Il Garante Privacy Europeo (EDPS) ha pubblicato una Opinione dedicata alla Proposta di Regolamento sulla Privacy nelle Comunicazioni Elettroniche (ePrivacy Regulation), che si affiancherà al GDPR nell’ambito del Framework europeo sulla Data Protection. Buttarelli apprezza diversi aspetti positivi della Proposta ed anche il fatto che il legislatore abbia adottato alcune sue precedenti considerazioni, ma segnala diverse significative perplessità ed avanza alcune precise richieste di modifica.
Il paragrafo 3 dell’Opinione specifica dettagliatamente i problemi rilevati:
- La prima questione riguarda la terminologia: le definizioni dovrebbero essere svincolate da quelle derivanti dal Codice Europeo delle Comunicazioni Elettroniche (EECC), destinato a governare il mercato di questo settore, che era inizialmente legato alla Direttiva sulla ePrivacy ma non sarà più legato al nuovo Regolamento ePrivacy; ciò anche per evitare ambiguità su termini come “utente” che rischiano di applicarsi indifferentemente a persone fisiche e a persone giuridiche, ponendo l’accento sulla presenza di un contratto, mentre i diritti delle persone che utilizzano un servizio di comunicazione elettronica andrebbero salvaguardati a prescindere dalla sottoscrizione di un contratto. Inoltre la definizione di “metadati” dovrebbe includere tutti i dati diversi dal contenuto, non solo quelli trattati sulla rete ma anche sui dispositivi. Infine i dati protetti non dovrebbero essere solo quelli “in transito” ma anche quelli “depositati” sulla rete, ad esempio in ambito Cloud.
- La seconda preoccupazione riguarda la pratica del Consenso, che nel Regolamento ePrivacy sembrerebbe poter essere conferito da entità diverse dalle persone che utilizzeranno il servizio (ad esempio un datore di lavoro a nome dei suoi dipendenti od una struttura di ospitalità a nome dei suoi ospiti), il che contrasta con i principi del GDPR. Inoltre andrà chiarito che il consenso al trattamento dei dati personali va conferito da tutte le parti coinvolte da una comunicazione (es. mittente e destinatari di una mail) ma anche da terzi i cui dati siano contenuti nella comunicazione (anche se non prendono parte alla comunicazione).
- Per quanto attiene alla relazione fra GDPR e Regolamento ePrivacy, bisogna evitare che le garanzie offerte dal Regolamento in caso di ulteriori trattamenti eccedenti quelli originariamente previsti (per i quali è richiesto un ulteriore consenso) siano bypassate invocando l’applicazione del GDPR e quindi di tutte le condizioni di liceità previste dall’Art.6; per evitare l’abbassamento dei livelli di garanzia al passaggio dei dati a terzi, il ricorso al GDPR come scappatoia andrebbe proibito esplicitamente, ribadendo la necessità di un ulteriore consenso.
- L’EDPS ritiene inoltre insufficienti le misure del Regolamento ePrivacy contro i “tracking walls”, ovvero il meccanismo che tende ad escludere da un servizio gli utenti che rifiutano di consentire l’estensione del consenso fornito ad un altro servizio. Questa prassi contrasta con il principio del consenso “esplicito e specifico” e deve essere contrastata efficacemente. Vanno inoltre tutelati dall’esclusione dal servizio gli utenti che installano difese da intromissioni (come gli ad-block); nel contesto IoT i dispositivi intelligenti non dovranno essere impostati per negare il servizio ad utenti che rifiutassero il consenso al trattamento di dati non necessari al funzionamento del servizio.
- L’Art.10 della Proposta di Regolamento ePrivacy prevede che gli utenti debbano utilizzare i settaggi dei dispositivi per definire se autorizzare o meno i fornitori ad installare propri dati o accedere ai dati degli utenti. Ciò contrasta con l’Art. 25 del GDPR che prevede la Privacy by Default.
- Preoccupazione suscita anche l’eccessiva libertà concessa dall’Art. 8(2) al “device tracking” in spazi pubblici nel mondo fisico, imponendo come unica limitazione la necessità di notificare la possibilità per gli utenti di disattivare il tracciamento; ciò è ritenuto inaccettabile in quanto i meccanismi di opt-out sono sempre meno efficaci rispetto a quelli di opt-in; inoltre tali disattivazioni da parte dell’utente possono comportare la disconnessione dal servizio.
L’Opinione si conclude con un allegato che contiene altre 21 analisi e precisazioni molto specifiche.
Sarà interessante verificare che accoglienza riceverà questo documento da parte del Parlamento e del Consiglio.
Di seguito il testo della Opinion 6/2017