L’EVOLUZIONE DELLA PROPOSTA DI REGOLAMENTO e-PRIVACY – I) I pareri del WP29 e del GEPD

di | 12 October 2017

Come già ricordato in un precedente post, il 10 gennaio scorso la Commissione Europea ha presentato una proposta di Regolamento (il “Regolamento”) che dovrebbe modificare la Direttiva 2002/58/EC (“Direttiva e-Privacy”) uniformando l’attuale quadro normativo in materia di trattamento dei dati personali nelle comunicazioni elettroniche e la cui approvazione definitiva si auspica che possa coincidere con la piena applicazione del  Regolamento Generale sulla protezione dei dati personali (“GDPR”) prevista per il 25 maggio 2018.

Il Gruppo di lavoro Articolo 29 (“WP29”), con parere n. 1/2017 WP247 del 4 aprile 2017, ed il Garante Europeo per la protezione dei dati (“GEPD”), con parere n. 6/2017 del 24 aprile 2017, hanno rilasciato le loro rispettive opinioni sulla proposta di Regolamento.

Sia il WP29 che il GEPD hanno accolto in modo favorevole la proposta di Regolamento, seppur evidenziando alcune preoccupazioni.

  1. I pareri del WP29 e del GEPD

Aspetti positivi sottolineati

I principali aspetti positivi evidenziati dal WP29 in merito alla proposta di Regolamento sono i seguenti:

  1. l’estensione dell’ambito di applicazione: della normativa anche ai servizi di telefonia vocale e di messaggistica basati su internet (cd. Servizi “Over-the-top” anche “OTT”), ossia ai trattamenti legati allo scambio di e-mail e messaggi online, e dunque anche ai nuovi servizi di comunicazione elettronica (ad esempio, WhatsApp, Facebook Messenger, Skype, Viber).
  2. la scelta dello strumento di regolamentazione: come per il GDPR, la scelta di un regolamento piuttosto che di una direttiva. Ciò infatti garantisce che le norme siano uniformi in tutta l’UE e fornisce chiarezza alle autorità e alle organizzazioni di vigilanza;
  3. allineamento con il GDPR: il regime delle sanzioni previste nella proposta di Regolamento ePrivacy è, in gran parte, simile a quello previsto dal GDPR; si rileva poi anche la scelta di rendere l’autorità responsabile del monitoraggio per il rispetto del GDPR responsabile anche per l’applicazione della normativa ePrivacy; inoltre, il regime di notifica di violazione dei dati previsto da Regolamento non è diverso rispetto a quello già previsto nel GDPR (artt. 33 e 34), con le conseguenze positive di evitare sovrapposizioni con i requisiti del GDPR in materia;
  4. contenuti delle comunicazioni e relativi metadati: il WP29 ha inoltre ritenuto positivo che la protezione sia estesa non solo ai contenuti delle comunicazioni ma anche ai relativi metadati, cioè “gli elementi accessori e di contorno di una informazione […]” i quali “ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati” (cfr. comunicato stampa del Garante Privacy del 26 aprile 2016, web 6294728);
  5. aspetti relativi alla manifestazione del consenso: l’accesso a Internet a banda larga e alla comunicazione vocale sono servizi “essenziali per le persone affinché possano comunicare e partecipare ai vantaggi dell’economia digitale “(Regolamento, cons. 18) e pertanto “il consenso al trattamento dei dati provenienti dall’utilizzo di internet o delle comunicazioni vocali non sarà valido se il titolare dei dati non dispone di una vera scelta libera o se non può rifiutare o revocare il consenso senza conseguenze negative” (Regolamento, cons. 18). Pertanto, il WP29 sottolinea come, data la dipendenza delle persone da tali servizi, non possa ritenersi valido il consenso (riteniamo si debba intendere: ove prestato in uno con l’azione positiva di adesione al servizio, c.d. take it or leave it) per il trattamento delle loro comunicazioni per scopi aggiuntivi (ad esempio, per la pubblicità e la commercializzazione).

Analogamente, il GEPD evidenzia gli aspetti positivi – analoghi a quelli rilevati dal WP29 – consistenti in particolare:

  1. nella scelta dello strumento del regolamento, che può garantire un livello di protezione in tutta l’UE;
  2. nell’estendere gli obblighi di riservatezza ad una più ampia gamma di servizi, inclusi i cd. OTT;
  3. nella possibilità di consentire il trattamento solo in caso di condizioni chiaramente definite;
  4. nelle novità relative al consenso previste dai nuovi art. 9 e 10;
  5. nel prevedere implicitamente un pieno allineamento con il GDPR in riferimento ai data breach, mediante la scelta (già ricordata) di non inserire specifiche previsioni in merito;
  6. nella scelta di rendere la stessa autorità responsabile della sorveglianza delle regole relative al GDPR e al Regolamento ePrivacy;
  7. nella regola opt-in per tutte le comunicazioni commerciali.

Criticità rilevate

Tuttavia, sia il WP29 sia il GEPD hanno anche espresso preoccupazioni in merito ad alcuni contenuti del Regolamento.

In particolare, il WP29 ha evidenziato quattro principali punti critici:

  1. il tracciamento dei terminali degli utenti attraverso reti WiFi o Bluetooth

L’art. 8, secondo comma, del Regolamento prevede che “La raccolta delle informazioni emesse dall’apparecchiatura terminale per consentirne la connessione a un altro dispositivo o a un’apparecchiatura di rete è proibita, eccetto se: (b) è visualizzato un avviso chiaro e ben visibile, inteso a informare almeno delle modalità, delle finalità, del responsabile e di ogni altra informazione richiesta a norma dell’articolo 13 del regolamento (UE) 679/2016, della raccolta di dati personali nonché di ogni misura a disposizione dell’utente finale dell’apparecchiatura terminale per arrestare o minimizzare tale raccolta”.

