ePrivacy Regulation all’ultimo miglio: tutti i nodi ancora da sciogliere - Agenda Digitale

i negoziati

ePrivacy Regulation all’ultimo miglio: tutti i nodi ancora da sciogliere

L’evoluzione dell’ePrivacy Directive in ePrivacy Regulation ha attraversato un periodo molto lungo e irto di difficoltà e ancora, inegoziati volti ad approvare il testo, iniziati a maggio 2021, dovranno trovare un compromesso tra due testi, quello del Parlamento e del Consiglio, tra loro significativamente divergenti

05 Lug 2021
Alessandro Bruni

Associate Legal researcher - KU Leuven Centre for IT & IP Law – imec

A fine maggio, rappresentanti del Parlamento europeo, del Consiglio e della Commissione europea hanno iniziato i negoziati per finalizzare il testo dell’ePrivacy Regulation, che avrà lo scopo di sostituire l’ePrivacy Directive, emendandone parti cruciali e adattando il testo alle molteplici novità, sia tecnologiche che normative che hanno riguardato il settore della telecomunicazione sin dal 2009, hanno in cui l’ePrivacy è stata emendata l’ultima volta. Viste le sostanziali differenze tra i testi elaborati da Parlamento e Consiglio, non è dato ad oggi sapere se e quando l’ePrivacy verrà approvata e quali saranno le principali novità introdotte.

Regolamento ePrivacy: ambito di applicazione, ruolo delle autorità e sanzioni

In questo articolo, le caratteristiche dei negoziati che verranno portati avanti nei prossimi mesi dalle istituzioni europee e le implicazioni che questi potranno avere saranno presentate al fine di offrire al lettore un quadro il più possibile completo sull’evoluzione dell’ePrivacy Directive in ePrivacy Regulation.

Il processo legislativo

L’ePrivacy Directive è stata per quasi vent’anni, il testo legislativo di riferimento per quel che riguarda la privacy e la confidenzialità dei dati nel contesto delle comunicazioni elettroniche su rete pubblica. Essendo una legge che si applica solo a un determinato contesto, l’ePrivacy è stata sempre considerata una lex specialis, applicabile quindi solo in un contesto specifico all’interno della quale le sue misure illustrare nel testo vanno a prevalere rispetto a quelle generalmente applicabili del GDPR. Nel corso degli anni il testo è stato emendato e reinterpretato, sia direttamente che indirettamente più volte da parte del legislatore europeo, ma anche dalla Corte di giustizia e enti regolatori europei (sia Article 29 Working Party che European Data Protection Board).

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Il processo legislativo che ha portato a oggi è stato particolarmente lungo, la proposal dell’ePrivacy Regulation è stata infatti presentata dalla Commissione Europea già nel 2017, con l’intento dichiarato di arrivare all’approvazione del testo in concomitanza con l’entrata in vigore della GDPR. La necessità di completare il framework europeo per quel che riguarda la privacy e la protezione dei dati è da considerarsi inoltre alla base della scelta del legislatore di passare in termini di legislazione da una direttiva, implementata a livello nazionale diversamente dai vari stati membri, ad un regolamento, direttamente e uniformemente applicabile all’interno dell’intera UE.

Diversamente da quanto pianificato dalla Commissione, mentre il dibattito legislativo in Parlamento è stato relativemente spedito, arrivando all’approvazione del testo nell’ottobre dello stesso anno, il Consiglio, lì dove siedono i rappresentanti dei vari governi nazionali, ha dovuto discutere per più di quattro anni prima di arrivare ad approvare il proprio testo. Nel corso degli anni, le differenti presidenze che si sono alternate alla guida dei lavori del Consiglio non son riuscite a trovare un accordo su di un testo condiviso. Dopo numerosi fallimenti, finalmente il Consiglio sotto la presidenza portoghese ha approvato nel febbraio 2021 il suo approccio generale (cd. General Approach).

Viste le difficoltà nel trovare una sintesi comune tra le varie istanze nazionali, il testo del Consiglio, così come proposto dalla presidenza portoghese, è stato considerato da molti – compreso lo European Data Protection Board, dove siedono i rappresentanti delle varie autorità nazionali della privacy – come un accordo al ribasso, resosi comunque necessario per muoversi dall’impasse che si era creata tra i rappresentanti dei vari stati membri.

