La Directiva ePrivacy, el Reglamento ePrivacy y el RGPD: ¿qué implican para su empresa?

La Unión Europea (UE) cuenta con unas de las leyes en materia de privacidad de los datos más estrictas del mundo, el Reglamento General de Protección de Datos (RGPD) y la Directiva ePrivacy, que ya están en vigor. Sin embargo, el Reglamento relativo a la privacidad y las comunicaciones electrónicas o Reglamento ePrivacy pretende introducir algunos cambios en la protección de datos y el consentimiento de cookies, y ampliará el ámbito de las organizaciones que se verán afectadas.

Echemos un vistazo a los requisitos de ePrivacy y lo que significan los cambios para la protección de datos.

El término ePrivacy abarca tanto la Directiva ePrivacy (Directiva 2002/58/CE) como el Reglamento ePrivacy propuesto, cuyo objetivo es garantizar la privacidad y la protección de las comunicaciones electrónicas dentro de la UE. Su intención es complementar el RGPD.

La Directiva ePrivacy (conocida como «ley de cookies») se promulgó en 2002 y se actualizó en 2009. Aborda específicamente los problemas de privacidad en las comunicaciones electrónicas. Exige la confidencialidad de la comunicación a través de redes públicas, requiere el consentimiento del usuario para las cookies, establece directrices para la seguridad de los servicios de comunicación electrónica y regula las prácticas de marketing directo. Los banners de consentimiento de cookies cobraron un mayor protagonismo después de la aprobación de la Directiva ePrivacy, ya que resultan una forma práctica de recabar el consentimiento explícito de los usuarios.

Esta directiva exige su incorporación a legislación nacional de los Estados miembros de la UE, lo que provoca variaciones en la aplicación de la ley en toda la Unión.

En noviembre de 2023, el Comité Europeo de Protección de Datos (CEPD) publicó nuevas directrices que ampliaban el ámbito de las tecnologías cubiertas por la directiva.

El artículo 5(3) de la Directiva ePrivacy establece que antes de que una empresa o sitio web pueda almacenar información u obtener información del dispositivo de un usuario (como un ordenador o un smartphone), debe obtener el consentimiento previo del usuario.

En virtud de las Directrices 2/2023 sobre el ámbito técnico del artículo 5(3) de la Directiva ePrivacy, el CEPD amplía la aplicación de la directiva para el almacenamiento o el acceso a la información en el dispositivo de un usuario. El CEPD interpreta, en un sentido amplio, lo que constituye el equipo terminal y la naturaleza de la información, e indica que muchos métodos de seguimiento digital requerirán el consentimiento mediante aceptación previa, a menos que sean necesarios para prestar un servicio solicitado.

Las directrices se refieren específicamente al uso de diversas tecnologías de seguimiento modernas, que ahora son prevalentes en el marketing digital y el seguimiento online.

Los píxeles de seguimiento son imágenes diminutas incrustadas en sitios web o correos electrónicos que se vinculan a un servidor. Cuando se abre un correo electrónico o se visita una página web que contienen un píxel de seguimiento, el servidor puede registrar la acción y capturar detalles como la hora en que se abrió el correo electrónico, la dirección IP del destinatario y el tipo de dispositivo utilizado. Los enlaces de seguimiento de URL a sitios web ayudan a identificar de dónde proceden los visitantes.

A veces, los sitios web utilizan API para acceder a la información almacenada en el dispositivo de un usuario, como los datos de ubicación. Si la información procesada está disponible a través de la red, según estas directrices, se considera que se ha obtenido acceso a la información almacenada.

Algunas tecnologías se basan únicamente en la recopilación de la dirección IP para el seguimiento de los usuarios. Si la dirección IP procede del equipo terminal del usuario, se aplicaría el artículo 5(3) de la Directiva ePrivacy.

Según las directrices, necesitará el consentimiento del usuario para la recopilación y el procesamiento de datos de los dispositivos conectados directa o indirectamente a Internet. Esto se aplica a dispositivos inteligentes como frigoríficos o monitores de ejercicio, tanto si envían datos directamente como a través de otro dispositivo, por ejemplo, un smartphone.

Los identificadores únicos son códigos especiales que se adjuntan a los datos online de un usuario para indicar que pertenecen al usuario. A menudo provienen de datos personales persistentes, o información personal que no cambia con el tiempo, como direcciones de correo electrónico, nombres de usuario o ID de cuenta, o fechas de nacimiento. Se utilizan para reconocer a los usuarios en diferentes sitios web o aplicaciones. Cuando un sitio web indica al navegador de un usuario que envíe estos datos, accede a la información del dispositivo acogiéndose al artículo 5(3).

