{"id":3245,"date":"2017-10-13T08:28:07","date_gmt":"2017-10-13T06:28:07","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=3245"},"modified":"2017-10-13T08:28:07","modified_gmt":"2017-10-13T06:28:07","slug":"e-privacy-regulation-proposals-development-iiwork-in-progress","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/10\/13\/e-privacy-regulation-proposals-development-iiwork-in-progress\/","title":{"rendered":"L\u2019EVOLUZIONE DELLA PROPOSTA DI REGOLAMENTO e-PRIVACY – II)\tWork in progress"},"content":{"rendered":"

Il 9 giugno scorso Marju Lauristin, membro del parlamento europeo (MEP) e della Commissione per le libert\u00e0 civili, giustizia e affari interni del Parlamento Europeo (LIBE) ha presentato una relazione<\/a> contenente degli emendamenti al Regolamento.<\/p>\n

Nella preparazione di questa relazione, la relatrice Marju Lauristin ha condotto una serie di approfondimenti con le seguenti Commissioni: draft opinion of the Committee on Legal Affairs<\/a>, draft opinion of the Committee on the Internal Market and Consumer Protection<\/a>, draft report of the Committee on Industry, Research and Energy<\/a>.<\/p>\n

Il successivo 21 giugno Marju Lauristin ha presentato la sua relazione ai suoi colleghi della Commissione LIBE e il 10 luglio 2017 si \u00e8 tenuta la riunione della Commissione LIBE per discutere della relazione contenente gli emendamenti al Regolamento.<\/p>\n

I principali aspetti rilevati dalla proposta di modifica possono riassumersi come segue:<\/p>\n

1.La relazione chiarisce la relazione tra il GDPR e il Regolamento ePrivacy specificando che quest\u2019ultimo \u201cmira a fornire delle garanzie aggiuntive e complementari tenendo conto della necessit\u00e0 di una protezione supplementare per quanto riguarda la riservatezza delle comunicazioni<\/em>\u201d e per questo \u201cil trattamento dei dati relativi alle comunicazioni elettroniche da parte dei fornitori di servizi di comunicazioni elettronica dovrebbe essere consentito solo in conformit\u00e0, e in base a un motivo giuridico specificamente previsto, con il presente regolamento<\/em>\u201d (cfr. emendamento 4).<\/em><\/p>\n

2. L\u2019emendamento 18 propone la cancellazione del considerando 18 del Regolamento (in base al quale \u201cil consenso al trattamento dei dati provenienti dall\u2019utilizzo di internet o delle comunicazioni vocali non sar\u00e0 valido se il titolare dei dati non dispone di una vera scelta libera o se non pu\u00f2 rifiutare o revocare il consenso senza conseguenze negative<\/em>\u201d) e introduce il nuovo considerando 17, lettera a), che in parte ripete quanto gi\u00e0 previsto nel considerando 18, ossia che \u201cai fini del presente regolamento, il consenso dell\u2019utente finale, indipendentemente dal fatto che quest\u2019ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato ed essere soggetto alle stesse condizioni del consenso del soggetto interessato ai sensi del Regolamento (UE) 2016\/679<\/em>\u201d e, inoltre, chiarisce che \u201cgli utenti finali dovrebbero avere il diritto di revocare il loro consenso da un servizio aggiuntivo senza violare il contratto per il servizio di base. Il consenso per l\u2019elaborazione di dati da utilizzo di Internet o di comunicazioni vocali non deve essere valido se l\u2019utente non ha alcuna scelta vera e propria o non \u00e8 in grado di rifiutare o revocare il consenso senza alcun danno<\/em>\u201d (cfr. emendamento n. 17).<\/p>\n

3. La relazione ha rimosso il rinvio al Codice Europeo delle Comunicazioni elettroniche modificando l\u2019art. 4, comma 1 punto b) ed eliminando l\u2019art. 4, secondo comma del Regolamento, nonch\u00e9 introducendo le predette definizioni direttamente nel testo del Regolamento ePrivacy (cfr. nuovo paragrafo 3 dell\u2019articolo 4, vedasi emendamenti da 47 a 54).<\/p>\n

