ComGlob

Proposta di regolamento su “ePrivacy” e Direttiva 2002/58/CE

La proposta di regolamento su “ePrivacy”, che è al vaglio delle Istituzioni da tempo ma non è ancora stata definita, non è una nuova disciplina da introdurre nel sistema giuridico europeo. In realtà, l’Europa ha già la Direttiva 2002/58/CE, attualmente in vigore, “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva sulla vita privata e sulle comunicazioni elettroniche)”.

La Direttiva 2002/58/CE è nota anche perché il GDPR vi fa esplicito riferimento, precisamente:

  • Il Considerando (173) - l’ultimo nel GDPR - afferma:

Il presente regolamento dovrebbe applicarsi a tutte le questioni concernenti la protezione dei diritti e delle libertà fondamentali in relazione al trattamento dei dati personali che non sono soggette a obblighi specifici con lo stesso obiettivo di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio (2), inclusi gli obblighi del titolare del trattamento e i diritti delle persone fisiche. Per chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, quest’ultima dovrebbe essere modificata di conseguenza. Una volta adottato il presente regolamento, la direttiva 2002/58/CE dovrebbe essere riesaminata in particolare al fine di garantire la coerenza con il presente regolamento

  • L’articolo 95, intitolato “Rapporto con la direttiva 2002/58/CE”, stabilisce che:

Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti di comunicazione pubbliche nell’Unione per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi il medesimo obiettivo stabiliti dalla direttiva 2002/58/CE.

  • L’articolo 21, intitolato “Diritto di opposizione”, stabilisce al paragrafo 5 che:

Nel contesto dell’utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, l’interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.

Detto questo, la proposta di regolamento nota come “ePrivacy”, una volta approvata ed entrata in vigore, abroga la Direttiva 2002/58/CE.

La valutazione del legislatore europeo - coerentemente con quanto fatto con il GDPR - ha portato alla scelta del regolamento invece della direttiva come strumento per raggiungere un sistema normativo unificato a livello europeo.

2. Il rapporto tra la proposta ePrivacy e il GDPR

Abbiamo già menzionato il rapporto tra la Direttiva 2002/58/CE e il Regolamento 2016/679; esiste anche un rapporto parallelo tra la proposta ePrivacy e il GDPR in termini di “dipendenza” della proposta dal GDPR.

Dovremmo intendere la “dipendenza” nel senso che il GDPR ha un ruolo primario nella protezione delle persone rispetto al trattamento dei dati personali;

Allo stesso tempo, la proposta supporta il GDPR per quanto riguarda le comunicazioni elettroniche.

Infatti, la Direttiva 2002/58/CE è conseguente alla Direttiva 95/46/CE, che regolava - prima del GDPR - la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati”.

L’impegno del legislatore europeo sulla proposta di regolamento su “ePrivacy” è volto a preparare un testo più adatto all’intero contesto attuale, anche in relazione all’evoluzione tecnologica degli ultimi vent’anni.

3. L’iter della proposta di regolamento ePrivacy fino alla versione attuale

Non è facile illustrare il complesso percorso della proposta di regolamento ePrivacy, e quindi descriveremo di seguito i punti salienti del suo viaggio fino ai giorni nostri.

Il lavoro istituzionale sulla proposta su “ePrivacy” - come probabilmente sapete - è stato molto duro e non vede ancora un testo finale, ma solo bozze: dovremo quindi attendere il completamento del processo.

- 2017

Tutto è iniziato formalmente nel 2017 quando la Commissione europea ha formulato la prima versione della proposta di regolamento del Parlamento europeo e del Consiglio sulla vita privata e sulla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche), datata 10/1/2017.

Successivamente, il 24/4/2017, l’EDPS ha pubblicato il “Parere 6/2017 (Opinion 6/2017) sulla proposta di regolamento sulla vita privata e le comunicazioni elettroniche (regolamento ePrivacy)”. Si tratta di un lungo documento di 40 pagine, in cui l’EDPS ha fatto riferimento alla necessità di uno strumento giuridico dedicato per la proposta ePrivacy, evidenziando le principali preoccupazioni e raccomandazioni, in particolare riguardo a:

