Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il punto

Regolamento ePrivacy, Ue alla ricerca di un equilibrio: tutte le questioni in ballo

L’iter legislativo del nuovo Regolamento ePrivacy è in ritardo sulla tabella di marcia. Le posizioni sono ancora distanti, alla ricerca del bilanciamento tra competitività delle imprese e tutela dei consumatori. Vediamo lo status del progetto legislativo anche alla luce della recente posizione espressa dai Garanti europei

26 Mar 2019

Tommaso Ricci

Privacy Specialist


Il 2018 ha visto le aziende impegnate per implementare i vari cambiamenti richiesti dal GDPR e molte sono ancora alle prese con l’adeguamento. Nel frattempo, il legislatore europeo è stato impegnato a negoziare la bozza del nuovo Regolamento ePrivacy che introdurrà importanti cambiamenti per il settore del digitale e delle comunicazioni elettroniche.

Il Regolamento ePrivacy complementerà le disposizioni introdotte dal GDPR, di cui recepisce alcuni principi, aggiornando la Direttiva ePrivacy ed introducendo una normativa uniforme e direttamente applicabile in tutti gli Stati membri volta a garantire la tutela della riservatezza dell’utente finale ad ogni interazione online.

Il treno legislativo è però in ritardo sulla tabella di marcia. L’ampio ambito di applicazione (dai cookie ai servizi di comunicazione Over the Top) e le rilevanti novità introdotte nella bozza potrebbero avere impatti significativi su varie industry e gli organi dell’Ue hanno assunto posizioni distanti nella ricerca del bilanciamento tra competitività delle imprese e tutela dei consumatori.

Il nodo legislativo al centro della nuova disciplina ePrivacy

La proposta di Regolamento ePrivacy originariamente presentata nel Gennaio del 2017 dalla Commissione Europea ha subito numerose modifiche che riflettono l’influsso degli interessi – in parte contrapposti – delle imprese e dei consumatori.

Con il rapido progresso delle tecnologie e dei servizi di comunicazione si è reso necessario un aggiornamento della normativa attualmente applicabile in materia di comunicazioni elettroniche (risalente al 2002) per garantire efficacemente la tutela della riservatezza e della vita privata sancita dalla Carta dei diritti fondamentali dell’UE. Il nuovo testo troverà infatti applicazione non solo con riferimento ai fornitori di servizi di comunicazione elettronica tradizionali, come gli operatori di telefonia mobile e fissa, ma andrà a coprire anche il Web ed Internet (email, app, ecc.) impattando lo spam, il direct marketing, l’attività delle società di telecomunicazioni e di instant messaging, oltre che degli sviluppatori di app e dell’Internet of Things (IoT).

Parallelamente la massimizzazione dell’utilizzo – e della valorizzazione – dei dati è la spina dorsale della strategia del mercato unico digitale europeo e dei progetti di ricerca e sviluppo al centro degli obiettivi del programma Horizon 2020 e del suo successore Horizon Europe.

L’obiettivo ambizioso del legislatore europeo è pertanto quello di assicurare la più ampia tutela della privacy dei cittadini e della confidenzialità delle comunicazioni e allo stesso tempo di predisporre un impianto normativo applicabile in tutti gli stati membri ed idoneo a favorire lo sviluppo – in sicurezza – dell’innovazione.

L’iter legislativo: le questioni più calde al centro della discussione

Gli organi dell’Unione europea hanno negoziato la proposta oramai per quasi due anni. A seguito del testo adottato dal Parlamento, che ha recepito le modifiche proposte dalla Commissione LIBE, il Consiglio dell’UE ha pubblicato diverse proposte di revisione e sembrerebbe avere assunto una posizione maggiormente a favore delle imprese dopo che la proposta iniziale aveva destato serie preoccupazioni per via degli impatti sui modelli di business basati sul data driven adverstising e degli obblighi a carico dei provider in relazione ai cookie.

L’obiettivo del Regolamento è quello di semplificare le regole dei cookie e di razionalizzare il metodo di raccolta del relativo consenso per renderlo più “user friendly. In sostanza, la bozza originale del Regolamento afferma che i siti web non dovranno più mostrare i celebri pop up per il consenso dell’utente ai cookie. Infatti gli utenti dovranno avere sotto controllo ogni informazione o dato conservato sui loro device, senza dover cliccare su un banner (per evitare la cosiddetta banner fatigue) ogni volta che visitano un sito web. Tale semplificazione viene prevista tramite la possibilità per gli utenti di “settare” le impostazioni per il consenso/rifiuto ai cookie direttamente dalle impostazioni dei loro browser.