In questo modo, il Regolamento diventerebbe autonomo e separato da altre iniziative legislative adottate dall\u2019UE, come quella, appunto, del Codice delle Comunicazioni Elettroniche, assecondando peraltro l\u2019opinione del GEPD che, come osservato in precedenza,\u00a0 aveva sollevato perplessit\u00e0 proprio in merito al fatto che il Regolamento si limita a rinviare alle definizioni dell\u2019art. 2 della proposta di direttiva del Codice Europeo delle Comunicazioni elettroniche<\/a> (cfr. art. 4, comma 1, punto b), del Regolamento).<\/p>\n

4. La relazione introduce la distinzione (assente nella versione originaria del Regolamento) tra utenti finali<\/strong> intesi come \u201cuna persona giuridica o una persona fisica<\/u> che utilizza o richiede un servizio di comunicazione elettronica accessibile al pubblico<\/em>\u201d (cfr. emendamento 53, nostra sottolineatura) e utenti<\/strong> intesi come \u201cqualsiasi persona fisica<\/u> che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza necessariamente aver sottoscritto questo servizio<\/em>\u201d (cfr. emendamento 54, nostra sottolineatura).<\/p>\n

In ragione di tale distinzione \u00e8 stata sostituita, in diversi punti, la definizione \u201cutente finale\u201d con quella di \u201cutente\u201d (ex multis<\/em>, emendamenti 58, 59, 69, 70) limitando, in questo modo, alle sole persone fisiche la tutela della riservatezza delle comunicazioni e ci\u00f2 nonostante la bozza di relazione abbia lasciato immutato il considerando 3 del Regolamento, che equipara la protezione delle comunicazioni delle persone fisiche a quella delle persone giuridiche.<\/p>\n

5. \u00c8 stata rafforzata la definizione di \u2018metadati\u2019, estendendola a \u201ctutti gli altri dati relativi alle comunicazioni trattati per la fornitura del servizio, che non sono considerati contenuti<\/em>\u201d compresi \u201ci dati trasmessi o emessi dall’apparecchiatura terminale per identificare le comunicazioni degli utenti e\/o l\u2019apparecchiatura terminale o la sua posizione e consentirle di connettersi a una rete o ad un altro dispositivo<\/em>\u201d (cfr. emendamento 55). Come precisato nella bozza di relazione \u201cquesto emendamento serve a chiarire l\u2019esatto concetto di metadato, come sottolineato dal Gruppo di lavoro<\/em> Articolo 29, dagli studiosi e dalle autorit\u00e0 giudiziarie<\/em>\u201d (cfr. \u201cgiustificazione\u201d alla fine dell\u2019emendamento 55).<\/p>\n

6. In aggiunta agli specifici casi di trattamento \u201cconsentito\u201d (adesso definito \u201clecito\u201d in base all\u2019emendamento 60) delle comunicazioni elettroniche previsti dall\u2019art. 6 del Regolamento, la relazione prevede che \u201cper la fornitura di un servizio di comunicazione elettronica esplicitamente richiesto dall\u2019utente per un uso puramente personale, anche connesso a fini lavorativi<\/strong><\/em>, i fornitori di servizi di comunicazione elettronica possono trattare il contenuto delle comunicazioni elettroniche esclusivamente per la fornitura del servizio richiesto<\/strong> e senza il consenso di tutti gli utenti<\/strong>\u201d <\/em>ma ci\u00f2 \u00e8 possibile \u201csoltanto quando tale trattamento produce effetti solo in relazione all\u2019utente che ha chiesto il servizio e non pregiudica i diritti fondamentali degli altri utenti<\/em>\u201d (cfr. emendamento 71, nostra evidenziazione in grassetto).<\/p>\n

