lunes, 12 de abril de 2021

Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas: ámbito territorial

 

Como es  conocido, el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) no regula las obligaciones en materia de tratamiento de datos específicas de la prestación de servicios de comunicaciones electrónicas en redes públicas, regidas todavía por la Directiva 2002/58/CE (vid. cdo. 173 y art. 95 RGPD). La complementariedad entre la Directiva 2002/58 y la Directiva 95/46 justificaba que la adopción del RGPD fuera unida a una reforma en paralelo de la Directiva 2002/58. Por eso, ya en enero de 2017 la Comisión presentó una Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas destinado a derogar la Directiva 2002/58/CE, que se configura como una lex specialis, que tiene por objeto precisar y completar el RGPD con respecto a los datos personales de comunicaciones electrónicas. La idea inicial de la Propuesta era que ese nuevo Reglamento fuera aplicable, al igual que el RGPD, a partir de mayo de 2018. Ahora bien, condicionada por la complejidad y relevancia de las cuestiones abordadas –confidencialidad de las comunicaciones electrónicas y requisitos de tratamiento de los datos y metadatos relativos a esas comunicaciones, tutela de la información en equipos terminales (por ejemplo, en relación con el empleo de cookies y técnicas similares), derechos de los usuarios finales en materia de envío y recepción de comunicaciones electrónicas, retención de datos de tráfico…-  la tramitación de la propuesta de Reglamento está resultando especialmente laboriosa y lenta. En este contexto, cabe reseñar la reciente adopción por el Consejo del texto con su posición como base para las futuras negociaciones con el Parlamento y la Comisión. Transcurridos cuatro años, el nuevo texto presenta diferencias significativas con respecto a la Propuesta inicial de la Comisión.

 

En lo relativo a su ámbito territorial de aplicación, una cuestión no regulada en la Directiva 2002/58/CE y que ha recibido menos atención que otras de la Propuesta, el nuevo texto contiene ciertas modificaciones.

             La Propuesta inicial de la Comisión, al regular su ámbito de aplicación territorial, establecía:

 Artículo 3

Ámbito de aplicación territorial y representante

1. El presente Reglamento será aplicable:

a) a la prestación de servicios de comunicaciones electrónicas a los usuarios finales en

la Unión, independientemente de si el usuario final tiene que pagar por ellos;

b) a la utilización de dichos servicios;

c) a la protección de la información relativa a los equipos terminales de los usuarios

finales situados en la Unión.

2. El proveedor de un servicio de comunicaciones electrónicas que no esté establecido

en la Unión deberá designar por escrito a un representante en la Unión.[…]

  

Por su parte, en el texto con la Posición del Consejo se dice:

 "Article 3

Territorial scope and representative

1. This Regulation applies to:

(a) the provision of electronic communications services to end-users who are in the Union,

(aa) the processing of electronic communications content and of electronic communications metadata of end-users who are in the Union;

(b)

(c) the protection of terminal equipment information of end-users who are in the Union.

(cb) the offering of publicly available directories of end-users of electronic communications services who are in the Union;

(cc) the sending of direct marketing communications to end-users who are in the Union.

2. Where the provider of an electronic communications service, the provider of a publicly available directory, or a person using electronic communications services to send direct marketing communications, or a person using processing and storage capabilities or collecting information processed by or emitted by or stored in the end-users’ terminal equipment is not established in the Union it shall designate in writing, within one month from the start of its activities, a representative in the Union and communicate it to the competent Supervisory Authority.

2a. The requirements laid down in paragraph 2 shall not apply if activities listed in paragraph 1 are occasional and are unlikely to result in a risk to the fundamental rights of end-users taking into account the nature, context, scope and purpose of those activities. […]"

      

        La inclusión de este párrafo 2a tendente a limitar la exigencia de la designación de representante en situaciones que no presentan una vinculación suficiente con la UE constituye un avance con respecto al texto de la Propuesta. No obstante, plantea también la cuestión de si está justificado que esa circunstancia -el que la conexión con la Unión puede ser "occasional and unlikely to result in a risk to the fundamental rights of end-users"- sea tenida en cuenta únicamente con respecto a la obligación de designar un representante, pues ese enfoque puede generar el riesgo de atribuir un excesivo e ineficaz ámbito de aplicación a otras de sus disposiciones.

           A modo de ejemplo, cabe dudar de que con respecto a la protección de la información relativa a los equipos terminales de los usuarios finales situados en la Unión sea apropiado que se pretenda la aplicación con carácter general de lo previsto en el nuevo Reglamento –por ejemplo en materia de cookies- con independencia de la existencia de cualquier otra vinculación con la Unión Europea (considerando 8aaa del nuevo texto, coherente con la redacción del artículo 3.1). De hecho, en determinadas situaciones podría resultar cuestionable la aplicación de la normativa de la Unión sobre esa materia a prestadores de servicios establecidos en terceros Estados que no dirijan sus actividades a ningún Estado miembro, en concreto, cuando un número muy reducido de usuarios ubicados en la Unión acceden activamente a sus servicios pese a que no quepa considerarlos dirigidos a usuarios situados en la Unión (y en el marco de los cuales el prestador se servicios hace uso de capacidades de tratamiento y almacenamiento de datos en los equipos terminales de esos usuarios).

El enfoque resultante de limitar la cautela introducida en el nuevo apartado 2.a) a la obligación de designar representante parece responder a un modelo más amplio que el que inspira el artículo 3.2 RGPD, que, en principio, hace depender la aplicación del RGPD respecto de responsables o encargados no establecidos en la Unión de que el tratamiento de datos personales de interesados que se encuentren en la Unión esté relacionado con la oferta de bienes o servicios a esos interesados en la Unión. Ahora bien, precisamente en relación con las cookies y sus implicaciones en el ámbito de la publicidad comportamental no cabe desconocer la previsión en el artículo 3.2.b) RGPD de que el RGPD es aplicable en todo caso si el tratamiento de datos personales de quien se encuentra en la Unión está relacionado con el control de su comportamiento, en la medida en que este tenga lugar en la Unión. La redacción del artículo 3.2.b) RGPD facilita que con respecto  a tratamientos de ese tipo, se interprete que el RGPD es aplicable sin necesidad de que la actividad del responsable o encargado esté dirigida a la Unión, a diferencia de su inciso a).