IAB Europe, junto a IAB Spain, otros IABs nacionales y más asociaciones, se posicionan respecto a las Directrices provisionales 2/2023 del EDPB.
IAB Europe junto a IAB Spain, Alliance Digitale, IAB Italia, IAB Polska, IAB Sweden, SPIR & VIA Nederland, han participado en el trámite de consulta pública del EDPB sobre sus directrices provisionales 2/2023 sobre el Alcance Técnico del Artículo 5(3) de la Directiva de ePrivacy.
La coalición de asociaciones respaldamos firmemente los principios de neutralidad tecnológica de la legislación de la UE para garantizar un alto nivel de protección de datos y acogemos con satisfacción las iniciativas destinadas a aclarar en la práctica qué requisitos pueden aplicarse a nuevas tecnologías y así permitir a las empresas innovar con certeza legal y prácticas orientadas a la privacidad.
Sin embargo, las asociaciones firmantes estimamos que las directrices propuestas 2/2023, tal como están redactadas actualmente conllevan riesgos significativos de discrepancias en su aplicación, y pueden tener el efecto contrario. Socavando así el propósito de eliminar ambigüedades relacionadas con el alcance material del Artículo 5(3) de la Directiva de ePrivacy.
En primer lugar, no está claro si las directrices propuestas recogen adecuadamente las perspectivas de las autoridades nacionales encargadas de hacer cumplir las normativas nacionales de la Directiva ePrivacy (LSSI), lo que nos plantea dudas sobre si dichas directrices reflejan las opiniones de las diferentes autoridades locales, pudiendo aumentar la incertidumbre legal en toda la Unión Europea.
En segundo lugar, las directrices propuestas tienen un ámbito expansivo de cómo se aplica la Directiva de ePrivacy a tecnologías ya existentes en el momento de redacción de la normativa, especialmente preocupante es su aplicación al Protocolo de Control de Transmisión (TCP/IP) así como a mecanismos de almacenamiento efímero como la RAM o diferentes memorias caches. Esto no solo se encuentra desalineado con los objetivos de la Directiva de ePrivacy cuyo objetivo era proteger la esfera privada de los usuarios, sino que también contradice las posiciones establecidas adoptadas por reguladores locales. Ello plantea la posibilidad de una aplicación inconsistente, así como disparidades económicas en toda Europa.
En tercer lugar, las directrices propuestas eliminan toda distinción entre operaciones que pueden implicar el seguimiento de actividades de los usuarios y aquellas que no, como la entrega de publicidad contextual o la prevención del fraude publicitario o actividades de seguridad. Al no proporcionar orientación sobre cómo podrían aplicarse las dos exenciones previstas por la Directiva de ePrivacy a las nuevas posiciones adoptadas por el EDPB, muchas operaciones fundamentales para el funcionamiento de Internet podrían estar sujetas a consentimiento. Esto tendría el efecto perjudicial de empeorar el fenómeno de fatiga del consentimiento, así como actuar como un desincentivo para que las empresas favorezcan prácticas orientadas a la privacidad.
Recomendaciones:
Las asociaciones firmantes recomiendan al EDPB revisar la propuesta de directrices de manera que se reflejen sus competencias reales y no regulatorias, para así alinear su análisis tanto con el objetivo principal de la Directiva de ePrivacy de proteger la esfera privada de los usuarios como con la orientación interpretativa emitida por las autoridades locales competentes emitidas durante los últimos años.
Además, es esencial que cualquier nueva guía o recomendación proporcionada por el EDPB sobre el asunto de referencia recoja no solo las prohibiciones sino también aquellas actividades que pueden ser exceptuadas del requisito de consentimiento bajo el artículo 5(3) de la Directiva de ePrivacy bajo criterios y consideraciones técnicas y empresariales realísticas.