El impacto de la propuesta de reglamento de e-Privacy para los medios es claro: ven reducida su capacidad para ofrecer productos y servicios de alta calidad, así como socavada su capacidad de generar ingresos por publicidad, que es su principal fuente de financiación. Por ello, han enviado una carta abierta al Ministro de Agenda Digital con el fin de trasladar la importancia de que la norma proporcione suficiente flexibilidad para su implementación en aras de fomentar una relación directa entre los usuarios de Internet y los editores. A continuación transcribimos el texto íntegro de dicha carta:
"Los medios firmantes, que forman parte de IAB Spain, son conscientes de la necesidad de una regulación europea que venga acompasada con la realidad que vivimos, y que garantice el respeto al derecho a la privacidad de las personas. En consecuencia, apoyamos el objetivo perseguido por la propuesta de Reglamento de e-Privacy, de reforzar la confianza de los ciudadanos en los servicios que utilizan en Internet. Algo que para los actores aquí representados es fundamental, dado que nuestro presente y futuro depende de la confianza de nuestros usuarios, lectores, etc. En este sentido, consideramos que el Reglamento General de Protección de Datos (RGPD) representa un hito muy importante. Y entendemos que la propuesta de Reglamento de e-Privacy también debería serlo, si bien sus postulados se encuentran muy alejados de lo que podría considerarse una norma coherente con el contexto actual. En definitiva, las organizaciones que operamos en el ecosistema digital, incluyendo los editores, hacemos uso de los datos generados por los usuarios para mejorar nuestra oferta y ofrecer a usuarios y lectores información y noticias relevantes, mostrando publicidad digital que facilita la prestación gratuita de estos servicios lo que conduce a una mayor democratización en el acceso a los contenidos en Internet.
No podemos olvidar que la publicidad digital contribuye con 526 mil millones del PIB anual de la UE. Con las restricciones establecidas en la Propuesta de Reglamento de e-privacy hasta la mitad del mercado de publicidad digital podría desaparecer. Debemos tener en cuenta también que la publicidad tiene un efecto multiplicador en toda la economía a través empleos directos e indirectos, aumento de ventas, etc. En la Unión Europea existen 5.762.573 puestos de trabajo respaldados por publicidad, lo que supone un 2,6% del empleo en el territorio europeo.
El Reglamento General de Protección de Datos hace varias alusiones a la publicidad online y a los perfiles de usuario. Tanto el texto del Reglamento General, como los debates que condujeron a su adopción, ponen de relieve la voluntad de abordar la publicidad online y el denominado tracking. Por ello, es importante que la propuesta de Reglamento de e-Privacy no reproduzca y duplique las mismas normas, minando la seguridad jurídica y planteando cuestiones relativas a los requisitos legales relacionados con estos temas. Esto es particularmente reseñable, dado que en estos momentos se están evaluando por parte de la industria posibles cambios que puedan ser necesarios en base al RGPD.
Actualmente, las empresas europeas son libres de utilizar cookies para proporcionar servicios personalizados a los usuarios finales. Para ello, la Directiva 2002/58/CE requiere que los usuarios consientan la recepción de cookies, una vez hayan sido previamente informados y siempre pudiendo ejercitar su derecho directamente frente a quien sirve la cookie. En la práctica, esto se ha traducido en la inclusión en las páginas web de un banner que pone a disposición de los usuarios información sobre la política de cookies del sitio que se visita, que exige la aceptación del usuario para acceder al contenido de la web en cuestión. Si los usuarios desean rechazar ciertas cookies, las empresas deben poner a disposición de aquellos los mecanismos para poder desactivarlas.
Es posible que este sistema no sea perfecto y probablemente, sea susceptible de mejora. Sin embargo, llegar al extremo propuesto por la nueva redacción del Reglamento de e-Privacy, donde se desplaza la elección individual caso por caso, informada y específica por una elección previa, no específica y general a través de los navegadores. Esto contraviene, los principios del Reglamento General de Protección de Datos, ya que esta norma busca reforzar la privacidad de los usuarios obligando a los sitios a informarles y facultarles en el ejercicio de sus derechos.
No obstante, la propuesta de e-Privacy, al obligar a contar con un solo permiso de carácter general dentro de la interfaz del navegador, dificulta en la práctica la transparencia y el empoderamiento del usuario, eliminando cualquier distinción entre editores que aportan una alta confianza a los usuarios y aquellos que no lo hacen.
En segundo lugar, priva a las empresas e instituciones de poder interactuar directamente con los usuarios, de conocer sus preferencias y posibilitar el ejercicio de sus derechos. En definitiva, la propuesta de Reglamento obliga a que sea el dispositivo o navegador el que recoja el consentimiento de los usuarios, lo que conduce a que sólo las principales empresas de software del mundo puedan tener esta interacción, situando al resto de actores en una posición de clara desventaja. Es cierto que el memorándum explicativo de la propuesta de e-Privacy no prohíbe de manera rotunda que los editores se comuniquen con los lectores para solicitar el consentimiento para servir cookies de terceros. Pero en la práctica, la redacción del artículo 8 hace imposible que esta interacción pueda tener lugar, privando a los editores de la posibilidad de proporcionar a los lectores contenido personalizado y publicidad digital relevante dentro de sus entornos.
