13.10.2017   

ES

Diario Oficial de la Unión Europea

C 345/138

Ponente:

Laure BATUT

1.1.

El CESE deplora enérgicamente que la superposición de textos sobre protección de datos, su volumen y su carácter intricado, así como el vaivén de uno a otro para su comprensión, hagan su lectura y aplicación improbables fuera de un círculo de iniciados, y que su valor añadido no sea accesible para los ciudadanos, concepto que falta en toda la propuesta de Reglamento. Recomienda la publicación en línea de un folleto resumido que los describa para los ciudadanos, de forma que sean accesibles a todos.

1.2.

El CESE destaca que, entre las opciones contempladas en la evaluación de impacto, la Comisión ha elegido la que prevé un refuerzo «moderado» del respeto de la vida privada. Lo ha hecho ¿para garantizar un equilibrio con los intereses de la industria? La Comisión no especifica qué elementos de un «mayor» refuerzo del respeto de la vida privada serían perjudiciales para los intereses de la industria. Esta posición tiende a disminuir el valor del texto desde su concepción.

1.3.

El CESE recomienda a la Comisión que:

2.1.

Las redes de comunicaciones electrónicas han evolucionado considerablemente desde la entrada en vigor de las Directivas 95/46 y 2002/58/CE (2) sobre la protección de la intimidad en el sector de las comunicaciones electrónicas.

2.2.

El Reglamento general de protección de datos (RGPD) adoptado en 2016 [Reglamento (UE) 2016/679] se ha convertido en la base de las acciones y establece los principios fundamentales, también en los ámbitos judicial y penal. En virtud de dicho Reglamento, los datos personales solo pueden recogerse en rigurosas condiciones y con fines legítimos, y dentro del respeto de la confidencialidad (artículo 5 del RGPD).

2.2.1.

En octubre de 2016, la Comisión presentó una propuesta de Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas (3) (que consta de trescientas páginas), todavía no adoptada, pero a la que remite para determinadas definiciones que no figuran ni en el RGDP ni en el texto analizado.

2.2.2.

Dos propuestas de enero de 2017 precisan algunos aspectos sobre la base del RGPD; se trata de la propuesta de Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión [COM(2017) 8 final, ponente: PEGADO LIZ], y del texto analizado [COM(2017) 10 final] sobre el respeto de la vida privada y la protección de los datos personales.

2.3.

Los tres textos citados serán aplicables en la misma fecha, a partir del 25 de mayo de 2018, y persiguen la armonización de los derechos y los procedimientos de control.

2.4.

Cabe señalar que, para facilitar este enfoque, se ha decidido recurrir, respecto de la protección de la vida privada, a un reglamento europeo y no a una directiva.

3.1.

La sociedad civil desea saber si, en el mundo totalmente digital que se vislumbra, la Unión aportará un valor añadido que garantice espacios en los que la vida privada se pueda desarrollar sin temor.

3.2.

Los datos generados de forma continua hacen a todos los usuarios trazables e identificables en todas partes. El tratamiento de los datos en centros físicos, en su mayoría ubicados fuera de Europa, suscita temores.

3.3.

Los macrodatos se han convertido en moneda; mediante su tratamiento inteligente, permiten «elaborar perfiles» y «mercantilizar» a las personas físicas y jurídicas, y a menudo ganar dinero sin que los usuarios lo sepan.

3.4.

Pero, ante todo, la aparición de nuevos agentes en el sector del tratamiento de datos, aparte de los proveedores de acceso a internet, debe conducir a una revisión de los textos.

4.1.

Mediante este texto, la Comisión pretende instaurar un equilibrio entre los consumidores y la industria:

4.2.

La propuesta tiene por objetivo el despliegue del RGPD, que es de aplicación general, al igual que la confidencialidad de los datos privados y el derecho de supresión, y concierne el aspecto particular del respeto de la vida privada y la protección de los datos personales en las telecomunicaciones; propone instaurar normas más exigentes en materia de protección de la vida privada, así como controles coordinados y sanciones.

4.3.

