La Comisión Europea ha publicado (10-ene-17) una nueva propuesta para regular la protección de datos personales.

En línea con el proyecto normativo de OSIPTEL acerca de los lineamientos de calidad regulatoria (ver artículo previo), considero oportuno comentar sobre cómo la Comisión Europea está empleando el análisis de impacto regulatorio (RIA, por sus siglas en inglés) en su mencionada propuesta.

Previo a comentar al respecto, es preciso enmarcar el asunto dentro de la política más amplia de establecer un mercado único digital en la Unión Europea.

Esto último es importante en la medida en que el tema principal no es la protección de datos personales en sí mismo (aspecto que ya es regulado en cada uno de los países miembros), sino cómo la protección de datos personales es un tema relevante e imprescindible para alcanzar el objetivo de unificar digitalmente a la Unión Europea.

Siendo así, en primer lugar comentaré sobre la estrategia y los retos de la Unión Europea con respecto a la unificación del mercado digital.

Luego, teniendo claro cómo encaja la protección de datos personales dentro de dicha estrategia, paso a comentar la nueva propuesta de protección de datos personales, que más allá de los operadores telco, estaría incluyendo a los OTT.

Mercado único digital en la Unión Europea: principales retos

La Comisión Europea publicó el comunicado sobre la estrategia del mercado único digital el 06-may-15, documento de 20 páginas que a su vez fue sustentado mediante un informe de 109 páginas.

Tal como sostuvo entonces en conferencia de prensa el vicepresidente de la Comisión Europea, Andrus Ansip: “El mercado interno no está funcionando como debería…Con el mercado único digital se desea que las personas compren como en casa y las empresas vendan como en casa”).

El comunicado define: “Un mercado único digital es aquél en el que la libre circulación de mercancías, personas, servicios y capitales está garantizada y en el que personas y empresas pueden acceder fácilmente a las actividades y ejercerlas en línea en condiciones de competencia, con un alto nivel de protección de los datos personales y de los consumidores, con independencia de su nacionalidad o lugar de residencia. Lograr un mercado único digital permitirá que Europa mantenga su posición de líder mundial en la economía digital, lo que ayudará a las empresas europeas a crecer a escala mundial”.

De esta manera, la estrategia para el mercado único digital se basa en 3 pilares:

1. Mejorar el acceso de los consumidores y las empresas a los bienes y servicios en línea

• Normas de comercio electrónico transfronterizo en las que los consumidores y las empresas puedan confiar
• Envíos transfronterizos de paquetería de alta calidad a precios asequibles
• Evitar el bloqueo geográfico injustificado
• Un mejor acceso a los contenidos digitales – un marco europeo moderno de los derechos de propiedad intelectual
• Reducción de las cargas y obstáculos relacionados con el IVA en las ventas transfronterizas

2. Crear las condiciones adecuadas para que las redes y servicios digitales prosperen

• Hacer que la normativa sobre telecomunicaciones sea la adecuada para los fines previstos
• Un marco para los medios de comunicación del siglo XXI
• Un marco regulador adecuado para los fines previstos para las plataformas y los intermediarios
• Reforzar la confianza y la seguridad en los servicios digitales y en el tratamiento de los datos personales

3. Aprovechar al máximo el potencial de crecimiento de la economía digital

• Construir una economía de los datos
• Impulsar la competitividad mediante la interoperabilidad y la normalización
• Una sociedad electrónica integradora

La hoja de ruta con los contenidos para cada pilar del mercado único digital fue programada de la siguiente manera:

Un estudio de Cullen Internacional nos ofrece una manera interesante de enfocar dichos pilares bajo otra estructura: (i) conectividad, (ii) consumo online, y (iii) nuevos servicios. En este caso, la protección de los datos personales formaría parte del consumo online.

Nueva propuesta de protección de datos personales: análisis de impacto regulatorio

El 10-ene-17, la Comisión Europea ha publicado 2 propuestas de Reglamento que complementarán al Reglamento general de protección de datos publicado el 27-abr-16.

Dichas propuestas son (las versiones en español se publicarán en febrero):

• Proposal on the protection of individuals with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC

• Proposal concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)

En este artículo trato sobre el análisis de impacto regulatorio de la segunda propuesta, concerniente al respeto a la vida privada y protección de datos personales en las comunicaciones electrónicas.

Previamente comento sobre el Reglamento general de protección de datos, el cual es el principal soporte normativo con respecto a dicho tema.

Reglamento general de protección de datos (Reglamento 2016/679 del 27-abr-16)

Observamos que la revisión de la Directiva sobre la privacidad y las comunicaciones electrónicas (e-privacy) se programó en la hoja de ruta para el 2016, la cual efectivamente fue promulgada mediante un Reglamento el 27-abr-16 (posteriormente publicado en el Diario Oficial de la Unión Europea el 04-may-16), y que derogó la Directiva 95/46/CE.

