La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.
Lo scorso 10 febbraio, i rappresentanti degli Stati membri dell’UE hanno raggiunto un accordo sul mandato negoziale del Consiglio dell’Unione europea per la bozza di Regolamento ePrivacy, che andrà a sostituire la vigente Direttiva europea ePrivacy.
L’avvio della presidenza europea portoghese ha segnato un’accelerazione verso l’approvazione del testo condiviso dagli Stati membri dell’UE, che costituirà la base dei successivi negoziati del Consiglio con il Parlamento europeo sulla versione finale del nuovo Regolamento. Al centro del dibattito l’enforcement della Direttiva ePrivacy in relazione alla tutela dei diritti fondamentali nell’ambito del framework dei principi dalla Carta dei diritti fondamentali dell’Unione europea, con particolare riferimento alle garanzie del rispetto della vita privata e della vita familiare, nonché della protezione dei dati di carattere personale nel nuovo, mutato scenario tecnologico delle comunicazioni elettroniche.
Regolamento ePrivacy: una maggior tutela della vita privata e familiare
Il Consiglio ha a tal riguardo evidenziato che il Regolamento ePrivacy contiene una serie di norme che vanno nella direzione di una maggior tutela della vita privata e familiare di ogni individuo, del proprio domicilio e delle sue comunicazioni. Del resto, è notorio che il contenuto delle comunicazioni elettroniche può rivelare informazioni altamente sensibili sulle persone coinvolte: da esperienze ed emozioni personali a condizioni mediche, orientamenti sessuali e opinioni politiche, la cui divulgazione potrebbe comportare danni personali e sociali, perdite economiche o imbarazzo.
Allo stesso modo, i cosiddetti metadati derivanti dalle comunicazioni elettroniche possono ulteriormente rivelare informazioni molto sensibili e personali. Questi, includendo i numeri chiamati, i siti web visitati, la posizione geografica (geo-location), l’ora, la data e la durata in cui una persona ha effettuato una chiamata, ecc., consentono di disporre di informazioni precise e potenzialmente pervasive sulla vita privata delle persone coinvolte nella comunicazione, come le loro relazioni sociali, le loro abitudini e le attività della vita quotidiana, i loro interessi, i gusti, ecc.
Per queste ragioni, l’articolo 7 della Carta dei diritti fondamentali dell’Unione europea tutela il diritto di tutti al rispetto della vita privata e familiare, della casa e delle comunicazioni. Il rispetto per la riservatezza delle proprie comunicazioni è una dimensione essenziale di questo diritto, applicabile sia alle persone fisiche, che a quelle giuridiche. La riservatezza garantisce che le informazioni scambiate tra le parti e gli elementi esterni della comunicazione (anche quando le informazioni sono state inviate, da dove, a chi) non devono essere rivelate a nessun altro, se non alle parti coinvolte.
Il principio di riservatezza dovrebbe applicarsi ai mezzi di comunicazione attuali e futuri, comprese le chiamate, l’accesso a Internet, le applicazioni di messaggistica istantanea, la posta elettronica, le telefonate via Internet e i messaggi personali forniti attraverso i social media.
ePrivacy: le nuove disposizioni del Regolamento
Le disposizioni del nuovo Regolamento oggetto di mandato negoziale precisano e integrano le norme generali sulla protezione dei dati personali stabilite nel Regolamento (UE) 2016/679 traducendone i principi in regole specifiche relative a materie che non rientrano nell’ambito di applicazione del GDPR, come ad esempio, la tutela dei diritti degli utenti finali persone giuridiche.
In riferimento alla copertura del contenuto delle comunicazioni elettroniche e dei metadati alle medesime riferibili, il testo di Regolamento mantiene il principio generale di riservatezza, il che significa che qualsiasi interferenza (ascolto, monitoraggio o altro trattamento dei dati relativi alle comunicazioni) da parte di soggetti diversi da quelli direttamente coinvolti è vietato, salvo quando consentito dal Regolamento medesimo.
