Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52017AE0655

Dictamen del Comité Económico y Social Europeo sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) [COM(2017) 10 final — 2017/0003 (COD)]

OJ C 345, 13.10.2017, p. 138–144 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

13.10.2017   

ES

Diario Oficial de la Unión Europea

C 345/138


Dictamen del Comité Económico y Social Europeo sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas)

[COM(2017) 10 final — 2017/0003 (COD)]

(2017/C 345/23)

Ponente:

Laure BATUT

Consulta

Parlamento Europeo, 16.2.2017

Consejo de la Unión Europea, 9.3.2017

Fundamento jurídico

Artículos 16 y 114 del Tratado de Funcionamiento de la Unión Europea

 

 

Sección competente

Sección de Transportes, Energía, Infraestructuras y Sociedad de la Información

Aprobado en sección

14.6.2017

Aprobado en el pleno

5.7.2017

Pleno n.o

527

Resultado de la votación

(a favor/en contra/abstenciones)

155/0/5

1.   Conclusiones y recomendaciones

1.1.

El CESE deplora enérgicamente que la superposición de textos sobre protección de datos, su volumen y su carácter intricado, así como el vaivén de uno a otro para su comprensión, hagan su lectura y aplicación improbables fuera de un círculo de iniciados, y que su valor añadido no sea accesible para los ciudadanos, concepto que falta en toda la propuesta de Reglamento. Recomienda la publicación en línea de un folleto resumido que los describa para los ciudadanos, de forma que sean accesibles a todos.

1.2.

El CESE destaca que, entre las opciones contempladas en la evaluación de impacto, la Comisión ha elegido la que prevé un refuerzo «moderado» del respeto de la vida privada. Lo ha hecho ¿para garantizar un equilibrio con los intereses de la industria? La Comisión no especifica qué elementos de un «mayor» refuerzo del respeto de la vida privada serían perjudiciales para los intereses de la industria. Esta posición tiende a disminuir el valor del texto desde su concepción.

1.3.

El CESE recomienda a la Comisión que:

1)

considere que, ahora, todo puede convertirse en un dato y ser objeto de una comunicación electrónica con consecuencias para la vida privada de las personas físicas y jurídicas;

2)

aclare la aplicación en la propuesta (artículos 5, 8 y 11) de la Carta de los Derechos Fundamentales de la Unión Europea y los derechos humanos, así como las posibilidades de restricción que pueden introducir las leyes nacionales (considerando 26);

3)

revise los artículos 5 y 6 de la propuesta. Al permitir las comunicaciones electrónicas, internet y telefonía móvil son servicios de interés general cuyo acceso debe ser universal, accesible y asequible sin que los consumidores se vean obligados a aceptar, para disfrutar de ellos, un tratamiento de sus datos exigido por el operador. Por lo tanto, se debe prever la obligación de ofrecer de forma sistemática al usuario la posibilidad de rechazo basada en información comprensible (cookies, «muro de seguimiento», etc.);

4)

establezca claramente que la lex specialis propuesta para completar el Reglamento general de protección de datos (RGPD) respeta los principios generales de dicho texto y no menoscaba las protecciones que ha establecido, y que todo tratamiento, incluida la medición de los resultados de audiencia en la web (web audience measuring), está sujeto a los principios del RGPD (artículo 8);

5)

garantice a los ciudadanos y las empresas la estabilidad reglamentaria, y aclare a tal fin el texto del Reglamento y el contenido de las medidas de aplicación para evitar un número de actos delegados demasiado elevado;

6)

desarrolle una estrategia capaz de informar a todos los consumidores de que la Unión sigue siendo fiel a sus principios de respeto de los derechos humanos, y que su objetivo es hacer que se respete la vida privada, no solo por parte de los operadores de comunicaciones electrónicas, sino también por parte de los servicios de transmisión libre (OTT-Over The Top);

7)

evite que el ámbito de la salud sea una gran grieta abierta para la explotación de la vida privada y los datos personales con fines mercantiles por el sector de las comunicaciones electrónicas;

8)

se interese por la economía colaborativa, y las transferencias y usos de datos por medio de las comunicaciones electrónicas a través de plataformas, a menudo situadas fuera de la UE;

