Ser o no ser en la era digital: el futuro reglamento de ePrivacy
La duda que todos tienen es si aquello que se vendió como una promesa se quedará, al final, en realidad descafeinada
El pasado 22 de noviembre de 2019, el COREPER, el Comité de Representantes Permanentes de los Gobiernos de los Estados miembros en el Consejo de la Unión Europea, rechazó el último borrador del Reglamento e-Privacy (ePR) elaborado por la Presidencia de esta institución. Recordemos que el primer borrador de la Comisión se hizo público en enero de 2017 y, desde entonces, lo menos que se puede decir es que ha sido todo un martirio. Hemos asistido, ni más ni menos, que a otro borrador del Parlamento y, si no me equivoco, ocho borradores del Consejo (incluidos borradores bajo las presidencias de Estonia, Bulgaria, Austria, Rumanía y varios de Finlandia). Con la última estocada de hace apenas unos días las negociaciones están en punto muerto y se espera que se retomen las negociaciones a partir del cambio de Presidencia del Consejo de la UE en enero de 2020. Le tocará el turno, ahora, a Croacia.
La pregunta es obligada: ¿qué tiene el futuro ePR para despertar tanta controversia y que no haya sido posible cerrar un acuerdo? ¿Por qué esta es una de las propuestas en torno a las que más lobby se ha hecho en la historia de la UE?
Y la respuesta es clara: el futuro ePR está destinado a regular la privacidad de los servicios digitales en un tiempo eminentemente digital en el que la privacidad es un instrumento de cambio. Es decir, en pocas palabras, está en juego la sustancia misma de los servicios que recibimos por medio electrónico.
¿Y ello por qué? Intentaré resumir algunas de las razones:
La primera es que el ePR aspira a incluir en su ámbito de aplicación a toda una serie de actores económicos que actualmente están fuera: Whatsapp, Skype, Facebook Messenger, Netflix, HBO o Prime Video. Todo los anteriores son servicios o aplicaciones que funcionan sobre banda ancha y actualmente estaban excluidos de la normativa vigente. Además, huelga decir que se trata de compañías que recopilan y analizan una gran cantidad de metadatos de los que se benefician en términos de marketing o para predecir o modelar nuevas tendencias y comportamientos.
La segunda es que el ePR cambiará la forma en que se navega en internet. Y ello porque pretende regular de forma diferente las cookies e instrumentos de seguimiento similares simplificando el procedimiento de recogida del consentimiento de los usuarios e impidiendo que su navegación se vea condicionada si no lo dan. La cuestión no es baladí, porque el mundo de Internet se basa actualmente, en gran medida, en servicios gratuitos a cambio de información del usuario de los mismos (freemiums). Si dicha información se reduce, se dinamita la capacidad de segmentación de clientes (ya que se limita el número y precisión de los datos), y con ello se realizará un marketing menos preciso y el espacio de publicidad será más barato e ineficiente. Esto implica necesariamente una desaparición o reconversión de los freemiums.
Además de lo anterior, con el 5G a las puertas, el ePR abarcará, además de las comunicaciones electrónicas entre personas y entidades, aquellas que se realicen entre máquinas. En un mundo en el que los dispositivos conectados van en aumento y en el que proliferarán contratos inteligentes que se autoejecuten, las máquinas adquirirán mayor autonomía y el tráfico de datos entre las mismas se multiplicará exponencialmente.
Por otro lado está el tratamiento que debe de dársele a los metadatos de las comunicaciones. Recordemos que, si el contenido de las comunicaciones es lo que se dijo, los metadatos son el quién, cuándo y dónde lo dijo y otra información relacionada sobre la comunicación. Es información de enorme valor comercial. ¿Debe de borrarse o anonimizarse si no hay consentimiento? ¿Ha de permitirse que se traten si existe un interés legitimador que no sea el consentimiento?
¿Y cómo tratará la nueva normativa la publicidad electrónica? ¿Qué uso se permitirá de la publicidad personalizada que se realiza en páginas webs en base a las segmentaciones previas de gustos y perfiles?
Las preguntas son muchas y estas son solo algunas de ellas. Hay mucho en liza, sobre todo con una norma que, además de fijar las reglas del juego, establece sanciones que se alinean con las del reglamento de protección de datos y que podrán alcanzar hasta 20 millones de euros o 4% del volumen de negocio a escala mundial del infractor.
Por lo tanto no es de extrañar que a día de hoy no haya texto definitivo de una norma tan crucial. Podríamos decir que casi tres años después del primer borrador, el ePR aún se debate entre el ser o no ser. La duda que todos tienen es si aquello que se vendió como una promesa se quedará, al final, en realidad descafeinada.
Alexander Benalal es socio de Bird & Bird y codirector del equipo de Derecho Comercial, Disputas y Tech & Comms.