Tra le questioni più discusse restano pertanto al centro del dibattito non solo le impostazioni della privacy per i browser e le basi legali per il trattamento dei dati diversi dal consenso, ma anche la necessità di specificare l’elenco di trattamenti consentiti dei metadati; nonché l’applicabilità delle nuove norme ai fornitori di servizi che assistono le autorità competenti a fini di sicurezza nazionale, o il ruolo delle autorità di controllo nazionali.

Nella comunicazione della Commissione del 15 maggio 2018, i co-legislatori sono stati chiamati a concludere i negoziati entro la fine del 2018. Tuttavia, le discussioni sono ancora in corso.

Gli sviluppi sotto la Presidenza austriaca e rumena

Sotto la Presidenza austriaca, sono stati proposti emendamenti volti a rispondere alle richieste di maggiore flessibilità delle delegazioni: In particolare, per quanto riguarda il trattamento consentito dei dati delle comunicazioni elettroniche (articolo 6), le discussioni hanno evidenziato la necessità che il Regolamento sia predisposto per essere “a prova di futuro” e abbastanza flessibile in modo da consentire lo sviluppo di servizi innovativi.

Alla luce di ciò, la Presidenza ha introdotto delle ipotesi consentite di trattamento ulteriore dei metadati (essenziale per il progresso dell’IoT) ispirandosi al GDPR e prevedendo delle garanzie per questi trattamenti in linea con quelle del Regolamento Privacy.

Alcuni Stati sono sembrati a favore dei trattamenti ulteriori per rilevare i crimini, sottolineando anche l’importanza di introdurre disposizioni volte a contrastare la pornografia infantile oltre che a prevenire le frodi, mentre altri hanno dimostrato preoccupazioni circa il rischio dell’effettiva applicazione delle norme da parte dei fornitori di servizi e si sono dimostrati maggiormente a favore di un elenco chiuso di trattamenti consentiti.

Durante le discussioni sulla proposta, la disposizione sulle impostazioni sulla privacy (articolo 10) ha destato preoccupazioni per via dell’onere a carico dei browser e per i dubbi circa l’effettiva efficacia del meccanismo previsto. Tenendo conto di questi elementi, la Presidenza ha deciso di rimuovere l’articolo 10.

Per quanto riguarda la protezione delle informazioni sulle apparecchiature terminali (articolo 8), la discussione si è concentrata sulla questione dell’accesso condizionato ai contenuti del sito web e alla necessità di evitare di compromettere i modelli di business, come ad esempio i servizi online finanziati attraverso la pubblicità, pur rispettando le condizioni pertinenti del GDPR.

La presidenza ha presentato diverse proposte su come affrontare la questione nei rispettivi considerando che sembrano presentare una riflessione equilibrata dei punti di vista degli Stati membri.

Tuttavia sono emersi ulteriori dibattiti su questo punto e sull’accesso condizionato ai siti Web che il Comitato europeo per la protezione dei dati (EDPB), ha suggerito di vietare.

In merito alle autorità di controllo (articolo 18) la maggior parte degli Stati ha chiesto maggiore flessibilità sull’attribuzione dei compiti auspicando un’ulteriore discussione sulla cooperazione tra autorità nazionali.

Più recentemente, la Presidenza rumena ha presentato agli Stati membri un testo revisionato, basato su quello consolidato sotto la Presidenza austriaca. In particolare, gli ulteriori emendamenti si concentrano sui requisiti del consenso, sui trattamenti consentiti ai fini della protezione dei minori (art. 6.1-bis (d)), sul potere delle autorità di controllo, sull’esclusione dalla sicurezza nazionale e dalla difesa dalla portata del Regolamento e sull’impatto delle norme ePrivacy sulle nuove tecnologie, proponendo inoltre l’esclusione dei servizi di comunicazione elettronica che non sono pubblicamente disponibili quali la rete Wi-Fi domestica.

Per quanto riguarda i cookie, il nuovo testo fa riferimento alla possibilità che gli utenti diano il consenso all’utilizzo di determinati tipi di cookie inserendo specifici provider in una whitelist. Dal canto loro i provider dovrebbero garantire che gli utenti possano facilmente impostare e modificare tali whitelist e ritirare il consenso in modo facile e trasparente.