La mancanza di qualsiasi specificazione relativa alla necessità del consenso del soggetto interessato induce a pensare che per detto tracciamento sia sufficiente la visualizzazione di un mero avviso (banner) volto ad informare gli utenti della possibilità di “arrestare o minimizzare tale raccolta”.

Secondo il WP29, gli obblighi previsti dal Regolamento ePrivacy per il monitoraggio della localizzazione delle apparecchiature terminali dovrebbero essere conformi ai requisiti del GDPR e pertanto, a seconda delle circostanze e delle finalità della raccolta dei dati, tale tracciamento dovrebbe avvenire solo con il consenso oppure solo se le informazioni raccolte sono anonime;

  1. le condizioni in cui è consentita l’analisi dei contenuti e dei metadati

Secondo il WP29 i contenuti e i metadati delle comunicazioni dovrebbero essere trattati soltanto con il consenso di tutti gli utenti finali (mittenti e destinatari), non essendo dunque sufficiente il consenso di uno solo dei soggetti interessati. Tuttavia, può essere consentito il trattamento senza il consenso se strettamente necessario a specifici scopi come, ad esempio, il filtraggio di spam;

  1. le impostazioni predefinite dei terminali e del software

Il WP29 raccomanda che le impostazioni predefinite dei terminali e dei software debbano “offrire impostazioni di protezione della privacy e offrire opzioni chiare agli utenti per confermare e modificare queste impostazioni predefinite durante l’installazione”;

  1. il divieto di “tracking walls”

Il Regolamento dovrebbe espressamente proibire il “tracking wall”, che consiste in scelte del tipo “prendere o lasciare” “in cui l’accesso ad un sito web o al servizio viene negato a meno che i singoli non accettino di essere tracciati”.

Quanto al GEPD, ha sollevato perplessità in ordine ai seguenti temi principali:

  1. le regole descritte nella proposta di Regolamento sono molto complesse: “Le comunicazioni vengono suddivise in metadati, dati di contenuto, dati emessi dalle apparecchiature terminali” ed “ognuno di essi ha diritto a un diverso livello di riservatezza ed è soggetto a diverse eccezioni”. Secondo il GEPD questa complessità può comportare un rischio nella protezione;
  2. la maggior parte delle definizioni su cui si basa la proposta sono quelle indicate dal Codice Europeo delle Comunicazioni Elettroniche (EECC), che però è uno strumento giuridico diverso per oggetto (protezione della concorrenza e del mercato) e obiettivi (costruzione di un mercato unico della comunicazione effettivo) rispetto al Regolamento (che ha ad oggetto la protezione dei dati personali e della riservatezza delle comunicazioni nel contesto dei servizi di comunicazione elettronica e per obiettivo l’incentivazione della sicurezza dei servizi digitali e della conseguente fiducia degli utenti).

Ciò comporta la necessità che i concetti essenziali del Regolamento siano delineati in modo chiaro nell’ottica dell’oggetto e degli obiettivi propri di questa normativa.

Di conseguenza, il GEPD raccomanda di spezzare il legame tra questi corpi normativi, inserendo direttamente nel Regolamento le definizioni fondamentali, da individuarsi senz’altro in modo coerente con l’EECC, ma non necessariamente identico;

  1. il GEPD sottolinea positivamente l’evidenza data al rapporto di complementarietà e specificazione che caratterizza il Regolamento e il GDPR, da cui deriva la garanzia di un uguale standard di protezione approntato dalle norme del Regolamento e da quelle del GDPR, ma evidenzia in aggiunta l’opportunità di rafforzare le disposizioni sul consenso dell’utente;
  2. il consenso deve essere realmente libero: “Per esempio, il consenso dovrebbe essere genuino, offrendo una scelta libera agli utenti, come richiesto dal GDPR” e, anche per questo motivo, non dovrebbero esserci “tracking walls” (noto anche come “cookie walls”), ossia l’accesso ai siti web non dovrebbe essere subordinato al fatto che l’utente debba essere costretto ad acconsentire di essere monitorato.

Il consenso dovrebbe poi essere richiesto a tutte le parti coinvolte dalla comunicazione (ad esempio, mittenti e riceventi delle e-mail), salve specifiche eccezioni legate a particolari circostanze.

Inoltre, i contenuti del Regolamento (tra cui le definizioni) dovrebbero fare sì che il consenso sia fornito da chi effettivamente utilizza il servizio di comunicazione elettronica, e non da chi si limita a sottoscrivere l’adesione ad esso.

Infine, la legge dovrebbe prevedere che i browser siano impostati di default nel senso di escludere il monitoraggio;

  1. le eccezioni relative al tracciamento dei terminali sono troppo ampie e mancano di adeguate garanzie;
  2. la proposta amplia di fatto al di là dell’oggetto e degli obiettivi del Regolamento (mediante il richiamo dell’art. 23, paragrafo 1, lettere da a) a e) del GDPR) la possibilità per gli Stati membri di introdurre restrizioni ai diritti: il GEPD segnala la necessità che nelle specifiche circostanze che possono verificarsi debba essere dimostrata la necessità e la proporzionalità di tali restrizioni;
  3. le nuove regole devono fissare anche solidi requisiti in tema di privacy by design e by default.

(su questi aspetti, si veda anche l’interessante post di Paolo Calvi: Proposta di Regolamento ePrivacy e GDPR).

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.