9)

tenga en cuenta la internet de las cosas, que es muy intrusiva y puede ser vector de la intromisión en la vida privada con ocasión de las transmisiones de datos por medio de comunicaciones electrónicas;

10)

tenga en cuenta lo que sigue a la transferencia de los datos y proteja los datos almacenados por las personas, ya que la mayoría son privados (independientemente de la interfaz, incluida la informática en la nube);

11)

aclare la protección de las transferencias de datos de máquina a máquina (M2M) y le consagre un artículo, no solo un considerando (12);

12)

cree, para ayudar a los ciudadanos a orientarse en la jungla de textos y ejercer sus derechos, un portal europeo (DG Justicia) accesible para todos y comprensible, que difunda los textos europeos y nacionales, las vías de recurso y la jurisprudencia (por ejemplo: aclarar el considerando 25 y los artículos 12 y 13);

13)

dote a las autoridades de control de los medios para desempeñar su cometido (Supervisor Europeo de Protección de Datos, autoridades nacionales);

14)

permita a los consumidores incoar acciones colectivas a nivel europeo para hacer valer sus derechos, mediante una nueva directiva que permita ir más lejos que la Recomendación C(2013) 401&3539 (1).

2.   Elementos del contexto legislativo

2.1.

Las redes de comunicaciones electrónicas han evolucionado considerablemente desde la entrada en vigor de las Directivas 95/46 y 2002/58/CE (2) sobre la protección de la intimidad en el sector de las comunicaciones electrónicas.

2.2.

El Reglamento general de protección de datos (RGPD) adoptado en 2016 [Reglamento (UE) 2016/679] se ha convertido en la base de las acciones y establece los principios fundamentales, también en los ámbitos judicial y penal. En virtud de dicho Reglamento, los datos personales solo pueden recogerse en rigurosas condiciones y con fines legítimos, y dentro del respeto de la confidencialidad (artículo 5 del RGPD).

2.2.1.

En octubre de 2016, la Comisión presentó una propuesta de Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas (3) (que consta de trescientas páginas), todavía no adoptada, pero a la que remite para determinadas definiciones que no figuran ni en el RGDP ni en el texto analizado.

2.2.2.

Dos propuestas de enero de 2017 precisan algunos aspectos sobre la base del RGPD; se trata de la propuesta de Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión [COM(2017) 8 final, ponente: PEGADO LIZ], y del texto analizado [COM(2017) 10 final] sobre el respeto de la vida privada y la protección de los datos personales.

2.3.

Los tres textos citados serán aplicables en la misma fecha, a partir del 25 de mayo de 2018, y persiguen la armonización de los derechos y los procedimientos de control.

2.4.

Cabe señalar que, para facilitar este enfoque, se ha decidido recurrir, respecto de la protección de la vida privada, a un reglamento europeo y no a una directiva.

3.   Introducción

3.1.

La sociedad civil desea saber si, en el mundo totalmente digital que se vislumbra, la Unión aportará un valor añadido que garantice espacios en los que la vida privada se pueda desarrollar sin temor.

3.2.

Los datos generados de forma continua hacen a todos los usuarios trazables e identificables en todas partes. El tratamiento de los datos en centros físicos, en su mayoría ubicados fuera de Europa, suscita temores.

3.3.

Los macrodatos se han convertido en moneda; mediante su tratamiento inteligente, permiten «elaborar perfiles» y «mercantilizar» a las personas físicas y jurídicas, y a menudo ganar dinero sin que los usuarios lo sepan.

3.4.

Pero, ante todo, la aparición de nuevos agentes en el sector del tratamiento de datos, aparte de los proveedores de acceso a internet, debe conducir a una revisión de los textos.

4.   Síntesis de la propuesta

4.1.

Mediante este texto, la Comisión pretende instaurar un equilibrio entre los consumidores y la industria:

autoriza la utilización de los datos por los operadores, permitiendo al usuario final conservar el control a la hora de otorgar expresamente su consentimiento;

exige a los operadores que anuncien qué van a hacer con dichos datos;

escoge la opción 3 de la evaluación de impacto que privilegia un refuerzo «moderado» del respeto de la vida privada, en lugar de la opción 4 que proponía un «mayor» refuerzo.