No, en virtud de la Directiva ePrivacy, las cookies «estrictamente necesarias» para la prestación de un servicio solicitado explícitamente por el usuario no requieren consentimiento. Estas cookies son esenciales para el funcionamiento básico del sitio web o para proporcionar el servicio que el usuario ha solicitado directamente. Algunos ejemplos son los siguientes:

• Cookies que se utilizan para mantener el estado de las actividades de un usuario en un sitio web durante una sesión de navegación, como mantener el estado de inicio de sesión.
• Cookies que se usan para facilitar funciones de seguridad y ayudar a identificar y evitar riesgos de seguridad.
• Cookies que recuerdan la información introducida por el usuario, como el nombre de usuario, el idioma o la región, para proporcionar una experiencia más personalizada.

Aunque estas cookies están exceptuadas del requisito de consentimiento, se espera que informe a los usuarios sobre el uso de dichas cookies, a menudo a través de una política de privacidad o una política de cookies.

El Reglamento ePrivacy es un marco jurídico propuesto por la UE con el fin de actualizar y sustituir la Directiva ePrivacy existente. El objetivo principal del Reglamento ePrivacy es mejorar la protección de la privacidad en las comunicaciones electrónicas y se extiende a un ámbito mayor que el de los proveedores de telecomunicaciones tradicionales para incluir nuevos servicios de comunicación como aplicaciones de mensajería instantánea, servicios VoIP y correo electrónico. Incluye texto, imágenes, voz, vídeos y metadatos.

A diferencia de las directivas, que exigen su transposición a las leyes nacionales, los reglamentos se aplican de forma directa, lo que significa que se imponen con uniformidad en toda la UE una vez que entran en vigor. El Reglamento ePrivacy se ha diseñado para ajustarse estrechamente al RGPD, lo que garantiza un enfoque coherente y unificado de la protección de datos y la privacidad en toda la UE.

El Reglamento ePrivacy tiene como objetivo ampliar la protección de la privacidad a una gama más amplia de comunicaciones electrónicas, más allá de los operadores de telecomunicaciones tradicionales. Se aplicará a cualquier empresa que procese datos en relación con cualquier forma de servicio de comunicación online, utilice tecnologías de seguimiento online o participe en marketing directo electrónico, y engloba tanto a personas físicas como jurídicas que participen en la comunicación electrónica.

Ejemplos de a quién se aplica el reglamento:

• Propietarios de sitios web.
• Propietarios de aplicaciones que tienen comunicación electrónica como componente.
• Personas físicas o jurídicas que envían comunicaciones de marketing directo.
• Empresas de telecomunicaciones.
• Proveedores de servicios de mensajería (WhatsApp, Facebook y Skype).
• Proveedores de acceso a Internet (por ejemplo, una tienda o cafetería que ofrezca acceso a una red Wi-Fi pública)

El reglamento también se aplicará a las comunicaciones máquina a máquina (Internet de las cosas).

Al igual que el RGPD, el ámbito territorial del reglamento se extiende fuera de la UE. Se aplicará a los datos de los usuarios finales ubicados en la UE, aunque la recopilación y/o el tratamiento de los datos tengan lugar fuera de la UE o los lleven a cabo proveedores fuera de la UE.

El Reglamento ePrivacy establece varias prohibiciones concretas para proteger los derechos de privacidad de los usuarios:

• Cualquier interceptación, almacenamiento, supervisión, análisis o inspección de datos de comunicaciones electrónicas realizado por cualquier persona distinta al usuario final (a menos que la normativa lo permita expresamente).
• El uso de tecnologías de seguimiento para fines ajenos a los técnicos sin obtener un consentimiento explícito.
• La obtención de acceso a la información almacenada en el equipo terminal de un usuario sin su consentimiento.
• El envío de comunicaciones electrónicas o spam no solicitados, lo que incluye los correos electrónicos no solicitados, los mensajes de texto y los sistemas de llamadas automatizadas.
• El tratamiento de metadatos derivados de las comunicaciones electrónicas (como datos de ubicación, tiempos de llamada e información del destinatario) sin el consentimiento del usuario u otra base legal.

El Reglamento ePrivacy aún no se ha implementado y está sujeto a cambios antes de que se apruebe como reglamento vinculante. Los principales ámbitos en los que se centra el Reglamento ePrivacy incluyen:

Amplía el ámbito de aplicación de la directiva actual para abarcar formas modernas de comunicación, como los servicios de mensajería en plataformas de redes sociales (WhatsApp, Facebook Messenger) y proveedores de VoIP, con el objetivo de contar con una cobertura completa de los métodos de comunicación digital.

Un muro de cookies es un mecanismo mediante el cual los sitios web deniegan el acceso a los usuarios a menos que el usuario preste su consentimiento a las cookies. El Reglamento ePrivacy propuesto no prohíbe de forma tajante los muros de cookies y los permite en determinadas condiciones. En concreto, un sitio web puede pedir a los usuarios que presten su consentimiento a las cookies si también ofrece una opción similar que no exija el consentimiento. La clave está en ofrecer a los usuarios una opción clara, garantizando que tengan un medio alternativo para acceder a los servicios sin verse obligados a aceptar las cookies.

