El COREPER frena la decisión del Consejo de la UE sobre el proyecto de reglamento de e-privacy

La European Digital Rights (EDRi), asociación de organizaciones de toda Europa defensoras de los derechos y libertadas en el entorno digital, ha publicado, el 22-11-2019, que  el Comité de Representantes Permanentes del Consejo de la UE (COREPER) ha rechazado la propuesta de reglamento sobre la privacidad y las comunicaciones electrónicas, también conocido como reglamento de e-privacy.

El COREPER es un órgano interno del Consejo con funciones políticas y administrativas, compuesto por un representante de cada Estado de la Unión. Se encarga de preparar los trabajos del Consejo y ocupa un lugar central en el sistema de toma de decisiones de la UE.

La  presidencia finlandesa del Consejo, tras los debates en el grupo de trabajo Telecomunicaciones y Sociedad de la Información, publicó, el 15-11-2019, un nuevo borrador de la propuesta del reglamento de e-privacy. Recuérdese que este nuevo texto sustituiría la Directiva 2002/58/CE¹, y, al tratarse de un reglamento, sería de aplicación directa en todos los Estados miembros de la UE.

La Comisión Europea ya presentó su propuesta el 10-1-2017, con la pretensión de que entrara en vigor  el 25-5-2018, junto con el RGPD. No obstante, el citado grupo de trabajo había seguido revisando el texto e introducido las siguientes modificaciones.

Novedades introducidas por el grupo de trabajo

Destacan las siguientes en la versión publicada el 8-11-2019:

• Sobre su ámbito de aplicación, el reglamento de e-privacy sería aplicable a personas físicas y a jurídicas.
• Se aclara su naturaleza de ley especial frente al RGPD.
• No se aplicará a los servicios de comunicaciones electrónicas a través de redes domésticas o corporativas internas, ni tampoco a redes del ámbito de las administraciones públicas.
• Los proveedores de servicios de este tipo de comunicaciones aplicarán las medidas de seguridad técnicas y organizativas adecuadas al artículo 40 de la Directiva (UE) 2018/1972, que establece el Código Europeo de las Comunicaciones Electrónicas, y al artículo 32 del RGPD.
• Se prohíbe interceptar comunicaciones electrónicas hasta que las reciba el destinatario. Una vez recibidas, los metadatos deberán borrarse o anonimizarse, excepto cuando este reglamento permita tratarlos o cuando los usuarios lo consientan de acuerdo con el RGPD.
• No será necesario el consentimiento para los metadatos cuando la finalidad para la que fueron recogidos sea compatible y se establezcan salvaguardas, como la consulta a la autoridad supervisora, la evaluación de impacto en la privacidad (PIA, por sus siglas en inglés) y la exigencia de anonimización. Para elaborar perfilados o conclusiones sobre su vida privada, será necesario informar sobre estas finalidades al usuario y darle la opción de oponerse.
• El tratamiento del contenido de las comunicaciones electrónicas solo debe permitirse con el consentimiento previo del usuario y siempre que que sea necesario para la provisión de las funcionalidades solicitadas.
• La responsabilidad de obtener el consentimiento para almacenar cookies es de la entidad que hace uso de las capacidades de tratamiento y almacenamiento.
• Si el acceso al contenido gratuito de la web depende del consentimiento de las cookies para finalidades adicionales, se considerará aceptable siempre que el usuario pueda elegir, previa información, sobre las finalidades de las

Borrador publicado por la presidencia del Consejo de la UE

Entre los cambios más significativos del borrador publicado el 15-11-2019, destacan los siguientes:

• Considera que las comunicaciones M2M constituyen un servicio de comunicaciones electrónicas, que implica el transporte de señales a través de una red de comunicaciones electrónicas.
• Aclara el concepto de tercero y puntualiza la relación entre tercera parte y proveedor de servicios. Para ello, utiliza el ejemplo del almacenamiento en la nube, de manera que si alguno de los servicios ofrecidos por un tercero es necesario para la prestación del servicio electrónico, dicho tercero se considerará como el proveedor del servicio.
• Se autoriza a los proveedores de servicios el tratamiento de datos personales siempre que estos respeten la esencia de los derechos y libertades fundamentales y se garanticen la prevención, la investigación, el correcto enjuiciamiento de delitos y la ejecución de las sanciones penales, así como la protección y la prevención de las amenazas a la seguridad pública.

Ante esta situación, veremos si se retira la propuesta de Reglamento de ePrivacy o se prepara un nuevo texto que cuente con el apoyo suficiente para poder seguir adelante con su tramite.