4.2.

La propuesta tiene por objetivo el despliegue del RGPD, que es de aplicación general, al igual que la confidencialidad de los datos privados y el derecho de supresión, y concierne el aspecto particular del respeto de la vida privada y la protección de los datos personales en las telecomunicaciones; propone instaurar normas más exigentes en materia de protección de la vida privada, así como controles coordinados y sanciones.

4.3.

No dicta medidas específicas sobre las «grietas» en los datos personales procedentes de los propios usuarios, pero confirma desde los primeros artículos (artículo 5) el principio de confidencialidad de las comunicaciones electrónicas.

4.4.

Los proveedores pueden tratar el contenido de las comunicaciones electrónicas:

para prestar un servicio a un usuario final que haya dado su consentimiento;

para servir a los usuarios finales afectados [artículo 6, apartado 3, letras a) y b)] que hayan otorgado su consentimiento.

4.5.

Los proveedores están obligados a suprimir o hacer anónimos los contenidos tras la recepción por sus destinatarios.

4.6.

Según el artículo 4, apartado 11, del RGPD, se entiende por «consentimiento del interesado» toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

4.7.

El proyecto mantiene la exigencia de consentimiento declarado de forma expresa, con arreglo a la definición del RGPD, correspondiendo la carga de la prueba a los operadores.

4.8.

El «tratamiento» se basa en el consentimiento del interesado. El responsable del «tratamiento» debe ser capaz «de demostrar que aquel consintió el tratamiento de sus datos personales» (artículo 7, apartado 1, del RGPD).

4.9.

El Derecho de la UE o el Derecho nacional podrían introducir determinadas limitaciones (de las obligaciones y los derechos) a la confidencialidad para garantizar el interés público o una misión de inspección.

4.10.

Las personas físicas deben haber dado su consentimiento para figurar en una guía electrónica accesible al público, con medios para comprobar y corregir los datos que les conciernen (artículo 15).

4.11.

El derecho de oposición permitirá a cualquier usuario impedir el uso de sus datos confiados a un tercero (por ejemplo, un comerciante), que se concede en el momento de la recopilación y cada vez que se envíe un mensaje (artículo 16). Las nuevas normas aportarán a los usuarios un mayor control de sus parámetros (cookies, identificación), y las comunicaciones «no solicitadas» (correo basura, mensajes, SMS, llamadas) podrán bloquearse a falta de acuerdo del usuario.

4.12.

Por lo que respecta a la identificación de las llamadas y el bloqueo de llamadas no deseadas (artículos 12 y 14), el Reglamento resalta que también las personas jurídicas tienen estos derechos.

4.13.

La estructuración de un sistema de control es conforme al RGPD (capítulo VI sobre las autoridades de control y capítulo VII sobre la cooperación entre estas).

4.13.1.

Incumbe a los Estados miembros y a las autoridades nacionales responsables de la protección de datos velar por el respeto de las normas de confidencialidad. Las demás autoridades de control podrán, en el marco de una asistencia mutua, redactar objeciones que en su caso serán presentadas a las autoridades nacionales de control. Cooperarán con estas últimas y con la Comisión Europea en el contexto de un mecanismo de coherencia (artículo 63 del RGPD).

4.13.2.

Por su parte, el Comité Europeo de Protección de Datos (SEPD) se encargará de velar por la aplicación coherente del Reglamento en examen (artículos 68 y 70 del RGPD).

Dicho Comité podrá tener que publicar directrices, recomendaciones y buenas prácticas para favorecer la aplicación del Reglamento.

4.14.

Existen vías de recurso para que las personas físicas y jurídicas usuarios finales puedan hacer valer sus intereses lesionados por infracciones, y obtener una reparación del perjuicio sufrido.

4.15.

Los importes previstos para las multas administrativas pretenden ser disuasorios, ya que pueden elevarse, para los infractores, hasta diez millones de euros y, tratándose de una empresa, hasta el 2 % del volumen de negocios anual a escala mundial del ejercicio anterior, optándose por el de mayor cuantía (artículo 23); los Estados miembros establecerán las sanciones en los casos en que no haya multa administrativa e informarán a la Comisión.

