoramiento en fases posteriores del procedimiento legislativo.

La revisión de la Directiva sobre la privacidad y las comunicaciones electrónicas es una de las principales iniciativas de la Estrategia para un Mercado Único Digital (4), cuyo objeto es reforzar la confianza (y la seguridad de)/en los servicios digitales en la UE, con la atención centrada en garantizar un nivel elevado de protección para los ciudadanos y unas condiciones de igualdad a todos los agentes del mercado en el conjunto de la UE.

La revisión tiene por objeto modernizar y actualizar la Directiva sobre la privacidad y las comunicaciones electrónicas, como parte de un esfuerzo más amplio destinado a proporcionar un marco jurídico coherente y armonizado para la protección de datos en Europa. La Directiva sobre la privacidad y las comunicaciones electrónicas particulariza y complementa la Directiva 95/46/CE (5), que será sustituida por el Reglamento general sobre protección de datos (RGPD) (6), recientemente aprobado. La Directiva sobre la privacidad y las comunicaciones electrónicas establece normas específicas con el objetivo principal de garantizar la confidencialidad y la seguridad de las comunicaciones electrónicas. También protege los intereses legítimos de los abonados que sean personas jurídicas.

XI.   CONCLUSIONES

La importancia de la confidencialidad de las comunicaciones con arreglo a lo dispuesto en el artículo 7 de la Carta está aumentando como consecuencia del protagonismo creciente que están adquiriendo las comunicaciones electrónicas en nuestra sociedad y nuestra economía. Las salvaguardas mencionadas en el presente dictamen juegan un papel clave a la hora de garantizar el éxito de los objetivos estratégicos a largo plazo de la Comisión en su Estrategia para un Mercado Único Digital.

(1)  Ref. Ares(2016)2310042-18.5.2016.

(2)  Véase https://ec.europa.eu/digital-single-market/en/news/public-consultation-evaluation-and-review-eprivacy-directive. El cuestionario está disponible en: https://ec.europa.eu/eusurvey/runner/EPRIVACYReview2016.

(3)  Dictamen del GT 29 3/2016 relativo a la evaluación y la revisión de la Directiva sobre la privacidad y las comunicaciones electrónicas (2002/58/CE) (GT240), aprobado el 19 de julio de 2016.

(4)  Una Estrategia para el Mercado Único Digital de Europa, Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, 6 de mayo de 2015, [COM(2015) 192 final], disponible en: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52015DC0192&from=EN.

(5)  La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(6)  Reglamento (UE) n.o 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).