No dicta medidas específicas sobre las «grietas» en los datos personales procedentes de los propios usuarios, pero confirma desde los primeros artículos (artículo 5) el principio de confidencialidad de las comunicaciones electrónicas.

4.4.

Los proveedores pueden tratar el contenido de las comunicaciones electrónicas:

4.5.

Los proveedores están obligados a suprimir o hacer anónimos los contenidos tras la recepción por sus destinatarios.

4.6.

Según el artículo 4, apartado 11, del RGPD, se entiende por «consentimiento del interesado» toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

4.7.

El proyecto mantiene la exigencia de consentimiento declarado de forma expresa, con arreglo a la definición del RGPD, correspondiendo la carga de la prueba a los operadores.

4.8.

El «tratamiento» se basa en el consentimiento del interesado. El responsable del «tratamiento» debe ser capaz «de demostrar que aquel consintió el tratamiento de sus datos personales» (artículo 7, apartado 1, del RGPD).

4.9.

El Derecho de la UE o el Derecho nacional podrían introducir determinadas limitaciones (de las obligaciones y los derechos) a la confidencialidad para garantizar el interés público o una misión de inspección.

4.10.

Las personas físicas deben haber dado su consentimiento para figurar en una guía electrónica accesible al público, con medios para comprobar y corregir los datos que les conciernen (artículo 15).

4.11.

El derecho de oposición permitirá a cualquier usuario impedir el uso de sus datos confiados a un tercero (por ejemplo, un comerciante), que se concede en el momento de la recopilación y cada vez que se envíe un mensaje (artículo 16). Las nuevas normas aportarán a los usuarios un mayor control de sus parámetros (cookies, identificación), y las comunicaciones «no solicitadas» (correo basura, mensajes, SMS, llamadas) podrán bloquearse a falta de acuerdo del usuario.

4.12.

Por lo que respecta a la identificación de las llamadas y el bloqueo de llamadas no deseadas (artículos 12 y 14), el Reglamento resalta que también las personas jurídicas tienen estos derechos.

4.13.

La estructuración de un sistema de control es conforme al RGPD (capítulo VI sobre las autoridades de control y capítulo VII sobre la cooperación entre estas).

4.13.1.

Incumbe a los Estados miembros y a las autoridades nacionales responsables de la protección de datos velar por el respeto de las normas de confidencialidad. Las demás autoridades de control podrán, en el marco de una asistencia mutua, redactar objeciones que en su caso serán presentadas a las autoridades nacionales de control. Cooperarán con estas últimas y con la Comisión Europea en el contexto de un mecanismo de coherencia (artículo 63 del RGPD).

4.13.2.

Por su parte, el Comité Europeo de Protección de Datos (SEPD) se encargará de velar por la aplicación coherente del Reglamento en examen (artículos 68 y 70 del RGPD).

4.14.

Existen vías de recurso para que las personas físicas y jurídicas usuarios finales puedan hacer valer sus intereses lesionados por infracciones, y obtener una reparación del perjuicio sufrido.

4.15.

Los importes previstos para las multas administrativas pretenden ser disuasorios, ya que pueden elevarse, para los infractores, hasta diez millones de euros y, tratándose de una empresa, hasta el 2 % del volumen de negocios anual a escala mundial del ejercicio anterior, optándose por el de mayor cuantía (artículo 23); los Estados miembros establecerán las sanciones en los casos en que no haya multa administrativa e informarán a la Comisión.

4.16.

El nuevo texto sobre el respeto de la vida privada y el uso de los datos personales será aplicable a partir del 25 de mayo de 2018, es decir, en la misma fecha que el RGPD de 2016, que el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y que la propuesta de Directiva sobre la refundición del Código Europeo de las Comunicaciones Electrónicas [COM(2016) 590 final], si son adoptados.

4.17.

Ámbito de aplicación: la lex specialis que ponga en práctica el RGPD:

—

ratione personae: actores

—

ratione materiae: datos

—

ratione loci: ¿dónde?

4.18.

