Resumen rápido
Reglamento ePrivacy de la UE, cookies y sus actualizaciones en 2021
El Reglamento sobre la privacidad y las comunicaciones electrónicas de 2021, o Reglamento ePrivacy, es un proyecto de ley del Consejo de la UE que regula todas las comunicaciones electrónicas en servicios y redes disponibles públicamente para los individuos dentro de la Unión Europea.
El régimen de privacidad de datos de la UE consiste actualmente en el Reglamento General de Protección de Datos (RGPD) y la Directiva sobre la privacidad y las comunicaciones electrónicas de 2002 (Directiva ePrivacy). El nuevo Reglamento ePrivacy derogaría y sustituiría a la antigua directiva de 2002 (también conocida como la ley de cookies de la UE) y aportaría importantes actualizaciones al incluir a las nuevas tecnologías en su marco jurídico.
En resumidas cuentas, la propuesta de Reglamento ePrivacy 2021 abarca todos los tipos de comunicaciones electrónicas (como textos, emails, mensajes de Facebook, SnapChat, etc.), y protege a los individuos dentro de la UE de la intromisión de terceros en sus comunicaciones privadas, a no ser que den su consentimiento previo.
Desglose rápido del Reglamento ePrivacy
- El Reglamento ePrivacy 2021 cubre las comunicaciones electrónicas en servicios y redes disponibles públicamente, incluyendo las transmisiones de datos máquina-a-máquina y los metadatos, como la ubicación, la hora e información sobre los destinatarios.
- El Reglamento ePrivacy 2021 se aplica a los usuarios finales ubicados en la UE, incluso si el proveedor del servicio se localiza fuera de la UE, y el tratamiento tiene lugar fuera de la UE.
- El Reglamento ePrivacy 2021 protege todas las comunicaciones electrónicas privadas y confidenciales por defecto – para procesar, escuchar, supervisar o de otra forma recopilar datos sobre las comunicaciones electrónicas de los individuos dentro de la UE, los usuarios finales deben primero proporcionar un consentimiento explícito y afirmativo.
- El Reglamento ePrivacy 2021 requiere que obtengas el consentimiento explícito de los usuarios finales antes de emplear cookies y rastreadores en tu web, o cualquier otro tipo de tecnología que almacene datos personales en el equipo terminal de los usuarios (hardware y software).
- El Reglamento ePrivacy 2021 hace que los muros de cookies sean posibles, siempre y cuando se le ofrezca al usuario un equivalente que no implique dar su consentimiento a las cookies y rastreadores.
- El Reglamento ePrivacy 2021 permite que los usuarios finales incluyan a los proveedores de cookies en una lista blanca en la configuración de su navegador y anima a los proveedores a facilitar a los usuarios la modificación de dichas listas blancas y la retirada de su consentimiento en cualquier momento.
- El Reglamento ePrivacy 2021 entrará en vigor dos años después de su aprobación.
Prueba hoy gratis la plataforma de gestión del consentimiento, Cookiebot CMP (del inglés Consent Management Platform)
Escanea tu página web para ver si tienes usuarios de dentro de la UE
Reglamento ePrivacy y consentimiento de cookies
Cuando se trata de la privacidad digital, las cookies en tu página web pueden ser una verdadera responsabilidad: son la tecnología más usada para recopilar, procesar y compartir datos personales de los usuarios finales en internet hoy en día, pero necesitan el consentimiento explícito de estos antes de ser activadas.
Con el RGPD de la UE, que entró en vigor en 2018, las cuestiones en torno a la privacidad digital se abordaron poniendo al consentimiento de los usuarios finales en el centro mismo.
El consentimiento sigue siendo una parte fundamental del Reglamento ePrivacy 2021, y las cookies y rastreadores web similares también son objeto del nuevo proyecto de ley de privacidad de datos.
El consentimiento de los usuarios finales será necesario para poder procesar cualquier tipo de comunicaciones electrónicas y su contenido.
La Directiva ePrivacy de 2002, en vigor a día de hoy, también se la conoce como la ley de cookies de la UE, ya que fue la primera pieza de legislación de la UE (anterior al europeo RGPD) que especificó las normas sobre de qué manera las páginas web podían emplear cookies y rastreadores para procesar los datos de los usuarios.
