trattamento dati

Regolamento ePrivacy: cosa cambierà per le web company

La regolamentazione sulla privacy è centrale per le web company. La posta in gioco è il futuro del loro modello di business. Ma, anche se le autorità si stanno concentrando sugli abusi legati ai dati, ancora non si sono viste le pesanti sanzioni del Gdpr. Le cose potrebbero cambiare con nuove norme in arrivo

19 Nov 2019
Tommaso Ricci

Data Protection and LegalTech Specialist


L’introduzione del GDPR ha avuto un forte impatto sulla responsabilizzazione delle società e gli scandali che si sono susseguiti nel tempo (vedi Cambridge Analytica) hanno parecchio innalzato il livello di “privacy awareness” degli utenti.

Tuttavia, ad oltre un anno dall’introduzione del Regolamento europeo per la protezione dei dati, le società maggiormente impattate sembrano essere le PMI piuttosto che i giganti del web. La situazione potrebbe cambiare a breve con l’introduzione di nuove norme. Vediamo le novità dell’ultima bozza del Regolamento ePrivacy.

A che punto siamo dopo un anno di GDPR?

Dopo oltre un anno di piena applicabilità del GDPR, lo scorso luglio la Commissione UE, nella Comunicazione al Parlamento e al Consiglio, ha presentato un bilancio dei principali obiettivi raggiunti grazie all’introduzione delle nuove norme privacy. Il bilancio offre una relazione ottimistica sui progressi compiuti, e suggerisce una serie di lievi miglioramenti nell’applicazione in concreto delle norme.

La Commissione ha rilevato che grazie all’introduzione del Regolamento Privacy si è raggiunto un buon livello di armonizzazione del quadro giuridico a livello europeo ed inoltre il corpus normativo è servito come una best practice che ha spinto molti altri regolatori a livello globale ad agire coerentemente. Tuttavia, il bilancio rileva anche che il GDPR ha consentito agli Stati membri una certa discrezionalità e in alcuni casi, sono state introdotte prescrizioni nazionali in aggiunta a quelle del Regolamento, in particolare attraverso numerose leggi settoriali, il che ha comportato una frammentazione e creato oneri inutili.

Quanto alle sanzioni, il rapporto rileva che le autorità si sono concentrate sul dialogo piuttosto che sulle sanzioni, in particolare per gli operatori di dimensioni più piccole che non trattano dati personali come attività principale. Allo stesso tempo, non hanno evitato di utilizzare efficacemente i loro nuovi poteri ogniqualvolta ciò fosse necessario, anche avviando indagini nel settore dei social media.

Ad esempio, la commissione irlandese per la protezione dei dati ha avviato 15 indagini formali in relazione al rispetto del GDPR da parte di società tecnologiche multinazionali. Ad oggi tuttavia la sanzione più alta ricevuta da una Big Tech ai sensi del GDPR resta quella di 50 milioni di euro imposta dal Garante francese (CNIL) a Google. Tuttavia, nonostante la sanzione sembri elevata, è comunque ridotta se consideriamo che poteva raggiungere un importo superiore ai 4,4 miliardi di dollari, qualora avessero tenuto conto del 4% del fatturato del gruppo Alphabet nel 2017, e comparata alla multa di 5 miliardi della Federal Trade Commission statunitense a Facebook, l’effetto concretamente deterrente per una multinazionale del calibro di Google è piuttosto esiguo. In tal senso gran parte dei cambiamenti adottati dal gruppo sono da ricondurre piuttosto a scelte di corporate social responsability ed alla volontà di andare incontro alla crescente privacy awareness dei consumatori.

Quali sono le società più impattate dalle nuove regole sulla privacy

È difficile quantificare l’impatto esatto del GDPR sui giganti del web, tuttavia è ben più facile rilevare che queste società non hanno smesso di crescere in Europa.

Non si può dire lo stesso di molte piccole imprese digitali. Secondo un recente studio internazionale[1], da quando è entrato in vigore il GDPR, il numero della pagine web europee visitate e dei relativi introiti è calato di circa il 10%. Tra i siti di e-commerce, le entrate sono calate dell’8,3%, ovvero 8.000 dollari alla settimana in media per sito web.

Le perdite subite inoltre, probabilmente non sono state causate da una maggiore consapevolezza della privacy tra gli utenti: più del 90% di essi acconsentono ancora alla raccolta e al trattamento dei loro dati quando richiesto, seppure la stima è in via di diminuzione. È il GDPR, piuttosto, che ha scoraggiato le aziende dall’utilizzare la posta elettronica e i banner pubblicitari per guidare il traffico online, in quanto metodi che possono essere ritenuti invasivi per la privacy. Oltretutto si è anche ridotto il numero di cookie di terze parti sui siti web, rendendo più difficile tenere traccia del comportamento dei consumatori. È lecito pertanto domandarsi se è effettivamente questo l’effetto prefigurato dal legislatore europeo. In realtà, come sottolineato nella comunicazione sopra richiamata, l’UE aspira a cogliere le numerose opportunità offerte dalla trasformazione digitale e il regolamento mira a sostenere le imprese dell’economia digitale offrendo soluzioni a prova di futuro, tutt’al più il nuovo sistema di governance deve ancora realizzare appieno il suo potenziale e le nuove norme in arrivo mirano a completare il quadro giuridico applicabile alla digital economy.

