Carlos B Fernández. El pasado 10 de febrero la presidencia portuguesa consiguió cerrar un principio de acuerdo en el seno del Consejo de la Unión sobre el contenido de la propuesta de Reglamento europeo sobre protección de datos personales en el ámbito de las comunicaciones electrónicas, conocido como Reglamento ePrivacy.
Se trata de un proyecto que arrastra un largo recorrido desde que se inició hace cuatro años con la primera propuesta de la Comisión y que ha conocido ya ocho presidencias europeas, sin conseguir cerrar un acuerdo definitivo entre todas las partes implicadas (Comisión, Consejo y Parlamento Europeo).
Esta nueva versión detalla las condiciones en las que los proveedores de servicios pueden tratar los datos de las comunicaciones electrónicas, incluyendo los transmitidos en el uso de servicios en línea, incluidos los mensajes enviados en WhatsApp, Telegram y apps similares y las videollamadas en plataformas como Zoom y Skype. El objetivo general es que las comunicaciones online tengan la misma protección de la privacidad que se otorga a las comunicaciones de telecomunicaciones tradicionales.
La primera reacción de las autoridades europeas de protección de datos no ha sido muy favorable a esta propuesta.
Para conocer más detalles sobre esta propuesta y la opinión de los expertos al respecto, la sección española de la IAPP organizó recientemente una sesión, que resultó de notable interés.
Como explicó en su presentación EsterMocholi, Decana de la Facultad de Derecho de la Universidad Nebrija, anfitriona del evento, este Reglamento tiene como finalidad la salvaguarda de la privacidad de los ciudadanos europeos. Afecta a muchas empresas, en particular proveedores de software y apps, que también van a quedar incluidas en su ámbito de aplicación.
Una versión actualizada de la propuesta inicial
En la primera parte de la sesión, dirigida por Francisco González-Calero Manzanares, Lead Advisor en Govertis y miembro de IAPP, Joao Ferreira Pinto, Agregado Asuntos Digitales de la Representación Permanente de Portugal en la UE explicó que se trata de un tema muy complejo, por la variedad de aspectos y de intereses contrapuestos, pero de una pieza necesaria para completar el RGPD.
Según explicó también, la necesidad de una nueva versión de la propuesta obedece al tiempo transcurrido desde la primera y a los avances técnicos producidos desde entonces, como el 5G, la IoT, la IoBodies, o las comunicaciones M2M (máquina a máquina), etc. En todos esos aspectos, entre otros, la propuesta no estaba actualizada y por eso ha habido muchas posiciones que acercar.
Para ello, Portugal ha partido de la última propuesta de la presidencia finlandesa, que se considera la más próxima al RGPD y considera a la ePrivacy como una lex specialis del mismo, por lo que se sitúa muy próxima al mismo.
Tras la aprobación de la nueva propuesta se abre la conversación a tres bandas, o trílogos, entre Comisión, Parlamento Europeo y Consejo, en una dinámica que es muy dura y complicada.
Por una parte, Ferreira explicó que el Parlamento Europeo se sitúa en una posición un poco antigua, preocupado sobre todo de los consumidores. La Comisión, por su parte, partidaria de promover la economía de datos, prefiere mantenerse con su propio texto inicial, en tanto que el Consejo se muestra más partidario de poner énfasis en la defensa de la privacidad.
Los puntos más críticos del debate se centran en aspectos como las cookies walls o el tratamiento equivalente, que no tienen soluciones sencillas. En un primer momento, la Comisión pretende que la gestión de las cookies dependa de los navegadores.
A este respecto Joao Ferreira puso de relieve que la posición de Portugal ha sido novedosa, adoptando la idea de que las software settings pueden estar bien, pero deben ser actualizados para que sean válidos.
En cuanto a los operadores de las plataformas o over the top, se encuentran frente a una nueva situación desde que entró en vigor el Código europeo de las Comunicaciones Electrónicas, pues les será aplicable el Reglamento ePrivacy.
Por todo ello en este momento es difícil adelantar qué posición va a ganar, porque las posiciones están muy alejadas en muchos puntos, siendo lo único seguro que habrá que negociar y acordar mucho y que probablemente la solución final sea de compromiso.
Por ahora se está a la espera de que la Comisión presente su propuesta de fondo, lo que se espera para el verano. El resto del proceso seguramente todavía llevará más de un año, aunque la presidencia portuguesa tratará de hacer avanzar mucho los trílogos. Posiblemente la presidencia francesa o la española puedan cerrar el acuerdo (2 años, aproximadamente).
La opinión muy negativa del Supervisor Europeo
A continuación tuvo lugar una mesa redonda moderada por Javier de Miguel, Manager en Ecija y también miembro de la IAPP.
Abrió las intervenciones Leonardo Cervera Navas, Director del Supervisor Europeo de Protección de Datos, quien destacó en primer lugar que “la privacidad está en el ADN de los europeos”, por eso el caso ePrivacy es muy complicado, porque en él se mezclan protección de datos y privacidad de una manera muy compleja.