Anche a causa dei ritardi nell’approvazione dell’ePrivacy Regulation, numerosi operatori di servizi online tra cui Facebook, Twitter e altri cosiddetti Over The Top players (OTT) hanno sollecitato la Commissione a trovare una soluzione temporanea relativa all’attività di monitoraggio, segnalazione e rimozione di materiale pedopornografico da essi portata avanti. Tale attività, stante l’attuale quadro normativo potrebbe configurare, da parte di questi soggetti una violazione del principio di confidenzialità delle comunicazioni, elemento centrale dell’ePrivacy. La Commissione ha quindi di recente elaborato un testo normativo pro tempore al fine d’introdurre una momentanea e specifica limitazione al principio di cui sopra al fine di salvaguardare attività volte a combattere lo sfruttamento di minori e la diffusione di materiale pedopornografico online.

Come funzionano i negoziati

I negoziati per la finalizzazione di un testo normativo europeo che segue la procedura legislativa ordinaria d’approvazione sono detti triloghi (trilogues in inglese) e non sono altro che incontri negoziali informali, non previsti dai trattati, che pur non seguendo uno scadenziario prestabilito, mirano ad approvare un testo condiviso tra le varie istituzioni. Vista la sua natura e le difficoltà nel trovare una sintesi tra le varie istanze, non è dato sapere quanto un trilogo possa durare o quale ne sarà l’esito. Infatti, senza un accordo tra le parti, a prescindere da quale sia il testo, una nuova normativa non può essere approvata e quindi implementata.

Le negoziazioni avvengono tra il Parlamento e il Consiglio, con la Commissione chiamata a trovare una sintesi tra testi che in molte loro parti possono essere confliggenti. Alle negoziazioni partecipano, per conto della Commissione il gruppo responsabile dello sviluppo della proposta di legge, per il Parlamento i rapporteurs e shadow rapporteurs delle commissioni parlamentari responsabili del file in questione, mentre per il Consiglio sono i rappresentanti della presidenza di turno esperti nella materia a intavolare le negoziazioni per conto di quest’ultima istituzione. Il mandato dei negoziatori ricevuto dalle istituzioni di riferimento non è assoluto e prima e dopo ogni incontro ogni incaricato deve riportare in merito all’evoluzione del negoziato e ricevere le indicazioni necessarie in vista del prossimo incontro.

Come è logico aspettarsi, la durata dei triloghi dipende principalmente dalla distanza esistente tra il testo del Parlamento e quello del Consiglio. Maggiori sono le differenze, maggiore sarà il tempo necessario per trovare una sintesi comune. Di conseguenza, il ruolo della Commissione risulta cruciale, sia nel trovare di volta in volta un compromesso, ma anche nello spingere affinchè i negoziati avvengano il più frequentemente possibile.

I triloghi riguardanti l’ePrivacy Regulation

I negoziati volti ad approvare l’ePrivacy Regulation, iniziati ufficialmente a maggio 2021, dovranno cercare di trovare un compromesso tra due testi, quello del Parlamento e del Consiglio, tra loro significativamente divergenti per quel che riguarda: scopo d’applicazione (della legge), trattamento di content e metadata, periodo di archiviazione dei dati, cookies e cookies walls, autorità responsabili dell’implementazione (della legge), data d’applicazione, tracking di dati da dispositivi, e pratiche di marketing indesiderato.

Nei paragrafi che seguono verranno analizzati alcuni di questi argomenti.

Scopo d’applicazione (delle misure previste all’interno dell’ePrivacy)

Lo scopo d’applicazione dell’ePrivacy è legato a doppio filo a quello del codice europeo delle telecomunicazioni, recentemente implementato nei vari paesi europei. Il codice europeo delle telecomunicazioni (il codice) definisce gli attori soggetti alla normativa.