Los proveedores de cualquier servicio de comunicación electrónica, como Gmail, Skype, Facebook Messenger y WhatsApp, deberán proporcionar unos estándares de seguridad de datos más elevados para garantizar la confidencialidad de los datos de las comunicaciones. Se les pedirá que protejan todos los datos de comunicaciones mediante las mejores técnicas disponibles.

El reglamento también protege los metadatos de las comunicaciones electrónicas. Algunos ejemplos de metadatos son:

• Hora y fecha de la comunicación.
• Cuánto duró la comunicación.
• Dónde se encontraban el remitente y el destinatario en el momento de la comunicación.
• Si la comunicación fue una llamada de voz, una videollamada, un mensaje de texto, un correo electrónico, etc.
• Información sobre los dispositivos utilizados para la comunicación, incluidos el tipo de dispositivo y los identificadores.
• Detalles relativos a la red utilizada para la comunicación, como los identificadores de red Wi-Fi o móvil y la intensidad de la señal.

La interceptación de metadatos solo puede ocurrir de acuerdo con el reglamento.

Existe una diferencia significativa entre las directivas de la UE, como la ley de cookies de la UE de 2002, y los reglamentos, como la propuesta de Reglamento ePrivacy. Mientras que una directiva debe ser aplicada por los diferentes países a nivel nacional, un reglamento pasa de inmediato a ser jurídicamente vinculante en los países de la UE.

Las directivas se aplican con ligeras diferencias en cada país, mientras que los reglamentos tienen exactamente el mismo contenido en todos los países de la UE. El hecho de que las leyes de ePrivacy constituyan ahora un reglamento demuestra la continua dedicación de la UE a una rigurosa protección de los datos en todo su territorio.

Los responsables de marketing no podrán enviar correos electrónicos, mensajes de texto ni cualquier otra forma de comunicación sin el permiso previo de los usuarios, lo que provocará una reducción del spam.

El RGPD y el Reglamento ePrivacy presentan varias similitudes:

• Comparten las mismas multas elevadas por incumplimiento.
• Ambos tienen como objetivo armonizar las leyes de privacidad de datos en toda la UE.
• Ambos se aplican al tratamiento de datos de personas que residen en territorio de la UE, independientemente de que los encargados del tratamiento estén o no ubicados dentro de la UE.
• Ambos son reglamentos de la UE.

Sin embargo, existen algunas diferencias importantes entre los dos reglamentos, que se describen en el cuadro siguiente.

Inicialmente, estaba previsto que el Reglamento ePrivacy entrara en vigor junto con el RGPD, el 25 de mayo de 2018, pero aún no se ha producido su adopción. El Consejo de la UE publicó un proyecto, finalizado el 10 de febrero de 2021, que se encuentra actualmente en fase de negociaciones entre el Consejo y el Parlamento Europeo. Si se aprueba el proyecto, se convertirá en ley en los 27 Estados miembro.

Una vez aprobado el proyecto, habrá un periodo de dos años antes de que se aplique el reglamento. Le dará tiempo para introducir los cambios necesarios y cumplir la normativa si su organización se ve afectada.

Las sanciones del RGPD son considerables y se aplicarán las mismas multas al incumplimiento del Reglamento ePrivacy: hasta 20 millones de euros o el 4 % de los ingresos globales anuales del ejercicio anterior, lo que sea mayor.

Cuando entre en vigor el Reglamento ePrivacy, se aplicará inmediatamente a los procesadores de comunicaciones electrónicas de toda la UE y las empresas deben asegurarse de su cumplimiento antes de ese momento.

El Reglamento ePrivacy no sustituirá al RGPD, sino que las dos normativas deben coexistir y complementarse entre sí. No es cierto que el Reglamento ePrivacy cambie por completo las normas de privacidad, de forma que las empresas que cumplen el RGPD tengan que empezar de nuevo. El Reglamento ePrivacy solo ampliará las leyes de privacidad de la UE. Incluso después de que entre en vigor, las empresas deberán cumplir tanto el RGPD como el Reglamento ePrivacy correrán el riesgo de ser multadas.

Además, es probable que el consentimiento se utilice en mayor medida como base jurídica para el tratamiento de datos una vez que entre en vigor el Reglamento ePrivacy, y éste utiliza la definición de consentimiento del RGPD. Disponer de un método que cumpla el RGPD para obtener el consentimiento ya es una gran forma de prepararse para el Reglamento ePrivacy.

Usercentrics realiza un seguimiento de los desarrollos normativos para garantizar que nuestro producto esté actualizado con las normas más recientes. Las empresas pueden usar nuestra plataforma de gestión del consentimiento (CMP) para facilitar el cumplimiento del RGPD y la directiva ePrivacy, así como prepararse para las futuras leyes de privacidad de los datos, como el Reglamento ePrivacy.

Más información:

• Enero de 2017: Se publica el texto provisional del Reglamento ePrivacy.
• Septiembre de 2017: El Consejo Europeo publica las enmiendas propuestas
• Febrero de 2021: El Consejo Europeo publica el mandato para las negociaciones con el Parlamento Europeo

Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.