Il Consiglio Europeo il 10 febbraio ha approvato un mandato negoziale finalizzato alla revisione delle norme del Regolamento ePrivacy, in materia di tutela della vita privata e della riservatezza nell’uso dei servizi di comunicazione elettronica.
L’obiettivo principale del nuovo testo sarà quello di garantire la massima riservatezza delle comunicazioni elettroniche, incluse le comunicazioni di dati che avvengono tramite dispositivi dell’Internet delle cose (IoT) e le attività di direct marketing e telecomunicazioni attualmente poste in essere dalle società attive nel digitale, al fine di tutelare gli utenti finali da fenomeni di abuso dei propri dati.
Si tratta di un punto di svolta per il regolamento che è pronto per il ruolo di vero e proprio complemento del GDPR, una sua lex specialis.
Del resto, il processo di revisione della normativa ePrivacy ha avuto inizio nel 2017, in virtù proprio della necessità di armonizzare quanto originariamente previsto dalla direttiva e-privacy del 2002 ai principi contenuti nel GDPR ed agli ultimi sviluppi tecnologici che hanno innovato il settore delle comunicazioni.
Indice degli argomenti
Nuovo Regolamento ePrivacy, l’ambito di interesse
Particolare attenzione viene prestata alle comunicazioni che avvengono tramite sistemi “Over-The-Top” (OTT), ossia tramite servizi, normalmente a pagamento, che consentano lo scambio diretto e interpersonale di informazione tramite le reti Internet tra un numero limitate di persone.
A titolo esemplificativo, costituiscono degli OTT tutte le applicazioni di messaggistica istantanea, i servizi di e-mail e le VoIP (Voice Over IP). La regolazione di tali sistemi di comunicazione si rende necessaria alla luce della massiva sostituzione, negli ultimi anni, dei tradizionali metodi di messaggistica (SMS).
Il Regolamento ePrivacy andrà anche a regolare le seguenti tematiche:
- le condizioni e i termini di utilizzo, nell’attività di direct marketing, dei dati raccolti dalle vendite;
- i metodi di acquisizione dei cookies e degli strumenti di tracciamento (prevedendo, ad esempio, il divieto di utilizzare cookie banner o cookie wall);
- la regolazione delle modalità di trattamento dei dati contenuti nelle comunicazioni elettroniche (ossia il contenuto dei messaggi scambiati) e, in particolare, dei metadati delle comunicazioni elettroniche (ossia, i dati utilizzati per tracciare e identificare la fonte e il destinatario di una comunicazione, i dati relativi alla localizzazione del dispositivo, la data, l’ora, la durata e il tipo di comunicazione), questi ultimi da ritenersi sensibili ove consentano di trarre precise conclusioni sulla vita privata degli utenti, sulle loro relazioni sociali, le abitudini, gli interessi, i gusti e le attività quotidiane.
I nuovi contenuti del Regolamento ePrivacy
Stando a quanto riportato all’interno del comunicato stampa, sembrerebbe che la stesura del Regolamento stia giungendo alla sua fase finale. Gli stati Membri hanno infatti approvato un mandato negoziale per la revisione, in via definitiva, del testo normativo, sotto la guida della Presidenza portoghese.
A tal riguardo, il Presidente del Consiglio Pedro Nuno Santos ha dichiarato che “È fondamentale disporre di norme solide in materia di tutela della vita privata al fine di creare e mantenere la fiducia in un mondo digitale. Il cammino verso la definizione della posizione del Consiglio non è stato facile, ma abbiamo ora un mandato che trova un buon equilibrio tra una solida tutela della vita privata delle persone e la promozione dello sviluppo di nuove tecnologie e dell’innovazione. La presidenza portoghese è molto lieta di avviare ora i colloqui con il Parlamento europeo su questa proposta fondamentale”.