El impacto para los medios es claro: ven reducida su capacidad para ofrecer productos y servicios de alta calidad, así como socavada su capacidad de generar ingresos por publicidad, que es su principal fuente de financiación. Por lo tanto, es esencial que al implementar los objetivos de las Propuesta de e-Privacy, los legisladores trabajen con la industria para garantizar que la norma proporcione suficiente flexibilidad para su implementación en aras de fomentar una relación directa entre los usuarios de Internet y los editores.
Por otra parte, los considerandos de la propuesta de Reglamento parecen distinguir entre cookies de primera parte y cookies de tercera parte, dando por hecho que su mera naturaleza determina el carácter “benévolo o malévolo” de la misma, sin tener en cuenta el propósito que se persigue con la instalación de la misma. Las cookies de terceros sirven para medir audiencias, para permitir a los usuarios de las redes sociales compartir contenidos fácilmente, proporcionar publicidad y/o contenidos dirigidos, o para evitar la repetición publicitaria. La propuesta de Reglamento priva a los actores del ámbito digital de herramientas confiables para medir sus audiencias.
Ello sin perjuicio de que la distinción entre cookies de primera parte y cookies de tercera parte, es muy cuestionable al amparo del Reglamento General de Protección de Datos. Asimismo, el texto parece obviar las condiciones en las que un usuario podría cambiar sus preferencias, ni cómo estos cambios podrían operar legal y técnicamente por los diferentes actores que emiten cookies. Así como del artículo 4.5 del Reglamento General de Protección de Datos (“seudonimización”), técnica que se utiliza para la medición de audiencia y publicidad, sin requerir consentimiento previo de las personas.
Por su parte, la Propuesta de Reglamento parece ignorar la realidad móvil y los ecosistemas de aplicaciones, que difieren técnicamente de los servicios tradicionales de Internet (páginas web). Se requiere de una mayor flexibilidad para procesar datos relativos a los equipos terminales. En este sentido, el texto no es consciente de la función central que el análisis de estos datos desempeña para garantizar la pertinencia, seguridad, calidad del servicio y de la experiencia para los usuarios finales. Por ello, sería necesario alinear lo dispuesto en la Propuesta de Reglamento con los principios y bases legales ya previstas en el Reglamento General de Protección de Datos. De otra forma, únicamente podrán concentrar la inversión publicitaria aquellos actores que estén basados en un registro previo, cambiando de forma profunda el modelo de uso y navegación de internet y distorsionando de forma profunda la competencia.
En consecuencia, en aras de proporcionar un entorno favorable para todos, usuarios y medios digitales, se proponen las siguientes medidas:
- Artículo 8 (Protección de la información almacenada en los equipos terminales de los usuarios finales y relativa a dichos equipos). La propuesta del Parlamento recoge que “a ningún usuario se le denegará el acceso a ningún servicio o funcionalidad de la sociedad de la información, independientemente de si este servicio es remunerado o no, sobre la base de que no ha dado su consentimiento para el tratamiento de la información personal y / o el uso de las capacidades de tratamiento o almacenamiento de su terminal”. Los considerandos además clarifican que el Reglamento “debe evitar el uso de las denominadas “paredes de cookies” y “banners de cookies” que no ayudan a los usuarios a mantener el control sobre sus datos personales y privacidad ni a informarse sobre sus derechos”. Esta redacción implica que los medios no tienen ningún margen para decidir su modelo de negocio. Obligar a los usuarios a inscribirse o pagar puede suponer un grave problema, teniendo en cuenta que los estudios trasladan que los usuarios no quieren pagar por los servicios. Por tanto, desde los medios firmantes se propone su eliminación, y en su lugar recoger un sistema fundamentado en la información, transparencia y capacidad de elección constante del usuario.
- Artículo 10, que establece que el software que permite el acceso a Internet debe “evitar [...] por defecto que otras partes transmitan o almacenen información en el equipo terminal de un usuario y el tratamiento de la información almacenada o recogida en ese equipo”. Esto significa que los usos de todas las cookies deben prevenirse por defecto, “excepto” cuando sea estrictamente necesario desde el punto de vista técnico para el funcionamiento de un servicio. Este artículo es contrario al Reglamento General de Protección de Datos, que establece un consentimiento específico, frente a este consentimiento general. Además, esta propuesta no supone necesariamente que un usuario esté más informado y más protegido, ya que mediante esta propuesta no se permite conocer el alcance y finalidad de los posibles tratamientos, siendo casi un consentimiento a ciegas. Por tanto, se propone que el usuario pueda decidir sobre estos aspectos en el propio medio, eliminando la exigencia de que por defecto no se puedan recibir cookies en los navegadores. Es preocupante además el respeto al principio de neutralidad tecnológica. Tal y como está redactada a día de hoy, la propuesta contiene un lenguaje muy prescriptivo, llegando incluso a detallar el nombre de la configuración. Algunas enmiendas en el Parlamento hacen que este lenguaje sea aún más prescriptivo, lo que socava el objetivo de una legislación tecnológicamente neutra. En consecuencia, sería necesario revisar la reacción de la Propuesta de Reglamento para evitar mandatos tecnológicos.
