jueves, 23 de febrero de 2017

Algunos aspectos internacionales de la Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas

              En varios comentarios he hecho referencia a las cuestiones de competencia y derecho aplicable que suscita el Reglamento (UE) 2016/679, de 27 de abril de 2016, general de protección de datos (RGPD). Entre las materias excluidas del ámbito material de ese Reglamento destaca por su gran importancia en la regulación de protección de datos las contenidas en la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas. Una las iniciativas en materia de protección de datos presentadas en enero por la Comisión –resumidas en esta nota de prensa- es una Propuesta de Reglamento sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas (Reglamento sobre la privacidad y las comunicaciones electrónicas) (PRPCE) que pretende derogar la Directiva 2002/58/CE. Se trata de una evolución coherente, necesaria para evitar las disfunciones de la eventual coexistencia entre la unificación llevada a cabo por el Reglamento (UE) 2016/679 y el mantenimiento de la mera armonización en la materia objeto la Directiva 2002/58/CE. Por ello, en principio, resulta razonable que la Propuesta de Reglamento contemple que el RPCE, al igual que el RGPD, será aplicable a partir del 25 de mayo de 2018. El RPCE se configura en el considerando 5 de la Propuesta expresamente como una lex specialis, que tiene por objeto precisar y completar el RPD con respecto a los datos personales de comunicaciones electrónicas. La coherencia entre el RGPD y la PRPCE justifica que la aplicación de este último y el control de su cumplimiento quede confiado a las autoridades encargadas de velar por el cumplimiento del RPD, así como que en lo relativo a las vías de recurso el artículo 21 del PRPCE se remita a los artículos 77, 78 y 79 del RGPD. En consecuencia, el régimen de competencia judicial internacional previsto en su artículo 79 resultará también relevante con respecto a la “aplicación privada” del RPCE, que contiene en su artículo 22 una previsión sobre el derecho a indemnización similar al del RGPD. Por lo tanto, el análisis realizado previamente acerca del significado del artículo 79 RGPD y su interacción con el Reglamento Bruselas I bis resulta también relevante con respecto a la PRPCE. En este contexto, llama la atención el régimen previsto en lo relativo al ámbito de aplicación territorial del PRPCE en su artículo 3.1, cuya coordinación con el artículo 3 RPD puede suscitar algunos interrogantes.


            El fundamento del enfoque adoptado por el RPCE en esta materia aparece resumido en su considerando 9 en los siguientes términos: “(9) El presente Reglamento debe aplicarse a los datos de comunicaciones electrónicas tratados en relación con la prestación y el uso de servicios de comunicaciones electrónicas en la Unión, independientemente de que el tratamiento se efectúe en la Unión o no. Por otra parte, con el fin de no privar a los usuarios finales de la Unión de una protección efectiva, el presente Reglamento debe aplicarse también a los datos de comunicaciones electrónicas tratados en relación con la prestación de servicios de comunicaciones electrónicas desde fuera de la Unión a usuarios finales de la Unión.

            Lo anterior tiene su reflejo en el artículo 3.1 del RPCE, que en relación con su ámbito de aplicación territorial –a diferencia de la Directiva 2002/58/CE que carece de una previsión al respecto– establece lo siguiente:

1. El presente Reglamento será aplicable:
a) a la prestación de servicios de comunicaciones electrónicas a los usuarios finales en
la Unión, independientemente de si el usuario final tiene que pagar por ellos;
b) a la utilización de dichos servicios;
c) a la protección de la información relativa a los equipos terminales de los usuarios
finales situados en la Unión.

            La ausencia de referencias a la coordinación de esta norma con el artículo 3 del RGPD puede resultar especialmente relevante en relación con los subapartados b) y c) del artículo 3.1 del RPCE, que determina su aplicación en lo relativo a la utilización (no prestación) de servicios de comunicaciones electrónicas y el empleo de capacidades de acceder a información almacenada en equipos terminales del usuario. Más allá de que la formulación de la norma puede ser fuente de incertidumbre especialmente en relación con su subapartado b), lo cierto es que en los supuestos comprendidos en los subapartados b) y c) parece singularmente apropiado que la aplicación del RPCE más allá de la Unión tenga lugar en circunstancias que no desborden los límites establecidos en el artículo 3.2 del RPD.


De hecho en determinadas situaciones podría resultar cuestionable la aplicación de la normativa de la Unión sobre cookies a prestadores de servicios de la sociedad de la información establecidos en terceros Estados que no dirijan sus actividades a ningún Estado miembro, en especial, cuando esa aplicación sea consecuencia de que un número muy reducido de usuarios ubicados en la Unión acceden activamente a sus servicios (en el marco de los cuales el prestador se servicios de la sociedad de la información hace uso de capacidades de tratamiento y almacenamiento de datos en los equipos terminales de esos usuarios). En este contexto, la formulación del artículo 3.1 del RPCE parece aumentar el riesgo de atribuir un ámbito de aplicación territorial excesivo a la legislación europea, al que también podría conducir una interpretación amplia del artículo 3.1.b) del RGPD en la medida en que su aplicación con base en el control en la Unión del comportamiento de interesados no se subordina en principio a que ese control se produzca en el marco de actividades que puedan considerarse dirigidas a algún Estado miembro. No obstante, es cierto que la supresión prevista en el RPCE de la exigencia de obtener el consentimiento respecto de ciertas “cookies” puede limitar las consecuencias prácticas de ese potencialmente excesivo ámbito de aplicación.