ePrivacy Regulation, primeras impresiones

Si 2018 ha sido el año de las prisas con la aplicación de la GDPR, en 2019 nos llegará una nueva regulación que afecta a aquellos que nos dedicamos a Internet, la ePrivacy Regulation.

Se esperaba que entrase en vigor el 25 de mayo de 2018, juntamente con el resto de legislaciones como la GDPR, pero finalmente parece que estará disponible a lo largo de 2019.

Básicamente el documento pone foco en el respeto a la vida privada, el respecto a las comunicaciones privadas y la protección de los datos personales. Además hace hincapié en la libertad del tráfico de datos por el territorio de la Unión Europea, lo que significa que, en principio, parece que con esto se podría llegar a asegurar la neutralidad de la red al menos en territorio de la UE.

¿Qué implica todo esto? Pues el foco es normalizar las comunicaciones tradicionales con las electrónicas, de forma que servicios como WhatsApp o Skype se traten de la misma manera que un operador de telecomunicaciones tradicional (la Movistar de turno).

Además, se hace inciso claro en que las comunicaciones no pueden se grabadas o intervenidas con excepción judicial, excepto por las partes (vamos, que yo puedo grabar la llamada pero no la puede grabar otro externo). Con esto nos aseguraríamos de que ni las operadoras pueden almacenar nuestras llamadas, pero tampoco se podrían almacenar los mensajes, ni siquiera encriptados, lo que implicaría convertir a todos los sistemas de mensajería en 100% privados y sin almacenaje intermedio, como hacen Threema o Signal.

En caso de que las empresas quieran almacenar los meta-datos, deberá pedir permiso. Esto significa que, por ejemplo, un operador de telecomunicaciones podría almacenar cuánto tiempo has hablado con alguien, cuánto ha costado la llamada, pero no podía almacenar el teléfono de la persona a la que llamas a menos que se anonimice (por ejemplo eliminando las 3 últimas cifras). hay que tener en cuenta que este caso es una suposición, ya que sí que los operadores tienen la obligación de almacenar un registro de las llamadas para el control de uso y la facturación. Eso sí, cuando acabe el tiempo fiscal obligatorio se tendrán que eliminar o anonimizar los datos de forma automática y obligatoria.

Tampoco se podrán recoger datos del dispositivo sobre el que se está realizando la comunicación. Esto implica que en lo que a navegación se refiere, el “User-Agent” deberá cambiar ligeramente sin que se convierta en un dato significativo del dispositivo. De todas formas, esto podrá ser modificado por el usuario si da permiso. Intuyo que pasará como con el DNT (Do Not Track) y que tendremos la posibilidad de por ejemplo pasar de decir que tenemos un [Windows 10 con Mozilla Firefox 64] a decir que tenemos [Windows con Firefox], de forma que puedas dar unas capacidades mínimas pero sin identificación personal.

Esta información podrá ser almacenada en modo analítica siempre y cuando no se venda o ceda a terceros. De esta forma podremos seguir usando Google Analytics con los filtrados de anonimización y sin control de la red sin problema, sin que el usuario tenga que aceptar el uso explícito del uso del propio Google Analytics.

A partir de ahora el consentimiento ya no deberá ser expreso en algunos casos siempre y cuando el terminal o aplicación permita su configuración. Esto nos lleva principalmente al cumplimiento obligatorio del uso del DNT (Do Not Track) y de otras medidas que vayan saliendo. Supongo que esto además obligará a aquellos sitios que avisan que “si usas un bloqueador de anuncios” no puedan bloquearte el acceso al sitio. De la misma forma que algunos sitios bloquean si no cumplen la GDPR. Además, expresamente cada 6 meses se deberá volver a avisar a los usuarios de la obligación de aceptar su configuración actual.

Otro de los puntos importantes es el cambio del concepto de la Ley de Cookies y de la GDPR. Ahora solo será obligatorio el control de los datos de terceros y no los propios. Eso no significa que no tenga que informarse de ellos, pero no tendrán que aceptarse explícitamente. De esta forma las “cookies de primeros” son opt-in por defecto y las “cookies de terceros” son opt-out por defecto. Lo mismo pasaría con el almacenamiento de cualquier URL de terceros.

Esto no quita que, además de los datos de control de almacenamiento y uso de datos de la GDPR, ahora también deberemos pedir consentimiento con respecto a la confidencialidad de los datos y su anonimización interna.

En cuanto a las llamadas de voz, se tendrá la posibilidad de mostrar u ocultar los números de identificación. En el caso de que se reciban llamadas sin numero visible, se podrá configurar que automáticamente se rechacen esas llamadas (a nivel operador) y de forma gratuita. Esto es aplicable a las llamadas dentro y fuera de la Unión Europea. Obviamente todo esto no  genera impedimento en el caso de números de emergencias como el 112 o similares.

Los usuarios tendrán la posibilidad de bloquear numeraciones que generen molestias o actividades comerciales no deseadas de forma gratuita, pudiendo bloquear determinados números o los anónimos, además de las llamadas desviadas automáticamente.

El concepto de páginas blancas también se acabará, probablemente porque para estar en ellas se requiere un consentimiento explícito por parte del operador o de la empresa. Esto es válido para las personas físicas. En el caso de las personas jurídicas será al contrario, habrá que solicitar el opt-out explícitamente. Esto significa que si te llaman para hacer tele marketing y dicen que “han cogido tu teléfono de nosedónde“, no será válido.

Con respecto a las llamadas de tele marketing, solo se podrán hacer llamadas siempre y cuándo se tenga el consentimiento explícito por parte de la empresa del usuario particular. En estos casos en los que se tenga el consentimiento solo se podrá ofrecer el servicio o producto propio y nunca de un tercero. Cada vez que te llamen podrás, antes de dicha comunicación, ejercer tus derechos para que puedas aceptar o rechazar la llamada e incluso las siguientes. De todas formas, parece que por defecto existirá un  opt-in expreso en los datos que ya existan en la actualidad, es decir, si ya eres cliente podrán llamarte sin necesidad de pedir permiso (aunque podrás oponerte) pero si eres un cliente nuevo, tendrán que tener el permiso expreso.

Cuando se realicen las llamadas, se deberá mostrar claramente el número de teléfono de la compañía (no podrán llamarte desde cualquier número) y deberá ser de una numeración específica (se tendrán que crear prefijos específicos para llamadas comerciales). Además, cuando comience la comunicación deberán identificarse claramente de parte de quién llaman.

En caso de existir riesgos de la seguridad se deberá informar a los clientes, lo que significa que si se roban bases de datos, numeraciones o similares deberán ser comunicadas a los clientes.

Esto me lleva a hacer algunas preguntas, por ejemplo porqué no se explicita que las comunicaciones deben ser seguras, pudiendo solicitar a los proveedores de servicios (por ejemplo un sitio web) en el que se almacene cualquier tipo de dato personal la existencia de un protocolo de comunicación seguro, de forma que sea obligatorio el uso del HTTPS en un sitio web. Supongo que la GDPR ya lo lleva de serie, pero no estaría de más que aquí también se explicitase. De la misma forma que debería obligar al correo electrónico al uso de SPF, DKIM y DMARC de facto.

En fin, sin duda una nueva ley que debería ayudar a mejorar la seguridad en las comunicaciones, muy enfocado a todo lo que tiene que ver con voz, pero que también afecta a la privacidad en las comunicaciones.

Categorías Internet

Deja un comentario