Il nuovo regolamento si applicherà nei confronti di tutti gli utenti finali che si trovano nell’UE: al pari di quanto previsto dal GDPR, ciò comporterà l’applicazione delle norme in esame anche nei casi in cui il trattamento dei dati avviene al di fuori del territorio europeo o nei casi in cui i fornitori siano ubicati al di fuori dell’UE.
Il principio della riservatezza dei dati
Inoltre, sarà assunto come principio generale la riservatezza dei dati delle comunicazioni elettroniche: nel concreto, ciò comporterà l’impossibilità di interferire con le comunicazioni, ossia di porre in essere attività di ascolto, monitoraggio e trattamento dei dati da parte di soggetti differenti dall’utente finali, salvo i casi espressamente consentiti dal regolamento.
I punti principali che si andranno ad affrontare nel corso del presente mandato saranno i seguenti:
- le modalità di trattamento del contenuto delle comunicazioni elettroniche trasmesse tramite reti e servizi accessibili al pubblico, e dei relativi metadati;
- le regole di trasmissione dei dati da macchina a macchina tramite sistemi IoT che fanno uso di una rete pubblica;
- la definizione dei casi nei quali sarà consentito il trattamento dei dati delle comunicazioni elettroniche senza il consenso dell’utente finale. Ad esempio: per la garanzia dell’integrità dei servizi di comunicazione, il controllo della presenza di software maligni o virus o la necessità di perseguire reati e prevenire minacce alla sicurezza pubblica;
- la definizione delle finalità di trattamento dei metadati (ad esempio, fatturazione o blocco di utilizzo fraudolento dei sistemi). Tramite il consenso, si consentirà ai fornitori del servizio anche di utilizzare i metadati al fine di aiutare le autorità pubbliche e gli operatori dei trasporti a sviluppare nuove infrastrutture nelle quali si rende necessario conoscere i movimenti del traffico, di proteggere gli interessi vitali degli utenti, compresi il monitoraggio delle epidemie e della loro diffusione, o di intervenire tempestivamente nel caso di situazioni di emergenza umanitaria, come catastrofi naturali e provocate dall’uomo;
- la definizione delle casistiche di accesso alle informazioni dell’utente contenute negli apparecchi terminali, sia hardware che software;
- i principi di tutela del consenso dell’utente, il quale deve sempre posto nella condizione di attuare una vera scelta in merito alla possibilità di accettare o meno i marcatori;
- i principi di tutela dell’utente dal fenomeno della “stanchezza da consenso ai marcatori”, prevedendo la possibilità, ad esempio, di creare delle “white-list” all’interno dei software di navigazione, o di revocare il consenso in qualsiasi momento.
Il procedimento di approvazione del Regolamento ePrivacy
In attesa della pubblicazione del testo definitivo, l’accelerazione dei lavori è senza dubbio da accogliere positivamente, alla luce della necessità europea di completare il quadro normativo digitale europeo, del quale il GDPR ed il Regolamento ePrivacy costituiscono due importanti tasselli.
Come detto anticipatamente, il processo di revisione della precedente normativa e-Privacy ha avuto inizio nel 2017 e ha proceduto lentamente nel corso di questi tre anni, principalmente per le problematiche connesse alla corretta definizione delle regole relative alle modalità ed alle condizioni di trattamento dei dati e dei metadati contenuti nelle comunicazioni elettroniche (tema, questo, particolarmente complesso anche alla luce del rapido sviluppo tecnologico, che rende più complessa la definizione di regole e principi che si adattino alle peculiarità del mercato digitale).
Nel corso degli anni le negoziazioni hanno subito numerosi arresti a causa dell’impossibilità di raggiungere un accordo su alcune tematiche fondamentali:
- la scarsa capacità della normativa ePrivacy di adattarsi e integrarsi alle nuove tecnologie Machine-to-Machine, IoT ed Intelligenza Artificiale;
- la definizione delle casistiche di reato che possono giustificare un’esenzione dall’applicazione delle norme a tutela delle comunicazioni;
- i regimi di conservazione dei dati;
- il livello di autonomia normativa concesso ai singoli Stati Membri.
