Blog FIDE
Por
Privacidad de comunicaciones electrónicas y la competitividad económica en Europa
El nuevo reglamento de la Comisión tiene como objetivo "reforzar la confianza y la seguridad en el mercado único digital mediante la actualización del marco legal sobre la privacidad electrónica"
El reglamento sobre privacidad de las comunicaciones electrónicas (e-PR), introducido por la Comisión Europea el 10 de enero de 2017 y cuyo objetivo es aumentar el nivel de protección de la privacidad de los ciudadanos de la UE, pretende sustituir la Directiva 2002/58/EC (conocida como la 'cookie directive').
El reglamento de la Comisión tiene como objetivo "reforzar la confianza y la seguridad en el mercado único digital mediante la actualización del marco legal sobre la privacidad electrónica".
Sin embargo, en términos generales, la propuesta de reglamentación es excesiva y la inseguridad jurídica resultante impedirá la competitividad económica de Europa, ya que impone una carga desproporcionada a la innovación. En particular, para aquellos emprendedores enfocados en proyectos de diseño de inteligencia artificial y 'machine learning', que se verán seriamente afectados.
Un año después de la propuesta de la Comisión Europea para modernizar el marco de la privacidad electrónica, y poco antes de que entre en vigor el Reglamento General de Protección de Datos (RGPD), los debates legislativos y la propuesta misma han generado incertidumbre en cuanto a la relación entre el e-PR y el RGPD.
Una de las características del e-PR es la ampliación del alcance de la regulación a los servicios de comunicación que se prestan de forma separada o adicional a las redes tradicionales de telecomunicaciones (por ejemplo, Skype o WhatsApp), así como a las funciones de comunicación realizadas mediante aplicaciones (por ejemplo, las funcionalidades de chat en los videojuegos, servicios de mensajería instantánea, servicios de traducción simultánea y subtitulado en comunicaciones electrónicas, etc.). En referencia al primer tipo de servicios, el efecto esperado es nivelar la regulación entre los operadores de servicios tradicionales de telecomunicaciones y los proveedores de dichas aplicaciones de comunicación; en el caso del segundo tipo, la consecuencia sería simplemente regular todo tipo de comunicaciones electrónicas.
En principio, el objetivo parece razonable, pero en realidad el e-PR mezcla dos derechos fundamentales, el derecho al respeto de la vida privada y familiar —artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea— y el derecho a la protección de datos de carácter personal —artículo 8—, y tiene como consecuencia el establecimiento de un estándar adicional al RGPD que ha generado incertidumbre para la industria, algunos reguladores y principalmente para los usuarios.
El concepto de secreto de las comunicaciones originalmente surgió para proteger la correspondencia. Si bien es cierto que se mantienen ciertas analogías con las comunicaciones electrónicas, no tiene sentido regularlas de la misma forma. A día de hoy, las comunicaciones electrónicas no solo transportan mensajes de un punto a otro, también ofrecen servicios agregados o enriquecidos que facilitan y mejoran las comunicaciones (por ejemplo, filtros de 'spam', servicios de traducción simultánea, correctores de ortografía, etc.). El e-PR insiste, por un lado, en establecer consentimientos adicionales a los ya requeridos conforme al RGPD para el tratamiento de los datos correspondientes a las comunicaciones, afectando directamente la usabilidad de los servicios de comunicaciones electrónicas, y por otro, ignora por completo los distintos títulos habilitantes para el tratamiento legítimo de datos personales contenidos en el propio RGPD.
La regulación, además de prohibir la intervención de las comunicaciones electrónicas (su objeto principal), limita el tratamiento de los datos, estableciendo así un estándar adicional frente al RGPD sin una justificación razonable. El resultado de esta mezcla de conceptos genera diversas inconsistencias e incoherencias entre el RGPD y el e-PR, particularmente en lo referente a los títulos habilitantes para el tratamiento de datos. El RGPD establece garantías al más alto nivel para la protección de los datos personales, regulando a los responsables y encargados de su tratamiento, con independencia del servicio que prestan. Permite que un responsable o encargado trate datos personales, no solo con base en el consentimiento del interesado sino también en el interés legítimo o en cumplimiento de una obligación legal. Por su parte, la propuesta de e-PR, en su artículo 6.3, establece que cualquier tratamiento de datos por parte de proveedores de servicios de comunicaciones electrónicas tendrá que basarse exclusivamente en el consentimiento específico del usuario, sin que exista justificación clara para sujetar a dichos proveedores a dicha condición, excluyendo los intereses legítimos de los usuarios, de los propios proveedores o el cumplimiento de las obligaciones legales a cargo de los responsables del tratamiento.
La regulación limita el tratamiento de los datos, estableciendo así un estándar adicional frente al RGPD sin una justificación razonable
Adicionalmente, el e-PR, en su artículo 7, establece obligaciones de borrado de metadatos que no son coherentes con el estado actual de la tecnología y que tienen un impacto en usuarios en situación de vulnerabilidad. Por ejemplo, si un usuario invidente utiliza tecnología para traducir y escuchar un texto, en los términos de la propuesta, una vez hecha la traducción y completada la transmisión del fichero de audio, el proveedor tendría la obligación de eliminar los datos tratados, por lo que el usuario se vería abocado a repetir el proceso tantas veces como quisiera escuchar el fichero.
Por otro lado, resulta sorprendente que el e-PR no haya mantenido las condiciones de seguridad de la actual Directiva 2002/58/EC (artículo 4). Las medidas de seguridad técnicas y organizativas que establece la directiva permiten que i) los datos sean confidenciales, es decir, que el acceso sea limitado y se restrinja a ciertos tipos de información, ii) se asegure la integridad de la información, y iii) los datos continúen disponibles de manera razonablemente continua.
En conclusión, el RGPD fue negociado y diseñado para proteger de manera sólida los datos personales de los ciudadanos de la UE (artículo 8 de la Carta) y, por tanto, el e-PR debe orientarse a proteger la confidencialidad de las comunicaciones conforme al artículo 7.
*Gabriel López Serrano, director de Asuntos Regulatorios para Microsoft Ibérica. Miembro del Consejo Académico de Fide.