Dopo anni di stallo pare sia finalmente giunto il momento del nuovo Regolamento e-Privacy: il 10 febbraio, difatti, il Consiglio dell’Unione Europea ha fornito mandato al presidente portoghese, Pedro Nuno Santos, al fine di avviare i confronti con il Parlamento Europeo per individuare il testo di quello che sarà il nuovo Regolamento e-Privacy.
Nel delegare il proprio presidente, il Consiglio dell’UE ha ratificato una bozza di quello che dovrebbe essere il nuovo regolamento, dalla quale possiamo sin d’ora desumere la direzione che dovrebbe intraprendere questo nuovo atto normativo, l’ennesimo, pensato per disciplinare al meglio il mondo delle comunicazioni e delle informazioni scambiate nel mondo digitale.
Indice degli argomenti
Dalla direttiva e-Privacy al regolamento e-Privacy: cosa cambia
Da questa prima bozza, vediamo come, sebbene i principi e disposizioni della direttiva 2002/58/CE del Parlamento europeo e del Consiglio rimangano generalmente solidi, tale direttiva non sia stata in grado di reggere il passo con l’evoluzione della realtà tecnologica e del mercato.
La vecchia direttiva, del resto è nata in un’epoca vicina ma lontana anni luce sotto il punto di vista tecnologico. Si tratta di un periodo precedente all’arrivo degli smartphone, nonché precedente alla nascita e all’affermazione delle principali big tech, oggi onnipresenti nella vita di tutti noi.
Da qui la decisione di abrogare la precedente normativa introducendo la nuova. Si badi a tal riguardo che, mentre la e-Privacy attualmente in vigore ha il carattere di direttiva, la nuova e-Privacy sarà un regolamento, circostanza questa che denota in primis la volontà di non lasciare adito a differenze di trattamento nei diversi stati membri.
Non solo, la scelta di utilizzare la fonte del regolamento, in luogo della direttiva, si posiziona perfettamente nel disegno dell’Unione Europea che, con il GDPR, ha aperto una stagione normativa molto proficua che porterà in pochi anni ad avere tutta una serie di regolamenti generali capaci di disciplinare ogni ambito della vita digitale. In tal senso non stupisce, quindi, la decisione di abbandonare il ricorso alla direttiva per optare a favore del regolamento.
Verrà stravolta l’efficacia territoriale della norma
Come il GDPR, anche il nuovo e-Privacy punterà a stravolgere l’efficacia territoriale della norma, non più vincolata al criterio della sede o dell’origine dell’obbligazione.
Il presente regolamento dovrebbe difatti applicarsi indipendentemente dal fatto che il trattamento dei dati delle comunicazioni elettroniche avvenga o meno nell’Unione o che il fornitore di servizi o la persona che tratta tali dati sia stabiliti o situati nell’Unione o meno.
Se l’interessato ha avuto accesso ai servizi da una località interna ai confini dell’Unione Europea, ad egli dovranno riconoscersi i diritti e gli obblighi derivanti dal nuovo ePrivacy, indipendentemente da ogni altra variabile.
In questo senso il nuovo regolamento si uniforma al criterio (peraltro di estremo successo) introdotto dal GDPR, replicandone di fatto i meccanismi.
Il Regolamento e-Privacy si applicherà alle persone fisiche e giuridiche
Il nuovo e-Privacy, per quanto emerge dalla bozza attualmente pubblicata, sarà poi applicabile a favore di persone fisiche e persone giuridiche.
I dati delle comunicazioni elettroniche possono difatti rivelare anche informazioni riguardanti società ed altri enti come, ad esempio, segreti aziendali o altre informazioni sensibili che, seppur non riconducibili alla sfera dei dati personali, hanno comunque un valore economico importante da tutelare in quanto solo tutelando la riservatezza di tali informazioni si può spingere le imprese ad innovare.
Pertanto, le disposizioni del presente regolamento si applicheranno in linea di principio, tanto alle persone fisiche quanto alle persone giuridiche.
Non solo, al considerando 3 si legge: “Furthermore, this Regulation should ensure that, where necessary, provisions of the Regulation (EU) 2016/679 of the European Parliament and of the Council, also apply mutatis mutandis to end-users who are legal persons. This includes the definition of provisions on consent under Regulation (EU) 2016/679.
Si tratta di una previsione importante in quanto, di fatto, il regolamento apre ad una estensione delle previsioni di cui al GDPR anche a favore delle persone giuridiche. Circostanza questa molto rilevante anche se non del tutto inedita in quanto già la direttiva consentiva la tutela dei dati delle persone giuridiche in alcune situazioni peraltro riprese in Italia con la modifica degli artt. 121 e ss del Codice Privacy.
Le regole per il trattamento dei metadati
Una menzione a parte viene fatta dal legislatore europeo per il trattamento dei metadati.
