La proposta di regolamento

ePrivacy, a che punto siamo? Ecco lo stato dell’arte

La versione finale del regolamento su ePrivacy potrà essere ragionevolmente pubblicata nel 2023 ed entrare in vigore nel 2025 (a distanza di due anni, così com’è avvenuto per il GDPR). Facciamo il punto sull’iter della proposta fino alla versione attuale e sugli elementi salienti

01 Mar 2022
Nicola Fabiano

Avvocato cassazionista - Specialista in Diritto Civile (Studio Legale Fabiano) - Già Garante privacy di San Marino

Proseguono e auspicabilmente sono al termine i lavori dell’Europa sulla proposta di regolamento “ePrivacy“. In questo contributo facciamo riferimento alla bozza completa del 10/2/2021, sebbene si siano susseguite altre tre versioni ma non complete quindi parzialmente accessibili al pubblico così come pubblicate sul sito web del Consiglio dell’Unione Europea.

L’ultima bozza ePrivacy: i dettagli

La bozza alla quale ci riferiamo si compone di 43 Considerando e 29 articoli.

In realtà, cosa cambia con la proposta di regolamento su ePrivacy rispetto alla vigente Direttiva 2002/58/CE?

Di seguito i punti salienti della riforma.

Oggetto: persone giuridiche

Come avevamo accennato all’inizio di questo contributo, il regolamento su “ePrivacy”, nel porsi come complementare al GDPR, stabilisce la sua applicazione non solo alle persone fisiche ma anche alle persone giuridiche e ciò è ribadito ripetutamente sia nei considerando sia dall’art. 1a (così nella bozza) rubricato “Oggetto” (nella versione inglese “Subject matter”).

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

Ambito di applicazione materiale

L’articolo 2, paragrafo 1, descrive l’ambito di applicazione della proposta di regolamento e precisamente:

  • il trattamento del contenuto delle comunicazioni elettroniche e dei relativi metadati effettuato in relazione alla fornitura e all’uso dei servizi di comunicazione elettronica;
  • le informazioni sulle apparecchiature terminali degli utenti finali;
  • l’offerta di un elenco disponibile al pubblico di utenti finali di servizi di comunicazione elettronica;
  • l’invio di comunicazioni di marketing diretto agli utenti finali.

Il successivo paragrafo 2 precisa anche ciò che è escluso dalla sua applicazione precisando:

  • le attività escluse dal diritto dell’Unione e le misure, i trattamenti e le operazioni riguardanti la sicurezza e la difesa nazionale, indipendentemente da chi svolge tali attività, che si tratti di un’autorità pubblica o di un operatore privato che agisce su richiesta di un’autorità pubblica;
  • le attività degli Stati membri che rientrano nel campo di applicazione del capo 2 del titolo V del trattato sull’Unione europea;
  • i servizi di comunicazione elettronica che non sono disponibili al pubblico;
  • le attività, comprese quelle di trattamento dei dati, delle autorità competenti ai fini della prevenzione, dell’indagine, dell’accertamento o del perseguimento di reati o dell’esecuzione di sanzioni penali;
  • i dati delle comunicazioni elettroniche trattati dopo la ricezione da parte dell’utente finale interessato.

Ambito di applicazione territoriale

Secondo l’articolo 3 il regolamento “ePrivacy” si applicherà sul piano soggettivo agli utenti finali che si trovano in Unione, mentre sul piano oggettivo:

  • alla fornitura di servizi di comunicazione elettronica a utenti finali che si trovano nell’Unione;
  • al trattamento dei contenuti delle comunicazioni elettroniche e dei metadati delle comunicazioni elettroniche degli utenti finali che si trovano nell’Unione;
  • alla protezione delle informazioni sulle apparecchiature terminali degli utenti finali che si trovano nell’Unione;
  • all’offerta di elenchi disponibili al pubblico di utenti finali di servizi di comunicazione elettronica che si trovano nell’Unione;
  • all’invio di comunicazioni di marketing diretto a utenti finali che si trovano nell’Unione.

L’ultimo paragrafo dell’art. 3, e precisamente il 6, dispone che il regolamento “ePrivacy” si si applica al trattamento dei dati personali effettuato da un fornitore anche se questi non è stabilito nell’Unione, purché sia in un luogo in cui si applica il diritto degli Stati membri in virtù del diritto internazionale pubblico.