  • le definizioni nella proposta non devono dipendere dalla procedura legislativa separata relativa alla direttiva che istituisce il Codice europeo delle comunicazioni elettroniche (la proposta EECC);
  • le disposizioni sul consenso dell’utente finale devono essere rafforzate. Il consenso deve essere richiesto alle persone che utilizzano i servizi, indipendentemente dal fatto che vi abbiano sottoscritto o meno, e da tutte le parti di una comunicazione. Inoltre, devono essere protetti anche altri interessati che non sono parti delle comunicazioni;
  • deve essere garantito che il rapporto tra il GDPR e il regolamento ePrivacy non lasci scappatoie per la protezione dei dati personali. I dati personali raccolti sulla base del consenso dell’utente finale o di un altro fondamento giuridico ai sensi del regolamento ePrivacy non devono essere successivamente ulteriormente trattati al di fuori dell’ambito di tale consenso o eccezione su un fondamento giuridico che potrebbe altrimenti essere disponibile ai sensi del GDPR, ma non ai sensi del regolamento ePrivacy;
  • la proposta manca di ambizione per quanto riguarda i cosiddetti ’tracking walls’ (noti anche come ‘cookie walls’). L’accesso ai siti web non deve essere subordinato al fatto che l’individuo sia costretto a ‘acconsentire’ al tracciamento attraverso i siti web. In altre parole, l’EDPS invita i legislatori a garantire che il consenso sia genuinamente libero;
  • la proposta non riesce a garantire che i browser (e altri software immessi sul mercato che consentono comunicazioni elettroniche) saranno impostati per impostazione predefinita per impedire il tracciamento delle impronte digitali degli individui;
  • le eccezioni relative al tracciamento della posizione delle apparecchiature terminali sono troppo ampie e mancano di adeguate garanzie;
  • la proposta include la possibilità per gli Stati membri di introdurre restrizioni. Queste richiedono garanzie specifiche.

Il 26/10/2017, il Parlamento europeo ha pubblicato una bozza di proposta su ePrivacy.

- 2018

Nel 2018 sono seguite due bozze della proposta ePrivacy delle Presidenze bulgara e austriaca.

Inoltre, il 25/5/2018, l’EDPB ha emesso la sua prima dichiarazione in cui ha sottolineato i seguenti punti:

  1. La riservatezza delle comunicazioni elettroniche richiede una protezione specifica al di là del GDPR.
  2. La direttiva ePrivacy è già in vigore.
  3. Il regolamento proposto mira a garantire la sua applicazione uniforme in ogni Stato membro e per ogni tipo di titolare del trattamento.
  4. Il nuovo regolamento deve far rispettare il requisito del consenso per i cookie e tecnologie simili e offrire ai fornitori di servizi strumenti tecnici che consentano loro di ottenere tale consenso.

Il 2018 si chiude con una bozza di regolamento della Presidenza austriaca datata 19/10/2018.

- 2019

Nel 2019 sono stati pubblicati due testi dalla Presidenza rumena (22/2/2019 e il rapporto sui progressi del 20/5/2019) e quattro bozze dalla Presidenza finlandese (12/7/2019, seconda bozza del 26/7/2019, terza bozza del 18/9/2019 e quarta bozza del 4/10/2019).

Questa produzione dimostra la rilevanza dell’intervento politico, l’interesse generale per un testo finale e la seria difficoltà di trovare un equilibrio verso una bozza finale.

Oltre alle bozze pubblicate, dobbiamo menzionare la Dichiarazione 3/2019 su un regolamento ePrivacy, adottata il 13 marzo 2019 dall’EDPB.

L’EDPB - mantenendo la sua posizione - ha ribadito:

le posizioni precedentemente adottate dalle autorità per la protezione dei dati nell’UE, tra cui il parere 1/2017 del Gruppo di lavoro Articolo 29 e la dichiarazione adottata il 25 maggio 2018.

- 2020

Nel 2020 c’è la bozza della Presidenza croata (Bozza della Presidenza croata del Consiglio) datata 21/2/2020 e la bozza della Presidenza tedesca (Bozza della Presidenza tedesca) datata 4/11/2020.

Ancora una volta, l’EDPB ha emesso il suo terzo documento, ovvero la “Dichiarazione sul regolamento ePrivacy e sul ruolo futuro delle autorità di controllo e dell’EDPB” (EDPB - Dichiarazione sul regolamento ePrivacy e sul ruolo futuro delle autorità di controllo e dell’EDPB), adottata il 19 novembre 2020.

L’EDPB, in breve, ha espresso la sua posizione principalmente in tre punti:

  1. In primo luogo, l’EDPB vuole sottolineare che questa dichiarazione è senza pregiudizio delle sue precedenti posizioni, compresa la dichiarazione 3/2019 e la sua dichiarazione del 25 maggio 2018;
  2. In secondo luogo, l’EDPB accoglie con favore l’obiettivo della Presidenza del Consiglio di raggiungere un approccio generale per iniziare i negoziati con il Parlamento europeo e adottare il regolamento ePrivacy il prima possibile;
  3. In terzo luogo, l’EDPB vorrebbe sottolineare che molte disposizioni del futuro regolamento ePrivacy riguardano il trattamento di dati personali. Per queste attività di trattamento, l’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea richiede la supervisione da parte di un’autorità indipendente.

