Directiva ePrivacy.

La Directiva ePrivacy (2002/58/CE, modificada en 2009) es la «ley de cookies» que todo el mundo implementa a medias. Regula la confidencialidad de las comunicaciones electrónicas y las tecnologías de seguimiento en los dispositivos de los usuarios. Es anterior al GDPR y sigue en vigor; el Reglamento ePrivacy que debía sustituirla lleva bloqueado en negociación desde 2017. Las autoridades de control nacionales (CNIL, Garante, AEPD) la aplican en sus respectivos territorios.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

La perspectiva de Cyber Academy

La Directiva ePrivacy (2002/58/CE, modificada en 2009) es la «ley de cookies» que todo el mundo implementa a medias. Regula la confidencialidad de las comunicaciones electrónicas y las tecnologías de seguimiento en los dispositivos de los usuarios. Es anterior al GDPR y sigue en vigor; el Reglamento ePrivacy que debía sustituirla lleva bloqueado en negociación desde 2017. Las autoridades de control nacionales (CNIL, Garante, AEPD) la aplican en sus respectivos territorios.

Qué regula realmente la Directiva ePrivacy

La Directiva ePrivacy (2002/58/CE, modificada por la 2009/136/CE) es conocida sobre todo como la «ley de cookies», pero reducirla a las cookies hace perder la mayor parte de su peso. Su verdadero objeto es la confidencialidad de las comunicaciones electrónicas y la protección del equipo terminal del usuario.

Establece que las comunicaciones y sus datos de tráfico asociados son confidenciales, que la interceptación y la vigilancia necesitan una base jurídica, y que almacenar o leer información en el dispositivo de una persona, ya sea una cookie, un píxel de seguimiento, una huella digital o un SDK, requiere por lo general consentimiento previo. La parte de consentimiento y seguimiento es la que la mayoría de los equipos implementa; la parte de confidencialidad es la que la mayoría de los equipos olvida que existe.

Es una directiva, no un reglamento. Esa distinción es el origen de la mitad de la confusión en la práctica. Una directiva fija el objetivo y deja a cada Estado miembro transponerla a su derecho nacional, de modo que la redacción exacta, el umbral de consentimiento y el estilo de aplicación difieren de un país a otro. En Francia, las disposiciones pertinentes figuran en el Code des postes et des communications électroniques, y la CNIL publica sus propias directrices y recomendaciones sobre cookies y rastreadores. No existe un único texto a escala de la Unión que se pueda citar como se cita el GDPR.

ePrivacy junto al GDPR

Los dos instrumentos son complementarios, no intercambiables. La Directiva ePrivacy es lex specialis: allí donde establece una norma específica, esa norma prevalece sobre la disposición más general del GDPR. El ejemplo más claro son las cookies y el almacenamiento en el dispositivo. El GDPR regula cómo tratas los datos personales que recopilas; ePrivacy regula el acto de acceder a información en el dispositivo o de almacenarla en él en primer lugar, y se aplica incluso cuando no hay datos personales de por medio. Así, un rastreador que deposita un identificador puramente técnico sigue cayendo bajo ePrivacy, aunque argumentaras que no es un dato personal con arreglo al GDPR.

El consentimiento bajo ePrivacy toma su definición del GDPR. Cuando ePrivacy exige consentimiento, este debe cumplir el estándar del GDPR: libre, específico, informado, inequívoco y tan fácil de retirar como de otorgar. Por eso las casillas premarcadas, los banners de «al continuar navegando, aceptas» y los muros de cookies que no ofrecen una opción real siguen suspendiendo la revisión de las autoridades de control. Los dos textos se leen conjuntamente.

Qué hacen realmente los profesionales

En el trabajo diario, el cumplimiento de ePrivacy gira sobre todo en torno a la capa de consentimiento y el inventario que la sustenta. El programa práctico es así:

  • Inventariar cada cookie, etiqueta, píxel, SDK y script que lee del dispositivo o escribe en él, y clasificar cada uno como estrictamente necesario o no. Solo los estrictamente necesarios están exentos de consentimiento.
  • Bloquear los rastreadores no esenciales hasta que el usuario haya dado su consentimiento, en lugar de dispararlos al cargar la página y preguntar después. Una plataforma de gestión del consentimiento suele imponer esto.
  • Hacer que rechazar sea tan fácil como aceptar, registrar el consentimiento y su alcance, y ofrecer una forma sencilla de retirarlo más adelante.
  • Tener presentes también las obligaciones de confidencialidad: el marketing directo por correo electrónico o SMS necesita por lo general un consentimiento previo (opt-in), con una excepción estrecha para los clientes existentes en productos similares.

La aplicación es nacional. Como no hay un regulador central de la UE para ePrivacy, cada autoridad de protección de datos vigila su propio territorio. La CNIL en Francia, el Garante en Italia y la AEPD en España emiten cada una directrices, realizan auditorías e imponen sanciones con arreglo a sus transposiciones nacionales. Eso significa que un sitio paneuropeo no puede dar por sentado que un solo banner satisface a todos; el enfoque prudente es cumplir la interpretación más estricta entre los mercados a los que sirves y documentar las decisiones que tomaste.

Frequently asked questions

01¿Es la Directiva ePrivacy lo mismo que la ley de cookies?

Es la fuente de las normas sobre cookies, pero es más amplia que las cookies. También protege la confidencialidad de las comunicaciones electrónicas y los datos de tráfico, y regula cualquier almacenamiento de información en el dispositivo de un usuario o acceso a ella, no solo las cookies.

02¿Se aplican a las cookies ePrivacy o el GDPR?

Ambos, por capas. ePrivacy es lex specialis y regula el acto de colocar o leer una cookie en el dispositivo, incluso cuando no hay datos personales de por medio. El GDPR regula después cómo tratas cualquier dato personal que recopiles a través de ella, y aporta la definición de consentimiento válido.

03¿Ha sustituido ya el Reglamento ePrivacy a la directiva?

No. El Reglamento ePrivacy propuesto lleva en negociación desde 2017 y no ha sido adoptado. La directiva de 2002, tal como fue modificada en 2009 y transpuesta al derecho nacional, sigue siendo el texto en vigor.

04¿Quién hace cumplir la Directiva ePrivacy?

Las autoridades nacionales de protección de datos la hacen cumplir en su propio territorio con arreglo a la transposición de su país. En Francia es la CNIL; en Italia, el Garante; en España, la AEPD. No existe un único regulador a escala de la Unión para ello.

05¿Qué cookies no necesitan consentimiento?

Solo las estrictamente necesarias para prestar un servicio solicitado expresamente por el usuario, como mantener una cesta de la compra o conservar una sesión de inicio. Las cookies de analítica, publicidad y seguimiento por terceros requieren consentimiento previo.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.