{"id":3243,"date":"2017-10-12T09:45:18","date_gmt":"2017-10-12T07:45:18","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=3243"},"modified":"2017-10-12T09:45:18","modified_gmt":"2017-10-12T07:45:18","slug":"e-privacy-regulation-proposals-development-iart-29wp-and-edpss-opinions","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/10\/12\/e-privacy-regulation-proposals-development-iart-29wp-and-edpss-opinions\/","title":{"rendered":"L\u2019EVOLUZIONE DELLA PROPOSTA DI REGOLAMENTO e-PRIVACY – I)\tI pareri del WP29 e del GEPD"},"content":{"rendered":"

Come gi\u00e0 ricordato in un precedente post,<\/a>\u00a0il 10 gennaio scorso la Commissione Europea ha presentato una\u00a0proposta di Regolamento<\/a>\u00a0(il \u201cRegolamento<\/strong>\u201d) che dovrebbe modificare la Direttiva 2002\/58\/EC<\/a> (\u201cDirettiva e-Privacy<\/strong>\u201d) uniformando l\u2019attuale quadro normativo in materia di trattamento dei dati personali nelle comunicazioni elettroniche e la cui approvazione definitiva si auspica che possa coincidere con la piena applicazione del \u00a0Regolamento Generale sulla protezione dei dati personali<\/a>\u00a0(\u201cGDPR\u201d)\u00a0prevista per il 25 maggio 2018.<\/p>\n

Il Gruppo di lavoro Articolo 29 (\u201cWP29<\/strong>\u201d), con parere n. 1\/2017 WP247<\/a> del 4 aprile 2017, ed il Garante Europeo per la protezione dei dati (\u201cGEPD<\/strong>\u201d), con parere n. 6\/2017<\/a> del 24 aprile 2017, hanno rilasciato le loro rispettive opinioni sulla proposta di Regolamento.<\/p>\n

Sia il WP29 che il GEPD hanno accolto in modo favorevole la proposta di Regolamento, seppur evidenziando alcune preoccupazioni.<\/p>\n

    \n
  1. I pareri del WP29 e del GEPD<\/u><\/strong><\/li>\n<\/ol>\n

    Aspetti positivi sottolineati<\/strong><\/p>\n

    I principali aspetti positivi evidenziati dal WP29<\/strong> in merito alla proposta di Regolamento sono i seguenti:<\/p>\n

      \n
    1. l\u2019estensione dell\u2019ambito di applicazione<\/u><\/em>: della normativa anche ai servizi di telefonia vocale e di messaggistica basati su internet (cd. Servizi \u201cOver-the-top\u201d anche \u201cOTT\u201d), ossia ai trattamenti legati allo scambio di e-mail e messaggi online, e dunque anche ai nuovi servizi di comunicazione elettronica (ad esempio, WhatsApp, Facebook Messenger, Skype, Viber).<\/li>\n
    2. la scelta dello strumento di regolamentazione<\/u><\/em>: come per il GDPR, la scelta di un regolamento piuttosto che di una direttiva. Ci\u00f2 infatti garantisce che le norme siano uniformi in tutta l\u2019UE e fornisce chiarezza alle autorit\u00e0 e alle organizzazioni di vigilanza;<\/li>\n
    3. allineamento con il GDPR<\/u><\/em>: il regime delle sanzioni previste nella proposta di Regolamento ePrivacy \u00e8, in gran parte, simile a quello previsto dal GDPR; si rileva poi anche la scelta di rendere l\u2019autorit\u00e0 responsabile del monitoraggio per il rispetto del GDPR responsabile anche per l\u2019applicazione della normativa ePrivacy; inoltre, il regime di notifica di violazione dei dati previsto da Regolamento non \u00e8 diverso rispetto a quello gi\u00e0 previsto nel GDPR (artt. 33 e 34), con le conseguenze positive di evitare sovrapposizioni con i requisiti del GDPR in materia;<\/li>\n
    4. contenuti delle comunicazioni e relativi metadati<\/u><\/em>: il WP29 ha inoltre ritenuto positivo che la protezione sia estesa non solo ai contenuti delle comunicazioni ma anche ai relativi metadati, cio\u00e8 \u201cgli elementi accessori e di contorno di una informazione [\u2026]\u201d<\/em> i quali \u201cove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non pi\u00f9 necessari allo scopo per cui sono stati raccolti, cancellati<\/em>\u201d (cfr. comunicato stampa del Garante Privacy del 26 aprile 2016, web 6294728<\/a>);<\/li>\n
    5. aspetti relativi alla manifestazione del consenso<\/u><\/em>: l\u2019accesso a Internet a banda larga e alla comunicazione vocale sono servizi \u201cessenziali per le persone affinch\u00e9 possano comunicare e partecipare ai vantaggi dell\u2019economia digitale<\/em> \u201c(Regolamento, cons. 18) e pertanto \u201cil consenso al trattamento dei dati provenienti dall\u2019utilizzo di internet o delle comunicazioni vocali non sar\u00e0 valido se il titolare dei dati non dispone di una vera scelta libera o se non pu\u00f2 rifiutare o revocare il consenso senza conseguenze negative\u201d <\/em>(Regolamento, cons. 18). Pertanto, il WP29 sottolinea come, data la dipendenza delle persone da tali servizi, non possa ritenersi valido il consenso (riteniamo si debba intendere: ove prestato in uno<\/em> con l\u2019azione positiva di adesione al servizio, c.d. take it or leave it<\/em>) per il trattamento delle loro comunicazioni per scopi aggiuntivi (ad esempio, per la pubblicit\u00e0 e la commercializzazione).<\/li>\n<\/ol>\n

