Regolamento ePrivacy: a che punto siamo e cosa aspettarsi con la Presidenza tedesca | Agenda Digitale

i nodi irrisolti

Regolamento ePrivacy: a che punto siamo e cosa aspettarsi con la Presidenza tedesca

Dopo oltre due anni di negoziati, non si è ancora raggiunto un accordo sul testo definitivo del Regolamento ePrivacy. La Germania, alla presidenza Ue dal primo luglio, vuole accelerare. Vediamo i temi sul tavolo

30 Ott 2020
Tommaso Ricci

Data Protection and LegalTech Specialist


Quella del Regolamento ePrivacy sembra oramai una saga infinita, eppure forse qualcosa sta per cambiare. Dopo la bozza originariamente proposta dalla Commissione europea nel 2017 ed approvata nell’ottobre dello stesso anno dal Parlamento, l’iter legislativo si è arrestato in seno al Consiglio dell’Unione europea: dopo oltre due anni di negoziati e svariati Stati membri susseguitisi alla Presidenza, non si è ancora raggiunto un accordo sul testo definitivo. Ora la palla è passata alla Presidenza tedesca, che sin da subito ha dimostrato di voler raggiungere un approccio generale per avviare i negoziati con il Parlamento. Che sia la volta buona? Vediamo i temi caldi sul tavolo.

Perché il Regolamento ePrivacy è così importante

Successivo rispetto al GDPR per approvazione definitiva, ma non certo per importanza, il Regolamento ePrivacy mira a garantire la riservatezza nelle comunicazioni elettroniche, introducendo importanti cambiamenti nei settori fondamentali dell’economia digitale, dall’IoT e attività delle società di telecomunicazioni fino all’online advertising e al direct marketing, con impatti su tutte le organizzazioni attive nel settore digital, dalle web company agli OTT. Data la sua importanza e ambito di applicazione (che si estende anche i dati non personali) la proposta negli ultimi due anni ha subito numerose modifiche che riflettono l’influsso degli interessi – in parte contrapposti – delle imprese e dei consumatori.

I temi caldi in ballo riguardano principalmente 3 temi:

  • le regole anti-spam che potrebbero introdurre nuovi oneri nelle attività di direct marketing, incluso un termine massimo – stabilito dagli Stati membri – entro cui poter utilizzare i dati raccolti nel contesto di una vendita senza dover raccogliere obbligatoriamente un consenso specifico, facendo ricorso alla cosiddetta eccezione soft spam;
  • le regole sui cookie e le altre tecnologie di tracciamento, che mirano a facilitare l’esperienza di navigazione e la consapevolezza degli utenti, mettendo al bando cookie banner e cookie wall, e prevedendo l’obbligatorietà del consenso, con limitate eccezioni;
  • le regole sulla segretezza delle comunicazioni: la bozza di regolamento ePrivacy tenta di chiarire la differenza tra le norme sul contenuto delle comunicazioni elettroniche, sui metadati delle comunicazioni elettroniche e sui dati delle comunicazioni elettroniche. Il principio comune rimane quello della segretezza delle comunicazioni elettroniche, salvo eccezioni specifiche, ad esempio i metadati possono essere trattati per della fatturazione e per finalità di prevenzione e contrasto della criminalità. Più controversa resta la possibilità di elaborare i metadati per scopi “compatibili” con quelli per i quali sono stati originariamente raccolti.

Il nodo irrisolto del bilanciamento degli interessi

Dopo ripetuti incontri con le varie delegazioni, la presidenza finlandese del Consiglio dell’Unione europea nel luglio del 2019 ha presentato una nuova bozza con varie proposte di modifica per semplificare le regole relative alle condizioni ed ai trattamenti consentiti di dati, metadati e contenuto delle comunicazioni elettroniche. Le proposte fanno seguito alla pubblicazione da parte della Germania di un documento in cui dichiarava di non poter accettare il Regolamento a causa della mancanza di protezione della riservatezza delle comunicazioni, con particolare riferimento all’articolo 6 della bozza in discussione in quel periodo.

Tuttavia alla conclusione del mandato finlandese, non si è raggiunto un accordo. Secondo il progress report pubblicato dalla Presidenza finlandese, i principali problemi che hanno impedito di raggiungere un accordo riguardavano “le preoccupazioni sul modo in cui la proposta ePrivacy interagirà con le nuove tecnologie ePrivacy (…) in particolare nel contesto di Machine-to-Machine, Internet delle cose o di Intelligenza artificiale”.

Un’altra questione riguardava il trattamento dei dati delle comunicazioni elettroniche per la prevenzione, l’individuazione e la segnalazione di contenuti pedopornografici. Alcune delegazioni hanno sostenuto che, se la prevenzione della pedopornografia poteva giustificare un’esenzione, lo stesso sarebbe dovuto accadere anche per altri reati gravi.

Il report sottolinea inoltre la diversità di opinioni sulle questioni relative alla conservazione dei dati. In particolare, la questione dibattuta è se si possa prevedere che i regimi di conservazione dei dati esistenti e futuri siano conformi ai principi stabiliti dalla decisione della Corte di giustizia dell’Unione europea, che ha invalidato la direttiva 2006/24/CE sulla conservazione dei dati. Molte, anche se non tutte, le delegazioni sono state del parere che la semplice replica delle rispettive disposizioni e della struttura della direttiva ePrivacy non sia una soluzione sufficiente.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Infine, si sono registrate notevoli discussioni sul livello di flessibilità da dare agli Stati membri dell’UE per quanto riguarda il grado di indipendenza attribuibile alle autorità di controllo della protezione dei dati, nonché sulla cooperazione transfrontaliera e sul ruolo e il coinvolgimento del Comitato europeo per la protezione dei dati.