Entrando en el fondo, Cervera explicó que su disconformidad, y la del Supervisor, con la propuesta del Consejo, pese a que se aprecia el esfuerzo realizado, matizó. Esta opinión “muy negativa” de la última propuesta del consejo se debe a que la consideran un paso atrás. Su objetivo era particularizar el RGPD en relación con las comunicaciones electrónicas, aumentando el nivel de protección de la Directiva, cosa que no se lograría con la última propuesta.
En este sentido recordó que el Supervisor está advirtiendo de que el modelo de recogida masiva e indiscriminada de datos que se sigue en la actualidad es insostenible. Por ello, advirtió que “es fundamental que el tratamiento de datos en internet se base en principios muy respetuosos con el individuo” o, en otro caso, “el sistema va a colapsar”.
En su opinión, señaló que “necesitamos un modelo en el que se compartan muchos datos, pero muy pocos datos personales y que estos, además, estén muy protegidos”. Cualquier propuesta en otro sentido les parece un gran error, porque se sabe en qué va a terminar: en un daño para las sociedades democráticas y las personas, “igual que ocurrió con el uso masivo de combustibles fósiles”.
Leonardo Cervera previno, en todo caso, frente al falso dilema de innovación o privacidad, porque, en opinión del Supervisor, “igual que hay tecnologías limpias, hay tratamientos de datos limpios” y lo que vaya en contra de eso va en contra de los derechos de las personas.
Por ello, creen que permitir tratamientos más allá del consentimiento dado, o los tracking walls es restrigir la libertad del interesado.
Cervera concluyó señalando que si bien comprende las preocupaciones de la industria, cree que la solución es que el debate termine bien, o que no termine si la solución va a ser contraria a los derechos de los ciudadanos. “La UE es diálogo, remató, así que habrá que negociar mucho”.
Las preocupaciones de la industria
Por parte de las industrias más afectadas por esta futura regulación, intervino en primer lugar Paula Ortiz, Directora Jurídica y de Relaciones Institucionales de IAB Spain quien destacó, para empezar que el ecosistema de la publicidad se basa en interpretar datos que van desde la geolocalización a los datos IP, de ahí la importancia para este sector del Regl ePrivacy, en especial ante la prevista futura desaparición de las cookies.
Por ello expresó su confianza en que la norma prevea un margen para que las empresas puedan seguir tratando datos, alineando las bases legales para el tratamiento de la información. En este sentido explicó que la última versión del Consejo es más abierta que la precedente, pero que sigue limitando la base legitimadora al consentimiento. Por eso espera un enfoque más equilibrado, que se base en el RGPD y las bases legitimadoras del tratamiento que este prevé.
Puso como ejemplo a este respecto la importancia de la condicionalidad del consentimiento para el acceso a los servicios gratuitos. La propuesta del Parlamento Europeo de 2017 preveía la prohibición de cookies walls y la nueva propuesta parece ir en la misma línea, poniendo con ello en grave peligro la viabilidad de los servicios que se prestan a través de Internet, en particular teniendo en cuenta, advirtió, que a día de hoy la vía de la suscripción a un servicio no parece una opción.
Por otra parte, continuó, la propuesta de la presidencia portuguesa prevé (en su Considerando 20), la limitación de acceso a las web mediante el ofrecimiento de una “oferta similar”, lo que sería bueno pues permitiría limitar el acceso a los servicios a cambio de una segunda condición. Más allá de algunos servicios como los de prensa, existe una amplia gama de servicios basado en cookies y el tratamiento de datos, cuya viabilidad se vería muy seriamente comprometido por la propuesta. Por eso es fundamental que se mantenga que se pueda ofrecer servicios bajo esa condición.
Igualmente subrayó la importancia del plazo de vacatio legis previsto para mantener este modelo tan importante para la economía digital.
“Hay que tener en cuenta la innovación, el avance tecnológico y la soberanía digital de Europa”
Por su parte Antonio Muñoz Marcos, Director Oficina del DPD de Telefónica Global recordó la postura de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (LIBE), según la cual los datos ya no son un concepto estático y, además, el concepto de dato personal se ha extendido enormemente.
La realidad, explicó, es que todos los datos circulan por redes de comunicaciones y eso hace que la normativa sobre privacidad de las comunicaciones electrónicas no sea una normativa cualquiera, por lo que requería nuevas formas de regulación. Y aunque la actividad para intentarlo ha sido muy intensa, todavía no se ha alcanzado el necesario acuerdo.
La principal dificultad, subrayó, es que el tema es muy complejo: básicamente hacer a la innovación compatible con la privacidad, de forma que permita el avance tecnológico y que este a su vez, permita la soberanía digital, porque no se puede ser solvente en privacidad sin soberanía tecnológica.
Pero la realidad es que a día de hoy las posiciones están muy alejadas y no hay muchos puntos de acuerdo. La última propuesta del Consejo intenta una adaptación al avance tecnológico de los últimos años, en materias como IoT o metadatos.