      Analogamente, il GEPD<\/strong> evidenzia gli aspetti positivi \u2013 analoghi a quelli rilevati dal WP29 \u2013 consistenti in particolare:<\/p>\n

        \n
      1. nella scelta dello strumento del regolamento, che pu\u00f2 garantire un livello di protezione in tutta l\u2019UE;<\/li>\n
      2. nell\u2019estendere gli obblighi di riservatezza ad una pi\u00f9 ampia gamma di servizi, inclusi i cd. OTT;<\/li>\n
      3. nella possibilit\u00e0 di consentire il trattamento solo in caso di condizioni chiaramente definite;<\/li>\n
      4. nelle novit\u00e0 relative al consenso previste dai nuovi art. 9 e 10<\/a>;<\/li>\n
      5. nel prevedere implicitamente un pieno allineamento con il GDPR in riferimento ai data breach<\/em>, mediante la scelta (gi\u00e0 ricordata) di non inserire specifiche previsioni in merito;<\/li>\n
      6. nella scelta di rendere la stessa autorit\u00e0 responsabile della sorveglianza delle regole relative al GDPR e al Regolamento ePrivacy;<\/li>\n
      7. nella regola opt-in<\/em> per tutte le comunicazioni commerciali.<\/li>\n<\/ol>\n

        Criticit\u00e0 rilevate<\/strong><\/p>\n

        Tuttavia, sia il WP29 sia il GEPD hanno anche espresso preoccupazioni in merito ad alcuni contenuti del Regolamento.<\/p>\n

        In particolare, il WP29<\/strong> ha evidenziato quattro principali punti critici:<\/p>\n

          \n
        1. il tracciamento dei terminali degli utenti attraverso reti WiFi o Bluetooth<\/u><\/em><\/li>\n<\/ol>\n

          L\u2019art. 8, secondo comma, del Regolamento prevede che \u201cLa raccolta delle informazioni emesse dall\u2019apparecchiatura terminale per consentirne la connessione a un altro dispositivo o a un\u2019apparecchiatura di rete \u00e8 proibita, eccetto se<\/strong>: (b) \u00e8 visualizzato un avviso chiaro e ben visibile, inteso a informare almeno delle modalit\u00e0, delle finalit\u00e0, del responsabile e di ogni altra informazione richiesta a norma dell\u2019articolo 13 del regolamento (UE) 679\/2016, della raccolta di dati personali nonch\u00e9 di ogni misura a disposizione dell\u2019utente finale dell\u2019apparecchiatura terminale per arrestare o minimizzare tale raccolta<\/em>\u201d.<\/p>\n