In quella dichiarazione, l’EDPB ha concluso invitando

gli Stati membri a sostenere un regolamento ePrivacy più efficace e coerente come inizialmente proposto dalla Commissione europea e modificato dal Parlamento europeo.

- 2021

Il 2021 è stato l’anno più produttivo e probabilmente il più vicino alla versione finale (almeno si spera).

Infatti, il 5/1/2021, viene pubblicata la bozza della Presidenza portoghese (Bozza della Presidenza portoghese).

Il mese successivo, e precisamente il 10/2/2021, viene pubblicata la bozza del Consiglio dei Ministri dell’UE (Bozza del Consiglio dei Ministri dell’UE). Questa bozza è significativa perché gli Stati membri hanno concordato un mandato per i negoziati con il Parlamento europeo (cosiddetto “trilogo”, cioè una negoziazione informale a cui partecipano il Parlamento, il Consiglio e la Commissione). In questo contributo ci riferiamo proprio a questa bozza, considerandola l’ultima valida prima dei negoziati formali.

Tale bozza include numerose modifiche al testo della proposta di regolamento - alcune sono semplicemente di “formulazione” e altre sono significative (alcuni articoli sono aggiunti e altri cancellati) - rispetto al testo originale pubblicato nel 2017 dalla Commissione europea.

Il 9/3/2021, l’EDPB ha pubblicato la sua quarta dichiarazione, ovvero la “Dichiarazione 03/2021 sul regolamento ePrivacy” adottata il 9 marzo 2021 (EDPB - Dichiarazione 03/2021 sul regolamento ePrivacy).

Innanzitutto, è rilevante che l’EDPB sottolinei quanto segue:

il regolamento ePrivacy non deve in nessun caso abbassare il livello di protezione offerto dall’attuale direttiva ePrivacy, ma dovrebbe integrare il GDPR fornendo ulteriori garanzie forti per la riservatezza e la protezione di tutti i tipi di comunicazione elettronica.

Entrando nei dettagli della dichiarazione dell’EDPB, evidenziamo i seguenti punti:

  1. Preoccupazioni riguardanti il trattamento e la conservazione dei dati delle comunicazioni elettroniche per scopi di applicazione della legge e salvaguardia della sicurezza nazionale;
  2. La riservatezza delle comunicazioni elettroniche richiede una protezione specifica (Articoli 6, 6a, 6b, 6c);
  3. Il nuovo regolamento deve far rispettare il requisito del consenso per i cookie e tecnologie simili e offrire ai fornitori di servizi strumenti tecnici che consentano loro di ottenere facilmente tale consenso (Articolo 8);
  4. Ulteriore trattamento per scopi compatibili (Articolo 6c e Articolo 8(1)(g));
  5. Ruolo futuro delle autorità di controllo, dell’EDPB e meccanismo di cooperazione (Articoli da 18 a 20).

Il 20 maggio 2021 iniziano ufficialmente i negoziati tra la Commissione europea, il Parlamento europeo e il Consiglio dell’Unione europea.

Il 4 novembre 2021 viene pubblicato un nuovo testo della proposta di regolamento su “ePrivacy” (Nuova versione del Consiglio parzialmente accessibile al pubblico - 26.11.2021) da cui risulta che la Presidenza slovena del Consiglio dell’UE aveva invitato gli Stati membri a fornire i loro commenti e osservazioni sulla proposta di regolamento “ePrivacy”. Alcuni punti chiave devono ancora essere discussi dalle istituzioni coinvolte nei negoziati. Anche se quel documento appariva riservato, è stato comunque pubblicato su Internet per errore.

Risulta che nel novembre 2021 sono state pubblicate altre due bozze sul sito web del Consiglio dell’Unione europea, ovvero:

  1. Nuova versione del Consiglio parzialmente accessibile al pubblico (26.11.2021)” datata 8/11/2021; e
  2. Nuova versione del Consiglio parzialmente accessibile al pubblico (30.11.2021)” del 12/11/2021.

Sembra che all’interno dei negoziati ci sia stato un incontro a novembre e un altro a dicembre.

4. La versione attuale e l’analisi comparativa

Dopo aver esposto e commentato la cronologia degli eventi che si riferiscono al processo della proposta di regolamento su “ePrivacy”, in questo contributo ci riferiamo alla bozza completa del 10/2/2021, sebbene siano seguite altre tre versioni, ma non complete e quindi parzialmente accessibili al pubblico come pubblicato sul sito web del Consiglio dell’Unione europea.