Regolamento ePrivacy: le ultime modifiche alla disciplina dei cookie, IoT e trattamenti consentiti

Quella del Regolamento ePrivacy, sembra ormai una storia infinita. Originariamente presentato dalla Commissione europea all’inizio del 2017, il testo sarebbe dovuto entrare in vigore insieme al GDPR, ma ad oggi è ancora in bozza. Nell’ambito del consueto aggiornamento sull’evoluzione dell’iter legislativo ne abbiamo analizzato gli impatti di volta in volta rilevanti sui cookie, sul data driven advertising e sull’Internet of Things. Tuttavia dopo l’ultimo aggiornamento relativo alla proposta finale di testo presentata dalla presidenza finlandese, si sono susseguite numerose nuove bozze e se il testo è ancora al vaglio delle istituzioni europee, un motivo c’è. Una delle principali novità che si sta tentando di introdurre con il Regolamento ePrivacy è l’estensione del campo di applicazione della Direttiva ePrivacy: oltre ai fornitori di servizi di comunicazione elettronica “tradizionali”, quali gli operatori di telefonia mobile e fissa e le società che forniscono l’accesso a Internet, saranno impattati dal nuovo testo anche i cosiddetti fornitori di servizi over-the-top (OTT), ossia a quei fornitori di servizi di comunicazione basati sull’uso della rete Internet come i servizi di instant messaging e i provider di posta elettronica. Ciò si tradurrebbe, ad esempio, in una forte limitazione della possibilità di trattare i dati relativi all’uso della messaggistica istantanea o dei servizi vocali online, in quanto il Regolamento ePrivacy prevede condizioni di liceità del trattamento dei dati relativi alle comunicazioni elettroniche più limitate rispetto a quelle previste dal GDPR, oggi applicabili agli OTT.  Ad esempio, al contrario del GDPR, il Regolamento ePrivacy non consente di trattare i dati per il perseguimento di un legittimo interesse del titolare. Tuttavia il Regolamento recepisce le stesse sanzioni (fino al 4%) e le stesse condizioni per il consenso previste dal GDPR, pur trovando applicazione ai dati non solo personali.

In particolare l’ultima bozza del Regolamento dello scorso 8 Novembre ha introdotto, tra gli altri, chiarimenti relativi al considerando 19 definendo il perimetro dei trattamenti del contenuto delle comunicazioni elettroniche consentiti per il provider. Vengono in generale limitati a quelli strettamente necessari per la fornitura di servizi di comunicazione elettronica richiesti dall’utente, si riconosce però che rispetto alla trasmissione della comunicazione, potrebbe essere coperta anche la memorizzazione dei messaggi, se necessario per il servizio.  Il fornitore del servizio di comunicazione elettronica dovrà però cancellare, dopo aver fornito il servizio, il contenuto delle comunicazioni elettroniche o rendere anonimi tali dati quando non è più necessario ai fini del trattamento.

Viene inoltre introdotta una specificazione importante relativamente all’articolo 2. Resta fuori dall’ambito di applicazione materiale del Regolamento il trattamento dei dati relativi al contenuto delle comunicazioni elettroniche trattati dopo la ricezione dall’utente finale o dalle terze parti incaricate da quest’ultimo. Tuttavia si chiarisce che le terze parti, in alcuni casi, possono coincidere con il provider stesso, ad esempio il fornitore di sevizi di posta elettronica potrebbe offrire anche servizi di cloud storage (come nel caso di Gmail e Google Drive). Ad ogni modo viene precisato che ciò non sta a significare che il terzo dovrebbe riferirsi alla stessa persona giuridica se l’altro servizio è fornito come parte del servizio di comunicazione elettronica, come la memorizzazione automatica dei messaggi sul cloud, ad esempio nel caso di web-based e-mail.

Con riferimento ai cookie, viene confermata la possibilità di rendere il consenso all’utilizzo dei cookie determinante per ottenere l’accesso ai siti web, ma solo in alcuni casi sottoposti a condizioni stringenti. In particolare non è ritenuto lecito in situazioni di squilibrio dell’utente finale rispetto al provider che ha una posizione dominante, in quanto l’utente finale avrebbe solo poche o nessuna alternativa al servizio, e quindi non sarebbe in grado di esercitare un reale potere decisionale.

Quanto all’Internet delle cose, si chiarisce che le regole sulla confidenzialità delle comunicazioni elettroniche introdotte dal Regolamento ePrivacy troveranno applicazione solo ai dati trasmessi da macchina a macchina (M2M) attraverso servizi di comunicazione accessibili al pubblico. Vengono confermate inoltre le ipotesi di trattamento legittime che non richiedono il consenso nei casi in cui l’accesso e l’archiviazione dei dati è legittima e proporzionata in base allo scopo, ad esempio nel caso dei termostati IoT, dei dispositivi medici connessi, dei contatori intelligenti o veicoli automatizzati.

Conclusioni: possiamo semplicemente aspettare?

In conclusione, anche se il testo non è definitivo, è opportuno che sia preso già in considerazione in fase di design dei prodotti o progetti a lungo termine. Ad esempio, le organizzazioni che intendono intraprendere progetti significativi nell’ambito dell’IoT potrebbero voler tenere conto dei requisiti introdotti in relazione alla segretezza delle comunicazioni elettroniche, in modo da evitare di dover interrompere o ricalibrare il progetto tra uno o due anni. Più in generale, qualsiasi organizzazione che intenda creare un nuovo sito web di punta o un’applicazione, potrebbe dover riconsiderare l’uso diffuso dei tag (non coperti delle attuali norme sui cookie) piuttosto che dei cookie in quanto il campo di applicazione del Regolamento ePrivacy si estenderà a qualsiasi uso delle capacità di memorizzazione o trattamento del dispositivo (e non solo alla memorizzazione o al recupero di informazioni).

__________________________________________________________________

  1. Gli economisti hanno utilizzato i dati della piattaforma Adobe Analytics, tracciando il traffico e le vendite di 1.500 aziende di vari settori, che generano un totale di circa 500 milioni di dollari di fatturato settimanale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2