El Comité Europeo de Protección de Datos se pronuncia sobre el mandato de negociación del e-privacy aprobado por el Consejo

El Comité Europeo de Protección de Datos (EDPB, en siglas inglesas) ha emitido una declaración, el 9-3-2021, sobre el mandato de negociación del futuro reglamento sobre la privacidad electrónica (conocido como e-privacy), que emitió el Consejo de la UE a principios del mes de febrero.

En ella, resalta algunas cuestiones preocupantes de la posición del Consejo, que detallamos a continuación:

Comunicaciones electrónicas para fines policiales y de seguridad nacional

Sobre el tratamiento y conservación de estos datos, el EDPB considera que el e-privacy no puede recoger excepciones a la aplicación de la última jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE).

Este alto tribunal ha determinado que los artículos 7, 8, 11 y 52.1 de la Carta de los Derechos Fundamentales se oponen a medidas como la retención general e indiscriminada de datos de tráfico y de localización, y señala que dichas actividades tendrían que estar sujetas a estrictas limitaciones temporales y materiales, así como a la revisión por un tribunal o autoridad independiente.

Por otro lado, el Comité considera que la exclusión del ámbito de aplicación del reglamento de la actividades de tratamiento por los proveedores va a en contra del marco coherente de protección de datos de la UE.

Confidencialidad de las comunicaciones electrónicas 

Algunas excepciones introducidas por el Consejo parecen permitir tipos de tratamiento muy amplios. Ante ellas, el EDPB  recuerda la necesidad de limitar esas excepciones a fines específicos y claramente definidos para garantizar la seguridad jurídica y el mayor grado posible de protección.

Las excepciones de los artículos 6.1.b), 6.1.c) y 6.1.d) permiten el acceso a los datos de las comunicaciones electrónicas y su contenido para mantener la seguridad de la red y del dispositivo del usuario final, y podrían conducir al acceso total del proveedor de servicios y, por tanto, socavar el derecho a la confidencialidad y las expectativas de privacidad del usuario final.

Estas excepciones no puede conducir a la vigilancia sistemática del contenido de las comunicaciones electrónicas.

Uso de técnicas de cifrados fuertes y fiables

Cualquier intento de debilitar el cifrado, incluso con fines de seguridad nacional, privaría por completo de esos mecanismos de protección solo por su posible uso ilícito.

El cifrado debe seguir siendo estandarizado, fuerte y eficiente.

Coherencia con el consentimiento para las cookies y técnicas similares 

Es necesario, a juicio del EDPB, incluir una disposición explícita para consagrar la prohibición de las soluciones «tómalo o déjalo», coherente con los requisitos de consentimiento para cookies y similares.

Estas soluciones condicionan el acceso a los servicios y sus prestaciones al consentimiento de un usuario para el almacenamiento de información, o la obtención de acceso a información ya almacenada en su equipo, también llamadas «cookies walls«.

La medición de la audiencia

La medición de la audiencia se limitará a prácticas no intrusivas que no pueden crear un riesgo para la privacidad.

La excepción para la medición de la audiencia propuesta por el Consejo está redactada con demasiada amplitud y podría dar lugar a una interpretación amplia que reduciría el nivel de protección de los terminales de los usuarios finales.

El Comité subraya que la excepción para la medición de la audiencia debería limitarse a los análisis de bajo nivel necesarios para el análisis de la información.

Mecanismo eficaz de obtener el consentimiento

El EDPB estima necesario definir un mecanismo eficaz y fácil de usar que permita a los responsables obtener un consentimiento para crear una igualdad de condiciones entre todos los actores y facilitar la expresión y la retirada del consentimiento de forma vinculante y exigible a todas las partes.

Tratamiento posterior con fines compatibles

El tratamiento ulterior con fines compatibles conlleva el riesgo de socavar la protección ofrecida, en especial para el tratamiento de comunicaciones electrónicas, al permitirlo para cualquier fin que el proveedor de servicios considere que cumple la cláusula de «compatibilidad».

El Comité reitera su apoyo al enfoque basado en una prohibición general, seguida de excepciones limitadas y el uso del consentimiento.

Por último, subraya que son las autoridades nacionales responsables de la aplicación del RGPD las que deben encargarse de la supervisión de las disposiciones del futuro e-privacy.