Los objetivos de la UE: el mercado único digital

5.1.

El Comité acoge con satisfacción el establecimiento simultáneo en toda la Unión de un conjunto coherente de normas tendentes a proteger los derechos de las personas físicas y jurídicas en relación con el uso de los datos digitales por medio de comunicaciones electrónicas.

5.1.1.

Celebra que la Unión desempeñe su función de defensora de los derechos de los ciudadanos y los consumidores.

5.1.2.

Destaca que, cuando se habla de armonización, la interpretación de numerosos conceptos corresponde a los Estados miembros, lo que convierte este Reglamento en una especie de directiva, que deja mucho margen a la mercantilización de datos privados. En particular, el ámbito de la salud constituye una puerta abierta a la recogida de enormes cantidades de datos privados.

5.1.3.

Los artículos 11, apartado 1, 13, apartado 2, 16, apartados 4 y 5, y 24 se prestan más a lo que podríamos calificar como medidas de «transposición», de manera que convendrían para una directiva pero no un reglamento. Estas disposiciones dejan demasiado margen a los operadores con el fin de mejorar la calidad de los servicios (artículos 5 y 6). Este Reglamento debería formar parte integrante de la propuesta de Directiva denominada Código Europeo de las Comunicaciones Electrónicas [COM(2016) 590 final].

5.1.4.

El CESE deplora enérgicamente que la superposición de estos textos, su volumen y su solapamiento hagan su lectura improbable fuera de un círculo de iniciados. En efecto, son necesarias permanentes idas y vueltas de uno a otro. Además, su valor añadido no es evidente para el ciudadano. Esta dificultad de lectura y esta complejidad de la propuesta son contrarias al espíritu del programa de adecuación y eficacia de la reglamentación (REFIT) y del objetivo de «legislar mejor», la harán difícil de interpretar y abrirán grietas en la protección.

5.1.5.

A modo de ejemplo, la propuesta de Reglamento no contiene una definición de «operador»; hay que remitirse al proyecto de Código Europeo de las Comunicaciones Electrónicas (4), que todavía no ha entrado en vigor y que modificará las normas del sector en el marco del mercado único digital, es decir, la Directiva marco 2002/21/CE, la Directiva «autorización» 2002/20/CE, la Directiva «servicio universal» 2002/22/CE y la Directiva «acceso» 2002/19/CE, tal como han sido modificadas, el Reglamento (CE) n.o 1211/2009 por el que se establece el ORECE, la Decisión n.o 676/2002/CE sobre el espectro radioeléctrico y la Decisión 2002/622/CE por la que se crea un Grupo de política del espectro radioeléctrico, y la Decisión n.o 243/2012/UE por la que se establece un programa plurianual de política del espectro radioeléctrico. La referencia fundamental sigue siendo, por supuesto, el RGPD (véase el apartado 2.2), que la propuesta analizada se destina a completar, por lo que es subsidiaria a este.

5.2.

El CESE hace especial hincapié en el contenido del artículo 8 relativo a la protección de la información almacenada en los equipos terminales y las posibles excepciones, disposición fundamental pues brinda a la sociedad de la información posibilidades para acceder a datos privados. Destaca también el del artículo 12 sobre la restricción de la identificación de la línea llamante y conectada; en efecto, se trata de artículos de difícil acceso para un neófito.

5.2.1.

La Directiva de 1995 (artículo 2) definía los «datos personales» como «toda información sobre una persona física identificada o identificable (“interesado”)». El Reglamento sujeto a examen amplía la protección a los metadatos y se aplicará en lo sucesivo tanto a las personas físicas como a las jurídicas. Conviene destacar de nuevo que el proyecto de Reglamento persigue un doble objetivo: por una parte, proteger los datos personales y, por otra, garantizar la libre circulación de datos y servicios de comunicaciones electrónicas en la UE (artículo 1)

5.2.2.

El CESE destaca que la voluntad de proteger los datos de las personas jurídicas (artículo 1, apartado 2) chocará con otros textos en los que estas no se contemplan y no se dice claramente que deban aplicarse en su caso (véase el RGPD, los datos en las instituciones europeas).