Como es sabido, la Directiva ePrivacy creó la necesidad de incluir banners de cookies en las webs como medio para obtener el consentimiento de los usuarios, aunque la mayoría de los primeros banners, anteriores al RGPD, realmente no funcionaban como se pretendía.
Según la nueva propuesta de Reglamento ePrivacy 2021, el consentimiento de los usuarios finales es necesario para procesar cualquier tipo de información proveniente de los ordenadores y smartphones de estos.
En el caso de que el Reglamento ePrivacy se apruebe como ley, derogará y sustituirá a la Directiva ePrivacy.
El RGPD de la UE ya exige que tu página web obtenga el consentimiento explícito de tus usuarios antes de utilizar cookies y rastreadores que procesen datos personales, tales como direcciones IP, identificadores únicos, o los historiales de búsqueda y del navegador.
En lo que enfatiza el Reglamento ePrivacy 2021 es en que el consentimiento es una dinámica vital en el núcleo del internet como lo conocemos hoy, y en que el consentimiento ha llegado para quedarse.
Sin embargo, el Reglamento ePrivacy 2021 abre la puerta a nuevas formas de racionalizar el consentimiento a lo largo de los navegadores y también aborda la llamada fatiga del consentimiento de cookies (este término se refiere a cuando los usuarios se sienten abrumados por tener que dar su consentimiento en las páginas web de todo internet), consolidando en general que el consentimiento de los usuarios es necesario para una verdadera protección de la privacidad de datos, ahora y en el futuro.
Con un texto finalizado del Consejo de la UE, el Reglamento ePrivacy 2021 ahora pasa a las denominadas negociaciones a tres bandas entre el Parlamento Europeo, la Comisión Europea y el Consejo de la UE.
Pero el camino del proyecto de ley del Consejo de la UE hasta convertirse efectivamente en ley, por no hablar de cualquier indicación de una posible fecha de entrada en vigor del Reglamento ePrivacy, siguen siendo inciertos, sobre todo debido a que ya se han pronunciado en contra fuertes voces de la privacidad de datos, incluido el Comisario Federal de Protección de Datos de Alemania, Ulrich Kelber, que insta al Parlamento Europeo a buscar disposiciones de privacidad más fuertes para el Reglamento ePrivacy en 2021.
Una cosa parece clara en la nueva propuesta de Reglamento ePrivacy: las cookies y los rastreadores de tu página web seguirán necesitando el consentimiento explícito y afirmativo de los usuarios antes de ser utilizados.
En otras palabras, el consentimiento está aquí para quedarse.
Prueba Cookiebot CMP gratis durante 14 días, o para siempre si tienes una página web pequeña
Escanea tu página web para ver si existen cookies y rastreadores en uso
Lee más sobre el RGPD y el consentimiento al uso de cookies
Échale un vistazo al texto completo de la propuesta de Reglamento ePrivacy aquí (en PDF)
Cumplimiento con Cookiebot CMP
El Reglamento ePrivacy y las cookies
Cookiebot CMP by Usercentrics es la solución de cumplimiento plug-and-play líder para cumplir con los requerimientos de privacidad de datos de la UE en tu página web.
Construida alrededor de una potente tecnología de escaneo que detecta y controla todas las cookies, rastreadores y troyanos de tu web, Cookiebot CMP automáticamente obtiene el consentimiento válido de tus usuarios finales de forma realmente conforme con los requerimientos de los europeos RGPD/ePR.
Los banners de consentimiento a medida y altamente personalizables proporcionan a tus usuarios toda la información requerida legalmente sobre cada una de las cookies, tales como detalles técnicos, proveedor, duración y propósito.
Con el futuro Reglamento ePrivacy, las cookies y rastreadores de tu web seguirán necesitando el consentimiento previo y explícito de los usuarios para poder activarse.
Todas las cookies de terceros que operan a través del uso de tu página web de servicios de análisis o de plugins de redes sociales, necesitan el consentimiento previo de los visitantes de tu web antes de que legalmente puedan ponerse en funcionamiento.
Cookiebot CMP se ha especializado en la gestión de consentimientos de cookies válidos en la UE desde 2012, y seguirá protegiendo la privacidad de los usuarios, mientras consigue que el cumplimiento sea fácil y automático en tu sitio web.
Cookiebot CMP también permite que tu página web cumpla con una serie de otras leyes de privacidad de datos de distintas partes del mundo, incluyendo el RGPD de Reino Unido, la CCPA de California, la PIPEDA de Canadá, la POPIA de Sudáfrica, la Ley de Privacidad de Nueva Zelanda, y muchas otras.
