Conservazione dei dati, riservatezza, cookie e consenso nelle comunicazioni elettroniche: l’EDPB si è espresso rispetto a possibili problemi applicativi dell’ultima versione del Regolamento ePrivacy.
L’autorità si è si è pronunciata con una comunicazione ufficiale il 9 marzo 2021, ora le osservazioni saranno oggetto di valutazione nelle prossime negoziazioni portate avanti dal Consiglio Europeo nel corso dell’iter di approvazione del Regolamento ePrivacy, che andrà a sostituire la precedente Direttiva ePrivacy, fungendo da articolazione del già noto GDPR. Vediamo le principali osservazioni avanzate dall’EDPB.
Indice degli argomenti
ePrivacy, cosa dice l’EDPB su trattamento e conservazione dei dati
In primo luogo, EDPB rileva come le misure legislative che richiedono ai fornitori di servizi di comunicazione elettroniche di conservare i dati delle comunicazioni, ai fini di salvaguardia dell’applicazione della legge o della sicurezza nazionale, devono essere conformi agli artt. 7-8 della Carta dei Diritti Fondamentali dell’UE, all’art. 8 della Convenzione Europea dei Diritti dell’Uomo, e ai principi elaborati dalla giurisprudenza della Corte di Giustizia Europea (nello specifico, i casi C-511/18, C-512/18, C-623/17.
Regolamento e-Privacy, quali scenari per l’uso dei servizi di comunicazione elettronica
Pertanto, non può fornirsi, tramite una norma di legge, la possibilità per il fornitore di servizi di svolgere una conservazione generalizzata ed indiscriminata dei dati di localizzazione e di navigazione. Ai fini dell’applicazione della legge o della salvaguardia della sicurezza nazionale, può esclusivamente prevedersi una conservazione mirata dei dati, soggetta comunque a rigorose limitazioni materiali e temporali, oltre che al controllo di una Corte o di un’Autorità indipendente.
EDPB si pronuncia anche sull’esclusione dal campo di applicazione del Regolamento di alcune attività di trattamento da parte dei fornitori di servizi elettronici, affermando che tale esclusione sia da ritenersi in contrasto “con la premessa di un quadro coerente dell’UE per la protezione dei dati”. Ad ogni modo, EDPB fa sempre salva l’applicazione dei principi del GDPR, anche nei casi in cui debba ritenersi esclusa l’applicazione del Regolamento ePrivacy.
Riservatezza delle comunicazioni elettroniche
Il diritto alla riservatezza delle comunicazioni è un diritto fondamentale dell’uomo tutelato dall’art. 7 della Carta dei Diritti Fondamentali dell’UE, e, in quanto tale, deve essere applicato anche a tutte le comunicazioni elettroniche, indipendente dai mezzi con le quali avvengono, e dal punto in cui esse si trovano (a riposo, in transito, presso il mittente o presso il destinatario). Al fine di garantire piena applicazione del diritto alla riservatezza dovrà essere garantita anche la protezione dei terminali degli utenti finali.
Sebbene EDPB supporti l’approccio generale adottato dal nuovo regolamento in relazione al diritto alla riservatezza, pone alcuni rilievi in merito ad alcune eccezioni previste dallo stesso agli artt. 6 par. 1 lett. c, 6b par. 1 lett. e), art. 6b par. 1 lett. f), Art. 6c), i quali, nella loro formulazione attuale, appaiono eccessivamente “permissivi”. Occorrerebbe, pertanto, ridimensionare il numero e la portata di tali eccezioni, limitandole a scopi specifici e chiaramente definiti, che dovranno essere espressamente elencati al fine di preservare il principio di certezza del diritto senza intaccare il livello di protezione delle comunicazioni.
Si evidenzia, inoltre, come le eccezioni previste all’art. 6 par. 1 lett. b) c) e d), che consentono l’accesso ai dati delle comunicazioni elettroniche, inclusi i loro contenuti, al fine di assicurare la sicurezza del network e del dispositivo dell’utente finale, potrebbero consentire un accesso completo da parte del fornitore del servizio o dei suoi responsabili, andando a ledere il diritto dell’utente finale alla riservatezza e le sue aspettative di privacy. Alla luce di ciò, l’EDPB ritiene opportuno prevedere un ridimensionamento del diritto di accesso, affinchè sia maggiormente proporzionato e coerente con i diritti fondamentali, oltre che inserire un richiamo all’impossibilità di utilizzare l’accesso al fine di attuare un monitoraggio sistematico del contenuto delle comunicazioni elettroniche o di eludere gli strumenti di encryption applicati alle stesse.
