Revisión del Artículo 5(3) de la Directiva ePrivacy y sus Implicaciones en el Seguimiento de Dispositivos y el Consentimiento del Usuario
La Directiva ePrivacy, en concreto el Artículo 5(3), restringe el almacenamiento y el acceso a la información en los dispositivos en ausencia del consentimiento de los usuarios, salvo en condiciones específicas. Esta legislación desempeña un papel crucial en la protección de los de los mismos frente al almacenamiento y acceso no autorizados en sus dispositivos. A medida que la tecnología continúa evolucionando, es esencial contar con una guía adicional sobre cómo esta directiva se aplica a las tecnologías emergentes de seguimiento. Comprender las salvaguardias descritas en el Artículo 5(3) no solo permite que las organizaciones alineen sus prácticas con los requisitos regulatorios, sino que también empodera a los usuarios para ejercer un mayor control y autonomía sobre la privacidad de sus datos personales. Como resultado, el CEPD ha buscado aclarar cómo se aplica el Artículo 5(3) de la Directiva ePrivacy al seguimiento de dispositivos mediante nuevas tecnologías en sus nuevas Directrices 2/2023.
El Artículo 5(3) protege la privacidad al limitar el acceso no autorizado a la información, al equipo terminal y al almacenamiento.
El Artículo 5(3) se aplica si se cumplen los siguientes criterios:
- La operación se relaciona con “información”. El Artículo 5(3) define ampliamente “información”, sin limitarlo a datos personales. El objetivo es proteger la esfera privada del usuario al restringir el acceso no autorizado, independientemente de si los datos se consideran personales.
- Equipo terminal. El equipo terminal de un usuario, según la Directiva 2008/63/EC, es cualquier dispositivo que puede conectarse a una red de comunicaciones públicas, ya sea directa o indirectamente. Los dispositivos que cumplen con estos requisitos están sujetos al Artículo 5(3), enfatizando la protección de la privacidad del usuario.
- Almacenamiento o acceso a la información. Los aspectos de “almacenamiento” y “acceso” operan de manera independiente, permitiendo diversos escenarios, como el almacenamiento de datos por una entidad y el acceso a ellos por otra.
El Artículo 5(3) define «información» tanto como datos personales como no personales, protegiendo toda la información almacenada en el equipo terminal.
El término “información” en el Artículo 5(3) es intencionalmente amplio. Tanto los datos personales como los no personales recaen dentro de su alcance, cubriendo incluso datos que no identifican a ningún interesado, como virus o identificadores ocultos, que podrían invadir la esfera privada de los usuarios. Las decisiones judiciales han confirmado que las protecciones del Artículo 5(3) se aplican a cualquier información almacenada en el equipo terminal, sin importar su naturaleza u origen.
Los dispositivos terminales en redes públicas, como los teléfonos inteligentes y los automóviles conectados, están protegidos independientemente del conocimiento del usuario sobre los accesos a los mismos.
La definición de equipo terminal abarca dispositivos conectados directa o indirectamente a una red de telecomunicaciones pública. Esto incluye diversos dispositivos conectados, como teléfonos inteligentes, computadoras e incluso automóviles conectados. Es importante destacar que la protección se aplica al dispositivo en sí, independientemente de si el usuario es consciente del acceso o almacenamiento que tiene lugar.
La Directiva ePrivacy cubre servicios de comunicación electrónica en redes públicas y privadas, asegurando la protección de los dispositivos conectados.
La Directiva ePrivacy se aplica específicamente a los servicios prestados a través de redes de comunicaciones públicas. El término “red” aquí es amplio, abarcando cualquier infraestructura que permita la comunicación electrónica, ya sea pública o privada. Esto asegura que los dispositivos conectados a estas redes estén protegidos bajo la Directiva ePrivacy, incluso si la red no es completamente pública.
Esta legislación protege a los usuarios contra el acceso no autorizado a sus dispositivos por parte de entidades que instruyen a los dispositivos para enviar información o almacenar datos.
La Directiva ePrivacy busca proteger a los usuarios del acceso no autorizado a sus dispositivos. “Acceder” incluye cualquier actividad en la que una entidad instruya a un dispositivo para enviar información, como sucede con las cookies o las API que permiten la recopilación de datos. De manera similar, el “almacenamiento de información” incluye el almacenamiento de datos en el dispositivo del usuario a través de instrucciones de una entidad externa, como el almacenamiento de cookies o el uso de API para recopilar datos del dispositivo.
Las ambigüedades en la Directiva ePrivacy han dado lugar a soluciones de seguimiento alternativas que eluden la ley, destacando la necesidad de una guía actualizada sobre el acceso y almacenamiento de datos en dispositivos.
El considerando 24 de la Directiva ePrivacy subraya que el equipo terminal de los usuarios, como computadoras y teléfonos inteligentes, es privado y merece salvaguardas de privacidad. Este ámbito de privacidad se extiende más allá de las “cookies” tradicionales para incluir “tecnologías similares”, como el fingerprinting de dispositivos, que fue formalmente reconocido como parte del Artículo 5(3) por la Opinión 9/2014 del WP29. A pesar de las protecciones previstas, las ambigüedades en el alcance del Artículo 5(3) han generado soluciones de seguimiento alternativas, algunas diseñadas para eludir los requisitos legales de la Directiva ePrivacy. Estas cuestiones han resaltado la necesidad de una guía actualizada, especialmente a medida que los avances tecnológicos permiten nuevas formas de acceder y almacenar datos en los dispositivos.
Dicho esto, las nuevas Directrices del CEPD también generan controversias, como establecer paralelismos cuestionables entre las cookies colocadas en el dispositivo por terceros y la propia dirección IP del dispositivo. Según el Dr. Boštjan Makarovič, socio gerente de Aphaia, una dirección IP es el identificador fundamental de cualquier dispositivo en internet cuando se conecta con otros dispositivos o servicios basados en IP, lo cual era el caso mucho antes de que se introdujera la enmienda de la Directiva ePrivacy en 2009. “Por lo tanto, no se debería asumir que terceros deben abstenerse de usar la dirección IP al comunicarse con el dispositivo, especialmente ya que uno puede optar por ocultarla de otros dispositivos y servicios utilizando una VPN.»
Eleva tus estándares de protección de datos con Aphaia. Pregúntanos y te ayudaremos a reforzar tus prácticas de cumplimiento con el RGPD, incluidas las políticas y procesos necesarios, con la tranquilidad de contar con un asesoramiento experto. Contacta con nosotros hoy.