En varios comentarios he hecho
referencia a las cuestiones de competencia y derecho aplicable que suscita el
Reglamento (UE) 2016/679, de 27 de abril de 2016, general de protección de
datos (RGPD). Entre las materias excluidas del ámbito material de ese
Reglamento destaca por su gran importancia en la regulación de protección de
datos las contenidas en la Directiva 2002/58/CE sobre la privacidad y las
comunicaciones electrónicas. Una las iniciativas en materia de protección de
datos presentadas en enero por la Comisión –resumidas en esta nota de prensa- es una Propuesta de Reglamento sobre el
respeto de la vida privada y la protección de los datos personales en el sector
de las comunicaciones electrónicas (Reglamento sobre la privacidad y las
comunicaciones electrónicas) (PRPCE) que pretende derogar la Directiva
2002/58/CE. Se trata de una evolución coherente, necesaria para evitar las
disfunciones de la eventual coexistencia entre la unificación llevada a cabo
por el Reglamento (UE) 2016/679 y el mantenimiento de la mera armonización en
la materia objeto la Directiva 2002/58/CE. Por ello, en principio, resulta
razonable que la Propuesta de Reglamento contemple que el RPCE, al igual que el
RGPD, será aplicable a partir del 25 de mayo de 2018. El RPCE se configura en
el considerando 5 de la Propuesta expresamente como una lex specialis, que tiene por objeto precisar y completar el RPD con
respecto a los datos personales de comunicaciones electrónicas. La coherencia
entre el RGPD y la PRPCE justifica que la aplicación de este último y el
control de su cumplimiento quede confiado a las autoridades encargadas de velar
por el cumplimiento del RPD, así como que en lo relativo a las vías de recurso
el artículo 21 del PRPCE se remita a los artículos 77, 78 y 79 del RGPD. En
consecuencia, el régimen de competencia judicial internacional previsto en su
artículo 79 resultará también relevante con respecto a la “aplicación privada”
del RPCE, que contiene en su artículo 22 una previsión sobre el derecho a
indemnización similar al del RGPD. Por lo tanto, el análisis realizado
previamente acerca del significado del artículo 79 RGPD y su interacción con el
Reglamento Bruselas I bis resulta también relevante con respecto a la PRPCE. En
este contexto, llama la atención el régimen previsto en lo relativo al ámbito
de aplicación territorial del PRPCE en su artículo 3.1, cuya coordinación con
el artículo 3 RPD puede suscitar algunos interrogantes.
El
fundamento del enfoque adoptado por el RPCE en esta materia aparece resumido en
su considerando 9 en los siguientes términos: “(9) El presente Reglamento debe aplicarse a los datos de comunicaciones
electrónicas tratados en relación con la prestación y el uso de servicios de
comunicaciones electrónicas en la Unión, independientemente de que el
tratamiento se efectúe en la Unión o no. Por otra parte, con el fin de no
privar a los usuarios finales de la Unión de una protección efectiva, el
presente Reglamento debe aplicarse también a los datos de comunicaciones
electrónicas tratados en relación con la prestación de servicios de
comunicaciones electrónicas desde fuera de la Unión a usuarios finales de la
Unión.”
Lo
anterior tiene su reflejo en el artículo 3.1 del RPCE, que en relación con su
ámbito de aplicación territorial –a diferencia de la Directiva 2002/58/CE que
carece de una previsión al respecto– establece lo siguiente:
1. El presente Reglamento será aplicable:
a) a la prestación de servicios de comunicaciones electrónicas a los
usuarios finales en
la Unión, independientemente de si el usuario final tiene que pagar por
ellos;
b) a la utilización de dichos servicios;
c) a la protección de la información relativa a los equipos terminales
de los usuarios
finales situados en la Unión.
La
ausencia de referencias a la coordinación de esta norma con el artículo 3 del
RGPD puede resultar especialmente relevante en relación con los subapartados b)
y c) del artículo 3.1 del RPCE, que determina su aplicación en lo relativo a la
utilización (no prestación) de servicios de comunicaciones electrónicas y el
empleo de capacidades de acceder a información almacenada en equipos terminales
del usuario. Más allá de que la formulación de la norma puede ser fuente de
incertidumbre especialmente en relación con su subapartado b), lo cierto es que
en los supuestos comprendidos en los subapartados b) y c) parece singularmente
apropiado que la aplicación del RPCE más allá de la Unión tenga lugar en
circunstancias que no desborden los límites establecidos en el artículo 3.2 del
RPD.
De hecho en
determinadas situaciones podría resultar cuestionable la aplicación de la
normativa de la Unión sobre cookies a
prestadores de servicios de la sociedad de la información establecidos en terceros
Estados que no dirijan sus actividades a ningún Estado miembro, en especial,
cuando esa aplicación sea consecuencia de que un número muy reducido de
usuarios ubicados en la Unión acceden activamente a sus servicios (en el marco
de los cuales el prestador se servicios de la sociedad de la información hace
uso de capacidades de tratamiento y almacenamiento de datos en los equipos
terminales de esos usuarios). En este contexto, la formulación del artículo 3.1
del RPCE parece aumentar el riesgo de atribuir un ámbito de aplicación territorial
excesivo a la legislación europea, al que también podría conducir una
interpretación amplia del artículo 3.1.b) del RGPD en la medida en que su
aplicación con base en el control en la Unión del comportamiento de interesados
no se subordina en principio a que ese control se produzca en el marco de
actividades que puedan considerarse dirigidas a algún Estado miembro. No
obstante, es cierto que la supresión prevista en el RPCE de la exigencia de
obtener el consentimiento respecto de ciertas “cookies” puede limitar las
consecuencias prácticas de ese potencialmente excesivo ámbito de aplicación.
