ATTENZIONE: non essendo stato ancora approvato il Regolamento, la versione finale potrebbe differire da quanto scritto in questo articolo, che deve intendersi solo quale materiale di studio.
Anche se i tempi non sono ancora certi, nei prossimi mesi dovrebbe intervenire anche la riforma della direttiva ePrivacy (2002/58/CE), che si occupa specificamente della tutela delle comunicazioni elettroniche, della sicurezza dei dispositivi digitali e della protezione dei dati personali nel mondo online. La riforma si presenta quindi come una normativa di dettaglio rispetto al regolamento generale europeo o GDPR che, invece, pone le regole generali per la protezione dei dati personali. Quindi è una legge speciale rispetto al GDPR, regolamentando specificamente le comunicazioni elettroniche, per cui in caso di conflitto di norme prevalgono quelle della ePrivacy.
Anche in questo si passa dalla forma di direttiva a quella di regolamento, laddove quest'ultimo non prevede recepimento nelle norme nazionali ma è direttamente applicabile, così evitando differenze di armonizzazione delle norme tra i vari Stati. Questo perché si tratta di garantire il diritto alla protezione dei dati personali come diritto fondamentale dei cittadini e quindi attuarlo allo stesso modo in tutto il territorio dell'Unione.
Le problematiche relative alla ePrivacy sono molteplici, infatti il regolamento si occuperà (quando approvato) della privacy nelle telecomunicazioni, sia con riferimento alle persone fisiche che a quelle giuridiche (anche se con alcune differenze), applicandosi ai fornitori di servizi di comunicazione elettronica ma anche di comunicazioni tradizionali, ai fornitori di elenchi pubblici, ai fornitori di software di comunicazione elettronica, compreso il recupero e la presentazione di informazioni online. Inoltre, si applica ai soggetti (persone fisiche o giuridiche) che inviano comunicazioni commerciali o collezionano dati degli utenti, compreso quelli relativi ai dispositivi degli utenti o contenuti negli stessi dispositivi. Si può dire che mentre il GDPR attua l'articolo 8 della Carta dei diritti fondamentali dell'Unione europea, il quale prevede la protezione dei dati personali, il regolamento ePrivacy attua l'articolo 7 della Carta, in base al quale ogni individuo ha diritto al rispetto della propria vita privata, familiare, domestica e delle comunicazioni.
Molte aziende si sono opposte alla ePrivacy, preferendo una sostanziale abrogazione e spingendo per l'autoregolamentazione che, a loro dire, porterebbe benefici per i consumatori, laddove, in realtà, l’assenza di una specifica regolamentazione (perché il GDPR non regolamenta direttamente la libertà di comunicazione online) consentirebbe alle aziende di estendere e consolidare il modello commerciale del monitoraggio degli utenti.
In sintesi il regolamento ePrivacy si occupa di:
- riservatezza e sicurezza delle comunicazioni;
- dati di traffico e localizzazione prodotti da dispositivi personali;
- tracciamento degli utenti, in particolare mediante i dispositivi personali (ad esempio, per scopi pubblicitari comportamentali);
- cookie;
- misure di sicurezza nei dispositivi personali;
- identificazione della linea chiamante;
- elenchi pubblici e privati;
- chiamate indesiderate a scopo di marketing.
Ambito territoriale e materiale
Come il GDPR, anche il regolamento ePrivacy si applica non soltanto ai servizi stabiliti nell'Unione europea, ma in genere a tutti i fornitori di servizi rivolti a utenti residenti nell'Unione europea. Se l’azienda non è stabilita nell'Unione dovrà designare un rappresentante all'interno del territorio europeo. Si tratta di un'estensione volta a coprire, quindi, tutti i servizi che in qualche modo trattano dati di un utente, o di un dispositivo digitale, che si trova nel territorio dell’Unione europea.
Il Regolamento si applicherà anche alle comunicazioni tra macchine o sistemi automatizzati, regolamentando anche le attività che rientrano nel cosiddetto Internet of things (Internet degli Oggetti), poiché tali comunicazioni coinvolgono ovviamente anche dati afferenti agli utenti. Sono escluse le attività delle autorità statali a fini di prevenzione e repressione di reati.
Tutela delle comunicazioni elettroniche
Il regolamento ePrivacy recepisce la definizione di servizi di comunicazione elettronica dalla proposta di direttiva che istituisce il Codice delle Comunicazioni elettroniche, che comprende i servizi di accesso alla rete Internet e i servizi che consistono, in tutto o in parte, nel trasporto di segnali e comunicazioni interpersonali, quindi con l’inclusione dei servizi di messaggistica, di posta elettronica e voip.
Con riferimento alle comunicazioni il regolamento armonizza le regole stabilite per gli operatori di telecomunicazioni e Internet provider agli OTT (over the top) e in genere ai servizi di comunicazioni interpersonali, anche qualora siano semplicemente ausiliari ad altri servizi. In tal modo sono coperte anche le Gaming App, nelle quali possono essere scambiati messaggi (giochi multiplayer). Ad esempio, mentre le comunicazioni digitali sono spesso scansionate dalle piattaforme a fini di sicurezza ma anche di profilazione, le comunicazioni tradizionali possono essere monitorate solo a seguito di un mandato di un giudice. Oggi la maggior parte delle comunicazioni passa tramite Internet, con i sistemi di messaggistica hanno sostanzialmente soppiantato gli SMS, e quindi è diventata indifferibile tale armonizzazione.