5.3.

El CESE se pregunta si el auténtico objetivo de la propuesta no es hacer más hincapié en su artículo 1, apartado 2, es decir, garantizar «la libre circulación de datos de comunicaciones electrónicas y servicios de comunicaciones electrónicas en la Unión», que no limita ni prohíbe por motivos vinculados al respeto de la vida privada y las comunicaciones de las personas físicas, que en garantizar realmente lo que anuncia en su artículo 1, apartado 1, es decir «los derechos al respeto de la vida privada y las comunicaciones y la protección de las personas físicas y jurídicas en lo que respecta al tratamiento de datos personales».

5.4.

Todo se basa en la manifestación del consentimiento de la persona, física o jurídica. Por consiguiente, en opinión del CESE, los usuarios han de ser informados y formados y actuar con prudencia, ya que una vez dado el consentimiento, el proveedor podrá tratar los contenidos y los metadatos para obtener el máximo posible de acciones y ganancias. ¿Cuántos saben, antes de aceptarla, que una cookie es un rastreador? La educación de los usuarios para ejercer sus derechos, así como el anonimato o el cifrado, deberían ser prioridades de este Reglamento.

6.1.

Los datos privados solo deberían ser recogidos por organismos que respeten unas condiciones muy rigurosas y persigan objetivos conocidos y legítimos (RGPD).

6.2.

El Comité lamenta de nuevo «el excesivo número de excepciones y limitaciones, que minan los principios establecidos en materia de derecho a la protección de los datos personales» (5). El equilibrio entre libertad y seguridad debería seguir siendo una característica de la Unión Europea, en lugar del equilibrio entre derechos fundamentales de la persona e industria. El Grupo de Trabajo creado con arreglo al artículo 29 ha hecho un llamamiento enérgico, en su análisis del proyecto de Reglamento (documento de trabajo 247 de 4 de abril de 2017, dictamen 1/2017, punto 17), a que se reduzca el nivel de protección previsto en el RGPD, en particular con respecto a la localización del terminal y la falta de limitación del campo de datos recabables, y constata que no instaura una protección de la intimidad por defecto (punto 19).

6.3.

Los datos son como una prolongación de la persona, una identidad fantasma, su «Shadow-ID». Pertenecen a la persona que los genera, pero tras su tratamiento, escapan a su influencia. La conservación y transferencia de datos incumbe a cada Estado y no existe armonización alguna debido a las posibles limitaciones de derechos previstas por el proyecto de texto. El Comité subraya el riesgo de disparidades dado que la limitación de derechos se deja a la apreciación de los Estados miembros.

6.4.

Una cuestión se plantea, muy en especial, para las personas que trabajan en empresas: ¿a quién pertenecen los datos que generan al trabajar? Y ¿cómo protegerlos?

6.5.

La arquitectura del control no está clara (6); pese a la supervisión del SEPD, las garantías contra la arbitrariedad no parecen suficientes y no se ha evaluado el tiempo necesario para que los procedimientos desemboquen en una sanción.

6.6.

El CESE aboga por la creación de un portal europeo, en el que se reúnan y actualicen todos los textos europeos y nacionales, todos los derechos, las vías de recurso, la jurisprudencia y los datos prácticos, para ayudar a los ciudadanos y los consumidores a orientarse en la jungla de los textos y las aplicaciones, con el fin de poder ejercer sus derechos. Dicho portal debería inspirarse al menos en los requisitos de la Directiva (UE) 2016/2102, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público, así como en los principios recogidos en los considerandos 12, 15 y 21 de la propuesta de Directiva denominada Acta Europea de Accesibilidad 2015/0278 (COD), y ofrecer contenidos accesibles y comprensibles para todos los usuarios finales. El CESE está dispuesto a participar en las fases de definición de este portal.

6.7.

En el artículo 22 falta una referencia a las «acciones colectivas», como ya observó el CESE en su Dictamen sobre el Código Europeo de las Comunicaciones Electrónicas.

