Regulación del marketing telefónico tras el Brexit

La salida de Reino Unido de Europa entre otros factores ha promovido un cambio en las prácticas de marketing de muchas empresas británicas, que pretenden ahora orientarse hacia el marketing telefónico. En este blog repasamos los requisitos que deben cumplirse para hacerlo en cumplimiento con la normativa ePrivacy. 

Las empresas británicas ya no están amparadas por el principio de la aplicación de la norma del país de origen recogido en el ePrivacy cuando realicen marketing a otros países europeos, con lo que muchas de ellas están buscando alternativas que no impacten en sus prácticas comerciales. ¿Son realmente las normas sobre marketing telefónico menos estrictas que aquellas que regulan los correos electrónicos? 

¿Dice la Directiva ePrivacy sobre las comunicaciones no solicitadas?

Conforme a la Directiva ePrivacy “Los Estados miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa […], bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional.”

Así por tanto, es la normativa nacional que transpone la Directiva ePrivacy en cada Estado Miembro la que establece las normas que deben aplicarse en cada país.  

El principio de la aplicación de la norma del país de origen permite basar la comunicación en las normas menos estrictas del propio país, siempre y cuando éste forme parte del Mercado Único Europeo. Sin embargo, tras el Brexit esto ya no se aplica a las empresas de Reino Unido, con lo que tendrán que basarse en la normativa del país de destino cuando realicen marketing directo en países de la UE.  

Llamadas automáticas

Las llamadas automáticas están sujetas a requisitos más estrictos. Acorde a la Directiva ePrivacy, el uso de llamadas automáticas sin intervención humana, en lo que se incluyen los fax, con finalidad de marketing directo están sólo permitidas en relación a aquellos sujetos que han otorgado su consentimiento previo. 

El consentimiento general para marketing o incluso el consentimiento para llamadas no automáticas no sería suficiente, pues se precisa que sea explícito. 

Marketing telefónico desde Reino Unido

En países de la UE

Las empresas de Reino Unido que quieran publicitar sus productos y servicios a otras empresas o sujetos en países de la UE mediante llamadas telefónicas, deberán comprobar la normativa nacional, en concreto: 

  1. Si se requiere consentimiento;
  2. Si no se requiere consentimiento, si el número de teléfono está listado en los ficheros nacionales de exclusión publicitaria, o si el sujetos ha otorgado su consentimiento explícito para recibir llamadas de dicha empresa en particular. 

La mayoría de países de la UE han optado por ficheros de exclusión publicitaria en lugar del requisito de consentimiento, si bien se deberá comprobar caso por caso. 

En Reino Unido 

Las empresas de Reino Unido que quieran efectuar llamadas de marketing a otras empresas o sujetos en Reino Unido deberán seguir los siguientes pasos: 

  1. Comprobar si el número está incluido en los registros TPS o CTPS.
  2. Comprobar si el sujeto se ha opuesto a recibir llamadas de ellos. 

En resumen, se podrán realizar llamadas de marketing de manera libre a no ser que la persona se haya opuesto a las mismas o esté registrada en el TPS o CTPS. No se debería efectuar ninguna llamada de marketing a no ser que la persona haya consentido de manera específica a las llamadas de dicha empresa. El marketing telefónico está prohibido cuando se trate de servicios de gestión de reclamaciones, salvo si la persona ha otorgado su consentimiento específico a las mismas. 

Las llamadas en relación a los esquemas de pensiones están sujetas a  normas especiales. 

Marketing telefónico desde España

En países de la UE

España es un Estado Miembro, con lo que puede basarse en el principio de la aplicación de la normativa del país de origen. Así por tanto, los pasos a continuación detallados para el marketing telefónico en España se aplicarán también para el marketing telefónico en otros países de la UE.

En España

Antes de proceder con una llamada de marketing telefónico en España, se deberán comprobar los siguientes aspectos: 

  1. Comprobar si el número está incluido en un fichero de exclusión publicitaria como la Lista Robinson.
  2. Comprobar si el sujeto se ha opuesto a recibir llamadas de la empresa. 

Requisitos adicionales

Una vez que se ha determinado que la llamada puede realizarse en cumplimiento con la normative relevante, se deben aplicar una serie de requisitos adicionales: 

  • Informar sobre quién llama;
  • Permitir que se muestre el número (o un número alternativo de contacto) en la pantalla de la persona que recibe la llamada; 
  • Explicar dónde está disponible la política de privacidad del responsable y
  • Ofrecer una dirección de contacto o número gratuito si lo solicitan.

Actualización de la normativa ePrivacy de la UE

Como informamos en uno de nuestros últimos blogs, a principios de este mes los Estados Miembro negociaron un mandato para la revisión de la normativa ePrivacy, que sustituiría la actual Directiva ePrivacy y comenzaría a aplicarse dos años después de su publicación en el Diario Oficial de la UE. El Reglamento ePrivacy podría introducir nuevas normas sobre marketing telefónico, como la obligación de presentar la identificación de la línea que llama o utilizar un Código o prefijo específico que indique que la llamada se trata de una llamada de marketing.  