Es relevante resaltar la importancia de que esta vez sea un Reglamento y no una Directiva, ya que este Reglamento, a diferencia de las Directivas, tiene como principal efecto ser de directa aplicación en toda Europa, sin necesidad de incorporación por los Estados miembros a su ordenamiento interno. La aplicación de dicho reglamento iniciaría el 25-may-18, por la necesidad de adaptación en los Estados, Administraciones públicas y empresas.

En resumen, las principales novedades fueron:

• El Reglamento se aplicará a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión

• No sólo continúan reconociéndose los ya clásicos derechos de Acceso, Rectificación, Cancelación y Oposición, sino que, además, regula 2 nuevos derechos, el denominado “derecho al olvido” y el derecho a la portabilidad de datos. El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable

• Introduce la nueva figura del Delegado de Protección de Datos (DPD), imponiendo la obligatoriedad del nombramiento de un DPD a todos los organismos públicos -con la excepción de tribunales en aplicación de la función judicial- y a las entidades privadas, sean éstas consideradas responsables o encargados del tratamiento, cuyas actividades principales conlleven la “observación habitual y sistemática de interesados a gran escala” o el “tratamiento a gran escala de categorías especiales de datos”

Propuesta de reglamento concerniente al respeto a la vida privada y protección de datos personales en las comunicaciones electrónicas

Esta propuesta (de 6 capítulos y 29 artículos) particulariza aspectos puntuales y complementa al Reglamento General de Protección de Datos.

Según la Comisión, las principales novedades de esta propuesta son:

• Las reglas de privacidad ahora incluirán no sólo a los operadores telco sino también a los OTT tales como WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, or Viber.

• Mediante la actualización de la Directiva 2002/58/EC acorde al Reglamento General de Protección de Datos, todas las personas y empresas de la UE gozarán del mismo nivel de protección

• La privacidad será garantizada tanto en el contenido como en los metadatos (v.g. hora y localización del mensaje)

• Nuevas oportunidades de negocio para los operadores telco, mediante el uso de los metadatos

• Reglas más simples para el uso de cookies

• Protección contra el spam

Análisis de impacto regulatorio

Para analizar el impacto de la propuesta, la Comisión sigue el siguiente esquema: (i) determinar el problema, (ii) las alternativas de solución al problema, y (iii) el impacto de la alternativa seleccionada, a través de un análisis costo beneficio.

Los documentos que sustentan el análisis de impacto regulatorio de la presente propuesta son 3 informes de 57, 107 y 53 páginas, respectivamente.

Un resumen de dicho análisis considera lo siguiente:

I. El problema

1. ¿Cuál es el problema y por qué?

La Comisión ha identificado 3 principales problemas:

• La vida privada de los ciudadanos cuando se comunican online no está suficiente ni efectivamente protegida
• Los ciudadanos no están efectivamente protegidos contra el marketing no solicitado
• Las empresas tienen obstáculos debido a la fragmentación de la legislación

2. ¿Qué debería lograrse?

El objetivo es solucionar esos 3 problemas.

3. ¿Cuál es el valor añadido de una acción a nivel europeo?

Si bien cada país miembro puede resolver por sí solo dichos problemas, no puede ser logrado de una manera uniformizada en ausencia de reglas comunes a nivel europeo.

II. Alternativas de solución

1. Medidas no legislativas

Incluye guías y lineamientos promoviendo iniciativas de auto regulación

2. Limitado refuerzo sobre privacidad y armonización

Un mínimo refuerzo que especifique que el reglamento alcanza a los OTT, wifi público y dispositivos IoT, protección contra llamadas no solicitadas y provisiones de seguridad

3. Mesurado refuerzo sobre privacidad y armonización

Extensión en el alcance y reforzamiento de la transparencia

4. Fuerte refuerzo sobre privacidad y armonización

Medidas más fuertes que la opción 3, tal como prohibición general de “cookie walls”, la abolición de excepciones de email marketing e incremento de los poderes de la Comisión

5. Abolir la Directiva de Protección de Datos

Con la consiguiente aplicabilidad del Reglamento de Protección de Datos

III. Impacto de la alternativa seleccionada: opción 3

1. ¿Cuáles son los beneficios?

• Mejora la protección de la confidencialidad mediante el uso de una tecnología neutral, mejora en los requerimientos de transparencia y control
• Mejora la protección contra comunicaciones no solicitadas
• Simplificación a través de la armonización y clarificación de la regulación

2. ¿Cuáles son los costos?

Los OTT deberán asumir costos, pero no significativos. Los website publishers también deberán incurrir en pequeños costos de adaptación. Los proveedores de aplicaciones tendrán que incurrir en significativos costos, al igual que las empresas de marketing.

3. ¿Habrá significativos impactos en los presupuestos nacionales?

No es un impacto muy grande debido a las sinergias actualmente existentes en la coordinación europea.