Protección de datos en el sector de las comunicaciones electrónicas
Resumen de la Normativa Comunitaria (Unión Europea) sobre Protección de datos en el sector de las comunicaciones electrónicas
Áreas
Estas categorías agrupan y ponen en contexto las iniciativas legislativas y no legislativas, que tratan del mismo tema
Mercado interior > Mercado único de servicios
Protección de datos en el sector de las comunicaciones electrónicas
spam), el régimen de acuerdo previo del usuario («opt-in») y la instalación de «chivatos» (cookies).
Acto
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) [Véanse los actos modificativos].
Síntesis
La Directiva 2002/58/CE forma parte del «paquete de telecomunicaciones», que es el nuevo conjunto de disposiciones legislativas destinado a regular el sector de las comunicaciones electrónicas y a modificar a la normativa existente en el sector de las telecomunicaciones. El «paquete de telecomunicaciones» comprende otras cuatro directivas relativas al marco general, al acceso y la interconexión, a la autorización y las licencias, y al servicio universal.
En diciembre de 2009 se modificó el «Paquete telecomunicaciones» mediante las Directivas «Legislar mejor» y «Derechos de los ciudadanos», y mediante la instauración de un Organismo de Reguladores Europeos de Comunicaciones Electrónicas (ORECE)de Reguladores Europeos de Comunicaciones Electrónicas (ORECE).
La presente Directiva afecta principalmente al tratamiento de datos de carácter personal en el marco de la prestación de servicios de comunicaciones.
Seguridad del tratamiento
El proveedor de un servicio de comunicaciones electrónicas está obligado a proteger la seguridad de sus servicios:
- garantizando que únicamente acceden a los datos de carácter personal las personas autorizadas;
- protegiendo los datos de carácter personal frente a su pérdida o alteración accidental;
- garantizando la aplicación de una política de seguridad relativa al tratamiento de datos de carácter personal.
En caso de violación de la seguridad de los datos de carácter personal, el proveedor de servicios debe advertir a la persona afectada así como a la Autoridad Reguladora Nacional (ARN).
Confidencialidad de las comunicaciones
La Directiva recuerda, como principio de base, que los Estados miembros deben garantizar, a través de la legislación nacional, la confidencialidad de las comunicaciones realizadas a través de las redes públicas de comunicaciones electrónicas. En particular, han de prohibir que personas distintas de los usuarios escuchen, intercepten o almacenen comunicaciones sin el consentimiento de los usuarios afectados. El abonado o usuario que almacene información debe ser previamente informado sobre las finalidades del tratamiento de sus propios datos, pudiendo retirar su consentimiento al tratamiento de datos relativos al tráfico.
Retención de datos
La Directiva establece que los datos relativos al tráfico y los datos de localización deben borrarse o volverse anónimos cuando dejen de ser necesarios para la comunicación o facturación, salvo en caso de que el abonado haya dado su consentimiento para cualquier otro uso. Por lo que respecta a la problemática cuestión de la retención de datos, la Directiva establece que los Estados miembros solamente pueden limitar las disposiciones en materia de protección de datos para que puedan llevarse a cabo investigaciones de actividades delictivas o para garantizar la seguridad nacional, la defensa y la seguridad pública. Una medida de este tipo sólo podrá adoptarse cuando «constituya una medida necesaria, proporcionada y apropiada en una sociedad democrática».
Para garantizar que los datos de comunicación estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, la Directiva establece un régimen de conservación de datos.
Comunicaciones no solicitadas (spamming)
En relación con las comunicaciones electrónicas comerciales no solicitadas, la Directiva establece que los usuarios han de dar su consentimiento previo antes de recibir este tipo de mensajes (enfoque «opt-in»). Este sistema abarca asimismo los mensajes de SMS y los demás mensajes electrónicos recibidos en cualquier equipo terminal, fijo o móvil. No obstante, se han establecido excepciones.
«Chivatos» (cookies)
La Directiva prevé que los usuarios deben dar su consentimiento para que se almacene información en su equipo terminal o para que se obtenga acceso a dicha información. Para ello, los usuarios deben recibir información clara y precisa sobre la finalidad del almacenamiento o acceso. Estas disposiciones protegen la vida privada de los usuarios contra programas malintencionados, como los virus o programas espía, pero también se aplican a los chivatos (cookies).
Los «chivatos» (cookies) son datos ocultos intercambiados entre un usuario de Internet y un servidor web que quedan archivados en el disco duro del usuario. Su finalidad inicial era conservar datos entre dos conexiones, aunque también constituyen un medio de control de las actividades del internauta que ha sido objeto de muchas críticas.
La Directiva fomenta el uso de métodos lo más sencillos posible, a saber, herramientas técnicas efectivas.
Guías públicas
Los ciudadanos europeos deben dar su consentimiento previo para que su número de teléfono (fijo o móvil), su dirección electrónica y su dirección postal pasen a figurar en las guías públicas.
Controles
Los Estados miembros deben determinar el régimen de sanciones, incluidas las sanciones penales, en caso de violación de las disposiciones de la presente Directiva y garantizar que las autoridades nacionales competentes disponen de las facultades y los recursos necesarios para supervisar y controlar el respeto de las disposiciones nacionales adoptadas al efectuar la transposición de la Directiva.
Referencias
| Acto | Entrada en vigor | Plazo de transposición en los Estados miembros | Diario Oficial |
|---|---|---|---|
|
Directiva 2002/58/CE |
30.7.2002 |
31.10.2003 |
DO L 201 de 31.7.2002 |
| Acto(s) modificativo(s) | Entrada en vigor | Plazo de transposición en los Estados miembros | Diario Oficial |
|---|---|---|---|
|
Directiva 2006/24/CE |
3.5.2006 |
15.9.2007 |
DO L 105 de 13.4.2006 |
|
Directiva 2009/136/CE |
19.12.2009 |
25.5.2011 |
DO L 337 de 18.12.2009 |
Actos Conexos
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [Diario Oficial L 281 de 23.11.1995].
Esta Directiva constituye el texto europeo de referencia en materia de protección de los datos personales. Establece un marco reglamentario con el fin de lograr un equilibrio entre un elevado nivel de protección de la intimidad de las personas y la libre circulación de datos personales en la UE.
Reglamento 45/2001/CE del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos [Diario Oficial L 8 de 12.1.2001].
Este Reglamento tiene como objetivo garantizar la protección de los datos personales en el marco de las instituciones y los organismos comunitarios. El texto prevé disposiciones que garantizan un elevado nivel de protección de los datos personales tratados por las instituciones y los organismos comunitariosy la creación de una autoridad independiente responsable de controlar la aplicación de estas disposiciones.