 

¿Realizas marketing telefónico? ¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy y el resto de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Gmail no es un servicio de telecomunicaciones, según el TJUE

Para alivio de la comunidad tecnológica europea, el Tribunal de Justicia de la Unión Europea ha dictaminado que Gmail no es un servicio de comunicaciones electrónicas y por tanto no cae bajo el marco regulatorio de la UE para las telecomunicaciones.

El marco regulatorio europeo para las Comunicaciones electrónicas (o telecomunicaciones) impone una serie de derechos y obligaciones públicos a los proveedores de servicios que consistan “total o parcialmente” en el transporte de señales en redes de comunicaciones electrónicas. Conforme al regulador alemán BNetzA, cuya decisión fue respaldada por el Tribunal Administrativo de Colonia, Gmail cumplía esta definición.

Mientras que Google opera su propia infraestructura de red conectada a internet y en concreto varias conexiones de alta velocidad entre áreas metropolitanas, este no supone un dato decisivo según el Tribunal Administrativo: «El hecho de que el transporte de señales suceda de manera principal sobre internet y, por tanto, sean los proveedores de acceso a internet (‘IAPs’) quienes transportan dichas señales y no Google como tal, no excluye a Gmail de ser clasificado como un servicio de telecomunicaciones. El transporte de señales puede ser atribuido a Google si se considera su ‘apropiación’ del “servicio de transporte de señales para sus propios objetivos y, en particular, por su contribución esencial al funcionamiento del proceso de telecomunicaciones mediante sus servicios de procesamiento electrónico”.

¿Qué dice el TJUE sobre Gmail?

Según el TJUE, sin embargo, el artículo 2 (c) de la Directiva 2002/21/EC del Parlamento Europeo y del Consejo de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) modificada por la Directiva  2009/140/EC, «debe interpretarse en el sentido de que un servicio de correo desarrollado en la web que no proporciona acceso a internet en sí mismo, como el servicio de Gmail ofrecido por Google LLC, no consiste total o parcialmente en el transporte de señales en redes de comunicaciones electrónicas y, por tanto, no constituye un ‘servicio de comunicaciones electrónicas’ en el sentido de tal precepto”.

Conforme al TJUE, el hecho de que Google “participe de manera active en el envío y recepción de mensajes, ya sea mediante la asignación a las direcciones de email de la dirección IP del dispositivo terminal correspondiente o bien separando dichos mensajes en paquetes de datos y ya subirlos a internet o recibirlos a través del mismo medio con el propósito de transmitirlo a los receptores últimos” no parece ser suficiente para cubrir el criterio de “total o parcialmente”.

¿Qué es lo próximo para las comunicaciones OTT?

Mientras que la decisión puede ser percibida como un alivio y está en línea con la opinion del ORECE (BEREC), el máximo representante a nivel europeo de los reguladores de telecomunicaciones, la eficacia de esta solución no está a prueba del futuro. En concreto, la nueva definición de ‘servicios interpersonales de comunicaciones’ del Código Europeo de Comunicaciones Electrónicas (EECC) puede ser todavía ser considerado como un elemento que cambie las reglas del juego, dado que apuesta por el denominado ‘campo de juego nivelado’ entre los proveedores tradicionales de telecomunicaciones y aquellos de servicios OTT. Además, esta decisión sobre Gmail require ser considerada de manera conjunta con la resolución sobre Skype Out, que establece que un servicio de software que permite realizar llamadas a teléfonos tradiciones debe ser considerado un servicio de comunicaciones electrónicas.

Si te preocupa el impacto que las resoluciones sobre Gmail y Skype Out pueden tener en tu negocio OTT, Aphaia proporciona consejo sobre políticas regulatorias OTT a algunos de los mayores proveedores mundiales de servicios.

Los riesgos del 5G para la privacidad abordados por la Comisión Europea

La recomendación de la Comisión sobre la ciberseguridad de las redes 5G traza un plan de acción para los Estados Miembro. Exploramos las principales fuentes de riesgo para la privacidad que tiene el 5G.

Conforme a la recomendación de la Comisión sobre la ciberseguridad de las redes 5G, los Estados Miembro europeos deberán llevar a cabo antes del 30 de junio de 2019 una evaluación del riesgo de las infraestructuras 5G, para identificar así, entre otros, los elementos más sensibles donde una brecha de seguridad tendría un gran efecto negativo. El mismo plazo tienen los Estados Miembro para revisar los requisitos de privacidad y los métodos de gestión del riesgo aplicables a nivel nacional, y tener en cuenta para ello las amenazas de ciberseguridad que pueden derivarse de (i) factores técnicos, como las características específicas técnicas de las redes 5G y (ii) otros factores como el marco legal y político al cual pueden estar sujetos los proveedores de tecnologías y equipos de la información y comunicación en terceros países.

En esta línea se acordará a nivel europeo una serie de posibles riesgos y medidas de mitigación (como, por ejemplo, certificación de hardware, software o servicios por terceros, pruebas tasadas de hardware y software, procesos que implementen controles de acceso y los refuercen, identificación de productos, servicios o proveedores que se consideran potencialmente no seguros, etc.)