          La mancanza di qualsiasi specificazione relativa alla necessit\u00e0 del consenso del soggetto interessato induce a pensare che per detto tracciamento sia sufficiente la visualizzazione di un mero avviso (banner) volto ad informare gli utenti della possibilit\u00e0 di \u201carrestare o minimizzare tale raccolta\u201d.<\/p>\n

          Secondo il WP29, gli obblighi previsti dal Regolamento ePrivacy per il monitoraggio della localizzazione delle apparecchiature terminali dovrebbero essere conformi ai requisiti del GDPR e pertanto, a seconda delle circostanze e delle finalit\u00e0 della raccolta dei dati, tale tracciamento dovrebbe avvenire solo con il consenso oppure solo se le informazioni raccolte sono anonime;<\/p>\n

            \n
          1. le condizioni in cui \u00e8 consentita l\u2019analisi dei contenuti e dei metadati<\/u><\/em><\/li>\n<\/ol>\n

            Secondo il WP29 i contenuti e i metadati delle comunicazioni dovrebbero essere trattati soltanto con il consenso di tutti gli utenti finali (mittenti e destinatari), non essendo dunque sufficiente il consenso di uno solo dei soggetti interessati. Tuttavia, pu\u00f2 essere consentito il trattamento senza il consenso se strettamente necessario a specifici scopi come, ad esempio, il filtraggio di spam;<\/p>\n

              \n
            1. le impostazioni predefinite dei terminali e del software<\/u><\/em><\/li>\n<\/ol>\n

              Il WP29 raccomanda che le impostazioni predefinite dei terminali e dei software debbano \u201coffrire impostazioni di protezione della privacy e offrire opzioni chiare agli utenti per confermare e modificare queste impostazioni predefinite durante l\u2019installazione<\/em>\u201d;<\/p>\n

                \n
              1. il divieto di <\/u><\/em>\u201ctracking walls\u201d<\/u><\/li>\n<\/ol>\n

                Il Regolamento dovrebbe espressamente proibire il \u201ctracking wall<\/em>\u201d, che consiste in scelte del tipo \u201cprendere o lasciare\u201d \u201cin cui l\u2019accesso ad un sito web o al servizio viene negato a meno che i singoli non accettino di essere tracciati<\/em>\u201d.<\/p>\n

                Quanto al GEPD<\/strong>, ha sollevato perplessit\u00e0 in ordine ai seguenti temi principali:<\/p>\n

                  \n
                1. le regole descritte nella proposta di Regolamento sono molto complesse: \u201cLe comunicazioni vengono suddivise in metadati, dati di contenuto, dati emessi dalle apparecchiature terminali<\/em>\u201d ed \u201cognuno di essi ha diritto a un diverso livello di riservatezza ed \u00e8 soggetto a diverse eccezioni<\/em>\u201d. Secondo il GEPD questa complessit\u00e0 pu\u00f2 comportare un rischio nella protezione;<\/li>\n
                2. la maggior parte delle definizioni su cui si basa la proposta sono quelle indicate dal Codice Europeo delle Comunicazioni Elettroniche (EECC), che per\u00f2 \u00e8 uno strumento giuridico diverso per oggetto (protezione della concorrenza e del mercato) e obiettivi (costruzione di un mercato unico della comunicazione effettivo) rispetto al Regolamento (che ha ad oggetto la protezione dei dati personali e della riservatezza delle comunicazioni nel contesto dei servizi di comunicazione elettronica e per obiettivo l\u2019incentivazione della sicurezza dei servizi digitali e della conseguente fiducia degli utenti).<\/li>\n<\/ol>\n

                  Ci\u00f2 comporta la necessit\u00e0 che i concetti essenziali del Regolamento siano delineati in modo chiaro nell\u2019ottica dell\u2019oggetto e degli obiettivi propri di questa normativa.<\/p>\n