La bozza a cui ci riferiamo è composta da 43 Considerando e 29 articoli.

Cosa cambia la proposta di regolamento su ePrivacy rispetto all’attuale Direttiva 2002/58/CE?

Ecco i punti salienti della riforma.

4.1 Soggetto: persone fisiche e persone giuridiche

Come abbiamo accennato all’inizio di questo contributo, il regolamento ePrivacy - sebbene sia complementare al GDPR - si applica non solo alle persone fisiche ma anche alle persone giuridiche. Ciò è ripetutamente affermato nei Considerando e nell’articolo 1a (nella bozza) intitolato “Oggetto”.

4.2 Ambito di applicazione materiale

L’articolo 2(1) descrive l’ambito della proposta di regolamento, ovvero:

  • il trattamento del contenuto delle comunicazioni elettroniche e dei relativi metadati effettuato in relazione alla fornitura e all’uso di servizi di comunicazione elettronica;
  • le informazioni sulle apparecchiature terminali dell’utente finale;
  • la fornitura di un elenco pubblicamente disponibile di utenti finali di servizi di comunicazione elettronica;
  • l’invio di comunicazioni di marketing diretto agli utenti finali.

Il paragrafo 2 specifica anche cosa è escluso dalla sua applicazione affermando:

(a) attività che esulano dall’ambito del diritto dell’Unione e, in ogni caso, misure, attività di trattamento e operazioni riguardanti la sicurezza nazionale e la difesa, indipendentemente da chi svolge tali attività, sia un’autorità pubblica o un operatore privato che agisce su richiesta di un’autorità pubblica;
(b) attività degli Stati membri che rientrano nell’ambito del capo 2 del titolo V del Trattato sull’Unione europea;
(c) servizi di comunicazione elettronica che non sono accessibili al pubblico;
(d) attività, comprese le attività di trattamento dei dati, delle autorità competenti ai fini della prevenzione, dell’indagine, dell’accertamento o del perseguimento di reati o dell’esecuzione di sanzioni penali, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica;
(e) dati di comunicazione elettronica trattati dopo la ricezione da parte dell’utente finale interessato.

4.3 Ambito di applicazione territoriale

Secondo l’articolo 3, il regolamento ePrivacy si applicherà soggettivamente agli utenti finali situati nell’Unione e oggettivamente:1

  • (a) la fornitura di servizi di comunicazione elettronica agli utenti finali che si trovano nell’Unione;
  • (aa) il trattamento dei contenuti delle comunicazioni elettroniche e dei metadati delle comunicazioni elettroniche degli utenti finali che si trovano nell’Unione;
  • (b) - null -;
  • (c) la protezione delle informazioni sulle apparecchiature terminali degli utenti finali che si trovano nell’Unione.
  • (cb) l’offerta di elenchi pubblicamente disponibili di utenti finali di servizi di comunicazione elettronica che si trovano nell’Unione;
  • (cc) l’invio di comunicazioni di marketing diretto agli utenti finali che si trovano nell’Unione.

L’ultimo paragrafo dell’art. 3, ovvero il 6, prevede che il regolamento ePrivacy si applichi “al trattamento dei dati personali da parte di un fornitore non stabilito nell’Unione, ma in un luogo in cui si applica il diritto di uno Stato membro in virtù del diritto internazionale pubblico.”.

La ratio del legislatore europeo è di offrire protezione e garanzie a coloro che si trovano nell’Unione o in luoghi in cui si applicano le sue norme.

4.4 Obbligo di nominare un rappresentante

Come previsto dall’art. 27 del GDPR, il regolamento “ePrivacy” - sempre nell’art. 3 - stabilisce:

Qualora il fornitore di un servizio di comunicazione elettronica, il fornitore di un elenco pubblicamente disponibile o una persona che utilizza servizi di comunicazione elettronica per inviare comunicazioni di marketing diretto, o una persona che utilizza capacità di trattamento e archiviazione o raccoglie informazioni trattate da o emesse da o archiviate nelle apparecchiature terminali degli utenti finali non sia stabilito nell’Unione, deve designare per iscritto, entro un mese dall’inizio delle sue attività, un rappresentante nell’Unione e comunicarlo all’autorità di controllo competente.”.

Tutto ciò a meno che le attività non siano occasionali e improbabili da rappresentare un rischio per i diritti fondamentali degli utenti finali, data la natura, il contesto, la portata e le finalità di tali attività.

Il rappresentante - che sarà obbligato a rispettare il regolamento ePrivacy - dovrà essere stabilito in uno degli Stati membri in cui si trovano gli utenti finali.

