Privacidad electrónica, el nuevo reglamento europeo

Ya queda menos para  asistir a la transformación de dos grandes regulaciones que nos han estado ayudando a proteger importantes derechos y libertades fundamentales, como el derecho a la intimidad y al honor, y también el derecho a no ser atropellados publicitariamente y a la autodeterminación informativa.

Me refiero lógicamente a la LOPD (Ley Orgánica 15/1999 de Protección de datos)  y a la LSSI-CE (Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y del Comercio Electrónico).

Ambas se transformarán para dar paso a sus dos homólogas europeas: el Reglamento General de Protección de Datos del que ya he hablado aquí en numerosas ocasiones y el Reglamento de Privacidad y Comunicaciones Electrónicas (que abreviaremos como RPCE).

Hoy le voy a dedicar a unas líneas a este último y a intentar resumir alguno de sus principios  a modo de guía para contemplar finalmente alternativas de adecuación.

¿Qué protege el RPCE?

Protege básicamente la privacidad de los usuarios en tanto personas físicas pero también se ocupa de defender los intereses legítimos de las empresas (personas jurídicas). Su objetivo es defender los derechos sobre la privacidad en relación con las comunicaciones electrónicas.

 En plena eclosión de la sociedad de la información, donde la publicidad y el marketing tienen innumerables vías de impacto sobre el usuario y la tecnología permite además conocer innumerables facetas de un usuario en tanto a gustos, preferencias, localización y hábitos, esta regulación es más necesaria que nunca si uno no quiere morir sofocado de SPAM o someterse a la persecución indiscriminada de anunciantes que pueden comprometer seriamente la privacidad  de cualquier persona.

¿A quién afecta?

A todas las empresas que presten servicios de telecomunicaciones, ya sea vía telefónica o electrónica. Estamos hablando de cualquier empresa que para realizar una acción comercial o prestar sus servicios, deba utilizar registros de empresas o particulares. Concretamente afectará a todo aquel cuyos servicios incluyan:

  • Venta por teléfono, correo electrónico, texto o fax.
  • Utilización de cookies o una tecnología similar en su sitio web.
  • Creación de directorio telefónico (o un directorio público).

¿Qué regula?

Regula todas las comunicaciones comerciales que se establezcan de forma telemática como:

  • Las llamadas de temarketing.
  • Las campañas de email marketing: correos electrónicos, textos y faxes.
  • Las cookies (y tecnologías similares) que se utilizan para rastrear usuarios, seguir el tráfico, localizarlos.
  • Identificación de línea y listados de directorios.

La normativa en párrafo corto

Los principios de esta normativa son los mismos que los del RGPD, pero aplicados a las telecomunicaciones y que son extensivos a las personas jurídicas. Para no reproducir la normativa, en este caso me voy a limitar a comentar los que considero más significativos.

Seguridad

Cualquier empresa que preste servicios de telecomunicaciones, telefónicas o electrónicas, deberá adoptar las medidas de seguridad adecuadas al riesgo existente. Al igual que en el RGPD, en caso de que exista un riesgo elevado para los usuarios, la empresa que preste el servicio de telecomunicaciones deberá advertir a sus abonados sobre ese riesgo.

Comunicaciones comerciales

En cuanto a las comunicaciones comerciales, se podrán utilizar sistemas automáticos (sin intervención humana) solo en el caso de que se cuente con el consentimiento previo de los abonados.

Se mantiene la prohibición de enviar correos electrónicos con fines comerciales a personas físicas o jurídicas que no hayan dado su consentimiento previo o solicitado expresamente esa comunicación, o hayan adquirido con anterioridad productos similares a los ofertados. Vamos, que todo lo que huela a spam sigue estando fuera de la legalidad, algo que lastimosamente siguen sin entender muchas empresas que a día de hoy siguen creyendo que comprar bases de datos es una buena idea.

También quedan fuera de la legalidad los correos en donde se disimule, u oculte la identidad del emisor. También todos aquellos que utilicen datos falsos en la identificación del remitente. Serán consideradas ilegales también, todos los correos electrónicos comerciales que no incluyan un mecanismo válido para desistir de nuevos envíos.