Le misure di garanzia secondo l’EDPB
Tra le principali misure di garanzia del diritto alla riservatezza, l’EDPB individua l’anonimizzazione (elemento cardine dell’intero quadro normativo) e l’applicazione di sistemi di encryption standardizzati, forti ed efficienti, tali da poter garantire un flusso di dati fra i cittadini sicuro, libero ed affidabile. Imprescindibile deve considerarsi, da parte dei fornitori di servizi elettronici, la conformità alla previsione ed agli obblighi previsti dal GDPR, in particolar modo quando oggetto delle comunicazioni sono dati sanitari, o nei casi in cui il contesto in cui le comunicazioni avvengono è ad alto rischio di minacce.
Il Regolamento non può prevedere norme che permettano di indebolire, in alcun modo, l’efficacia dei sistemi di encryption, anche se lo scopo perseguito è la sicurezza nazionale, al fine ultimo di scongiurare un utilizzo illegittimo di tali meccanismi di protezione.
ePrivacy, i problemi legati a cookie e consenso
In merito ai cookies ed al loro utilizzo, EDPB evidenzia come debbano sempre essere rispettati i principi espressi dal GDPR in tema di consenso quale base giuridica del trattamento. Ne deriva che, anche per i cookies, il consenso deve essere fornito dall’utente liberamente, considerandosi illegittime pratiche scorrette come la “take it or leave it”, che subordinano l’accesso a servizi e funzionalità dell’applicazione o del sito web all’espressione, da parte dell’utente, del consenso alla conservazione delle informazioni, o all’accesso ad informazioni contenute nel proprio terminale.
Anche i meccanismi di opt-out dovrebbero essere user-friendly, immediati e semplici da usare. Il divieto di utilizzo di siffatte pratiche sleali dovrebbe essere espresso all’interno del Regolamento ePrivacy, al fine di assicurare il diritto degli utenti di acconsentire o sottrarsi liberamente e concretamente alle attività di profilazione. Anche i sistemi di c.d. audience measurement dovrebbero essere limitati a pratiche non intrusive che comportano un rischio basso o improbabile per gli utenti. L’EDPB suggerisce, all’interno dello Statement, di limitare, all’interno del Regolamento, le possibili deroghe che consentano al fornitore di servizi di svolgere un audience measurement che tratti più dei dati statistici necessari all’analisi delle performances del servizio richiesto dall’utente.
Lo scopo ultimo che il Regolamento ePrivacy dovrebbe perseguire, a detta di EDPB, è quello di dare nuovamente agli utenti il controllo dei propri dati, riducendo allo stesso tempo la c.d. “consent fatigue”.
Gli scopi “compatibili”: cosa sono
Da ultimo, l’EDPB pone in risalto il principio per cui è vietato, salvo alcune eccezioni o il caso in cui l’utente vi acconsenta, trattare i dati degli interessati per scopi diversi da quelli per i quali quegli stessi dati sono stati raccolti e trattati. Alla luce di tale principio, prevedere, all’interno del Regolamento, la possibilità di utilizzare i dati degli utenti per scopi “compatibili”, senza che lo stesso fornisca un consenso a tali attività di trattamento, potrebbe comportare un indebolimento delle garanzie per i diritti dei cittadini, in quanto si darebbe al fornitore di servizi la possibilità di utilizzare i dati degli utenti per scopi che esso stesso consideri conformi alla clausola di “compatibilità”. Il legislatore europeo, invece, ha sempre cercato espressamente di restringere le occasioni in cui i dati possano essere utilizzati senza il consenso dell’interessato.
A tal riguardo, l’EDPB fa comunque salva la possibilità, da parte del fornitore di servizi, di utilizzare i dati raccolti, senza il consenso dell’utente, ove adeguatamente anonimizzati. Tale eventualità consentirebbe di tutelare l’utente stesso da possibili rischi o minacce per i propri diritti.