4.16.

El nuevo texto sobre el respeto de la vida privada y el uso de los datos personales será aplicable a partir del 25 de mayo de 2018, es decir, en la misma fecha que el RGPD de 2016, que el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y que la propuesta de Directiva sobre la refundición del Código Europeo de las Comunicaciones Electrónicas [COM(2016) 590 final], si son adoptados.

4.17.

Ámbito de aplicación: la lex specialis que ponga en práctica el RGPD:

ratione jure: fundamento jurídico

La propuesta se basa en los artículos 16 (protección de datos) y 114 (mercado único) del TFUE, pero también en los artículos 7 y 8 de la Carta de los Derechos Fundamentales. Este Reglamento se propone completar el Reglamento RGPD en lo que atañe a los datos que puedan considerarse personales.

ratione personae: actores

Se trata de los utilizadores finales, personas físicas o jurídicas, en el sentido definido en el proyecto de Código europeo de las comunicaciones electrónicas, frente al conjunto de los proveedores de servicios de comunicación, no solo los proveedores tradicionales, sino sobre todo los nuevos agentes, cuyos nuevos servicios no ofrecen garantías a los usuarios. En la actualidad, las técnicas denominadas «de transmisión libre» de los servicios OTT (mensajería instantánea, SMS, técnicas de palabra en IP, interfaces múltiples, etc.) quedan fuera del ámbito de aplicación de los textos existentes.

ratione materiae: datos

La propuesta no contiene disposiciones sobre la conservación de los datos en la computación en nube y deja a los Estados miembros la tarea de intervenir, dentro del respeto del artículo 23 del RGPD (relativo a las limitaciones del derecho de oposición) y de la jurisprudencia del Tribunal de Justicia (véase el punto 1.3 de la exposición de motivos).

El usuario deberá dar su consentimiento a la conservación de los datos y metadatos generados en los sistemas (fecha, hora, localización, etc.), a falta del cual esos datos deberán ser hechos anónimos o suprimidos.

ratione loci: ¿dónde?

Los establecimientos han de efectuar las actividades de tratamiento en los Estados miembros, o bien uno de sus centros, situado en un Estado miembro, se considerará «establecimiento principal» a efectos de control, las autoridades nacionales de control desempeñarán su función y el Supervisor Europeo de Protección de Datos (SEPD) supervisará el proceso en su conjunto.

4.18.

Los objetivos de la UE: el mercado único digital

Uno de los objetivos del mercado único digital es crear las condiciones para prestar servicios digitales seguros y suscitar la confianza de los usuarios para desarrollar, entre otras cosas, el comercio en línea, las innovaciones y, a su vez, empleo y crecimiento (exposición de motivos, punto 1.1).

El proyecto de Reglamento prevé también una forma de armonización entre los distintos textos y de coherencia entre los Estados miembros.

Cada tres años, la Comisión procederá a una evaluación de la aplicación del Reglamento, que presentará un informe al Parlamento Europeo, al Consejo y al CESE (artículo 28).

5.   Observaciones generales

5.1.

El Comité acoge con satisfacción el establecimiento simultáneo en toda la Unión de un conjunto coherente de normas tendentes a proteger los derechos de las personas físicas y jurídicas en relación con el uso de los datos digitales por medio de comunicaciones electrónicas.

5.1.1.

Celebra que la Unión desempeñe su función de defensora de los derechos de los ciudadanos y los consumidores.

5.1.2.

Destaca que, cuando se habla de armonización, la interpretación de numerosos conceptos corresponde a los Estados miembros, lo que convierte este Reglamento en una especie de directiva, que deja mucho margen a la mercantilización de datos privados. En particular, el ámbito de la salud constituye una puerta abierta a la recogida de enormes cantidades de datos privados.

5.1.3.

Los artículos 11, apartado 1, 13, apartado 2, 16, apartados 4 y 5, y 24 se prestan más a lo que podríamos calificar como medidas de «transposición», de manera que convendrían para una directiva pero no un reglamento. Estas disposiciones dejan demasiado margen a los operadores con el fin de mejorar la calidad de los servicios (artículos 5 y 6). Este Reglamento debería formar parte integrante de la propuesta de Directiva denominada Código Europeo de las Comunicaciones Electrónicas [COM(2016) 590 final].

