Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Reglamento relativo a la privacidad y las comunicaciones electrónicas (Reglamento ePrivacy)

[El texto completo del presente Dictamen está disponible en alemán, francés e inglés en el sitio web del SEPD www.edps.europa.eu]

El presente Dictamen resume la posición del SEPD en relación con la Propuesta de Reglamento relativo a la privacidad y las comunicaciones electrónicas, que habrá de derogar y sustituir a la Directiva 2002/58/CE del Parlamento Europeo y del Consejo.

Sin el Reglamento relativo a la privacidad y las comunicaciones electrónicas, el marco de protección de datos e intimidad de la UE estaría incompleto. Aunque el Reglamento General de Protección de Datos constituye todo un hito, necesitamos un instrumento jurídico específico que proteja el derecho a la intimidad, garantizado por el artículo 7 de la Carta de los Derechos Fundamentales, del que la confidencialidad de las comunicaciones constituye un componente fundamental. Por lo tanto, el SEPD acoge con agrado y apoya la Propuesta tendente precisamente a ello. El SEPD también apoya la elección del instrumento jurídico, es decir, un Reglamento que será directamente aplicable y contribuirá a conseguir un mayor nivel de armonización y coherencia. El SEPD acoge con agrado la voluntad de proporcionar un elevado grado de protección tanto en relación con el contenido como con los metadatos, y apoya el objetivo de ampliar las obligaciones de confidencialidad a una gama más amplia de servicios, incluidos los denominados servicios over-the-top (OTT), lo cual refleja el progreso de la tecnología. Asimismo, considera que la decisión de otorgar exclusivamente a las autoridades de protección de datos competencias en materia de ejecución, y la disponibilidad de mecanismos coherentes y de cooperación dentro del futuro Consejo Europeo de Protección de Datos contribuirá a un cumplimiento más coordinado y efectivo de la legislación en el conjunto de la UE.

Al mismo tiempo, el SEPD alberga dudas sobre si la Propuesta, en sus términos actuales, puede garantizar de hecho la promesa de alcanzar un alto nivel de protección de la intimidad en las comunicaciones electrónicas. Es necesario un nuevo marco jurídico para la privacidad y las comunicaciones electrónicas pero también es necesario que sea más inteligente, claro y riguroso. Aún queda un largo camino por recorrer: la complejidad de las normas, como se detallan en la Propuesta, es abrumadora. Las comunicaciones se dividen en metadatos, datos de contenido y datos emitidos por el equipo terminal. Cada tipo faculta un nivel diferente de confidencialidad y está sujeto a diferentes excepciones. Esta complejidad puede comportar cierto riesgo, quizás no intencionado, en forma de deficiencias en la protección.

La mayoría de las definiciones en las que se basa la Propuesta se negociarán y decidirán en el contexto de un instrumento jurídico diferente: el Código Europeo de las Comunicaciones Electrónicas. No existe en la actualidad justificación legal para vincular tan estrechamente ambos instrumentos, y las definiciones del Código enfocadas al mercado y la competencia simplemente no cumplen su propósito en el contexto de los derechos fundamentales. Por ello, el SEPD aboga por la inclusión de un conjunto de definiciones necesarias en el Reglamento relativo a la privacidad y las comunicaciones electrónicas, teniendo en cuenta los objetivos y el alcance previstos.

Asimismo, es necesario prestar especial atención a la cuestión del procesamiento de los datos de comunicaciones electrónicas por otro tipo de controladores que no sean los proveedores de servicios de comunicaciones electrónicas. Las protecciones adicionales concedidas a los datos de comunicaciones no tendrían sentido si fuera posible eludirlas fácilmente mediante, por ejemplo, la transferencia de datos a terceros. También se debería garantizar que las normas relativas a la privacidad y las comunicaciones electrónicas no den lugar a un menor grado de protección que el recogido en el RGPD. El consentimiento debe ser genuino, y permitir la libre elección a los usuarios, como exige el RGPD. No debe haber más «muros de seguimiento». Además, las nuevas normas también deberían establecer requisitos firmes en cuanto a la protección de la intimidad desde el diseño y por defecto. Por último, en este Dictamen el SEPD también aborda otras cuestiones urgentes, como las restricciones al alcance de los derechos.

El presente dictamen preliminar (Dictamen) responde a la solicitud formulada por la Comisión Europea (Comisión) al Supervisor Europeo de Protección de Datos (SEPD), como autoridad de supervisión independiente y órgano consultivo, para que facilite un dictamen relativo a la Propuesta de Reglamento relativo a la privacidad y las comunicaciones electrónicas (1) (Propuesta). La Propuesta tiene por objeto derogar y sustituir a la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas (Directiva ePrivacy) (2). La Comisión solicitó también el dictamen del Grupo de Trabajo del artículo 29 sobre protección de datos (GT29), al que el SEPD contribuyó como miembro de pleno derecho (3).

Este Dictamen es continuación de nuestro Dictamen Preliminar 5/2016 sobre la revisión de la Directiva sobre la privacidad y las comunicaciones electrónicas (2002/58/CE) (4), publicada el 22 de julio de 2016. Asimismo, el SEPD podrá facilitar asesoramiento en fases posteriores del procedimiento legislativo.