En el caso de las llamadas telefónicas de carácter comercial, no está permitido ocultar el número y la numeración de quien realiza la llamada debe permitir al usuario identificar el origen de la llamada.

Es lícito enviar comunicaciones comerciales a clientes sobre productos o servicios similares a los que fueron contratados, siempre y cuando se ofrezca una forma ágil de desistir de esas comunicaciones.

Confidencialidad

En artículo 5 explica este principio de esta manera: “Se debe garantizar la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados”.

Por tanto, cualquier forma de telecomunicación deberá incluir mecanismos informativos suficientes y que permitan a su vez recaba el consentimiento del usuario.

Consentimiento

Los requisitos para la obtención del consentimiento no difieren de los que plantea el RGPD y que abordamos en este post. Ya hemos visto que el consentimiento se refuerza en el RPCE, por tanto, enviar comunicaciones comerciales por medios electrónicos sin contar con el consentimiento o sin poder acreditar la obtención del mismo será manifiestamente contrario a la legalidad.

El consentimiento debe requerirse siguiendo esos principios tanto si se trata de una persona física como de una persona jurídica.

Vuelvo a insistir sobre la necesidad de regularizar todos los consentimientos obtenidos hasta la fecha, ya que dará igual el momento en que hayan sido obtenidos, queda meridianamente claro que para mayo del 2018, cualquier registro que conste en nuestra base de datos debe cumplir con este requisito.

Facturación

Todo abonado tiene derecho a recibir facturas no detalladas para hacer prevalecer su derecho a la intimidad. Es un punto interesante en la defensa de la privacidad el tener derecho a que no aparezcan en la factura todos los números a los que hemos llamado.

Datos de tráfico y localización

Cuando un prestador utilice datos de tráfico y localización relativos a los usuarios “sólo podrán tratarse estos datos si se hacen anónimos, o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios para la prestación de un servicio con valor añadido”. 

¿Cómo saber si lo estoy haciendo bien?

La AGPD ha proporcionado una lista de verificación muy interesante que permite comprobar si estamos en la buena dirección en materia de adecuación al RGPD. Puedes consultar la guía completa aquí.

Entre las cuestiones que se podrían extrapolar al RPCE, a mi juicio, podrían incluirse las siguientes que extraigo de dicho texto:

  1. La información que se proporciona a los interesados, ¿está presentada de forma clara, concisa, transparente y de fácil acceso en todos los sistemas de captura de información?
  2. ¿Se hace lo mismo en las comunicaciones comerciales telefónicas?
  3.  ¿Contiene esa información todos los elementos exigidos en el RGPD?
  4. ¿Puede acreditar el consentimiento expreso de los destinatarios de las campañas? ¿Los registros anteriores al RGPD cumplen ese requisito también?
  5. En caso de campañas comerciales dirigidas a clientes: ¿Están vinculadas a servicios o productos previamente contratados?
  6. ¿Dispone de mecanismos para el ejercicio de derechos visibles, accesibles y sencillos?
  7. ¿Existe la posibilidad de suprimir el desglose de facturas?
  8. ¿Se está garantizando la confidencialidad de la información de los registros de datos personales utilizados en la empresa?

Si podemos responder a estas preguntas afirmativamente, estaremos más cerca de dar cumplimiento al RPCE.

Comments

  1. Buenos días Marina y gracias por el post.

    De nuevo la normativa da una vuelta de tuerca al consentimiento y también lo exige en lo referente a las comunicaciones electrónicas de y para las personas jurídicas. En la misma linea que actualmente marca la LSSICE, en mi parecer.

    El problema será el mismo, que muchos usuarios interpretarán la norma a su antojo y dirán que como hacen publicidad a empresas, pues quedan al margen de la LOPD (eso lo he oído yo). Esperemos que con esta normalización y unificación quede claro que el consentimiento es fundamental para cualquier tipo de destinatario.

    Saludos.

  2. Marina Brocca says

    Gracias José Manuel por pasarte a comentar. Coincido contigo en que sin duda habrá muchos profesionales y empresas que intentarán buscarán cualquier resquicio para justificar prácticas al límite o fuera de la legalidad, lo seguimos viendo con la actual LSSI, que prohíbe las comunicaciones electrónicas que no hayan sido requeridas o autorizadas y sin embargo, siguen pululando en nuestras bandejas de entrada.