È evidente che la ratio del legislatore europeo è quella di offrire protezione e tutela a chi si trova in Unione o in luoghi ove si applichi la sua disciplina.

Obbligo di nomina di un rappresentante

Così com’è previsto dall’art. 27 del GDPR, il regolamento “ePrivacy” – sempre all’art. 3 – impone la nomina, per iscritto e entro un mese dall’inizio delle attività, di un rappresentante per i fornitori di servizi di comunicazione che non siano stabiliti nell’Unione, con obbligo di comunicazione all’autorità di controllo competente.

Il tutto salvo che non si tratti di attività occasionali ed è improbabile che comportino un rischio per i diritti fondamentali degli utenti finali, tenuto conto della natura, del contesto, della portata e delle finalità di tali attività.

Ovviamente il rappresentante – che avrà l’obbligo di rispettare il regolamento “ePrivacy” – dovrà essere stabilito in uno degli Stati membri in cui sono ubicati gli utenti finali.

Il codice europeo delle comunicazioni elettroniche (EECC) e le definizioni

Il regolamento “ePrivacy” rimanda al codice delle comunicazioni elettroniche e precisamente alla Direttiva (UE) 2018/1972 dell’11 dicembre 2018. A parere di chi scrive, alcune definizioni lasciano spazi a dubbi. La proposta di regolamento su “ePrivacy” richiama espressamente le definizioni stabilite dai seguenti testi normativi:

  1. GDPR;
  2. Direttiva (UE) 2018/1972 dell’11 dicembre 2018 che istituisce il codice europeo delle comunicazioni elettroniche;
  3. Direttiva 2008/63/CE della Commissione, del 20 giugno 2008, relativa alla concorrenza sui mercati delle apparecchiature terminali di telecomunicazione;
  4. Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015 che prevede una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione (codificazione)

Nella nostra prospettiva, tra le definizioni di cui sopra, non si può prescindere da quelle stabilite dalla citata direttiva (UE) 2018/1972, come richiamato dalla proposta, e principalmente le seguenti cinque:

  1. rete di comunicazione elettronica“;
  2. servizio di comunicazione elettronica“;
  3. servizio di comunicazione interpersonale“;
  4. servizio di comunicazione interpersonale basato sul numero“;
  5. servizio di comunicazione interpersonale indipendente dal numero“;

In particolare, le definizioni di “servizio di comunicazione elettronica” e di “servizio di comunicazione interpersonale indipendente dal numero” hanno attirato la nostra attenzione e precisamente:

  • il “servizio di comunicazione interpersonale” è definito come segue:
  • un servizio normalmente fornito a pagamento che permette lo scambio interpersonale e interattivo diretto di informazioni attraverso reti di comunicazione elettronica tra un numero finito di persone, in cui le persone che iniziano o partecipano alla comunicazione ne determinano il destinatario (o i destinatari) e non comprende i servizi che permettono la comunicazione interpersonale e interattiva solo come una caratteristica accessoria minore che è intrinsecamente legata a un altro servizio;
  • il “servizio di comunicazione interpersonale indipendente dal numero” è definito come seue:
  • un servizio di comunicazione interpersonale che non si collega con risorse di numerazione assegnate pubblicamente, vale a dire uno o più numeri in piani di numerazione nazionali o internazionali, o che non consente la comunicazione con uno o più numeri in piani di numerazione nazionali o internazionali.

Alla luce delle definizioni di cui sopra, la domanda che ci siamo posti è: “Cosa ne è dei servizi di comunicazione, generalmente open-source e forniti gratuitamente alle persone?” Con questa domanda intendiamo fare riferimento a risorse molto note in rete, tra le quali possiamo menzionare architetture basate sui protocolli aperti di Matrix e di XMPP.

Ci sembra, infatti, che quella tipologia di servizi non sia contemplata.

Il consenso dell’utente finale

L’art. 4a del regolamento “ePrivacy” richiama la disciplina del consenso prevista nel GDPR, aggiungendo che essa si applicherà anche “mutatis mutandis, alle persone giuridiche“.

Particolarmente interessante è quanto stabiliscono i paragrafi successivi del medesimo articolo in ordine alle modalità di espressione del consenso.

