El Reglamento e-Privacy y la actual regulación del marketing digital

AUTOR: Isabel García García 

FECHA: 18.12.2018

El plan de la UE para garantizar un marco común sobre el concepto de derecho fundamental a la privacidad de todo ciudadano europeo no termina con la entrada en vigor del Reglamento (UE) 2016/679, de 27 de abril, “General de Protección de Datos” (RGPD): la UE sigue trabajando para la aprobación del nuevo “Reglamento e-Privacy”, que vendrá a sustituir a la actual “Directiva e-Privacy” (2002/58/CE) y garantizar la coherencia con el RGPD en lo que a los tratamientos de datos personales en el sector de las comunicaciones electrónicas se refiere.

La última novedad en su evolución tuvo lugar el pasado 20 de septiembre con la publicación por el Consejo Europeo de un nuevo borrador revisado de la propuesta. Las modificaciones se centran especialmente en el artículo 6 (tratamientos de datos permitidos de comunicaciones electrónicas) y el artículo 8 (protección de la información almacenada en los equipos terminales de los usuarios finales), que fueron ya, junto con el artículo 10, el foco principal de las modificaciones operadas en la anterior revisión.  

La propuesta de Reglamento e-Privacy, tal como introdujimos a principios de este año, regula los servicios de comunicaciones electrónicas a usuarios finales en la Unión Europea, independientemente de si se trata de un servicio de pago o gratuito o de dónde esté asentado el proveedor del servicio, incluyendo  los servicios de mensajería instantánea y redes sociales, tales como WhatsApp o Skype. Y muy especialmente regulará el uso de servicios de tracking, que incluyen, entre otras cosas, el uso de cookies.

Regulación actual del marketing digital y los proveedores de servicios electrónicos

La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), que vino a trasponer la Directiva 2000/31/CE en España, es la que actualmente regula los aspectos concretos sobre las comunicaciones comerciales por vía electrónica y, en especial, la utilización de cookies, y para la cual es indiferente si los datos tratados para ello son personales o no. 

Pero ¿qué ocurre cuando los datos tratados para estas finalidades son efectivamente datos personales? ¿Sigue aplicando la LSSICE, por ser especial para el entorno online, o nos remitimos al RGPD, por tratarse de datos personales? En la conjugación de ambas normas surgen muy a menudo contradicciones, especialmente en lo que al consentimiento se refiere. 

Para el envío de comunicaciones de marketing y el uso de métodos de tracking online, ya sea a través de cookies u otro tipo de aplicación o software, la LSSICE requiere el consentimiento del usuario. Y además cuando en estas actividades entre en juego el tratamiento de datos personales, ese consentimiento deberá cumplir con las condiciones exigidas por el RGPD. Pero, es más, surge aquí la contradicción de que, de conformidad con el RGPD (Considerando 47) el tratamiento de datos personales con fines de mercadotecnia directa se puede considerar realizado por interés legítimo, si bien la LSSICE exige, en todo caso, el consentimiento del usuario para la misma finalidad.

Respecto a los posibles solapamientos entre ambas normas, el ya extinto Grupo de Trabajo del Artículo 29 (GT29) concluyó en sus Guidelines on consent under Regulation 2016/679 (“Directrices sobre el consentimiento bajo el Reglamento 2016/679”- WP259, adoptadas en noviembre de 2017 y revisadas en abril de este año) lo siguiente:

 

  1. En relación con la aún existente Directiva e-Privacy y la Directiva 2000/31/CE, las referencias que realizan a la derogada (por el RGPD) Directiva 95/46/CE deben entenderse ahora, por tanto, como referencias al RGPD. 
  2. Las exigencias para el consentimiento recogidas en el RGPD no se pueden considerar como una “obligación adicional”, sino como “pre-condiciones” para realizar un tratamiento legítimo. En consecuencia, las condiciones para obtener un consentimiento válido bajo el RGPD son aplicables a aquellas situaciones que se encuentran dentro del alcance de la Directiva e-Privacy.
  3. Es más, la propuesta de Reglamento e-Privacy recoge actualmente en su artículo 9 que la definición y las condiciones para el consentimiento contenidas en los artículos 4 (11º) y 7 del RGPD son aplicables. De esta forma, la noción de consentimiento recogida en la propuesta permanece conectada a la noción de consentimiento recogida en el RGPD. 

Por tanto, y a falta de otras interpretaciones jurisdiccionales o del propio legislador, hay que tener en cuenta que en el ámbito online prevalecen las disposiciones de la LSSICE, por ser ésta ley especial: se requerirá, en todo caso, el consentimiento del interesado para el tratamiento de datos con fines de mercadotecnia directa. No obstante, a la hora de realizar la petición de este consentimiento al usuario, no cabe perder de vista al RGPD en lo que a sus condiciones se refiere.