Terminato il mandato semestrale finlandese, una volta riprese le negoziazioni tra le varie delegazioni, la Presidenza Croata ha pubblicato una nuova bozza di compromesso nel marzo del 2020. Tuttavia neppure su quest’ultima bozza si è raggiunto un accordo definitivo, complice forse il rallentamento delle negoziazioni per via della pandemia.

Cosa aspettarsi nel prossimo semestre: cookie e metadati al centro della discussione

La Germania ha assunto la presidenza del Consiglio dell’UE il 1° luglio. La Presidenza ha da subito presentato un documento di sintesi dei principali temi su cui incentrare la discussione circa i progressi del regolamento ePrivacy.

La Presidenza tedesca si pone l’obiettivo di raggiungere un approccio generale, o un mandato per avviare i negoziati con il Parlamento europeo entro la fine del proprio mandato (quindi presumibilmente fine 2020 – inizio 2021).

Per raggiungere questo obiettivo, il documento chiarisce che la presidenza tedesca ritiene fondamentale che gli Stati membri trovino un accordo sull’articolo 6 (protezione delle comunicazioni elettroniche) e sull’articolo 8 (protezione delle apparecchiature terminali degli utenti finali).

Per quanto riguarda l’articolo 8, gli Stati membri dovranno scegliere se favorire l’approccio proposto dalla presidenza croata, che include la possibilità di accedere alle apparecchiature terminali degli utenti (es. per installare cookie)  sulla base dell’interesse legittimo, oppure se preferire l’approccio proposto nel novembre 2019 dalla presidenza finlandese, che non includeva l’interesse legittimo, ma ha cercato di trovare un equilibrio introducendo alcune formulazioni nei considerando 20 e 21 per quanto riguarda la condizionalità dell’accesso (cookie wall).

Successivamente alla pubblicazione del documento, è comparso in rete un documento contenente la bozza pubblicata dalla Presidenza tedesca.

Tra i punti chiave della bozza:

  • i fornitori di software sono incoraggiati (e non obbligati) a includere di default impostazioni che consentano agli utenti finali, in maniera agevole e trasparente, di gestire il consenso all’archiviazione e all’accesso ai dati memorizzati nelle loro apparecchiature terminali, impostando e modificando facilmente le whitelist, in modo da avere un controllo facilmente esercitabile del consenso;
  • si ritiene che condizionare l’accesso ai siti web alla prestazione del consenso all’installazione dei cookie da parte dell’utente, non privi l’utente di una facoltà di scelta effettiva, se tale utente riceve una adeguata informativa ed ha una equilibrata alternativa di scelta di un servizio che non richiede il consenso; tale squilibrio potrebbe esistere ad esempio quando l’utente finale ha solo poche o nessuna alternativa al servizio, e quindi non ha alcuna scelta reale per quanto riguarda l’utilizzo dei cookie, ad esempio nel caso di fornitori di servizi che rivestono un posizione dominante;
  • da ultimo, il testo sembra orientato verso un approccio conservativo, escludendo la possibilità di fare affidamento sull’interesse legittimo per il trattamento dei metadati delle comunicazioni elettroniche e dei dati basati sui cookie, prevedendo la necessità del consenso da parte dell’utente finale, con limitate eccezioni tassative.

Resta da vedere se questa bozza di proposta – conservativa in alcuni aspetti, ma bilanciata in altri – verrà appoggiata dagli Stati membri.

Cosa devono fare le organizzazioni per prepararsi al meglio

Attualmente, in considerazione dell’intricato panorama normativo, e del proliferare di linee guida da parte dei vari garanti, sebbene una localizzazione delle modalità di gestione dei cookie per ogni paese sia contraria allo spirito della normativa privacy europea, l’unica soluzione praticabile è individuare una opzione che richieda la minore localizzazione possibile, da adattare in base al caso di specie con consulenti locali. Senza questo approccio, i costi tecnologici e di compliance rischiano di essere sproporzionati, anche perché la maggior parte delle aziende internazionali gestisce le versioni locali dei propri siti web tramite un’unica piattaforma.

Allo stesso tempo, anche se il testo del Regolamento ePrivacy non è definitivo, il testo – una volta approvato ed in vigore – armonizzerà le norme a livello europeo, ed è utile che le organizzazioni prendano in considerazione questa riforma già al momento di concepire qualsiasi prodotto o progetto a medio-lungo termine. Ad esempio, le organizzazioni che intraprendono progetti importanti nell’ambito dell’Internet delle cose, potrebbero voler tener conto dei requisiti di segretezza delle comunicazioni elettroniche, per evitare di dover interrompere o rivoluzionare i progetti nel giro di un anno o due. Qualsiasi organizzazione che intenda creare un nuovo sito web o un’applicazione di punta, potrebbe anche riconsiderare l’uso diffuso dei tag piuttosto che dei cookie, optando per identificatori e strumenti di monitoraggio alternativi, al fine di prevenire e fronteggiare le perdite che l’industria della pubblicità online potrebbe subire a causa della progressiva eliminazione dei cookie terze parti, preannunciata ormai dai principali browser.

Più in generale, può essere utile per le organizzazioni identificare i campi di attività chiave che saranno interessati dal Regolamento ePrivacy, in modo che quando il testo finale sarà pubblicato, potranno impegnarsi più rapidamente nell’adeguamento del modello di business.

WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza
Disaster recovery

@RIPRODUZIONE RISERVATA

Articolo 1 di 4