4.5. Il Codice europeo delle comunicazioni elettroniche (EECC) e le definizioni.

Il regolamento ePrivacy fa riferimento al Codice delle comunicazioni elettroniche, in particolare alla direttiva (UE) 2018/1972 dell'11 dicembre 2018.
Secondo l’opinione dello scrivente, alcune definizioni lasciano spazio a dubbi.
La proposta di regolamento su “ePrivacy” richiama espressamente le definizioni stabilite dai seguenti testi normativi:

  1. GDPR;
  2. Direttiva (UE) 2018/1972 dell'11 dicembre 2018 che istituisce il Codice europeo delle comunicazioni elettroniche;
  3. Direttiva 2008/63/CE della Commissione del 20 giugno 2008 sulla concorrenza nei mercati delle apparecchiature terminali di telecomunicazione;
  4. Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015 che prevede una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione (codificazione).

Nella nostra prospettiva, tra le definizioni sopra citate, non possiamo prescindere da quelle stabilite dalla suddetta direttiva (UE) 2018/1972, come richiamato dalla proposta, e principalmente le seguenti cinque:

  1. rete di comunicazione elettronica”;
  2. servizio di comunicazione elettronica”;
  3. servizio di comunicazione interpersonale”;
  4. servizio di comunicazione interpersonale basato su numerazione”;
  5. servizio di comunicazione interpersonale indipendente dalla numerazione”;

In particolare, le definizioni di “servizio di comunicazione elettronica” e “servizio di comunicazione interpersonale indipendente dalla numerazione” hanno attirato la nostra attenzione, ovvero:

  • servizio di comunicazione interpersonale” è definito come segue:

‘servizio di comunicazioni interpersonali’ significa un servizio normalmente fornito a pagamento che consente lo scambio diretto interpersonale e interattivo di informazioni tramite reti di comunicazione elettronica tra un numero finito di persone, per cui le persone che avviano o partecipano alla comunicazione ne determinano i destinatari e non include servizi che consentono la comunicazione interpersonale e interattiva semplicemente come una caratteristica accessoria minore intrinsecamente collegata a un altro servizio.

  • il “servizio di comunicazione interpersonale indipendente dalla numerazione” è definito come segue:

‘servizio di comunicazioni interpersonali indipendente dalla numerazione’ significa un servizio di comunicazioni interpersonali che non si connette con risorse di numerazione assegnate pubblicamente, vale a dire un numero o numeri in piani di numerazione nazionali o internazionali, o che non consente la comunicazione con un numero o numeri in piani di numerazione nazionali o internazionali.

Alla luce delle definizioni sopra riportate, la domanda che ci siamo posti è: “Che dire dei servizi di comunicazione, generalmente open-source e forniti gratuitamente alle persone?” Con questa domanda intendiamo fare riferimento a risorse ben note sulla rete, tra cui possiamo menzionare architetture basate sui protocolli aperti di Matrix e XMPP.

Ci sembra che quel tipo di servizio non sia coperto.

4.6 Consenso dell’utente finale.

L’articolo 4a del regolamento ePrivacy richiama la disciplina del consenso prevista nel GDPR, aggiungendo che si applicherà anche “mutatis mutandis, alle persone giuridiche”.

Particolarmente interessante è quanto stabiliscono i paragrafi successivi dello stesso articolo riguardo alle modalità di espressione del consenso.

Si specifica che “ove tecnicamente possibile e fattibile, ai fini del punto (b) dell’articolo 8 (1), il consenso può essere espresso utilizzando le impostazioni tecniche appropriate di un software immesso sul mercato che consente comunicazioni elettroniche, incluso il recupero e la presentazione di informazioni su Internet.”.

Si prosegue affermando che il consenso espresso nel modo sopra indicato direttamente da un utente finale “prevale sulle impostazioni del software” e deve essere implementato direttamente senza ulteriori ritardi.

Se poi il fornitore non sarà in grado di identificare l’interessato, “il protocollo tecnico che mostra che il consenso è stato dato dall’apparecchiatura terminale sarà sufficiente a dimostrare il consenso dell’utente finale secondo2 l’articolo 8 (1) (b).”.

Come nel caso del GDPR, nel regolamento ePrivacy il consenso può essere ritirato. C’è l’obbligo di ricordare agli utenti finali di ritirare il consenso “a intervalli periodici non superiori a 12 mesi, finché il trattamento continua, a meno che l’utente finale non chieda di non ricevere tali promemoria.”.