Riesgos para la privacidad 4G vs 5G

Actualmente todos usamos redes móviles 4G y 3G, con lo que la cuestión principal es la comparación de los riesgos para la privacidad entre el 4G y el 5G. ¿Existen diferencias fundamentales? Mientras que podría haber algunas diferencias cualitativas, principalmente ha de repararse en la alta densidad de estaciones 5G, que va a permitir establecer una localización más precisa de los sujetos, o el impacto de la potencial descentralización de la gestión de la red, como, por ejemplo, en relación a los servicios 5G de disponibilidad local. La problemática de la localización móvil se aborda actualmente en la Directiva ePrivacy, que pronto pasará a ser el Reglamento ePrivacy.

Conforme a Vesna Prodnik Pepevnik, CEO de Vafer y experta en redes móviles 5G, los principales retos van a versar sobre las aplicaciones verticales, desde el coche autónomo a la salud o energía y sistemas de control con varios sensores. “Cuantos más sistemas y, por lo tanto, datos, sean tratados por redes 5G, mayor es el riesgo”. Bajo su punto de vista, la propuesta de la Comisión sobre la seguridad del 5G es todavía vaga, y podría incluso suponer un obstáculo para determinados casos de uso del 5G, y, en consecuencia, frustrar la ambición de la Unión Europea que existe en cuanto a esta tecnología.

Está todavía por ver hasta qué punto las medidas propuestas van a proporcionar las garantías necesarias para la industria y confianza de los usuarios finales, pues ambos son esenciales para convertir al 5G en el motor de las aplicaciones 5G.

Aphaia ofrece Evaluaciones de Impacto, también en relación al ePrivacy, y servicios de Política y Regulación de Telecomunicaciones.

Los riesgos del 5G para la privacidad

El despliegue de la tecnología móvil 5G por todo el mundo promete una mayor velocidad de descarga y menores tiempos de respuesta, pero a la vez también supone riesgos adicionales para la privacidad.

En Estados Unidos el 5G va a permitir un rastreo más preciso de la localización, además de una mayor posibilidad de captación masiva de datos personales. Debido al corto alcance del 5G, tendrán que construirse nuevas torres, de tal modo que se van a cubrir áreas mucho más pequeñas que hasta ahora, lo que va a conllevar una mayor precisión en la localización, con los consecuentes riesgos para la privacidad que ello implica. 

El Plan de Acción Europeo tiene como meta hacer del 5G una realidad tanto para ciudadanos como para empresas en el 2020. El 5G va a proporcionar ubicuidad virtual, banda ultra ancha y baja latencia de conectividad, no sólo entre individuos sino también entre objetos conectados.  Asimismo, funcionará como los “ojos y oídos” de los sistemas de inteligencia artificial al ofrecer recogida y análisis de datos a tiempo real.

A través del Mercado Único Digital se va a implementar tecnologías como colaboración remota por medio de la Realidad Virtual, seguimiento online de la salud, vehículos conectados y autónomos y reparto de mercancía con drones, todas ellas mercados potenciales posibles gracias al 5G.

Riesgos para la privacidad y 5G

En Estados Unidos, el 5G despierta la necesidad de instalar más torres en interiores. De esta forma, será común encontrar torres en centros comerciales, grandes edificios de oficinas y hoteles entre otras edificaciones, de manera que la precisión en los datos de localización será muy elevada. La localización constituye un dato sensible dado que revela una gran información de los individuos, con lo que las compañías de telecomunicaciones tendrán que ser reguladas a fin de evitar que se haga un uso indebido de los datos.

El uso del 5G va a derivar también en el despliegue de una gran cantidad de sensores, que podrán encontrarse en cada poste de teléfono, esquina, o aparto que se desee interconectar, lo que a su vez puede recoger información de los individuos que estén alrededor, de modo que podría usarse para rastrear a la gente y, si no se regula, también convertirse en objeto de venta, lo cual podría derivar en uno de los grandes problemas de nuestra generación. Se deberá desarrollar una regulación clara de lo que los operadores pueden hacer y no hacer con los datos, que en un panorama ideal sería muy restrictiva.

El socio gerente de Aphaia, Dr Bostjan Makarovic, considera que los usuarios europeos están por lo general protegidos por la Directiva ePrivacy en cuanto a los datos de localización se refiere. “El 5G puede tener algunas similitudes con el 4G o incluso redes WiFi generalizadas. Sin embargo, junto a los sensores IoT por ejemplo, puede tratarse de un panorama único con implicaciones y riesgos para la seguridad no dados hasta ahora”.

Al mismo tiempo, la Comisión Europea pretende una rápida implantación del 5G y está alentando inversiones en el sector para las nuevas tecnologías, pero ¿a qué coste? Agencias de ciberseguridad como ENISA han declarado que las conexiones 5G son intrínsecas a un nivel medio-alto de peligro de ataques de ciberseguridad, porque no hay suficientes garantías para respaldar que las redes sean seguras.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.