5.1.4.

El CESE deplora enérgicamente que la superposición de estos textos, su volumen y su solapamiento hagan su lectura improbable fuera de un círculo de iniciados. En efecto, son necesarias permanentes idas y vueltas de uno a otro. Además, su valor añadido no es evidente para el ciudadano. Esta dificultad de lectura y esta complejidad de la propuesta son contrarias al espíritu del programa de adecuación y eficacia de la reglamentación (REFIT) y del objetivo de «legislar mejor», la harán difícil de interpretar y abrirán grietas en la protección.

5.1.5.

A modo de ejemplo, la propuesta de Reglamento no contiene una definición de «operador»; hay que remitirse al proyecto de Código Europeo de las Comunicaciones Electrónicas (4), que todavía no ha entrado en vigor y que modificará las normas del sector en el marco del mercado único digital, es decir, la Directiva marco 2002/21/CE, la Directiva «autorización» 2002/20/CE, la Directiva «servicio universal» 2002/22/CE y la Directiva «acceso» 2002/19/CE, tal como han sido modificadas, el Reglamento (CE) n.o 1211/2009 por el que se establece el ORECE, la Decisión n.o 676/2002/CE sobre el espectro radioeléctrico y la Decisión 2002/622/CE por la que se crea un Grupo de política del espectro radioeléctrico, y la Decisión n.o 243/2012/UE por la que se establece un programa plurianual de política del espectro radioeléctrico. La referencia fundamental sigue siendo, por supuesto, el RGPD (véase el apartado 2.2), que la propuesta analizada se destina a completar, por lo que es subsidiaria a este.

5.2.

El CESE hace especial hincapié en el contenido del artículo 8 relativo a la protección de la información almacenada en los equipos terminales y las posibles excepciones, disposición fundamental pues brinda a la sociedad de la información posibilidades para acceder a datos privados. Destaca también el del artículo 12 sobre la restricción de la identificación de la línea llamante y conectada; en efecto, se trata de artículos de difícil acceso para un neófito.

5.2.1.

La Directiva de 1995 (artículo 2) definía los «datos personales» como «toda información sobre una persona física identificada o identificable (“interesado”)». El Reglamento sujeto a examen amplía la protección a los metadatos y se aplicará en lo sucesivo tanto a las personas físicas como a las jurídicas. Conviene destacar de nuevo que el proyecto de Reglamento persigue un doble objetivo: por una parte, proteger los datos personales y, por otra, garantizar la libre circulación de datos y servicios de comunicaciones electrónicas en la UE (artículo 1)

5.2.2.

El CESE destaca que la voluntad de proteger los datos de las personas jurídicas (artículo 1, apartado 2) chocará con otros textos en los que estas no se contemplan y no se dice claramente que deban aplicarse en su caso (véase el RGPD, los datos en las instituciones europeas).

5.3.

El CESE se pregunta si el auténtico objetivo de la propuesta no es hacer más hincapié en su artículo 1, apartado 2, es decir, garantizar «la libre circulación de datos de comunicaciones electrónicas y servicios de comunicaciones electrónicas en la Unión», que no limita ni prohíbe por motivos vinculados al respeto de la vida privada y las comunicaciones de las personas físicas, que en garantizar realmente lo que anuncia en su artículo 1, apartado 1, es decir «los derechos al respeto de la vida privada y las comunicaciones y la protección de las personas físicas y jurídicas en lo que respecta al tratamiento de datos personales».

5.4.

Todo se basa en la manifestación del consentimiento de la persona, física o jurídica. Por consiguiente, en opinión del CESE, los usuarios han de ser informados y formados y actuar con prudencia, ya que una vez dado el consentimiento, el proveedor podrá tratar los contenidos y los metadatos para obtener el máximo posible de acciones y ganancias. ¿Cuántos saben, antes de aceptarla, que una cookie es un rastreador? La educación de los usuarios para ejercer sus derechos, así como el anonimato o el cifrado, deberían ser prioridades de este Reglamento.

