EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Protección de datos en el sector de las comunicaciones electrónicas

La información se intercambia a través de servicios públicos de comunicaciones electrónicas como internet y la telefonía móvil y fija, así como de sus redes de apoyo. Estos servicios y redes exigen normas y salvaguardias específicas para garantizar el derecho de los usuarios a la intimidad y la confidencialidad.

ACTO

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).

SÍNTESIS

La información se intercambia a través de servicios públicos de comunicaciones electrónicas como internet y la telefonía móvil y fija, así como de sus redes de apoyo. Estos servicios y redes exigen normas y salvaguardias específicas para garantizar el derecho de los usuarios a la intimidad y la confidencialidad.

¿QUÉ HACE ESTA DIRECTIVA?

Establece normas para garantizar la seguridad en el tratamiento de los datos personales, la notificación de las violaciones de los datos personales y la confidencialidad de las comunicaciones. Asimismo, prohíbe las comunicaciones no solicitadas en las que el usuario no ha dado su consentimiento.

PUNTOS CLAVE

Los proveedores de servicios de comunicaciones electrónicas están obligados a proteger sus servicios, al menos:

  • garantizando que únicamente acceden a los datos de carácter personal las personas autorizadas;
  • protegiendo los datos de carácter personal frente a su pérdida o alteración accidental y a otras formas de tratamiento ilícitas o no autorizadas;
  • garantizando la aplicación de una política de seguridad relativa al tratamiento de datos de carácter personal.

En caso de violación de la seguridad de los datos de carácter personal, el proveedor de servicios debe advertir a la autoridad nacional en un plazo de veinticuatro horas. Si es probable que resulten dañados los datos personales o la intimidad de un usuario, también debe informar al abonado, salvo si se han adoptado medidas tecnológicas específicamente identificadas para proteger los datos.

Los países de la UE deben garantizar la confidencialidad de las comunicaciones realizadas a través de las redes públicas; en particular, han de:

  • prohibir que se escuchen, intercepten, almacenen o que se someta a cualquier tipo de vigilancia o interceptación las comunicaciones y datos de tráfico sin el consentimiento de los usuarios, salvo si la persona está autorizada legalmente a hacerlo y respeta unos requisitos específicos;
  • garantizar que únicamente se permita el almacenamiento de información o el acceso a la información almacenada en el equipo personal de un abonado si este ha recibido una información clara y completa, como mínimo sobre la finalidad, y que se le otorga el derecho a rechazarlo.

Cuando dejen de ser necesarios para la comunicación o facturación, los datos relativos al tráfico deben borrarse o volverse anónimos. No obstante, los proveedores de servicios pueden tratar estos datos con fines comerciales durante el tiempo para el cual los usuarios hayan dado su consentimiento. Tal consentimiento podrá ser retirado en cualquier momento.

El consentimiento del usuario también es necesario en otras situaciones, como, por ejemplo:

  • antes de que se le puedan enviar comunicaciones no solicitadas (spam). Esto también es aplicable a los SMS y a los demás sistemas de mensajería electrónica;
  • antes de que se almacene información (cookies) en sus ordenadores o dispositivos o antes de que se obtenga acceso a dicha información. El usuario debe recibir información clara y completa, entre otras cosas, sobre la finalidad del almacenamiento o acceso;
  • antes de que sus números de teléfono, sus direcciones electrónicas o sus direcciones postales puedan figurar en las guías públicas.

Los países de la UE deben determinar el régimen de sanciones, incluidas las sanciones penales, en caso de violación de la Directiva.

El alcance de los derechos y obligaciones únicamente puede ser restringido por las disposiciones nacionales cuando tales restricciones sean necesarias y proporcionales para proteger intereses públicos específicos, por ejemplo para permitir investigaciones de actividades delictivas o para garantizar la seguridad nacional, la defensa o la seguridad pública.

¿A PARTIR DE CUÁNDO ESTÁ EN VIGOR LA DIRECTIVA?

A partir del 31 de julio de 2002.

CONTEXTO

Esta Directiva es una de las cinco que componen el paquete de las telecomunicaciones, un marco legislativo que regula el sector de las comunicaciones electrónicas. Las otras directivas abarcan el marco general, el acceso y la interconexión, la autorización y la aprobación de licencias y el servicio universal.

El paquete fue modificado en 2009 mediante dos directivas sobre legislar mejor y los derechos de los ciudadanos, así como a través de un reglamento que establecía el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas.

Para más información, véase el sitio web de la Directiva sobre la privacidad y las comunicaciones electrónicas de la Comisión Europea.

Tras el brote de COVID-19 y la introducción de medidas para hacer frente a los efectos de la crisis, la Comisión Europea ha adoptado: Recomendación (UE) 2020/518 de la Comisión de 8 de abril de 2020 relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados

REFERENCIAS

Acto

Entrada en vigor

Plazo de transposición en los Estados miembros

Diario Oficial de la Unión Europea

Directiva 2002/58/CE

31.7.2002

30.10.2003

DO L 201 de 31.07.2002, pp. 37-47

Acto(s) modificativo(s)

Entrada en vigor

Plazo de transposición en los Estados miembros

Diario Oficial de la Unión Europea

Directiva 2009/136/CE

19.12.2009

25.5.2011

DO L 337 de 18.12.2009, pp. 11-36

ACTOS CONEXOS

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.95, pp. 31-50).

Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, pp. 1-22).

Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105 de 13.4.2006, pp. 54-63). (Declarada nula por el Tribunal de Justicia, véase a continuación).

Reglamento (UE) no 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas (DO L 173 de 26.6.2013, pp. 2-8).

Asuntos acumulados C-293/12 y C-594/12: Sentencia del Tribunal de Justicia (Gran Sala) de 8 de abril de 2014 (peticiones de decisión prejudicial planteadas por la High Court of Ireland, Verfassungsgerichtshof - Irlanda, Austria) - Digital Rights Ireland Ltd (C-293/12), Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl y otros (C-594/12)/Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of the Garda Síochána, Irlanda y el Attorney General (Comunicaciones electrónicas - Directiva 2006/24/CE - Servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones - Conservación de datos generados o tratados en relación con la prestación de tales servicios - Validez - Artículos 7, 8 y 11 de la Carta de los Derechos Fundamentales de la Unión Europea) (DO C 175 de 10.6.2014, pp. 6-7).

última actualización 25.05.2020

Top