Già oggi l’ePrivacy Directive quando fa riferimento ai soggetti a cui il codice si applica fa riferimento al codice delle comunicazioni, così come recentemente modificato. Tenendo conto delle evoluzioni che hanno caratterizzato il comparto, la nuova normativa ha ampliato il suo iniziale scopo d’applicazione, aggiungendo ai tradizionali operatori telefonici anche altri soggetti, fino ad oggi esclusi, che offrono differenti servizi di comunicazione come Whatsapp, Skype o Facebook Messanger. Lo scopo di applicazione del codice include inoltre operatori che offrono servizi che rendono possibile la comunicazione tra macchine e quelli che permettono accesso a internet. L’approvazione del codice ha determinato di conseguenza l’ampiamento dello scopo di applicazione dell’ePrivacy Directive anche a soggetti che non necessariamente trasferiscono, conservano o accedono a dati personali come ad esempio può avvenire in relazione a coloro i quali offrono servizi per la comunicazione tra macchine in contesti industriali. Dal canto suo, il nuovo testo dell’ePrivacy Regulation, così come proposto dalla Commissione, include nello scopo d’applicazione oltre ai soggetti individuati nel codice anche coloro i quali offrono servizi di comunicazione considerati ancillari al servizio principale offerto. Un chiaro esempio di tale servizio di comunicazione ancillare è rappresentato dalle chat e forum di videogiochi e piattaforme gaming. Differentemente dal testo della Commissione e del Consiglio, il Parlamento ha invece escluso tale servizio dallo scopo di applicazione della nuova ePrivacy. La ratio dietro a tale scelta è forse da rintracciarsi nel convincimento, da parte del parlamento, che misure riguardanti la privacy possano essere trattate piu nello specifico, all’interno di legislazioni che regolano il servizio principale offerto dall’operatore in questione.

Trattamento di metadata

Il trattamento dei metadata è stato uno degli argomenti più discussi nei meeting del Consiglio e rappresenta uno degli ambiti dove maggiori sono le differenze tra i testi di Consiglio, Parlamento e Commissione. Nel testo della Commissione il trattamento di metadata è di per sé proibito ma sono previste delle eccezioni a tale divieto. Il trattamento di metadata è possibile quando necessario per raggiungere determinati standards di qualità, quando è necessario in relazione a pagamenti e fatturazioni e per investigare potenziali frodi. Da ultimo, la Commissione prevede che il trattamento di tali dati sia lecito qualora il soggetto i cui dati vengono trattati abbia dato il proprio consenso al trattamento. Tale consenso, può essere dato anche per scopi diversi ma deve esser dimostrato che lo scopo o le motivazioni per cui i dati sono stati trattati non potesse essere raggiunto con dati anonimizzati.

Rispetto al testo della Commissione, il Parlamento aggiunge due ulteriori tutele per gli individui i cui datati vengono trattati. Nel caso in cui il trattamento di metadata può comportare un alto rischio per i diritti e le libertà dei cittadini, i fornitori di servizi attraverso la rete dovranno svolgere un data protection impact assessment (DPIA) e consultarsi con l’autorità di vigilanza di riferimento.

Diversa rispetto alla posizione del Parlamento troviamo quella del Consiglio. Il testo, infatti, fermo restando quanto previsto dalla Commissione, non richiede al prestatore di servizi autorizzato dal cliente a trattare i suoi metadata di dimostrare che il proposito per cui i dati vengono trattati non sarebbe stato raggiunto con dati anonimizzati. In aggiunta, anche tenendo conto della pandemia di COVID-19, il testo approvato dal Consiglio prevede che il trattamento di metadata sia possibile qualora sia reso necessario al fine di proteggere la salute e gli interessi vitali delle persone in relazione alla diffusione di malattie o pandemie. Il trattamento di metadata è inoltre consentito qualora sia svolto per motivi statistici, storici e scientifici, purché i dati siano pseudonimizzati e anonimizzati una volta che lo scopo per cui i dati sono stati trattati sia stato raggiunto. Diversamente dal Parlamento, più garantista nei confronti dei clienti dei soggetti interessati dalle misure dell’ePrivacy Regulation, il testo del Consiglio prevede la possibilità di poter trattare i dati per un motivo ulteriore rispetto a quello per il quale questi sono stati inizialmente trattati. Per essere valido tale trattamento deve essere svolto su dati pseudonimizzati, per uno scopo compatibile con quello per cui i dati sono stati inizialmente trattati e nel rispetto le condizioni stabilite nella GDPR. Sono inoltre vietati ulteriori trattamenti di tali dati qualora tale attività sia basata sul consenso del cliente e se tale ulteriore trattamento sia svolti al fine di profilare il cliente, sia esso una persona fisica o giuridica.

