La aplicabilidad de la Directiva ePrivacy a las nuevas tecnologías de rastreo desde un punto de vista práctico: el Comité Europeo de Protección de Datos se pronuncia
Frente a la gran velocidad del avance tecnológico que vivimos en la actualidad, existe el peligro de que la ley quede rezagada y, con ello, la posibilidad de que surjan nuevas situaciones sin regular.
Esto ocurre, entre otros, en el ámbito de las comunicaciones electrónicas y en lo relacionado con la protección de los usuarios frente a cómo otros pueden usar su información haciendo uso de los dispositivos electrónicos, de los que la sociedad actual depende.
En los últimos años las tecnologías de rastreo (cookies, píxeles, entre otros) a través de páginas web y app ha dado de qué hablar, siendo en la Unión Europea la norma reguladora más relevante, la conocida como Directiva ePrivacy. Esta norma es la que impone la obligación de que la instalación o acceso a tecnologías de rastreo vaya precedida de la suficiente información a los usuarios, así como la obligación de, en la mayoría de los casos, obtener el consentimiento de los interesados.
La aparición de cada vez más tecnologías que tienen como función la obtención de información de los dispositivos para distintos fines, ha llevado al Comité Europeo de Protección de Datos (CEPD) a la publicación de una guía en la que interpreta el artículo 5.3 de la Directiva (el que impone estas obligaciones) para que no queden dudas en cuanto a su aplicación a las tecnologías que van apareciendo en los últimos tiempos en que los avances se hacen a una gran velocidad.
La metodología utilizada por el CEPD en las directrices para la interpretación exhaustiva del mencionado artículo es desmenuzar los términos utilizados para interpretarlos.
El artículo 5.3 es de aplicación cuando "se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un abonado o usuario”.
“Información”
La clave de la interpretación de este término es tener en cuenta que no se está utilizando el concepto de “datos personales” sino que se va más allá, con un término mucho más amplio y que no requiere que la persona a quien se refiere la información haga a dicho sujeto identificable, ni directa ni indirectamente.
¿En qué casos esto puede ser relevante? En los casos en que la instalación se hace en el equipo que no contiene información personal de una persona concreta y que, aún así, caen bajo el scope del artículo analizado.
En otras palabras, la instalación de tecnologías en un dispositivo cae bajo el ámbito de aplicación de este artículo independientemente de que en dicho terminal contenga información personal o no.
“Equipo terminal de un abonado o usuario”
La protección que otorga el artículo 5.3 de la Directiva no solo se lleva a cabo en relación a la confidencialidad de la información contenida, sino también se pretende salvaguardar la “integridad del propio equipo terminal”.
La protección se otorga:
- Independientemente de si las partes que constituyen el equipo conforman una estructura hardware.
- Independientemente de la propiedad o uso conjunto del equipo, es decir, el hecho de que un mismo equipo o terminal sea utilizado por usuarios distintos, así como el hecho de que una misma comunicación involucre a distintos equipos.
Como caso excluido de la aplicación del artículo, el CEPD identifica los equipos que no sean un punto final de una comunicación y sólo transmitan información sin realizar ninguna modificación de esa información, pues en este contexto no tendrán la consideración de equipo terminal.
“Redes de comunicación electrónicas”
Según el CEPD, una red de comunicación electrónica es cualquier sistema de red que permite la transmisión de señales electrónicas entre sus nodos, independientemente de los equipos y protocolos utilizados.
Esto es, con independencia de si la infraestructura utilizada es pública o privada, e independientemente la forma en que se encuentra gestionada. Tampoco hace diferencia alguna el número de equipos o dispositivos estén conectados al mismo tiempo en la red.
“Obtención de acceso”
En palabras del CEPD, “Siempre que la entidad que realiza el acceso desee obtener la información almacenada en el equipo terminal y adopte activamente medidas con ese fin, podrá aplicarse el artículo 5.3. Por lo general, esto implica que la entidad que accede envíe proactivamente instrucciones específicas al equipo terminal con el fin de recibir de vuelta la información deseada.“
El CEPD pone su atención en el hecho de que acceder y almacenar no son equivalentes ni cumulativos. Incluso, no tienen por qué ser llevados a cabo ambos actos por la misma persona o entidad.
“Almacenamiento de información” e “información almacenada”
El artículo analizado será de aplicación cuando se trate tanto de almacenamiento de información, o de un acceso a la información almacenada.
Por lo que respecto a la primera, se entiende por almacenamiento de información como la colocación de información en un soporte físico de almacenamiento electrónico que forme parte de un equipo terminal de usuario. Normalmente, dando instrucciones al software del equipo terminal para que genere información específica, como el almacenamiento de cookies de un navegador.
Por lo que respecta a la segunda, se aplicará el artículo 5.3 cuando se acceda a información almacenada por el usuario, o por un fabricante de hardware, o cualquier otra entidad; sea que resulte de los receptores integrados en el terminal; o se produzca a través de los procesos y programas ejecutados en el equipo terminal.
Tras este análisis del artículo 5.3 de la Directiva ePrivacy, el CEPD analiza, a modo enunciativo y no limitativo, algunos casos de uso en los que aplica la interpretación determinada a lo largo de las directrices.
En concreto, analiza y explica el por qué de la aplicación del estudiado artículo en los siguientes casos:
- Rastreo a través de píxeles insertados en páginas web
- Rastreo local a través de APIs
- Rastreo basado únicamente en la dirección IP
- Rastreo a través de IoT
- Rastreo a través de identificadores únicos
En definitiva, se trata de la medida que, por el momento, ha adoptado el CEPD para que el artículo 5.3 continúe siendo de aplicación a las tecnologías de rastreo emergentes, tratando de evitar que quede desfasado ante el veloz avance de las mismas.
Se trata, sin duda, de una solución factible en el momento actual pero que no debe hacernos olvidar la necesidad de que sea la propia ley la que esté en constante cambios para evitar su desactualización que genere una situación de inseguridad jurídica.
Sara Hervías Costa, Senior Privacy Counsel, Legal Army