Prueba Cookiebot CMP gratis durante 14 días, o para siempre si tienes una página web pequeña.
Escanea tu página web para comprobar si procesas datos en la UE
Reglamento ePrivacy 2021, en detalle
ePrivacy, cookies y cronología
Vamos a desglosar la nueva propuesta de Reglamento ePrivacy 2021 del Consejo de la UE en detalle y ver en qué se diferencia del RGPD, además de cuándo podría entrar en vigor.
¿Cuál es la diferencia entre el Reglamento ePrivacy y el RGPD?
El Reglamento General de Protección de Datos (RGPD) se encarga de proteger los datos personales de los individuos dentro de la UE, mientras que el Reglamento ePrivacy 2021 protegerá la privacidad de las comunicaciones electrónicas de los individuos dentro de la UE, particularizando y restringiendo el RGPD (y sus estándares de consentimiento) al sector de las comunicaciones a través de tecnologías como Facebook, email y mensajes de texto, entre otros.
El Reglamento ePrivacy 2021 es una lex specialis de la lex generalis que es el Reglamento General de Protección de Datos (RGPD), lo que significa que complementa al RGPD con normas que se aplican específicamente al sector de las comunicaciones electrónicas.
Como lex specialis, el Reglamento ePrivacy 2021 derogará el RGPD en las áreas específicas que cubre.
Estas serán dos leyes diferentes, derivadas de dos derechos distintos de la Carta de los Derechos Fundamentales de la Unión Europea: el RGPD cubre el derecho a la protección de los datos personales, mientras que el Reglamento ePrivacy abarcará el derecho de una persona a una vida privada, incluyendo la confidencialidad, en todo tipo de comunicaciones electrónicas.
¿Cuándo estará finalizado el Reglamento ePrivacy?
El 10 de febrero de 2021, los embajadores del Consejo de la UE acordaron una propuesta de ley que ahora entrará en negociaciones a tres bandas entre el Consejo de la UE, el Parlamento Europeo y la Comisión Europea.
Como todavía es solo una propuesta, no hay una fecha de entrada en vigor del Reglamento ePrivacy aún.
Sin embargo, la propuesta dice que entrará en vigor veinte días después de su publicación en el Diario Oficial de la UE, y su aplicación comenzaría dos años más tarde, lo que significa que, si las negociaciones a tres bandas van bien y la propuesta se convierte en ley en algún momento de 2021, el Reglamento ePrivacy entraría en vigor en toda la Unión Europea en 2023.
Pero se trata de un gran “si”, ya que la propuesta de Reglamento ePrivacy ya ha recibido considerables críticas, especialmente de las propias autoridades alemanas de protección de datos.
Aquí tienes una cronología del Reglamento ePrivacy hasta ahora:
- 2021: el Consejo de la UE finaliza el texto y nuevas negociaciones a tres bandas entre el Consejo de la UE, el Parlamento Europeo y la Comisión Europea pueden empezar.
- 2020: el Reglamento ePrivacy falla en llegar a un consenso entre varias Presidencias Europeas.
- 2018/2019: la propuesta de Reglamento ePrivacy va de un lado a otro en las negociaciones a tres bandas entre la Comisión Europea, el Parlamento Europeo y el Consejo de la UE.
- 2017: se presentó la propuesta de Reglamento ePrivacy del Parlamento Europeo.
La opinión del CEPD sobre la propuesta de Reglamento ePrivacy 2021
El 9 de marzo de 2021, el Comité Europeo de Protección de Datos (CEPD) adoptó una declaración sobre el Reglamento ePrivacy, subrayando que el nuevo reglamento no debe bajo ninguna circunstancia rebajar el nivel de protección ofrecido por la actual Directiva ePrivacy (a la que derogaría y reemplazaría), y debe complementar al actual Reglamento General de Protección de Datos (RGPD), proporcionando fuertes garantías adicionales de confidencialidad y protección de todas las comunicaciones electrónicas.