Per quanto riguarda il consenso, c’è un passo avanti rispetto al GDPR, dove il regolamento ePrivacy prevede che il consenso (esplicito, libero e non condizionato) possa essere espresso da un software. Questa chiarificazione, che attualmente non è oggetto di alcuna regolamentazione, va nella direzione di ciò che in qualche modo accade già nella pratica quando l’utente effettua una scelta attraverso il suo dispositivo cliccando su un’opzione o selezionandola con una casella.

4.7 Natura dei dati delle comunicazioni.

L’articolo 5 stabilisce che “I dati delle comunicazioni elettroniche devono essere riservati. Qualsiasi interferenza con i dati delle comunicazioni elettroniche, inclusi ascolto, intercettazione, archiviazione, monitoraggio, scansione o altri tipi di intercettazione, sorveglianza e trattamento dei dati delle comunicazioni elettroniche, da parte di chiunque diverso dagli utenti finali interessati, è vietata, salvo quando consentito dal presente regolamento.”.

Viene data dignità normativa sia alla segretezza delle comunicazioni elettroniche sia al divieto di interferenza di qualsiasi tipo.

4.8 Condizioni per il trattamento dei dati delle comunicazioni elettroniche

L’articolo 6 del regolamento ePrivacy stabilisce quando è consentito il trattamento dei dati delle comunicazioni elettroniche da parte dei fornitori di reti e servizi, definendo quattro ipotesi di liceità, fondamentalmente per ragioni tecniche e di sicurezza.

Inoltre, è anche stabilito che il trattamento di tali dati è consentito solo per la durata necessaria per gli scopi specificati se non è possibile utilizzare informazioni anonimizzate.

4.9 Trattamento del contenuto delle comunicazioni elettroniche e dei metadati

Su questi argomenti - allo stato attuale - ci sono tre articoli (6a, 6b e 6c).

Il trattamento del contenuto delle comunicazioni elettroniche (art. 6a) da parte dei fornitori di reti e servizi di comunicazioni elettroniche richiede il consenso dell’interessato (utente).

Inoltre, l’ultimo paragrafo dell’articolo 6a richiede al fornitore di reti e servizi di comunicazioni elettroniche di condurre una valutazione d’impatto secondo l’articolo 36 del GDPR.

Il regolamento ePrivacy introduce la disciplina dei metadati e definisce nell’articolo 4 come segue:

metadati delle comunicazioni elettroniche’ significa i dati trattati mediante servizi di comunicazione elettronica ai fini della trasmissione, distribuzione o scambio di contenuti delle comunicazioni elettroniche; inclusi i dati utilizzati per rintracciare e identificare l’origine e la destinazione di una comunicazione, i dati sulla posizione del dispositivo generati nel contesto della fornitura di servizi di comunicazione elettronica e la data, l’ora, la durata e il tipo di comunicazione.

Il trattamento dei metadati delle comunicazioni elettroniche da parte dei fornitori di reti e servizi di comunicazioni elettroniche è consentito solo in sei ipotesi delineate nella norma (6b), ovvero per esigenze tecniche, fatturazione, rilevamento o cessazione di uso fraudolento o abusivo dei servizi, consenso dell’interessato, protezione degli interessi vitali di una persona fisica e per i dati di localizzazione a fini di ricerca scientifica o storica o a fini statistici.

In quest’ultimo caso (dati di localizzazione per scopi di ricerca scientifica o storica o per scopi statistici), devono essere soddisfatte determinate condizioni, ovvero:

  • pseudonimizzazione;
  • il trattamento non potrebbe essere effettuato trattando informazioni anonimizzate;
  • i dati di localizzazione non sono utilizzati per profilare l’utente.

Inoltre, per il trattamento di metadati diversi dai dati di localizzazione, quando necessario per scopi di ricerca scientifica o storica o per scopi statistici, esso è conforme al diritto dell’Unione o degli Stati membri. È soggetto a garanzie appropriate, inclusa la crittografia e la pseudonimizzazione (viene richiamato il GDPR).

Il testo della norma specifica anche che può utilizzare i metadati per lo sviluppo, la produzione e la diffusione di statistiche ufficiali nazionali ed europee.

Infine, c’è un divieto di condividere i metadati con terze parti a meno che non siano stati anonimizzati.

L’articolo 6c stabilisce i criteri (cinque), il cui onere è a carico del fornitore di reti e servizi di comunicazioni elettroniche, per accertare se il trattamento per un altro scopo è compatibile con lo scopo per cui i metadati delle comunicazioni elettroniche sono inizialmente raccolti.

Lo stesso articolo stabilisce garanzie aggiuntive per il trattamento dei metadati.

4.10 Periodo di conservazione per i dati e i metadati delle comunicazioni elettroniche

Sono stabiliti gli stessi criteri del GDPR; vale a dire, i dati possono essere conservati per l’intera durata del trattamento o per scopi contabili e fiscali secondo le normative vigenti.