    Esperemos que esta nueva regulación sirva de refuerzo y genere una transformación de mentalidad del usuario para que empiece a ejercer a sus derechos de manera efectiva, quizás esta sea la mejor vía de concienciación a las empresas.

    Un fuerte abrazo y gracias por participar de este blog.

  3. Gracias a ti por dejarnos compartir nuestras opiniones.
    Saludos.

  4. Excelente y didáctica como siempre. Estoy de acuerdo totalmente con José Manuel. El tema no está en legislar sino en hacer cumplir la legislación y en este sentido, el empresariado en general ofrece y garantiza muy poco respeto en el tema de la seguridad y la protección debida y obligada para con sus clientes y afectados. Con la legislación actual, el empresariado “piensa” que con poner las “coletillas” y los textos copiados y pegados en sus espacios (off line y on line) ya tiene cumplida la ley. El problema sigue siendo el mismo: la falta de sensibilidad y de respeto con los datos de los demás (es decir con datos que no son tuyos). Si la exigencia del Compliance no se le acompaña de consecuencias adaptadas a las dimensiones y a la realidad empresarial, será otro pestiño más en el camino de las operaciones mercantiles y por tanto, otra ley a evitar. El alcance o la relevancia que como ley europea tiene todo esto no parece que impresione a ninguna empresa de este país (sobre todo a los pequeños, donde sólo ven otro gasto más). Mucho por hacer.

  5. Gracias por el post Marina y por hablar de temas que nos gustan y nos coupan.
    Me gustaría resaltar que el jueves pasado, 25 de mayo de 2017, a 365 días justo de la aplicación del RGPD, la propia Directora de la AEPD, Mar España, señaló que no era el momento para abordar temas como el planteado por un asistente, acerca del Reglamento sobre Privacidad y comunicaciones electrónicas (e-Privacy), ya que con el RGPD ya era más que suficiente (a lo que añadiría: y la “nueva” LOPD cocinándose).

    Pero en fin, para nosotros es necesario por eso gracias por hablar del tema.

    En todo caso, destacar que en la sesión de la AEPD, sobre la cuestión del consentimiento tácito y aunque la propuesta e-Privacy prohíbe las comunicaciones electrónicas no solicitadas por cualquier medio sin consentimiento previo, la Agencia indicó que en casos concretos, el interés legítimo permitirá consentimiento tácito obtenido antes de la aplicación del RGPD, pero como de costumbre la AEPD señaló que son cuestiones a concretar….

    En fin, nos quedan unos meses apasionantes. Gracias, un saludo, Rafa Varela

  6. Marina Brocca says

    Gracias Rosa por tus oportunas y preclaras reflexiones, las comparto plenamente. Creo que no hay regulación eficaz si no va acompañada de concienciación y cambio de mentalidad. Hablamos de entender la privacidad como un derecho básico y poner el foco en la seguridad en tanto pueda comprometerla y no para evitar un apercibimiento. Me temo que hay mucho trecho por recorrer en ese sentido.

    Rafael, gracias también por comentar, he escuchado la sesión completa en diferido y me he quedado impávida escuchando a mar España diciendo lo que comentas, cuando son dos regulaciones paralelas que se complementan, no es harina de otro costal precisamente, Sigue habiendo mucha indefinición, tal y como señalas en tu artículo sobre la sesión, veremos si en este caso, la reforma nos pilla confesados.

    Un abrazo a ambos y gracias por sumaros a comentar.

  7. Hay que estar al día y atentos a lo que se avecina para bloggers y para todos los que tenemos negocios y plataformas en Internet. Gracias Marina por mantenernos al tanto de la legalidad ;) saludos!!

  8. Marina Brocca says

    Muchísimas gracias Ismael por tu apoyo, me alegra poder aportar un poquito de luz a estos temas que suelen ser bastante duros de roer para el ciudadano de a pié.

    Espero verte pronto por aquí.
    Un abrazo