Metadata Retention

Uno degli argomenti più dibattuti, specie in ambito di sicurezza e in particolare cybersecurity riguarda il regime di data retention, che permette l’archiviazione (storage) di dati da parte del prestatore di servizi di su rete pubblica per determinati fini, in primis legati alla sicurezza. Da quando la Corte di giustizia europea ha annullato la normativa che regolava tale pratica con la sentenza Digital Ireland, ogni stato si è mosso indipendentemente per regolamentare tale pratica.

La frammentazione della normativa tra i vari stati è stata segnalata come una delle principali barriere per le forze dell’ordine e giuridiche nell’investigare e perseguire reati online. La proposta della Commissione per l’ePrivacy Regulation non prevede uno specifico regime per la conservazione di metadata da parte dei vari operatori di servizi. Allo stesso tempo, il testo della Commissione intende offrire una cornice normativa che permetta agli stati di derogare al principio di confidenzialità delle comunicazioni se determinate condizioni che possano andare a mettere a rischio la sicurezza nazionale, ad esempio, si verifichino. Mentre il testo del Parlamento non ha emendato in alcun modo quello della Commissione, quello del Consiglio fa esplicitamente riferimento a questo regime, stabilendo che operatori che offrono servizi online possono essere obbligati dai vari stati membri a conservare metadata per motivi legati alla sicurezza nazionale del paese.

Le difficoltà a superare a livello comunitario le decisioni della corte di giustizia in materia, e la volontà da parte degli stati di regolamentare indipendentemente la data retention sembra quindi non tener conto o comunque non dare una risposta concreta all’istanza avanzata sia da Europol che Eurojust di una normativa uniformemente applicabile all’interno dell’unione europea in tale ambito.

Cookies e Cookies walls

L’ePrivacy Directive è stata da sempre nota come la direttiva dei cookies. Da sempre, infatti, questa legge è stata associata alla normativa relativa ai cookies. Nel tempo, sia la Corte di Giustizia dell’Unione Europea che l’EDPB, l’organo in cui siedono i rappresentanti delle varie autorità nazionali della privacy, hanno specificato le regole relative ai cookies, interpretando in maniera estensiva la normativa europea.

Tenendo conto dell’evoluzione normativa riguardante i cookies, il testo della Commissione, ripreso anche dal testo del Parlamento e dal Consiglio prevede che i cookies siano di per sé proibiti salvo determinate eccezioni. Le differenze sostanziali quando si tratta di cookies riguardano le eccezioni previste dalle varie istituzioni. Per la Commissione l’utilizzo dei cookies è autorizzato solo nel caso in cui sia necessario per il prestatore di servizi, se l’utente dà il proprio consenso, o nel caso in cui i cookies siano necessari per offrire il servizio richiesto o per misurare l’audience sul web in relazione alla prestazione.

I cookie nel Regolamento ePrivacy: ecco tutte le novità

Il testo del Parlamento espande ancora di più il campo delle eccezioni che permettono l’utilizzo di cookies sui dispositivi dei clienti. In particolare, l’utilizzo dei cookies è autorizzato qualora questo sia necessario per un corretto aggiornamento dei software e a patto che tale aggiornamento non vada a modificare l’hardware del device del cliente o a modificare le sue impostazioni della privacy, e dia comunque la possibilità all’utente di poter gestire tali aggiornamenti. Da ultimo, un ulteriore eccezione al divieto generale di utilizzo di cookies nel device del cliente è prevista in situazioni in cui l’utilizzo di cookies è reso necessario in un contesto lavorativo da parte del dipendente nello svolgimento delle mansioni a lui assegnate.