Da ultimo, la Presidenza ha confermato la posizione secondo cui l’accesso a determinati siti web, in mancanza di forme di pagamento diretto, può essere basato sul consenso ai cookie da parte dell’utente, ma a determinate condizioni.

La posizione dei Garanti europei

Altro tema caldo dell’attuale proposta legislativa è il rapporto tra la normativa ePrivacy ed il GDPR, oltre che con il nuovo Codice delle Comunicazioni elettroniche europeo.

Sul rapporto con il Regolamento Privacy si è recentemente espresso il Comitato europeo per la protezione dei dati in un parere richiesto dall’Autorità Garante del Belgio, che ha posto in rilievo le questioni relative alla competenza, ai compiti e ai poteri delle Autorità di controllo e l’applicabilità dei meccanismi di cooperazione e coerenza previsti dal GDPR nei casi in cui trovano applicazione sia il GDPR che la Direttiva ePrivacy (che è tuttora pienamente applicabile).

I Garanti europei rilevano come esistano numerosi esempi di attività di trattamento dei dati che rientrano nell’ambito di applicazione materiale della Direttiva ePrivacy e del GDPR, come nel caso dell’utilizzo dei cookie.

Si ribadisce inoltre che la Direttiva contiene “regole speciali” in relazione al trattamento dei dati personali nel settore delle comunicazioni elettroniche. Queste regole includono le disposizioni che richiedono il consenso dell’utente per la memorizzazione delle informazioni, compresi i dati personali, nel proprio dispositivo o l’accesso a tali informazioni (ad esempio tramite i cookie) e le regole che limitano esplicitamente le condizioni alle quali possono essere trattati i dati sul traffico, compresi i dati personali, degli abbonati e degli utenti di un servizio di comunicazione elettronica accessibile al pubblico.

In base al principio secondo cui “la norma speciale deroga quella generale“, queste specifiche disposizioni della normativa ePrivacy prevalgono sulle disposizioni (più generali) del GDPR, che ad esempio prevede una gamma di basi legali del trattamento molto più variegata. In tutti gli altri casi, in cui il trattamento dei dati personali non è disciplinato in modo specifico dalla direttiva ePrivacy (o laddove la Direttiva ePrivacy non contenga una regola speciale) trova applicazione il GDPR, come nel caso dell’esercizio dei diritti da parte dei soggetti interessati.

Con riferimento alle autorità di controllo, seppure il Comitato precisi che il parere non si riferisce alle previsioni di cui alla bozza di Regolamento ePrivacy, vengono fornite importanti delucidazioni sui compiti ed i poteri delle autorità garanti.

In particolare il Comitato precisa che nei casi di trattamenti di dati che ricadono nell’ambito di applicazione sia del GDPR che della Direttiva, le autorità di protezione dei dati sono competenti in relazione alle attività di trattamento disciplinate dalle norme nazionali di recepimento della Direttiva solo se la legislazione nazionale conferisce loro tale potere, ben potendo prevedere la competenza delle autorità per le garanzie delle comunicazioni.

Ad ogni modo la competenza delle autorità di protezione dei dati dell’UE nell’ambito del GDPR viene ribadita rispetto alle operazioni di trattamento dei dati non soggette a regole speciali contenute nella Direttiva ePrivacy. Tale posizione è sostanzialmente in linea con quella espressa nell’ultima versione della bozza di Regolamento ePrivacy, che rimette agli Stati membri il compito di individuare un’autorità indipendente competente per monitorare e garantire il rispetto delle disposizioni contenute nel Regolamento.

Infine, con riferimento ai meccanismi di coerenza per la cooperazione delle autorità di controllo, si chiarisce che rimangono pienamente applicabili esclusivamente con riferimento alle operazioni di trattamento soggette alle disposizioni generali del GDPR (e non a una norma speciale contenuta nella Direttiva ePrivacy).

Il Regolamento ePrivacy a questo punto rappresenta l’ultimo tassello mancante per completare il quadro dell’UE per la protezione dei dati e la riservatezza delle comunicazioni elettroniche integrando il GDPR e fornendo ulteriori salvaguardie per tutti i tipi di comunicazioni elettroniche.

Oltre al parere, il Comitato ha pubblicato una dichiarazione invitando gli Stati membri dell’UE a finalizzare le loro posizioni sul Regolamento ePrivacy, a cui si potrebbe arrivare durante questa Presidenza rumena, in modo che i negoziati con il Parlamento europeo possano iniziare il prima possibile, ma probabilmente dopo la conclusione delle elezioni europee di maggio 2019.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3