El CEPD enfatiza en su declaración que:
- Algunas excepciones (en particular el Artículo 6(1)(c), Artículo 6b(1)(e), Artículo 6b(1)(f) y Artículo 6c) introducidas por el Consejo parecen permitir tipos de tratamiento muy amplios, y recuerda la necesidad de limitar estas excepciones a fines específicos y claramente definidos,
- Es necesario obtener un verdadero consentimiento entregado libremente y que esto impida a los proveedores de servicios emplear prácticas desleales del estilo de “tómalo o déjalo”, que condicionan el acceso a servicios y funcionalidades al consentimiento de un usuario a almacenar su información, o a obtener acceso a información ya almacenada en el equipo terminal de un usuario (los denominados “muros de cookies”),
- Es necesario incluir una disposición explícita en el Reglamento ePrivacy que impida a los proveedores de servicios procesar información sin el consentimiento de los usuarios, y, para que permita a los usuarios aceptar o rechazar la elaboración de perfiles,
- El Reglamento ePrivacy debería mejorar el actual marco del consentimiento con una forma eficaz de obtener el consentimiento para las páginas web y aplicaciones móviles, devolviendo el control a los usuarios y abordando la “fatiga del consentimiento”.
Todavía no se sabe qué aspecto tendrá el camino que seguirá la propuesta de Reglamento ePrivacy 2021.
Preguntas frecuentes
¿Qué es el Reglamento ePrivacy
El Reglamento ePrivacy es una propuesta de ley del Consejo de la UE que, si se convierte en ley, regulará todas las comunicaciones electrónicas en servicios y redes disponibles públicamente para los individuos dentro de la Unión Europea (como mensajes de Facebook, textos, emails, SnapChats y todos los demás populares servicios de comunicaciones electrónicas). Aunque no sea el foco principal del Reglamento ePrivacy, las cookies y rastreadores empleados en las páginas web también estarían cubiertos por esta ley, y, al igual que como ya obliga el RGPD, requeriría el consentimiento explícito de los usuarios para que puedan activarse en tu sitio web.
¿Cuándo estará finalizado el Reglamento ePrivacy?
El Reglamento ePrivacy 2021 actualmente es una propuesta, finalizada el 10 de febrero de 2021 por el Consejo de la UE. Sin embargo, la propuesta de Reglamento ePrivacy 2021 ahora se encuentra en un proceso de negociación a tres bandas entre el Consejo de la UE, el Parlamento Europeo y la Comisión Europea, que podría resultar en que la propuesta sea convertida a ley en todos los 27 estados miembros de la UE, o podría fracasar y tener que ser redactada de nuevo.
Escanea tu página web para comprobar cuántas cookies están activas
¿Cuándo entrará en vigor el Reglamento ePrivacy?
No existe una fecha efectiva para el Reglamento ePrivacy por el momento, ya que la propuesta de febrero del Consejo de la UE es todavía solamente eso, una propuesta. El texto de esta especifica que el Reglamento ePrivacy entrará en vigor 20 días tras su publicación en el Diario Oficial de la UE y empezaría a aplicarse dos años después. Sin embargo, es difícil estimar una posible fecha de vigencia del Reglamento ePrivacy, ya que las negociaciones a tres bandas pueden ir por caminos muy distintos, con algunos países europeos pidiendo disposiciones sobre la privacidad de datos más estrictas en comparación con las que cuenta la actual propuesta.
¿Cuál es la diferencia entre el Reglamento ePrivacy y el RGPD?
El Reglamento ePrivacy 2021 es una ley sectorial que regularía todas las comunicaciones electrónicas que se realizasen en servicios y redes disponibles públicamente para los individuos dentro de la UE, mientras que el Reglamento General de protección de Datos (RGPD) regula el tratamiento de datos personales de los individuos dentro de la UE. De este modo, el Reglamento ePrivacy 2021 sería una lex specialis de la lex generalis que es el RGPD, especificando y particularizando las disposiciones sobre datos personales del RGPD al sector de las comunicaciones electrónicas.
Fuentes
Nota de prensa del Consejo de la UE sobre el nuevo Reglamento ePrivacy 2021
La nueva propuesta de Reglamento ePrivacy 2021, del 10 de febrero de 2021 (en PDF)
Artículo de la IAPP sobre los nuevos desarrollos del Reglamento ePrivacy 2021 (en inglés)
Access Now da una respuesta decepcionante a la propuesta de Reglamento ePrivacy del Consejo de la UE (en inglés)
La autoridad alemana de protección de datos, BfDI, critica la propuesta de Reglamento ePrivacy (en alemán)
Resumen del Reglamento ePrivacy proporcionado por Lexology (en inglés)