Il regolamento fissa un divieto generale di interferenze con le comunicazioni elettroniche, sia dati che contenuti, da parte di persone diverse dagli utenti finali, eccetto che nei casi indicati dal regolamento medesimo. Ciò comporta che anche la semplice conservazione dei dati sia vietata. Quindi la regola è che le comunicazioni elettroniche devono essere confidenziali, e il trattamento delle comunicazioni, intese in senso ampio, è soggetto al consenso dell’utente, a meno che non rientri in una regola di esenzione per motivi specifici. Il consenso è la regola in base alla quale il trattamento può avvenire, ed è interessante notare che se il consenso ha perso la sua centralità con l'approvazione del GDPR, nel quale questa base giuridica diventa solo una delle tante, e le stesse istituzioni europee suggeriscono di fondare il trattamento, ove possibile, su altre basi giuridiche, con la ePrivacy il consenso torna ad essere al centro della regolamentazione, con riferimento alle comunicazioni elettroniche, ponendo ai margini l'utilizzo dei legittimi interessi del titolare.
Esistono, però, basi giuridiche che permettono il trattamento di dati senza necessità di consenso. I casi in cui il trattamento dei dati della comunicazione da parte dei fornitori di reti e servizi di comunicazione elettronica è ammesso, sono:
(a) se necessario per realizzare la trasmissione della comunicazione, per la durata necessaria a tal fine, oppure
(b) se necessario per mantenere o ripristinare la sicurezza delle reti e dei servizi di comunicazione elettronica o rilevare problemi e/o errori tecnici nella trasmissione di comunicazioni elettroniche, per la durata necessaria a tal fine.
È ovvio che l’esenzione deve essere intesa con riferimento alla specifica finalità, per cui il trattamento di dati a fini di sicurezza non può mai sfociare in un trattamento di dati ulteriori rispetto a quelli strettamente necessarie per la tutela del servizio.
Come anche per il GDPR, il consenso deve essere liberamente fornito. Questo significa che non è valido un consenso estorto col ricatto di non fornire il servizio se non si consente al trattamento di dati ulteriori rispetto al servizio stesso. È, invece, permesso lo scambio tra dati (invece che un pagamento in denaro) e fornitura di servizi.
Il Regolamento distingue esplicitamente tra dati, metadati (es. ora della chiamata e localizzazione) e contenuto delle comunicazioni con specifiche e precise definizioni. Consente alle aziende l’elaborazione di metadati (termine che sostituisce la precedente definizione di “dati di traffico”) se necessario per soddisfare i requisiti di qualità obbligatori a norma delle direttive europee, oppure per esigenze di fatturazione, per il rilevamento di uso fraudolento o abusivo dei servizi, o se l’utente finale ha prestato il suo consenso al trattamento dei metadati delle sue comunicazioni per uno o più fini specificati, compresa l’erogazione di servizi di traffico a tali utenti finali, purché i fini in questione non possano essere realizzati mediante un trattamento anonimizzato delle informazioni.
I fornitori di servizi di comunicazione elettronica possono trattare il contenuto delle comunicazioni elettroniche solo a fini di erogazione di un servizio specifico a un utente finale, se questi ha prestato il consenso al trattamento del contenuto della comunicazione e l’erogazione del servizio non può essere realizzata senza il trattamento di tale contenuto, oppure se tutti gli utenti finali interessati hanno prestato il loro consenso al trattamento del contenuto delle loro comunicazioni elettroniche per uno o più fini specificati che non possono essere realizzati mediante il trattamento anonimizzato delle informazioni e il fornitore ha consultato l’autorità di controllo. Si prevede, inoltre, l’obbligo di cancellazione dei dati e dei metadati, oppure in alternativa l’anonimizzazione, quando non sono più necessari ai fini della trasmissione, tranne quelli necessari a fini di fatturazione.
La normativa non limita la possibilità degli Stati nazionali di operare le intercettazioni delle comunicazioni per la prevenzione e la repressione di reati e per la tutela della sicurezza pubblica. I fornitori di servizi dovranno predisporre apposite procedure per rispondere alle legittime richieste della autorità.
La tutela si estende anche ai dispositivi degli utenti, intesi quali parte della sfera privata dell’utente stesso, nei quali sono contenuti generalmente dati personali e sensibili. Il trattamento di dati del dispositivo e in genere la raccolta di dati dal dispositivo sono ammessi solo in presenza di uno specifico consenso. Anche qui soccorrono casi di esenzione, ma sono strettamente limitati.
Per l'eMarketing è richiesto il consenso preventivo (opt-in) a meno che i dati siano stati raccolti a seguito di un contratto tra le parti, nel qual caso occorre solo consentire la revoca del consenso (opt-out).
Per il direct marketing operato tramite telefonate e comunicazioni (all'interno di tale categoria rientrano anche le comunicazioni dei partiti politici), si prevede una tutela per gli utenti dalle comunicazioni non sollecitate (spam), materia non regolamentata dal GDPR. I fornitori di servizi di comunicazione dovranno predisporre appositi strumenti per il blocco delle chiamate mute e altre forme di comunicazioni indesiderate o fraudolente.
Timeline
10 gennaio 2017 - La Commissione europea presenta la proposta di riforma della direttiva ePrivacy
4 aprile 2017 - Il Working Party art. 29 pubblica il parere sulla proposta
24 aprile 2017 - Il Garante europeo pubblica il parere sulla proposta
29 settembre 2017 - La Commissione IMCO adotta il parere sul regolamento
2 ottobre 2017- Le Commissioni JURI e ITRE adottano i loro rispettivi pareri
21 maggio 2019 - Relazione sullo stato di avanzamento
10 febbraio 2021 - Mandato per i negoziati a tre (Parlamento, Consiglio e Commissione)