La Comisión Europea (CE) propuso en 2017 la creación de un Reglamento de Privacidad Electrónica con el fin de completar el marco de protección de datos dentro de la Unión Europa que había comenzado con el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) y actualizar la anterior legislación en este sentido, que data del año 2002 y es más conocida como 'Ley de Cookies'.

El documento propuesto por el Parlamento Europeo tiene como objetivo reforzar la privacidad de los ciudadanos en Internet y regular el respeto a la vida privada y la protección de los datos de una manera más estricta en la Unión Europea (UE), así como poner el fin a las actividades de seguimiento de los usuarios mediante el uso de 'cookies' y otras tecnologías de rastreo.

Sin embargo, un total de 30 organizaciones de derechos humanos y digitales, entre las que se encuentran Amnistía Internacional, Privacy International la Unión por las Libertades Civiles de Europa, la Organización Europea de Consumidores BEUC o Xnet, advierten de que la este objetivo se ha visto amenazado por la nueva propuesta realizada por el Consejo Europeo. 

En concreto, advierten de las mejoras en la protección de la privacidad de las personas en el mundo digital perseguidas por el Parlamento Europeo corren el riesgo de diluirse tras la versión del documento presentada por los Estados miembros, lo que podría hacer que la reforma que finalmente salga adelante sea "ineficaz".

Por ello, las organizaciones han remitido una carta al Parlamento Europeo en el que le instan a garantizar un "alto nivel de protección de la privacidad y la confidencialidad" en el nuevo Reglamento de Privacidad Electrónica y a abordar la debilidad de la postura actual durante las negociaciones tripartitas entre Consejo, Comisión y Parlamento.

Propuesta para las cookies

Uno de los puntos claves del nuevo reglamento, que además es de aplicación a prácticamente a todo el sector online al incluir por primera vez a proveedores de comunicaciones y servicios electrónicos, como WhatsApp, Skype, Facebook o Netflix, son todos los cambios en torno al uso de las cookies.

En concreto, el artículo 8 del documento que presentó el Parlamento en 2017 propone proteger a los usuarios ante prácticas de seguimiento y vigilancia, ya sea mediante cookies u otros medios tecnológicos. En este sentido, añade que la recopilación o el almacenamiento de datos en el dispositivo de un usuario solo se permitirá con el consentimiento del usuario, a menos que sea técnicamente necesario para el servicio.

El artículo también prohíbe los denominados "muros de cookies o muros de rastreo", que obligan a los usuarios a dar su consentimiento al procesamiento o almacenamiento de datos si quieren acceder a esas páginas webs.

Asimismo, para aliviar la carga de los controles de privacidad para los usuarios de Internet les permite automatizar las opciones de consentimiento y utilizar señales legalmente vinculantes enviadas por software o hardware conectados a la red para comunicarlos a los sitios web (artículos 9 y 10). 

Cambios del Consejo Europeo

Sin embargo, en su carta al Parlamento Europeo, las organizaciones de derechos humanos y digitales denuncian que estas medidas de protección para los usuarios se han "retirado o debilitado" durante la negociación del texto llevada a cabo en el seno del Consejo Europeo. 

En concreto, alerta de que la nueva redacción del artículo 8 crea "ambigüedad" en cuanto a los datos que son "técnicamente necesarios" para la prestación de servicios y abre la puerta al rastreo de los usuarios. Además, señala que la prohibición de los "muros de rastreo" se ha movido a un considerando y se ha calificado con "salvedades poco claras". 

Asimismo, denuncia que la propuesta del Consejo elimina los artículos 9 y 10, alejando la posibilidad de contar con soluciones técnicas a las constates peticiones para acceder a la recopilación de datos. Como consecuencia de ellos, los usuarios tendrán que enfrentarse a la "continua molestia" de los banners de consentimiento que intentan manipularlos con "patrones oscuros".

"Estas solicitudes podrían tratarse mediante señales legalmente vinculantes configuradas por el usuario, pero esta solución ahora se ha abandonado a una ilusión y se ha relegado a un considerando. En cuanto a la privacidad por diseño y por defecto, la mayoría de los navegadores se han orientado hacia la protección de sus usuarios, una evolución que el Reglamento no ha tenido en cuenta y debería ampliar", inciden. 

Impacto de Cambridge Analytica

Las organizaciones señalan que desde que el Parlamento Europeo acordó su posición sobre este reglamento en octubre de 2017, la confianza de la sociedad en la recolección de datos se ha visto dañada por el escándalo de Cambridge Analytica. 

Por este motivo, defienden que el Reglamento de Privacidad Electrónica debe enviar un "mensaje claro" de que el futuro le pertenece a aquellos modelo de neocios que unen la innovación y los derechos fundamentales, más que a "aquellos que operan una red de datos personales". 

En este sentido, critican que, por el contrario, la posición del Consejo Europeo "legitima los abusos y las infracciones de la ley de protección de datos y no aborda el déficit de confianza". "Instamos al Parlamento Europeo a reafirmar su posición y garantizar que el Reglamento de privacidad electrónica cumpla sus objetivos", señalan en su carta. 

Así, resaltan que los datos personales en el campo de las comunicaciones electrónicas son "extremadamente sensibles", ya que revelan aspectos íntimos de las vidas privadas de los individuos, especialmente durante la pandemia de la covid-19, cuando la mayoría de las actividades diarias se desarrolla en el mundo online. 

Por lo tanto, considera que la protección garantizada por el GDPR debería completarse cerrando las lagunas y las áreas grises de las que ha abusado ampliamente la industria del rastreo, así como proporcionando garantías adicionales y más sólidas para el procesamiento de datos personales en ese campo.

"Pedimos al Parlamento Europeo que tenga totalmente en cuenta las opiniones de la Junta Europea de Protección de Datos y el Supervisor Europeo de Protección de Datos, y que rechace cualquier propuesta o compromiso que reduzca el nivel de protección proporcionado por el RGPD y la actual directiva de privacidad electrónica", concluyen las organizaciones su carta.