6.8.

La limitación del ámbito de aplicación material (artículo 2, apartado 2), la ampliación del poder de tratamiento de los datos sin consentimiento del titular (artículo 6, apartados 1 y 2) y el concepto improbable de obtención del consentimiento de TODOS los usuarios afectados (artículo 6, apartado 3, letra b), y artículo 8, apartados 1, 2 y 3), y las limitaciones a los derechos que pueden aportar los Estados miembros si estiman que constituyen medidas «necesarias, apropiadas y proporcionadas», son otras tantas normas cuyo contenido puede ser objeto de tantas interpretaciones que es contrario a una auténtica protección de la vida privada. Además, se debe prestar especial atención a la protección de los datos de menores.

6.9.

El CESE acoge con satisfacción el derecho de supervisión evocado en el artículo 12, pero destaca su formulación especialmente hermética, que parece privilegiar el recurso a llamadas telefónicas «desconocidas» u «ocultas», como si el anonimato fuera un derecho fundamental, aun cuando el principio debería ser la identificación de las llamadas.

6.10.

Las comunicaciones no solicitadas (artículo 16) y la prospección directa son objeto ya de la Directiva «prácticas comerciales desleales» (7). El régimen por defecto debería ser el opt-in (la aceptación) y no el opt-out (el rechazo).

6.11.

La evaluación por parte de la Comisión está prevista cada tres años; ahora bien, en el ámbito digital, ese plazo es demasiado largo. Tras dos evaluaciones, el mundo digital habrá cambiado por completo. No obstante, la delegación (artículo 25), que podrá ampliarse, debería tener una duración definida, en su caso renovable.

6.12.

La legislación debe preservar los derechos de los usuarios (artículo 3 del TFUE), garantizando al mismo tiempo la estabilidad jurídica necesaria para la actividad comercial. El CESE lamenta que la circulación de los datos de máquina a máquina (M2M) no se contemple en la propuesta: hay que remitirse al Código Europeo de las Comunicaciones Electrónicas (propuesta de Directiva, artículos 2 y 4).

6.12.1.

La internet de las cosas (8) va a conducir del «BigData» (macrodatos) al «Huge Data» y después al «All Data». Es clave para las futuras olas de innovación. Además, las máquinas, pequeñas o grandes, comunican y transmiten entre sí datos personales (su reloj registra los latidos del corazón y los envía al ordenador de su médico, etc.). Muchos agentes del sector digital han lanzado su propia plataforma reservada a los objetos conectados: Amazon, Microsoft, Intel o, en Francia, Orange y La Poste.

6.12.2.

La internet de las cosas de la vida diaria puede ser objeto fácilmente de intrusiones malintencionadas, y la cantidad de información personal que puede recopilarse a distancia va en aumento (geolocalización, datos de salud, flujos de vídeo y audio). Las grietas en la protección de los datos interesan, en particular, a las compañías de seguros, que empiezan a ofrecer a sus clientes dotarse de objetos conectados y responsabilizarse de su comportamiento.

6.13.

Muchos gigantes de internet intentan que su aplicación de origen evolucione hacia una plataforma: así, hay que distinguir la aplicación Facebook de la plataforma Facebook, que permite a desarrolladores concebir aplicaciones accesibles desde los perfiles de usuario. Amazon, por su parte, era una aplicación web especializada en la venta en línea. Hoy, se ha convertido en una plataforma que permite a terceros —desde particulares a los grandes grupos— comercializar sus productos beneficiándose de los recursos de Amazon: reputación, logística, etc. Todo ello requiere transferencias de datos personales.

6.14.

La economía colaborativa registra una proliferación de plataformas: «una plataforma que pone en contacto, en particular por medios electrónicos, a una pluralidad de predisponentes de bienes o servicios y una pluralidad de usuarios» (9). Si bien estas plataformas se apoyan por la actividad y los empleos que generan, el CESE se pregunta cómo podrán controlarse las transferencias de datos a que dan lugar, tanto en la aplicación del RGPD como en la de este Reglamento.