Tuttavia, con tale emendamento, il trattamento delle comunicazioni elettroniche \u2018senza consenso\u2019 potrebbe avere una portata molto ampia tenuto conto che \u201cl\u2019uso personale o per motivi di lavoro<\/em>\u201d rientrano sicuramente tra le principali finalit\u00e0 di utilizzo dei servizi di comunicazione elettronica. Per \u201cconsenso di tutti gli utenti<\/em>\u201d presumiamo che si debba fare riferimento sia ai mittenti che ai destinatari delle comunicazioni, non essendo dunque sufficiente il consenso di uno solo dei soggetti interessati.<\/p>\n

7. L\u2019emendamento 78 prevede che il tracciamento degli utenti (per esempio, tramite cookie) pu\u00f2 aversi previo loro consenso (precisamente, se \u201cl\u2019utente ha dato il suo specifico consenso<\/em>\u201d), il quale tuttavia \u201cnon \u00e8 obbligatorio per accedere al servizio<\/em>\u201d.<\/p>\n

La relazione si conforma dunque a quanto suggerito sia dal WP29 che dal GEPD nei loro rispettivi pareri, rendendo il consenso dell\u2019utente effettivamente libero.<\/p>\n

Tale regola \u00e8 inoltre rafforzata in un nuovo e separato paragrafo dell\u2019articolo 8 introdotto dall\u2019emendamento 83, in forza del quale \u201cA nessun utente deve essere negato l’accesso a qualsiasi servizio o funzionalit\u00e0 della societ\u00e0 d\u2019informazione, a prescindere dal fatto che il servizio sia a pagamento o meno, alla luce del fatto che non abbia dato il suo consenso a norma dell\u2019articolo 8, paragrafo 1, lettera b) per il trattamento delle informazioni personali e\/o per l\u2019uso delle capacit\u00e0 di conservazione delle sue apparecchiature terminali che non siano necessarie per la prestazione di tale servizio o funzionalit\u00e0<\/em>\u201d.<\/p>\n

 <\/p>\n

8. Oltre a quelle gi\u00e0 previste all\u2019art. 8 del Regolamento, la relazione introduce altre eccezioni per il tracciamento dei terminali degli utenti (cfr. emendamenti da 75 a 83). In particolare, l\u2019emendamento 82 propone un\u2019eccezione per il tracciamento dei lavoratori \u201cse \u00e8 necessario nel contesto del rapporto di lavoro<\/em>\u201d ma solo a condizione che il dipendente utilizzi i terminali messi a disposizioni dal datore di lavoro e purch\u00e9 tale tracciamento sia \u201cstrettamente necessario per il funzionamento dell\u2019apparecchiatura terminale del dipendente<\/em>\u201d (cfr. emendamento 82).<\/p>\n

 <\/p>\n

9. La relazione introduce importanti modifiche in merito al tracciamento dei terminali degli utenti (i.e. WI-FI tracking or Bluetooth tracking) prevedendo la possibilit\u00e0 della raccolta delle informazioni emesse dall\u2019apparecchiatura terminale solo (i)<\/em> al fine di, e per il tempo necessario a, stabilire una connessione richiesta dall\u2019utente, oppure (ii)<\/em> con il consenso informato dell\u2019utente, oppure (iii)<\/em> se i dati sono anonimizzati e i rischi vengono adeguatamente mitigati (cfr. emendamenti da 84 a 90).<\/p>\n

Per la mitigazione del rischio, vengono indicate le seguenti misure: (a)<\/em> la raccolta delle informazioni deve essere finalizzata alla sola contabilit\u00e0 statistica, (b)<\/em> il monitoraggio deve essere effettuato solo nella misura strettamente necessaria a tale scopo, (c)<\/em> i dati devono essere eliminati o anonimizzati immediatamente dopo il raggiungimento di detto scopo e (d)<\/em> gli utenti devono essere dotati di effettive possibilit\u00e0 di opt-out <\/em>(cfr. emendamento 89).<\/p>\n