Il testo del Consiglio prevede, così come quello del Parlamento, ulteriori eccezioni al divieto generale di utilizzo e storage di cookies. Secondo l’istituzione rappresentante gli interessi nazionali dei vari stati membri, l’archiviazione di cookies sui device dei clienti sarebbe configurabile nel caso in cui essa sia resa necessaria per l’aggiornamento di software, in casi in cui sia necessario in casi di emergenza rintracciare il device del cliente, ed in situazioni in cui lo storage di cookies sul device del cliente sia necessario al fine di mantenere e ripristinare la sicurezza del sistema o del device del cliente. In merito ai cookies, un altro aspetto che necessità ulteriori approfondimenti riguarda i cd cookies wall, muri che non permettono al cliente che non abbia accettato l’archiviazione dei cookies di usufruire comunque del servizio offerto dal sito. In tale ambito le posizioni delle tre istituzioni sono completamente diverse. Da un lato, nel testo della Commissione, tale pratica non è esplicitamente proibita. Dalla parte diametralmente opposta troviamo il Parlamento, il cui testo prevede esplicitamente che tale pratica sia proibita. Ponendosi a metà tra questi due approcci, il Consiglio prevede che tale pratica sia possibile a patto che il provider offra un servizio da considerarsi equivalente nel caso in cui il cliente non accetti lo storage dei cookies.

Implementazione e data d’applicazione

Le ultime due disposizioni analizzate in questo articolo riguardano le misure per l’implementazione delle norme previste dall’ePrivacy nei vari stati membri e la sua data d’applicazione.

Per quel che riguarda l’applicazione della normativa riguardante la privacy e confidenzialità delle comunicazioni online è necessario tener conto del fatto che allo stato attuale, l’ambito d’applicazione dell’ePrivacy coprirebbe non solo i tradizionali operatori telefonici o comunque operatori che offrono servizi online ma una miriade di altri soggetti che fino ad oggi sono rimasti fuori da tale dettato normativo (prestatori di servizi e piattaforme per abilitare le comunicazioni tra macchine ad esempio). In aggiunta, l’inclusione nello scopo d’applicazione anche di dati che non necessariamente possono essere definiti personali, ha ampliato enormemente l’area d’applicazione dell’ePrivacy, rendendola in fin dei conti, una vera e propria legge orizzontalmente applicabile a tutti i servizi offerti tramite reti pubbliche. Considerando questo, è interessante vedere quali autorità sono state identificate dalle varie istituzioni per l’implementazione dell ePrivacy a livello nazionale. Da un lato, infatti, sia la Commissione che il Parlamento hanno previsto che le autorità responsabili per l’attuazione di questa normativa siano le autorità nazionali responsabili per la protezione dati personali. Diversamente, tenendo conto dell’ampio scopo d’applicazione della nuova normativa, il Consiglio fa riferimento in merito all’applicazione delle misure incluse nell’ePrivacy, ad autorità di supervisione indipendenti. La mancanza di un riferimento specifico a determinate attività, la mancanza di procedure, formali e non, che caratterizzano le attività delle autorità responsabile della privacy, mette fortemente in dubbio l’efficacia e l’omogeneità nell’applicazione dell’ePrivacy da parte di non meglio identificate autorità descritte nella versione del Consiglio.

Da ultimo, è necessario menzionare le differenze esistenti tra le varie istituzioni per quel che riguarda la data d’applicazione delle misure previste dall’ePrivacy Regulation. Mentre la versione della Commissione fa riferimento, con marcato ottimismo al 25 maggio 2018, per rendere ancora più stretto il legame tra ePrivacy e GDPR, il Parlamento ha previsto nel proprio testo un periodo di 12 mesi tra l’entrata in vigore e l’applicazione delle norme. A seguito delle discussioni avvenute all’interno del Consiglio tra i vari stati membri, e la necessità di trovare un compromesso tra le istanze dei vari stati membri, il Consiglio ha invece previsto un periodo di 24 mesi prima dell’applicazione della normativa in oggetto. Il lungo periodo d’implementazione presentato dal Consiglio è stato aspramente criticato poiché, secondo numerosi detrattori, tale impostazione lascerebbe ancora per molto tempo un numero crescente di servizi e di conseguenza dati, privi di un dettato normativo ad hoc.[1]

Note

  1. I risultati dell’analisi dell’ePrivacy Regulation qui svolta sono stati finanziati all’interno del progetto Safe-DEED. Il programma di ricerca svolto all’interno di tale progetto ha ricevuto finanziamenti dal programma di ricerca e innovazione di Horizon 2020 dell’Unione europea nell’ambito Grant Agreement n. 825225.
WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3