                  Di conseguenza, il GEPD raccomanda di spezzare il legame tra questi corpi normativi, inserendo direttamente nel Regolamento le definizioni fondamentali, da individuarsi senz\u2019altro in modo coerente con l\u2019EECC, ma non necessariamente identico;<\/p>\n

                    \n
                  1. il GEPD sottolinea positivamente l\u2019evidenza data al rapporto di complementariet\u00e0 e specificazione che caratterizza il Regolamento e il GDPR, da cui deriva la garanzia di un uguale standard di protezione approntato dalle norme del Regolamento e da quelle del GDPR, ma evidenzia in aggiunta l\u2019opportunit\u00e0 di rafforzare le disposizioni sul consenso dell\u2019utente;<\/li>\n
                  2. il consenso deve essere realmente libero: \u201cPer esempio, il consenso dovrebbe essere genuino, offrendo una scelta libera agli utenti, come richiesto dal GDPR<\/em>\u201d e, anche per questo motivo, non dovrebbero esserci \u201ctracking walls<\/em>\u201d (noto anche come \u201ccookie walls<\/em>\u201d), ossia l\u2019accesso ai siti web non dovrebbe essere subordinato al fatto che l\u2019utente debba essere costretto ad acconsentire di essere monitorato.<\/li>\n<\/ol>\n

                    Il consenso dovrebbe poi essere richiesto a tutte le parti coinvolte dalla comunicazione (ad esempio, mittenti e riceventi delle e-mail), salve specifiche eccezioni legate a particolari circostanze.<\/p>\n

                    Inoltre, i contenuti del Regolamento (tra cui le definizioni) dovrebbero fare s\u00ec che il consenso sia fornito da chi effettivamente utilizza il servizio di comunicazione elettronica, e non da chi si limita a sottoscrivere l\u2019adesione ad esso.<\/p>\n

                    Infine, la legge dovrebbe prevedere che i browser <\/em>siano impostati di default<\/em> nel senso di escludere il monitoraggio;<\/p>\n

                      \n
                    1. le eccezioni relative al tracciamento dei terminali sono troppo ampie e mancano di adeguate garanzie;<\/li>\n
                    2. la proposta amplia di fatto al di l\u00e0 dell\u2019oggetto e degli obiettivi del Regolamento (mediante il richiamo dell\u2019art. 23, paragrafo 1, lettere da a) a e) del GDPR) la possibilit\u00e0 per gli Stati membri di introdurre restrizioni ai diritti: il GEPD segnala la necessit\u00e0 che nelle specifiche circostanze che possono verificarsi debba essere dimostrata la necessit\u00e0 e la proporzionalit\u00e0 di tali restrizioni;<\/li>\n
                    3. le nuove regole devono fissare anche solidi requisiti in tema di privacy by design <\/em>e by default.<\/em><\/li>\n<\/ol>\n

                      (su questi aspetti, si veda anche l\u2019interessante post di Paolo Calvi: Proposta di Regolamento ePrivacy e GDPR).<\/a><\/p>","protected":false},"excerpt":{"rendered":"

                      Come gi\u00e0 ricordato in un precedente post,\u00a0il 10 gennaio scorso la Commissione Europea ha presentato una\u00a0proposta di Regolamento\u00a0(il \u201cRegolamento\u201d) che dovrebbe modificare la Direttiva 2002\/58\/EC (\u201cDirettiva e-Privacy\u201d) uniformando l\u2019attuale quadro normativo in materia di trattamento dei dati personali nelle comunicazioni elettroniche e la cui approvazione definitiva si auspica che possa coincidere con la piena applicazione\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":167,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[403,402,406,50,60,81],"class_list":["post-3243","post","type-post","status-publish","format-standard","hentry","category-legal-framework","tag-comunicazioni-elettroniche","tag-e-privacy","tag-e-privacy-directive","tag-edps","tag-gdpr","tag-wp29"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3243","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/167"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=3243"}],"version-history":[{"count":2,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3243\/revisions"}],"predecessor-version":[{"id":3249,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3243\/revisions\/3249"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=3243"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=3243"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=3243"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}