Difatti, è precisato che, “qualora sia tecnicamente possibile e fattibile, il consenso potrà essere espresso utilizzando le opportune impostazioni tecniche di un software immesso sul mercato che consente le comunicazioni elettroniche, comprese la ricerca e la presentazione di informazioni su Internet”.

Si aggiunge che il consenso espresso con le suddette modalità direttamente da un utente finale prevale sulle impostazioni del software e dovrà essere direttamente attuato, senza ulteriori ritardi.

Qualora, poi, il fornitore non sarà in grado di identificare la persona interessata, il protocollo tecnico che dimostra che il consenso è stato dato dall’apparecchiatura terminale è sufficiente a dimostrare il consenso dell’utente finale.

Così com’è per il GDPR, anche nel regolamento “ePrivacy” il consenso potrà essere revocato e vi è l’obbligo di ricordare agli utenti finali la possibilità di revocare il consenso a intervalli periodici di non più di 12 mesi, finché il trattamento continua, a meno che l’utente finale non chieda di non ricevere tali promemoria.

Riguardo al consenso, si registra un passo avanti rispetto al GDPR, ove il regolamento “ePrivacy” prevede chiaramente che il consenso (esplicito, liberamente prestato e non condizionato) possa essere espresso mediante software. Tale precisazione, che allo stato non è oggetto di nessuna norma, va nella direzione di quanto per certi versi già accade in concreto quando l’utente effettua una scelta mediante il proprio device cliccando su un’opzione o selezionandola con un contrassegno (“flag”).

Natura dei dati delle comunicazioni

L’art. 5 stabilisce che “i dati delle comunicazioni elettroniche sono riservati” e che è “vietata qualsiasi interferenza con i dati delle comunicazioni elettroniche, compresi l’ascolto, la captazione, la memorizzazione, il monitoraggio, la scansione o altri tipi di intercettazione, sorveglianza e trattamento dei dati delle comunicazioni elettroniche da parte di chiunque non sia l’utente finale interessato, tranne quando consentito dal presente regolamento”.

Viene attribuita dignità normativa sia alla segretezza delle comunicazioni elettroniche sia al divieto di ogni tipo di interferenza.

Condizioni per il trattamento dei dati di comunicazione elettronica

L’articolo 6 del regolamento “ePrivacy” stabilisce quando è consentito il trattamento dei dati di comunicazione elettronica da parte dei fornitori di reti e servizi, definendo quattro ipotesi di liceità, fondamentalmente per esigenze di natura tecnica e di sicurezza.

Peraltro, viene anche stabilito che il trattamento di tali dati è consentito solo per la durata necessaria allo scopo o agli scopi specificati qualora non sia possibile utilizzare informazioni rese anonime.

Trattamento del contenuto delle comunicazioni elettroniche e dei metadati

Su questi argomenti – allo stato – ci sono tre articoli (6a, 6b e 6c).

Per il trattamento del contenuto delle comunicazioni elettroniche (art. 6a) da parte dei fornitori di reti e servizi di comunicazione elettronica è necessario il consenso dell’interessato (utente).

Inoltre, l’ultimo paragrafo del citato articolo 6a prevede l’obbligo per il fornitore di reti e servizi di comunicazione elettronica di effettuare una valutazione d’impatto ai sensi dell’art. 36 del GDPR.

Il regolamento “ePrivacy” introduce la disciplina dei metadati e ne fornisce la definizione all’art. 4 come segue:

per “metadati di comunicazione elettronica” si intendono i dati trattati mediante servizi di comunicazione elettronica ai fini della trasmissione, distribuzione o scambio di contenuti di comunicazione elettronica, compresi i dati utilizzati per rintracciare e identificare la fonte e la destinazione di una comunicazione, i dati sull’ubicazione del dispositivo generati nel contesto della fornitura di servizi di comunicazione elettronica, nonché la data, l’ora, la durata e il tipo di comunicazione

Il trattamento dei metadati delle comunicazioni elettroniche da parte dei fornitori di reti e servizi di comunicazione elettronica è consentito unicamente in sei ipotesi previste dalla norma (6b) e precisamente per esigenze tecniche, fatturazione, individuazione o cessazione dell’uso fraudolento o abusivo dei servizi, consenso dell’interessato, tutela degli interessi vitali di una persona fisica, e per i dati sull’ubicazione per fini di ricerca scientifica o storica o a fini statistici.