6.   Observaciones específicas

6.1.

Los datos privados solo deberían ser recogidos por organismos que respeten unas condiciones muy rigurosas y persigan objetivos conocidos y legítimos (RGPD).

6.2.

El Comité lamenta de nuevo «el excesivo número de excepciones y limitaciones, que minan los principios establecidos en materia de derecho a la protección de los datos personales» (5). El equilibrio entre libertad y seguridad debería seguir siendo una característica de la Unión Europea, en lugar del equilibrio entre derechos fundamentales de la persona e industria. El Grupo de Trabajo creado con arreglo al artículo 29 ha hecho un llamamiento enérgico, en su análisis del proyecto de Reglamento (documento de trabajo 247 de 4 de abril de 2017, dictamen 1/2017, punto 17), a que se reduzca el nivel de protección previsto en el RGPD, en particular con respecto a la localización del terminal y la falta de limitación del campo de datos recabables, y constata que no instaura una protección de la intimidad por defecto (punto 19).

6.3.

Los datos son como una prolongación de la persona, una identidad fantasma, su «Shadow-ID». Pertenecen a la persona que los genera, pero tras su tratamiento, escapan a su influencia. La conservación y transferencia de datos incumbe a cada Estado y no existe armonización alguna debido a las posibles limitaciones de derechos previstas por el proyecto de texto. El Comité subraya el riesgo de disparidades dado que la limitación de derechos se deja a la apreciación de los Estados miembros.

6.4.

Una cuestión se plantea, muy en especial, para las personas que trabajan en empresas: ¿a quién pertenecen los datos que generan al trabajar? Y ¿cómo protegerlos?

6.5.

La arquitectura del control no está clara (6); pese a la supervisión del SEPD, las garantías contra la arbitrariedad no parecen suficientes y no se ha evaluado el tiempo necesario para que los procedimientos desemboquen en una sanción.

6.6.

El CESE aboga por la creación de un portal europeo, en el que se reúnan y actualicen todos los textos europeos y nacionales, todos los derechos, las vías de recurso, la jurisprudencia y los datos prácticos, para ayudar a los ciudadanos y los consumidores a orientarse en la jungla de los textos y las aplicaciones, con el fin de poder ejercer sus derechos. Dicho portal debería inspirarse al menos en los requisitos de la Directiva (UE) 2016/2102, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público, así como en los principios recogidos en los considerandos 12, 15 y 21 de la propuesta de Directiva denominada Acta Europea de Accesibilidad 2015/0278 (COD), y ofrecer contenidos accesibles y comprensibles para todos los usuarios finales. El CESE está dispuesto a participar en las fases de definición de este portal.

6.7.

En el artículo 22 falta una referencia a las «acciones colectivas», como ya observó el CESE en su Dictamen sobre el Código Europeo de las Comunicaciones Electrónicas.

6.8.

La limitación del ámbito de aplicación material (artículo 2, apartado 2), la ampliación del poder de tratamiento de los datos sin consentimiento del titular (artículo 6, apartados 1 y 2) y el concepto improbable de obtención del consentimiento de TODOS los usuarios afectados (artículo 6, apartado 3, letra b), y artículo 8, apartados 1, 2 y 3), y las limitaciones a los derechos que pueden aportar los Estados miembros si estiman que constituyen medidas «necesarias, apropiadas y proporcionadas», son otras tantas normas cuyo contenido puede ser objeto de tantas interpretaciones que es contrario a una auténtica protección de la vida privada. Además, se debe prestar especial atención a la protección de los datos de menores.

6.9.

El CESE acoge con satisfacción el derecho de supervisión evocado en el artículo 12, pero destaca su formulación especialmente hermética, que parece privilegiar el recurso a llamadas telefónicas «desconocidas» u «ocultas», como si el anonimato fuera un derecho fundamental, aun cuando el principio debería ser la identificación de las llamadas.

6.10.

Las comunicaciones no solicitadas (artículo 16) y la prospección directa son objeto ya de la Directiva «prácticas comerciales desleales» (7). El régimen por defecto debería ser el opt-in (la aceptación) y no el opt-out (el rechazo).