Questo argomento è regolato dall’articolo 8 e costituisce una delle parti centrali della nuova disciplina.

Il termine “cookie” è menzionato più volte nei Considerando. È regolato, con una diversa definizione terminologica dai cookie, nell’articolo 8.

In generale, secondo tale disposizione, l’uso delle capacità di trattamento e archiviazione delle apparecchiature terminali e la raccolta di informazioni dai terminali degli utenti finali (cookie), inclusi software e hardware, al di fuori dell’utente finale interessato sono vietati, tranne per i seguenti motivi:

  • (a) è necessario al solo scopo di fornire un servizio di comunicazione elettronica; o
  • (b) l’utente finale ha dato il consenso; o
  • (c) è strettamente necessario per fornire un servizio specificamente richiesto dall’utente finale; o
  • (d) se è necessario al solo scopo di misurare l’audience, a condizione che tale misurazione sia effettuata dal fornitore del servizio richiesto dall’utente finale, o da una terza parte, o da terze parti congiuntamente per conto o congiuntamente con il fornitore del servizio richiesto a condizione che, se applicabile, siano soddisfatte le condizioni stabilite negli articoli 26 o 28 del regolamento (UE) 2016/679; o
  • (da)3 è necessario per mantenere o ripristinare la sicurezza dei servizi della società dell’informazione o delle apparecchiature terminali dell’utente finale, prevenire frodi o prevenire o rilevare guasti tecnici per la durata necessaria a tale scopo; o
  • (e) è necessario per un aggiornamento software a condizione che:
    • (i) tale aggiornamento sia necessario per motivi di sicurezza e non modifichi in alcun modo le impostazioni sulla privacy scelte dall’utente finale,
    • (ii) l’utente finale sia informato in anticipo ogni volta che viene installato un aggiornamento, e
    • (iii) all’utente finale sia data la possibilità di posticipare o disattivare l’installazione automatica di questi aggiornamenti; o
  • (f) è necessario per localizzare le apparecchiature terminali quando un utente finale effettua una comunicazione di emergenza al numero europeo di emergenza unico ‘112’ o a un numero di emergenza nazionale, secondo l’articolo 13(3).
  • (g) qualora il trattamento per uno scopo diverso da quello per cui le informazioni sono state raccolte ai sensi del presente paragrafo non si basi sul consenso dell’utente finale o su una legge dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per salvaguardare gli obiettivi di cui all’articolo 11, la persona che utilizza le capacità di trattamento e archiviazione o raccoglie informazioni trattate da o emesse da o archiviate nelle apparecchiature terminali degli utenti finali deve, al fine di accertare se il trattamento per un altro scopo è compatibile con lo scopo per cui i dati delle comunicazioni elettroniche sono inizialmente raccolti, tenere conto, tra l’altro:
    • (i) qualsiasi collegamento tra gli scopi per cui sono state utilizzate le capacità di trattamento e archiviazione o le informazioni sono state raccolte e gli scopi dell’ulteriore trattamento previsto;
    • (ii) il contesto in cui sono state utilizzate le capacità di trattamento e archiviazione o le informazioni sono state raccolte, in particolare per quanto riguarda il rapporto tra gli utenti finali interessati e il fornitore;
    • (iii) la natura delle capacità di trattamento e archiviazione o della raccolta di informazioni così come le modalità dell’ulteriore trattamento previsto, in particolare quando tale ulteriore trattamento previsto potrebbe rivelare categorie di dati, ai sensi degli articoli 9 o 10 del regolamento (UE) 2016/679;
    • (iv) le possibili conseguenze dell’ulteriore trattamento previsto per gli utenti finali;
    • (v) l’esistenza di garanzie appropriate, come la crittografia e la pseudonimizzazione.
  • (h) Tale ulteriore trattamento secondo il paragrafo 1 (g), se considerato compatibile, può avvenire solo a condizione che:
    • (i) le informazioni siano cancellate o rese anonime non appena non sono più necessarie per soddisfare lo scopo,
    • (ii) il trattamento sia limitato a informazioni pseudonimizzate, e
    • (iii) le informazioni non siano utilizzate per determinare la natura o le caratteristiche di un utente finale o per costruire un profilo di un utente finale.
  • (i) Ai fini dei paragrafi 1 (g) e (h), i dati non devono essere condivisi con terze parti a meno che non siano soddisfatte le condizioni stabilite nell’articolo 28 del regolamento (UE) 2016/697, o i dati siano resi anonimi.