Si afferma difatti nella bozza di regolamento che, fatto salvo il consenso, i fornitori di comunicazioni elettroniche, di reti e di servizi sono autorizzati a trattare le comunicazioni elettroniche di metadati solo se tale trattamento:
- è necessario ai fini della gestione della rete, della sua ottimizzazione, o per soddisfare requisiti di qualità tecnica del servizio;
- è necessario per la prestazione di un servizio di comunicazione elettronica riconducibile ad un contratto di cui l’utente finale è parte o, se necessario per la fatturazione, e la rilevazione o blocco di utilizzo fraudolento dei servizi;
- è necessario per tutelare l’interesse vitale di una persona fisica; o, in relazione ai metadati che costituiscono dati di localizzazione, è necessario per finalità di ricerca scientifica o storica o finalità statistiche, purché tali dati siano pseudonimizzati e i dati sulla posizione non vengano utilizzati per determinare la natura o le caratteristiche di un utente finale o per costruire un profilo di un utente finale.
- è necessario per scopi scientifici o scopi di ricerca storica o scopi statistici.
Come vediamo dall’elenco, di fatto, i metadati fanno ingresso nel nostro ordinamento e divengono oggetto di interesse al pari del trattamento di dati personali di cui all’art 6 GDPR. Non a caso anche qui, di fatto, vengono previste basi giuridiche specifiche che, peraltro ricalcano in modo piuttosto pedissequo le basi giuridiche di cui al citato articolo 6 del regolamento sulla protezione dei dati.
Non solo anche una volta raccolti, i metadati dovranno essere utilizzati solo per lo scopo per cui è stata possibile la raccolta, non potendosi modificare le finalità del trattamento in itinere.
A tal riguardo, la bozza in esame precisa che qualora il fornitore volesse modificare la finalità di trattamento e lo stesso non si basi sul consenso o sulla legge, il fornitore dovrebbe prima accertarsi che il trattamento ulteriore sia compatibile con quello originario e, successivamente, rispettare tutta una serie di parametri atti a garantire l’anonimato degli interessati e l’impossibilità di un uso perpetuo dei dati.
Il Regolamento e-Privacy e i nuovi ambiti tecnologici: IoT e AI
Molta importanza viene attribuita ai nuovi ambiti tecnologici sviluppatisi negli ultimi anni: Internet of Things e intelligenza artificiale in primis, sistemi questi che, in base alla bozza del regolamento, comportano un “trasferimento automatizzato di dati e informazioni tra dispositivi o applicazioni basate su software con interazione umana limitata o inesistente”.
A tal riguardo il regolamento potrebbe applicarsi ai soli trasferimenti di dati che avverranno tramite sistemi pubblici o tramite reti accessibili a tutti. Al contrario, laddove il file venisse traferito tramite rete privata, il considerando 12 escluderebbe l’applicazione del nuovo e-Privacy.
WhatsApp, Telegram, Signal: le novità del Regolamento e-Privacy
Infine, una menzione a parte viene fatta con riferimento all’utilizzo di sistemi di messaggistica basati su protocolli web (WhatsApp, Telegram, Signal e simili).
I servizi utilizzati per scopi di comunicazione e i mezzi tecnici per la loro erogazione si sono del resto evoluti notevolmente rispetto al 2002 (anno di emanazione della direttiva e-Privacy). Gli utenti finali -evidenzia la bozza- “sostituiscono sempre più i tradizionali servizi di telefonia vocale, messaggi di testo (SMS) e di posta elettronica a favore di servizi online funzionalmente equivalenti come Voice over IP, servizi di messaggistica e servizi di posta elettronica basati sul web”.
Per questo, preso atto dello stato attuale, al fine di garantire una efficace protezione degli utenti finali, il nuovo regolamento estenderà anche a queste nuove tecnologie il concetto di “comunicazione elettronica” comprendendo quindi non solo i servizi di accesso a Internet e i servizi consistenti in tutto o in parte nella trasmissione di segnali, ma anche i servizi di comunicazione interpersonale, che possono o meno essere basati sui numeri, come ad esempio Voice over IP, servizi di messaggistica e web-based servizi di posta elettronica.
In sostanza, il regolamento sarà così applicabile in tutte le circostanze in cui avviene la comunicazione elettronica tra un numero finito, cioè non potenzialmente illimitato, di utenti finali. In tal senso, anche i servizi di messaggistica che non rispondono alla dinamica 1 a 1, ma che consentono di inviare ad un numero anche notevole di persone, seppur finito, rientreranno ora nell’applicazione del regolamento.
Conclusioni
In definitiva, quello che emerge dalla lettura di questa bozza è la volontà da un lato di allineare la vecchia disciplina a quello che è lo stato attuale della tecnologia, dall’altro la volontà di omologare questa normativa con quella del ben più noto regolamento sulla protezione dei dati.
Entrambe tali esigenze risultano peraltro assolutamente condivisibili specie alla luce del rinnovamento normativo in atto. Non resta quindi che attendere di scoprire come il Parlamento intenderà accogliere questa bozza, con la speranza che non ci siano ulteriori rallentamenti.