In quest’ultimo caso (dati sull’ubicazione per fini di ricerca scientifica o storica o a fini statistici) è necessario che ricorrano determinate condizioni e precisamente:

  • pseudonimizzazione;
  • il trattamento non potrebbe essere effettuato trattando informazioni rese anonime;
  • i dati di localizzazione non sono utilizzati per profilare l’utente.

Inoltre, per il trattamento dei metadati diversi dai dati relativi all’ubicazione, quando esso è necessario a fini di ricerca scientifica o storica o a fini statistici, purché sia conforme al diritto dell’Unione o degli Stati membri e soggetto ad adeguate garanzie, tra cui la cifratura e la pseudonimizzazione (viene richiamato il GDPR).

Il testo della norma precisa anche che i metadati possono anche essere utilizzati per lo sviluppo, la produzione e la diffusione di statistiche ufficiali nazionali ed europee.

Infine, vi è il divieto di condividere i metadati con terzi, a meno che essi non siano stati resi anonimi.

L’articolo 6c stabilisce i criteri (cinque), il cui onere è in capo al fornitore di reti e servizi di comunicazione elettronica, per accertare se il trattamento per un’altra finalità sia compatibile con quella per cui i metadati di comunicazione elettronica sono inizialmente raccolti.

Il medesimo articolo stabilisce ulteriori garanzie riguardo al trattamento dei metadati.

Periodo di conservazione dei dati di comunicazione elettronica e dei metadati

Vengono stabiliti i medesimi criteri previsti dal GDPR e precisamente i dati possono essere conservati per l’intera durata del trattamento oppure per esigenze di natura contabile-fiscale secondo le norme vigenti.

Protezione delle informazioni sulle apparecchiature terminali degli utenti finali (i cookie)

Il tema è disciplinato dall’art 8 e costituisce una delle parti centrali della nuova disciplina.

Il termine “cookie” (in inglese cookies) viene menzionato numerose volte nei considerando. Viene disciplinato, con una definizione terminologica diversa da cookie, all’articolo 8.

In generale, secondo quanto dispone la norma, l’uso delle capacità di trattamento e di memorizzazione delle apparecchiature terminali e la raccolta di informazioni dai terminali degli utenti finali (cookie), anche su software e hardware, al di fuori dell’utente finale interessato sono vietati, tranne che per i seguenti motivi:

  • è necessario al solo scopo di fornire un servizio di comunicazione elettronica; o
  • l’utente finale ha dato il suo consenso; o
  • se è strettamente necessario per fornire un servizio specificamente richiesto dall’utente finale; o
  • se è necessario al solo scopo di misurare il pubblico, a condizione che tale misurazione sia effettuata dal fornitore del servizio richiesto dall’utente finale, o da un terzo, o da terzi congiuntamente per conto o insieme al fornitore del servizio richiesto purché, se del caso, siano soddisfatte le condizioni di cui agli articoli 26 o 28 del regolamento (UE) 2016/679; oppure
  • è necessario per mantenere o ripristinare la sicurezza dei servizi della società dell’informazione o delle apparecchiature terminali dell’utente finale, prevenire le frodi o prevenire o individuare guasti tecnici per la durata necessaria a tale scopo; oppure
  • è necessario per un aggiornamento del software a condizione che (i) tale aggiornamento sia necessario per motivi di sicurezza e non modifichi in alcun modo le impostazioni di privacy scelte dall’utente finale, (ii) l’utente finale sia informato in anticipo ogni volta che viene installato un aggiornamento, e (iii) l’utente finale abbia la possibilità di rinviare o disattivare l’installazione automatica di tali aggiornamenti; o
  • se è necessario localizzare l’apparecchiatura terminale quando un utente finale effettua una comunicazione di emergenza al numero di emergenza unico europeo “112” o a un numero di emergenza nazionale;

Sono contenute ulteriori precisazioni sul trattamento dei dati registrati sul terminale dell’utente finale.

È comunque necessario un avviso chiaro ed evidente che informa almeno delle modalità della raccolta, del suo scopo, della persona responsabile e delle altre informazioni richieste a norma dell’articolo 13 del GDPR quando sono raccolti dati personali.