La Propuesta es una de las principales iniciativas de la Estrategia para un Mercado Único Digital (5), cuya finalidad es reforzar la confianza y la seguridad en los servicios digitales en la UE, centrando la atención en garantizar un nivel elevado de protección de los ciudadanos y unas condiciones de igualdad para todos los agentes del mercado en el conjunto de la UE.

El objetivo de la Propuesta es modernizar y actualizar la Directiva sobre la privacidad y las comunicaciones electrónicas, como parte de un esfuerzo más amplio destinado a proporcionar un marco jurídico coherente y armonizado para la protección de datos en Europa. La Directiva sobre la privacidad y las comunicaciones electrónicas particulariza y complementa la Directiva 95/46/CE (6), que será sustituida por el Reglamento General sobre Protección de Datos (RGPD) (7), aprobado recientemente.

En primer lugar, el SEPD resume sus principales observaciones sobre la Propuesta en el capítulo 2, centrado en los aspectos positivos de la misma. En segundo lugar, en el capítulo 3 plantea las principales dudas que aún subyacen y proporciona recomendaciones sobre cómo abordarlas. En el anexo de este Dictamen se exponen otras dudas y recomendaciones para futuras mejoras, y se analiza la Propuesta de modo más detallado. Abordar las dudas expuestas en este Dictamen y en su anexo, además de las futuras mejoras del texto del Reglamento relativo a la privacidad y las comunicaciones electrónicas, no solo permitiría proteger mejor a los usuarios finales y a otras partes interesadas, sino también introducir una mayor seguridad jurídica para todas las partes implicadas.

El SEPD acoge la Propuesta de la Comisión por la que se crea un Reglamento relativo a la privacidad y las comunicaciones electrónicas más moderno, actualizado y consolidado. Comparte la opinión de que sigue siendo necesario disponer de normas específicas para proteger la confidencialidad y la seguridad de las comunicaciones electrónicas en la UE y para complementar y particularizar los requisitos del RGPD. También considera necesario disponer de normativas legales sencillas, específicas y tecnológicamente neutras que proporcionen una protección firme, inteligente y eficaz en un futuro próximo.

El SEPD acoge con satisfacción la voluntad declarada de ofrecer un alto grado de protección con respecto al contenido y a los metadatos, en especial los elementos positivos esenciales expuestos en el capítulo 2.1.

Aunque acoge con satisfacción la Propuesta, el SEPD sigue albergando dudas respecto a una serie de normativas legales que podrían socavar la intención de la Comisión de asegurar un elevado nivel de protección de la intimidad en las comunicaciones electrónicas. En particular, el SEPD alberga las siguientes preocupaciones:

Estas preocupaciones esenciales, junto con las recomendaciones sobre cómo abordarlas, se especifican en el presente Dictamen. Más allá de los comentarios generales y las inquietudes principales que hemos expuesto en la parte principal del Dictamen, el SEPD también ofrece otros comentarios y recomendaciones (en ocasiones más técnicos) sobre la Propuesta en el anexo, en particular para facilitar la labor de los legisladores y otros interesados que deseen mejorar aún más el texto a lo largo del proceso legislativo. Por último, también destacamos la importancia de que los legisladores agilicen la tramitación de este expediente, con el fin de asegurar que el Reglamento relativo a la privacidad y las comunicaciones electrónicas pueda aplicarse, conforme a lo previsto, a partir del 25 de mayo de 2018, la fecha en la que el RGPD también será aplicable.

La importancia de la confidencialidad de las comunicaciones con arreglo a lo dispuesto en el artículo 7 de la Carta se ve reforzada, como consecuencia del protagonismo creciente que están adquiriendo las comunicaciones electrónicas en nuestra sociedad y nuestra economía. Las salvaguardas mencionadas en el presente Dictamen desempeñan un papel clave para garantizar el éxito de los objetivos estratégicos a largo plazo de la Comisión en su Estrategia para un Mercado Único Digital.

Hecho en Bruselas, el 24 de abril de 2017.

Giovanni BUTTARELLI

Supervisor Europeo de Protección de Datos

(1) Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas. Este Reglamento derogará la Directiva 2002/58/CE (Reglamento relativo a la intimidad y las comunicaciones electrónicas), COM(2017) 10 final, 2017/0003 (COD).

(2) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (DO L 201 de 31.7.2002, p. 37).

(3) Dictamen del GT29 1/2017 relativo al Reglamento propuesto sobre la privacidad y las comunicaciones electrónicas (2002/58/CE) (GT247), aprobado el 4 de abril de 2017. Dictamen del GT29 3/2016 relativo a la evaluación y la revisión de la Directiva sobre la privacidad y las comunicaciones electrónicas (2002/58/CE) (GT240), aprobado el 19 de julio de 2016.

(4) Véase https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf.

(5) Una Estrategia para el Mercado Único Digital en Europa, Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, 6 de mayo de 2015, [COM(2015) 192 final], disponible en: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52015DC0192&from=EN.

(6) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(7) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016).

(8) Propuesta de una Directiva del Parlamento Europeo y el Consejo que establece el Código Europeo de las Comunicaciones Electrónicas, COM(2016) 590 final/2, 2016/0288 (COD) de 12 de octubre de 2016.