6.11.

La evaluación por parte de la Comisión está prevista cada tres años; ahora bien, en el ámbito digital, ese plazo es demasiado largo. Tras dos evaluaciones, el mundo digital habrá cambiado por completo. No obstante, la delegación (artículo 25), que podrá ampliarse, debería tener una duración definida, en su caso renovable.

6.12.

La legislación debe preservar los derechos de los usuarios (artículo 3 del TFUE), garantizando al mismo tiempo la estabilidad jurídica necesaria para la actividad comercial. El CESE lamenta que la circulación de los datos de máquina a máquina (M2M) no se contemple en la propuesta: hay que remitirse al Código Europeo de las Comunicaciones Electrónicas (propuesta de Directiva, artículos 2 y 4).

6.12.1.

La internet de las cosas (8) va a conducir del «BigData» (macrodatos) al «Huge Data» y después al «All Data». Es clave para las futuras olas de innovación. Además, las máquinas, pequeñas o grandes, comunican y transmiten entre sí datos personales (su reloj registra los latidos del corazón y los envía al ordenador de su médico, etc.). Muchos agentes del sector digital han lanzado su propia plataforma reservada a los objetos conectados: Amazon, Microsoft, Intel o, en Francia, Orange y La Poste.

6.12.2.

La internet de las cosas de la vida diaria puede ser objeto fácilmente de intrusiones malintencionadas, y la cantidad de información personal que puede recopilarse a distancia va en aumento (geolocalización, datos de salud, flujos de vídeo y audio). Las grietas en la protección de los datos interesan, en particular, a las compañías de seguros, que empiezan a ofrecer a sus clientes dotarse de objetos conectados y responsabilizarse de su comportamiento.

6.13.

Muchos gigantes de internet intentan que su aplicación de origen evolucione hacia una plataforma: así, hay que distinguir la aplicación Facebook de la plataforma Facebook, que permite a desarrolladores concebir aplicaciones accesibles desde los perfiles de usuario. Amazon, por su parte, era una aplicación web especializada en la venta en línea. Hoy, se ha convertido en una plataforma que permite a terceros —desde particulares a los grandes grupos— comercializar sus productos beneficiándose de los recursos de Amazon: reputación, logística, etc. Todo ello requiere transferencias de datos personales.

6.14.

La economía colaborativa registra una proliferación de plataformas: «una plataforma que pone en contacto, en particular por medios electrónicos, a una pluralidad de predisponentes de bienes o servicios y una pluralidad de usuarios» (9). Si bien estas plataformas se apoyan por la actividad y los empleos que generan, el CESE se pregunta cómo podrán controlarse las transferencias de datos a que dan lugar, tanto en la aplicación del RGPD como en la de este Reglamento.

Bruselas, 5 de julio de 2017.

El Presidente del Comité Económico y Social Europeo

Georges DASSIS


(1)  11.6.2013-IP/13/525-Memo13/531-DG Justicia.

(2)  La Directiva 2002/58/CE prohíbe, en particular, el correo electrónico no solicitado (spam) (artículo 13), instaurando, tras la modificación de 2009, el denominado principio de consentimiento previo, en virtud del cual un operador debe recabar el consentimiento del destinatario antes de enviarle «mensajes comerciales».

(3)  COM(2016) 590 final, de 12 de octubre de 2016, Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece el Código Europeo de las Comunicaciones Electrónicas, p. 2 (DO C 125 de 21.4.2017, p. 56).

(4)  COM(2016) 590 y anexos 1 a 11 de 12.10.2016 (DO C 125 de 21.4.2017, p. 56).

(5)  Véanse DO C 125 de 21.4.2017, p. 56 y DO C 110 de 9.5.2006, p. 83.

(6)  El capítulo IV del Reglamento analizado remite a las disposiciones del capítulo VII, en particular al artículo 68 del RGPD.

(7)  DO L 149 de 11.6.2005, p. 22, artículos 8 y 9.

(8)  Documento de trabajo 247/17-dictamen de 1.4.2017, pt. 19 (DO C 12 de 15.1.2015, p. 1).

(9)  DO C 125 de 21.4.2017, p. 56.


Top