{"id":2781,"date":"2017-05-03T10:57:10","date_gmt":"2017-05-03T08:57:10","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2781"},"modified":"2017-05-03T10:57:10","modified_gmt":"2017-05-03T08:57:10","slug":"eprivacy-regulation-proposal-and-gdpr","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/05\/03\/eprivacy-regulation-proposal-and-gdpr\/","title":{"rendered":"Proposta di Regolamento ePrivacy e GDPR"},"content":{"rendered":"<p>Il Garante Privacy Europeo (EDPS) ha pubblicato una Opinione dedicata alla Proposta di Regolamento sulla Privacy nelle Comunicazioni Elettroniche (ePrivacy Regulation), che si affiancher\u00e0 al GDPR nell&#8217;ambito del Framework europeo sulla Data Protection. Buttarelli apprezza diversi aspetti positivi della Proposta ed anche il fatto che il legislatore abbia adottato alcune sue precedenti considerazioni, ma segnala diverse significative perplessit\u00e0 ed avanza alcune precise richieste di modifica.<\/p>\n<p>Il paragrafo 3 dell&#8217;Opinione specifica dettagliatamente i problemi rilevati:<\/p>\n<ul>\n<li>La prima questione riguarda la terminologia: le definizioni dovrebbero essere svincolate da quelle derivanti dal Codice Europeo delle Comunicazioni Elettroniche (EECC), destinato a governare il mercato di questo settore, che era inizialmente legato alla Direttiva sulla ePrivacy ma non sar\u00e0 pi\u00f9 legato al nuovo Regolamento ePrivacy; ci\u00f2 anche per evitare ambiguit\u00e0 su termini come &#8220;utente&#8221; che rischiano di applicarsi indifferentemente a persone fisiche e a persone giuridiche, ponendo l&#8217;accento sulla presenza di un contratto, mentre i diritti delle persone che utilizzano un servizio di comunicazione elettronica andrebbero salvaguardati a prescindere dalla sottoscrizione di un contratto. Inoltre la definizione di &#8220;metadati&#8221; dovrebbe includere tutti i dati diversi dal contenuto, non solo quelli trattati sulla rete ma anche sui dispositivi. Infine i dati protetti non dovrebbero essere solo quelli &#8220;in transito&#8221; ma anche quelli &#8220;depositati&#8221; sulla rete, ad esempio in ambito Cloud.<\/li>\n<li>La seconda preoccupazione riguarda la pratica del Consenso, che nel Regolamento ePrivacy sembrerebbe poter essere conferito da entit\u00e0 diverse dalle persone che utilizzeranno il servizio (ad esempio un datore di lavoro a nome dei suoi dipendenti od una struttura di ospitalit\u00e0 a nome dei suoi ospiti), il che contrasta con i principi del GDPR. Inoltre andr\u00e0 chiarito che il consenso al trattamento dei dati personali va conferito da tutte le parti coinvolte da una comunicazione (es. mittente e destinatari di una mail) ma anche da terzi i cui dati siano contenuti nella comunicazione (anche se non prendono parte alla comunicazione).<\/li>\n<li>Per quanto attiene alla relazione fra GDPR e Regolamento ePrivacy, bisogna evitare che le garanzie offerte dal Regolamento in caso di ulteriori trattamenti eccedenti quelli originariamente previsti (per i quali \u00e8 richiesto un ulteriore consenso) siano bypassate invocando l&#8217;applicazione del GDPR e quindi di tutte le condizioni di liceit\u00e0 previste dall&#8217;Art.6; per evitare l&#8217;abbassamento dei livelli di garanzia al passaggio dei dati a terzi, il ricorso al GDPR come scappatoia andrebbe proibito esplicitamente, ribadendo la necessit\u00e0 di un ulteriore consenso.<\/li>\n<li>L&#8217;EDPS ritiene inoltre insufficienti le misure del Regolamento ePrivacy contro i &#8220;tracking walls&#8221;, ovvero il meccanismo che tende ad escludere da un servizio gli utenti che rifiutano di consentire l&#8217;estensione del consenso fornito ad un altro servizio. Questa prassi contrasta con il principio del consenso &#8220;esplicito e specifico&#8221; e deve essere contrastata efficacemente. Vanno inoltre tutelati dall&#8217;esclusione dal servizio gli utenti che installano difese da intromissioni (come gli ad-block); nel contesto IoT i dispositivi intelligenti non dovranno essere impostati per negare il servizio ad utenti che rifiutassero il consenso al trattamento di dati non necessari al funzionamento del servizio.<\/li>\n<li>L&#8217;Art.10 della Proposta di Regolamento ePrivacy prevede che gli utenti debbano utilizzare i settaggi dei dispositivi per definire se autorizzare o meno i fornitori ad installare propri dati o accedere ai dati degli utenti. Ci\u00f2 contrasta con l&#8217;Art. 25 del GDPR che prevede la Privacy by Default.<\/li>\n<li>Preoccupazione suscita anche l&#8217;eccessiva libert\u00e0 concessa dall&#8217;Art. 8(2) al &#8220;device tracking&#8221; in spazi pubblici nel mondo fisico, imponendo come unica limitazione la necessit\u00e0 di notificare la possibilit\u00e0 per gli utenti di disattivare il tracciamento; ci\u00f2 \u00e8 ritenuto inaccettabile in quanto i meccanismi di opt-out sono sempre meno efficaci rispetto a quelli di opt-in; inoltre tali disattivazioni da parte dell&#8217;utente possono comportare la disconnessione dal servizio.<\/li>\n<\/ul>\n<p>L&#8217;Opinione si conclude con un allegato che contiene altre 21 analisi e precisazioni molto specifiche.<\/p>\n<p>Sar\u00e0 interessante verificare che accoglienza ricever\u00e0 questo documento da parte del Parlamento e del Consiglio.<\/p>\n<p>Di seguito il testo della <a href=\"https:\/\/lnkd.in\/gR2uDbC\">Opinion 6\/2017<\/a><\/p>","protected":false},"excerpt":{"rendered":"<p>Il Garante Privacy Europeo (EDPS) ha pubblicato una Opinione dedicata alla Proposta di Regolamento sulla Privacy nelle Comunicazioni Elettroniche (ePrivacy Regulation), che si affiancher\u00e0 al GDPR nell&#8217;ambito del Framework europeo sulla Data Protection. Buttarelli apprezza diversi aspetti positivi della Proposta ed anche il fatto che il legislatore abbia adottato alcune sue precedenti considerazioni, ma segnala\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2017\/05\/03\/eprivacy-regulation-proposal-and-gdpr\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":64,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[50,362,60],"class_list":["post-2781","post","type-post","status-publish","format-standard","hentry","category-legal-framework","tag-edps","tag-eprivacy","tag-gdpr"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2781","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2781"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2781\/revisions"}],"predecessor-version":[{"id":2785,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2781\/revisions\/2785"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2781"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2781"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2781"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}