Ulteriori chiarimenti sono contenuti sul trattamento dei dati registrati sull’apparecchiatura terminale dell’utente finale.

Tuttavia, è necessaria un’informativa chiara e visibile che informi almeno sulle modalità di raccolta, il suo scopo, la persona responsabile e altre informazioni richieste dall’articolo 13 del GDPR quando vengono raccolti dati personali.

In ogni caso, la norma prevede che la raccolta di tali informazioni sia soggetta a misure tecniche e organizzative appropriate secondo l’articolo 32 del GDPR.

4.12 Capitolo III sui diritti degli utenti finali di controllare le comunicazioni elettroniche.

Il Capitolo III è interamente soggetto a negoziati per identificare un testo condiviso dai tre soggetti del trilogo.

Pertanto, dovrà attendere una versione finale, poiché ci sono disaccordi per gli articoli da 12 a 16 (il 17 è stato considerato da cancellare).

4.13 Il ruolo delle autorità di controllo indipendenti

Il regolamento ePrivacy nel Capitolo IV richiama le norme del GDPR sulle autorità di controllo della protezione dei dati, lasciando il compito di supervisione alle singole autorità nazionali.

All’EDPB sarà affidato il compito di aiutare a far rispettare il regolamento ePrivacy e i Capitoli I, II e III.

4.14 Capitolo V - Ricorsi, responsabilità e sanzioni

Il Capitolo V, come il Capitolo III, è anche oggetto di negoziati. Sarà necessario attendere la versione finale concordata dai partecipanti al trilogo, dato l’attuale disaccordo sul testo degli articoli 21-24.

5. Una panoramica dell’intero testo della proposta di regolamento

Leggendo il testo completo della versione attuale della proposta di regolamento su “ePrivacy” e confrontandolo con la versione del 10/2/2021, possiamo vedere quali modifiche e aggiunte sono state apportate.

In sintesi, le novità riguardano interventi sulle seguenti parti:

  1. interventi su alcuni dei 43 Considerando;
  2. l’articolo sul consenso era originariamente il numero 9 ed è ora il numero 4a;
  3. l’articolo 6 è stato cancellato e ora ci sono tre articoli 6, ovvero 6a, 6b e 6c;
  4. l’articolo 10 è stato cancellato e il contenuto è stato rivisto, ampliato e inserito in altri articoli;
  5. l’articolo 17 è stato cancellato;
  6. gli articoli 12, 13, 14, 15, 16, 21, 23 e 26 sono oggetto di negoziati.

6. Punti chiave della proposta di regolamento ePrivacy

Per riassumere, i punti chiave della proposta di regolamento ePrivacy sono i seguenti:

  1. È una lex specialis per il GDPR;
  2. Completa l’ecosistema del regolamento sulla protezione dei dati (tra i testi menzioniamo la Carta dei diritti fondamentali dell’Unione europea, il TFUE, la Convenzione europea dei diritti dell’uomo (CEDU), la Convenzione 108+, il Soft Law);
  3. La sua base giuridica è composta da:
  1. È stato considerato parte della Strategia per il mercato unico digitale (Strategia DSM);
  2. Si applica sia alle persone fisiche che alle persone giuridiche;
  3. Migliora la sicurezza e la riservatezza delle comunicazioni (inclusi contenuto e metadati, ad es. mittente, ora, luogo di una comunicazione);
  4. Fornisce definizioni di:
    a. dati delle comunicazioni elettroniche;
    b. contenuto delle comunicazioni elettroniche;
    c. metadati delle comunicazioni elettroniche
    d. messaggio elettronico;
  5. Regola i cookie che sono ripetutamente menzionati nei Considerando;
  6. regola gli aspetti di sicurezza delle comunicazioni elettroniche.

In conclusione, non resta che seguire i negoziati e attendere il loro esito, sperando di avere una versione finale della proposta di regolamento su “ePrivacy” a breve.

In ogni caso, è necessario attendere una versione finale, dato che il testo in esame sarà senza dubbio soggetto a modifiche durante i negoziati.

Considerando quanto già fatto finora e le ulteriori attività che saranno oggetto dei negoziati, possiamo presumere che la versione finale possa ragionevolmente essere pubblicata nel 2023 ed entrare in vigore nel 2025 (a distanza di due anni, come è avvenuto per il GDPR per consentire la conoscenza e permettere l’adeguamento necessario).

Una versione italiana sarà presto disponibile.

Stay tuned!

  1. si vede un elenco ordinato senza lettere sequenziali perché è ancora una bozza. ↩︎

  2. Manca “to” nel testo ufficiale ↩︎

  3. l’elenco di lettere ordinate è (da) perché è ancora una bozza. ↩︎