La integración económica y social resultante del funcionamiento del mercado interior, ha llevado a un aumento sustancial de los flujos transfronterizos de datos personales. Esto se traduce en un incremento del intercambio de datos personales entre los diferentes operadores, especialmente, entre las empresas dedicadas al sector turístico. En este sentido, la rápida evolución tecnológica y la globalización, han planteado nuevos retos para la UE.
Para garantizar un nivel uniforme y elevado de protección de datos, así como para eliminar los obstáculos a la circulación de datos personales dentro de la UE, la Comisión publicó, entre otras, la Directiva 95/46/CE, relativa a la protección de dato personal y la relativa al comercio electrónico, 2000/31/CE. Dichas Directivas fueron traspuestas a la normativa nacional dando lugar al desarrollo y publicación de:
- La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
- El Reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
- Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico (LSSI).
Tras 17 años de aplicación de la LOPD, la UE ha entendido que la protección efectiva de los datos personales en la Unión, exigía por una parte, que se reforzaran y especificaran los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y por otro, que en los estados miembros se reconocieran mutuamente poderes equivalentes para supervisar y garantizar el cumplimento de las normas relativas a la protección de datos.
Con la LSSI ocurre lo mismo que con la antigua LOPD, ya que todo lo relacionado con el comercio electrónico también ha sufrido un importante avance en los últimos años. De esta manera, y como consecuencia de todo lo expuesto anteriormente, la UE publicó el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGDP), derogando así la Directiva 95/46/CE.
Desde la entrada en vigor del RGPD y la posterior publicación y entrada en vigor de la nueva Ley Orgánica 3/2018 de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD), los organismos europeos han considerado necesaria la modificación de la LSSI, dada la importante interrelación entre ambas normativas. De este modo, tenemos la LSSI de 2002 aplicándose junto con la nueva LOPDGDD, pero como se ha establecido anteriormente, Europa sí prevé un cambio para la regulación del comercio electrónico europeo con el llamado Reglamento E-Privacy, cuyos cambios obligarán a modificar la actual LSSI o, seguramente, conlleve la aprobación de una nueva normativa. A este respecto, cabe señalar que el Consejo Europeo de Protección de Datos (CEPD) acaba de publicar el Dictamen 5/2019 sobre la Interacción entre el Reglamento E-Privacy el RGPD, en particular, sobre la competencia, las tareas y poderes de las autoridades de protección de datos (“Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities”).
En este sentido, el Reglamento E-Privacy supondrá la derogación de la Directiva Europea 2000/31/CE. Mientras tanto, se seguirá aplicando la LSSI hasta que el legislador español no promulgue una nueva normativa de comercio electrónico que suponga la derogación definitiva de la Ley 34/20002.
En lo que respecta a la aplicación de la normativa, uno de los ejemplos de la relación existente entre la LOPDGDD y la LSSI, es la regulación del envío de comunicaciones comerciales a anteriores clientes por medios electrónicos (p.e. un correo electrónico). La actual LOPDGDD y RGPD exigen, consentimiento inequívoco del interesado, para enviar dichas comunicaciones comerciales, mientras que la LSSI da importancia, no tanto al consentimiento, sino a la posibilidad de revocar el mismo mediante medios o vías sencillas y gratuitas para el interesado. Otro ejemplo, es la regulación de la información que se debe poner a disposición del interesado vía web, como son, el aviso legal, la política de cookies o las condiciones de uso web.
No obstante, el nuevo Reglamento E-Privacy modificará, y está modificando en determinados aspectos, la normativa, y es por esta razón por la que recomendamos a nuestros clientes del sector, que soliciten dicho consentimiento para poder preparar una base de datos orientándola a futuros clientes. Además de otras cuestiones de gran importancia a nivel web, será modificada la regulación relativa a las cookies como consecuencia de la aprobación de la LOPDGDD.
En este sentido, debemos dejar claro a los operadores del sector turístico que todos aquellos que traten datos de carácter personal y todos los que realicen una actividad económica a través de una web, es decir, prácticamente todos, deben contar con un asesoramiento continuo en dichas materias, no únicamente por las posibles sanciones, sino por la importancia que están adquiriendo los tratamientos de los datos personales tanto a nivel nacional como a nivel europeo.