Por eso, el concepto de tratamiento posterior compatible (con datos anonimizados y sin posterior reutilización) le parece un avance, porque una de las grandes dificultades del mundo actual es que el dato está siempre en tránsito y eso es lo que ahora se quiere regular, distinguiendo entre dato en reposo, sometido al RGPD y dato en tránsito, sometido a ePrivacy, pero siempre teniendo en cuenta que la normativa de ePrivacy no puede oponerse al RGPD.
El primer objetivo de la propuesta es la garantía de la privacidad de los ciudadanos europeos y en este sentido incluye muchos componentes garantistas, pero hay que tener en cuenta la necesidad de considerar otros factores, como mismas reglas para los mismos servicios. En parte estaría cubierto por el CCE. Pero hay que no, como los metadatos que parten del dispositivo o de la propia comunicación. No se trata igual el dato de localización de celda de un operador que el de un localizador de mapas, lo que provoca diferencias de trato relevantes.
Lo más relevante, en su opinión, tiene que ver con la regulación a prueba de futuro de la evolución de las tecnologías. Por eso es difícil proponer temas relacionados con ecosistemas complejas como el de la publicidad o el coche conectado, en los que intervienen múltiples actores con diferentes roles en función de que el dato esté en reposo o en movimiento. Eso no se soluciona mediante casos especiales, porque está muy vinculado a la comprensión del ecosistema.
Además, no se prevé un mecanismo de one stop shop, lo que puede complicar la cosa, al incorporarse múltiples autoridades de control.
Por todo ello considera que la orientación al riesgo es importante para permitir la adaptación al avance tecnológico.
“Que se ponderen los intereses en juego. La privacidad es muy importante, pero tiene implicaciones económicas”
En su turno de palabra, Beatriz Ruiz-Beato, Delegada de Protección de Datos de Nec Europe, señaló que entiende la estrategia de Europa, porque hay que aumentar la seguridad de los servicios digitales y dar confianza a los usuarios, asegurando su privacidad.
En estos momentos, continúo, estamos pasando del modelo tradicional de comunicaciones a un nuevo marco que llega hasta los servicios en la nube. Por ello si el mensaje de garantizar los derechos de los usuarios, teniendo en cuenta que la mayoría de prestadores de servicios son globales, la normativa va a ser de difícil cumplimiento para estos, sobre todo por la exigencia del consentimiento expresamente prestado por el usuario para el tratamiento de sus datos.
Añadió también que en su opinión, la última propuesta parece abrir una pequeña ventana cuando el prestador del servicio no pueda identificar al usuario, para poder aplicar un protocolo técnico que permita entender que el titular prestó su consentimiento en un momento anterior. Algo que podría ser utilizado por los prestadores de servicios que no se encuentran en la UE.
“Hay que buscar el equilibrio dando flexibilidad a los operadores y prestadores tecnológicos”
Finalmente, Catalina Sánchez Bundan, Head of Legal de Havas Media Group Spain hizo referencia a que lo que más afecta a las agencias de medios es el tema de las cookies.
Y es que si bien cada vez estamos más cerca de un mundo sin cookies, estas todavía permiten asignar publicidad y analizar tráfico, lo que es fundamental para la industria de la publicidad. Los anunciantes lo ven como una condición previa para definir sus presupuestos, sin esos datos la intención de voluntad disminuye. Por eso advirtió que, a nivel operativo, ePrivacy tiene impacto en los servicios que prestan las agencias, máxime teniendo en cuenta que el dato no es estático, sino dinámico.
En la actualidad se está desplazando la responsabilidad sobre la gestión posterior de los datos al titular de la web, que solo es la puerta de entrada, por tanto, en su opinión, habría que definir mucho mejor los roles y la posibilidad de tratamientos posteriores. Definir los flujos de datos permite asignar responsabilidades, pero no es fácil, sobre todo si pensamos en subcontrataciones.
Por eso se preguntó cómo se va a regular las relaciones entre los diversos intervinientes. En su opinión, el texto añade más confusión e incertidumbre e incoherencia en algunos puntos, por lo que no cree que les fuera a facilitar la tarea. Desde el punto de vista de los prestadores de servicios, la propuesta puede ser difícil de cumplir. El análisis e interpretación en materia de permisos y restricciones es grande.
Entrando en aspectos concretos de la propuesta, Sánchez Bundan considera, por una parte, que los muros de cookies no parecen muy razonables por lo que se planteó dejar la opción al usuario. Pero a los medios les preocupa que se dé más poder a los grandes operadores.
En cuanto al consentimiento inicial, este “ayuda mucho, pero luego las diferentes interpretaciones nacionales puede complicar”. Por ello creo que si bien el tratamiento basado en finalidades análogas equivalentes cree que mejora un poco, también aprecia un aumento de la responsabilidad de las agencias de publicidad, que son quienes organizan los papeles de los diferentes actores en el tema, por su posición intermedia en el proceso. Es una tarea solitaria, porque los anunciantes no suelen contar con departamentos jurídicos y, por otro lado, los proveedores no suelen definir el tratamiento requerido o su finalidad.
Por todo ello concluyó señalando que la propuesta de Reglamento de ePrivacy adolece de algunos aspectos necesarios para el sector de la publicidad y el mundo sin cookies, que puede provocar que la propuesta queda obsoleta antes de tiempo.