In ogni caso, la norma prevede che la raccolta di tali informazioni è subordinata all’applicazione di misure tecniche e organizzative appropriate ai sensi dell’art. 32 del GDPR.

Capo III sui diritti degli utenti finali di controllare le comunicazioni elettroniche

Il Capo III è interamente oggetto dei negoziati al fine di individuare un testo che sia condiviso dai tre soggetti del trilogo.

Pertanto, si dovrà attendere una versione finale, sussistendo contrasti per gli articoli dal 12 al 16 (il 17 è stato ritenuto da eliminare).

 Il ruolo delle autorità di controllo

Il regolamento “ePrivacy” al capo IV richiama le norme del GDPR sulle autorità di controllo in materia di protezione dei dati personali demandando alle singole autorità nazionali il compito di supervisionare.

L’EDPB avrà il compito di contribuire all’applicazione del regolamento “ePrivacy” e fondamentalmente dei capi I, II e III.

Capo V – Rimedi, responsabilità e sanzioni

Anche il Capo V, così com’è per il III, è oggetto dei negoziati e sarà necessario attendere la versione finale condivisa dei partecipanti al trilogo, stante l’attuale disaccordo sul testo degli articoli dal 21 al 24.

Una visione d’insieme dell’intero testo della proposta di regolamento

Leggendo il testo integrale della versione attuale della proposta di regolamento su “ePrivacy”, e confrontando la stessa con la versione del 10/2/2021, possiamo notare quali sono le modifiche e le integrazioni apportate.

In sintesi, le novità riguardano gli interventi sulle parti seguenti:

  1. interventi su alcuni dei 43 Considerando;
  2. l’articolo sul consenso originariamente era il numero 9, e ora è il numero 4a;
  3. l’articolo 6 è stato cancellato, e ora ci sono ben tre articoli 6, e in particolare 6a, 6b e 6c;
  4. l’articolo 10 è stato cancellato, e il contenuto è stato rivisto, ampliato e inserito in altri articoli;
  5. l’articolo 17 è stato soppresso;
  6. gli articoli 12, 13, 14, 15, 16, 21, 23 e 26 sono oggetto dei negoziati.

I punti chiave della proposta di regolamento su “ePrivacy”

Volendo sintetizzare, i punti chiave della proposta di regolamento su “ePrivacy” sono indicati di seguito:

  1. È una lex specialis rispetto al GDPR;
  2. Completa l’ecosistema del regolamento sulla protezione dei dati (tra i testi menzioniamo la Carta dei Diritti Fondamentali dell’Unione Europea, il TFUE, la Convenzione europea dei diritti dell’uomo (ECHR), la Convenzione 108+, il Soft Law);
  3. La sua base giuridica è composta da: a. GDPR b. TFUE c. Carta dei diritti fondamentali dell’Unione Europea d. Convenzione europea dei diritti dell’uomo (ECHR)
  4. È stato considerata parte della strategia del mercato unico digitale (strategia DSM);
  5. Si applica sia alle persone fisiche sia a quelle giuridiche;
  6. Migliora la sicurezza e la riservatezza delle comunicazioni (compresi i contenuti e i metadati, ad esempio, il mittente, l’ora, la posizione di una comunicazione);
  7. Fornisce le definizioni di: a. dati delle comunicazioni elettroniche; b. contenuto delle comunicazioni elettroniche; c. metadati delle comunicazioni elettroniche d. messaggio elettronico;
  8. disciplina i cookie che sono ripetutamente menzionati nei considerando;
  9. disciplina aspetti di sicurezza delle comunicazioni elettroniche.

In conclusione, non ci resta altro che seguire i negoziati e attendere il loro esito auspicando di avere a breve una versione finale della proposta di regolamento su “ePrivacy”.

In ogni caso, è necessario attendere una versione finale, posto che il testo in esame sarà certamente oggetti di modifica nel corso dei negoziati.

In considerazione di quanto è stato già fatto sino ad oggi, e delle ulteriori attività che saranno oggetto dei negoziati, si può ipotizzare che la versione finale potrà essere ragionevolmente pubblicata nel 2023 ed entrare in vigore nel 2025 (a distanza di due anni, così com’è avvenuto per il GDPR al fine di consentire la conoscenza e permettere il necessario adeguamento).

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 4