Descripción

El Grupo de Trabajo creado en virtud el artículo 29 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ha emitido un dictamen sobre la modificación de la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.

El objeto de la Directiva 2002/58/CE es garantizar el derecho a la protección de datos en los servicios de comunicaciones electrónicas disponibles para el público. Esta Directiva complementa a la Directiva 95/46/CE en la aplicación de sus principios a los tratamientos de datos que se producen en la prestación de servicios de comunicaciones electrónicas disponibles para el público.

Entre las cuestiones que el Grupo de Trabajo propone modificar, cabe señalar:

1. Notificación del incumplimiento de las medidas de seguridad: Se trata así de seguir las prácticas de algunas normas norteamericanas, tales como la California Security Breach Notification Law, obligando a los prestadores de servicios de comunicaciones electrónicas a notificar a los usuarios las incidencias de seguridad que se produzcan respecto al tratamiento de sus datos.

La inclusión de esta obligación requiere dar respuesta a cuestiones tales como qué prestadores de servicios estarían obligados, qué tipo de incidencias habría que comunicar, en qué casos se comunicarían atendiendo a la naturaleza de los datos, a quiénes habría que comunicarlo, e incluso a través de qué medio o medios habría que llevar a cabo dicha comunicación.

2. Concepto de datos de carácter personal: Ampliando el concepto actual y haciéndolo compatible con la definición proporcionada por la Directiva sobre protección de datos (95/46/CE).

El planteamiento de esta cuestión determina la necesidad de atender a qué es un dato de carácter personal y si por ejemplo una dirección IP lo es. Igualmente, se trata de establecer un elevado grado de protección de manera que no haya diferencias entre las normas que regulan diversos aspectos de la protección de datos.

3. Direcciones IP: El hecho de si una dirección IP es un dato de carácter personal o no es una cuestión candente. El Grupo de Trabajo insiste en que si una dirección IP permite identificar a un usuario, entonces es un dato de carácter personal y su tratamiento tendrá que cumplir con la normativa aplicable.

4. Concepto de "red pública de comunicaciones" y "servicios de comunicaciones electrónicas": El objetivo es clarificar estos conceptos con el fin de intentar distinguir entre servicios de comunicaciones electrónicas disponibles para el público y otros servicios que no lo son.

Por ejemplo, es preciso aclarar si una Universidad que ofrece un servicio de correo electrónico a su personal y alumnos es un prestador de servicios a efectos del cumplimiento de esta normativa, o si una empresa que proporciona correo electrónico a sus empleados y/o consultores externos para el desarrollo un proyecto entra dentro de esta definición o no, y por ende tiene que cumplir con las obligación establecidas en la normativa.

5. Envío de comunicaciones comerciales no solicitadas: Dados los avances que se producen en las comunicaciones electrónicas, el Grupo de Trabajo considera que es necesario proteger tanto al abonado como al usuario, de manera que se incluiría una referencia expresa a este último en aras a garantizar su derecho a la privacidad.

En definitiva, el Grupo de Trabajo plantea una serie de revisiones al articulado de la Directiva sobre privacidad y las comunicaciones electrónicas que busca aumentar el nivel de protección de los abonados y usuarios. Cualquiera de estas modificaciones pasa necesariamente por atender a las implicaciones que el avance de las Tecnologías de la Información y las Comunicaciones tiene para el derecho a la protección de datos y el secreto de las comunicaciones electrónicas.