Infine, gli utenti devono essere informati in merito al tracciamento dei loro terminali tramite un\u2019informativa chiara che indichi i dettagli sulle modalit\u00e0 di raccolta delle informazioni, lo scopo della raccolta, la persona responsabile nonch\u00e9 le altre informazioni richieste ai sensi dell\u2019articolo 13 del GDPR (cfr. emendamento 90). In ogni caso, \u201cla raccolta di tali informazioni \u00e8 subordinata all\u2019applicazione di adeguate misure tecniche ed organizzative per garantire un livello di sicurezza adeguato ai rischi di cui all\u2019articolo 32 del GDPR<\/em>\u201d (cfr. emendamento 90).<\/p>\n

La relazione dunque, conformemente a quanto suggerito dal WP29, propone una modifica molto significativa rispetto all\u2019originaria proposta della Commissione Europea (che essenzialmente chiedeva per il tracciamento dell\u2019utente la mera visualizzazione di un avviso\/banner volto ad informare gli utenti della possibilit\u00e0 di \u201carrestare o minimizzare tale raccolta\u201d, unitamente all\u2019adozione di misure tecniche ed organizzative di mitigazione del rischio: cfr. art. 8, secondo comma, del Regolamento).<\/p>\n

 <\/p>\n

10. L\u2019art. 10 si riferisce alle opzioni per le impostazioni predefinite dei terminali e dei software<\/em> ed \u00e8 stato modificato con una chiara preferenza per il meccanismo \u201cDo-Not-Track\u201d (DNT) prevedendo che tutti i software<\/em> debbano essere impostati di default <\/em>\u201cper offrire impostazioni di protezione della privacy atte ad impedire ad altre parti di memorizzare informazioni sull\u2019apparecchiatura terminale di un utente e di elaborare informazioni gi\u00e0 memorizzate su tali apparecchiature<\/em>\u201d (cfr. emendamento 95).<\/p>\n

A tale riguardo, la relatrice spiega alla fine della relazione che \u201cle impostazioni dovrebbero consentire la frammentazione del consenso dell\u2019utente, tenendo conto della funzionalit\u00e0 dei cookie e delle tecniche di monitoraggio, e le DNT dovrebbero inviare segnali alle altre parti informandoli delle impostazioni privacy selezionate dall\u2019utente. La conformit\u00e0 a queste impostazioni dovrebbe essere giuridicamente vincolante e applicabile a tutte le altre parti<\/em>\u201d (cfr. pag. 88 della relazione).<\/p>\n

 <\/p>\n

11. Le sanzioni previste dall\u2019art. 23 del Regolamento ePrivacy vengono estese anche ai casi di violazione degli obblighi previsti dall\u2019art. 8 del Regolamento ePrivacy (cookie, WI-FI tracking) con sanzioni fino a 20 milioni di Euro o il 4% del fatturato annuo globale (cfr. emendamento 131).<\/p>\n

Per maggiori informazioni:<\/p>\n

parere n. 1\/2017<\/a> dell\u2019Art. 29 Working Party;<\/p>\n

parere n. 6\/2017<\/a> del Garante Europeo per la protezione dei dati<\/p>\n

proposta di Regolamento<\/a> ePrivacy della Commissione Europea<\/p>\n

draft opinion<\/a> della Commissione per le libert\u00e0 civili, giustizia e affari interni del Parlamento Europeo (LIBE), Relatrice: Marju Lauristin<\/p>","protected":false},"excerpt":{"rendered":"

Il 9 giugno scorso Marju Lauristin, membro del parlamento europeo (MEP) e della Commissione per le libert\u00e0 civili, giustizia e affari interni del Parlamento Europeo (LIBE) ha presentato una relazione contenente degli emendamenti al Regolamento. Nella preparazione di questa relazione, la relatrice Marju Lauristin ha condotto una serie di approfondimenti con le seguenti Commissioni: draft\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":167,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[403,402,60,404,347],"class_list":["post-3245","post","type-post","status-publish","format-standard","hentry","category-legal-framework","tag-comunicazioni-elettroniche","tag-e-privacy","tag-gdpr","tag-libe","tag-liberta-fondamentali"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3245","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/167"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=3245"}],"version-history":[{"count":1,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3245\/revisions"}],"predecessor-version":[{"id":3246,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3245\/revisions\/3246"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=3245"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=3245"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=3245"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}