Il trattamento senza il consenso dell’utente è consentito laddove necessario per garantire l’integrità dei servizi di comunicazione, ad esempio, identificando malware o virus, o nei casi in cui le leggi dell’UE o degli Stati membri dell’UE richiedano il trattamento per il perseguimento di reati o prevenzione di minacce alla sicurezza pubblica. Per quanto attiene ai metadati delle comunicazioni, il Regolamento ne consente, ad esempio, l’elaborazione a fini di fatturazione, per rilevare o bloccare l’uso fraudolento o per proteggere gli interessi vitali degli utenti, come il monitoraggio della diffusione di epidemie.
Servizi “machine-to-machine” e IoT
Il Regolamento affronta anche il tema dell’emergente uso di servizi “machine-to-machine” e Internet of Things che comportano un trasferimento automatizzato di dati e informazioni tra dispositivi o applicazioni basate su software con interazione umana limitata o inesistente.
In tale scenario, al fine di garantire la piena protezione dei diritti alla privacy e alla riservatezza delle comunicazioni e promuovere un IoT affidabile e sicuro nel mercato unico digitale, il Regolamento prevede per la trasmissione di tali servizi, l’applicazione di particolari requisiti relativi alla riservatezza delle comunicazioni.
La trasmissione di servizi da machine-to-machine o Internet of Things comporta infatti regolarmente il trasporto di segnali tramite una rete e, quindi, costituisce un servizio di comunicazione elettronica. Per tale ragione il Regolamento troverà applicazione anche al fornitore del servizio di trasmissione, se effettuata tramite una rete accessibile al pubblico. Viceversa, se la trasmissione di servizi da macchina a macchina o IoT è effettuata tramite una rete privata o chiusa, il Regolamento non troverà applicazione.
Vale anche la pena di aggiungere che i fornitori di servizi machine-to-machine o Internet of Things operano in genere a livello di applicazione (oltre ai servizi di comunicazione elettronica). Questi fornitori e i clienti che utilizzano i servizi IoT sono a questo riguardo utenti finali e non fornitori del servizio di comunicazione elettronica e pertanto beneficiano della protezione della riservatezza dei loro dati che, semmai, potrebbero meritare ulteriori garanzie specifiche nell’ambito della legislazione settoriale, come ad esempio quella della Direttiva 2014/53 / UE.
Un’altra importante disposizione del nuovo Regolamento riguarda poi la tutela della riservatezza degli utenti che si trovano nella UE, indipendentemente dal fatto che il trattamento dei loro dati avvenga al di fuori del confine europeo o il fornitore di servizi si trovi in una giurisdizione extra UE.
Cookies e raccolta dati
Ed ancora, per quanto riguarda l’uso dei cookies e di altre tecnologie che comportano la memorizzazione di informazioni o la raccolta di informazioni dal dispositivo di un utente, il testo del Consiglio prevede che l’uso di queste tecnologie può avvenire solo se l’utente ha acconsentito o per scopi specifici stabiliti nel Regolamento ePrivacy. A tal proposito, il testo in mandato negoziale sottolinea che gli utenti devono essere posti nelle condizioni di compiere una scelta genuina riguardo all’uso di cookies o tecnologie simili.
Rendere l’accesso a un sito web subordinato al consenso dei cookies in alternativa a un paywall ( es., l’utilizzo dei cosiddetti “cookie wall”) sarà consentito solo se l’utente potrà scegliere tra un’offerta equivalente dello stesso provider che non preveda il consenso all’uso dei cookies. Il testo del Consiglio prevede inoltre che gli utenti possano prestare il consenso all’uso di determinati tipi di cookies inserendo uno o più provider nella whitelist nelle impostazioni del browser.
La bozza di Regolamento ePrivacy stabilisce, infine, requisiti in materia di identificazione delle linee, elenchi pubblici e marketing elettronico diretto e non richiesto.
Il Consiglio inizierà adesso le discussioni con il Parlamento europeo per negoziare il testo finale che, una volta adottato congiuntamente dal Consiglio e dal Parlamento europeo, prevederà un periodo di transizione di due anni dalla sua entrata in vigore, decorsi venti giorni dalla pubblicazione del testo finale del Regolamento ePrivacy nella Gazzetta ufficiale dell’UE.
Articolo di Davide Maniscalco, avvocato – esperto in diritto societario e commerciale, componente del D&L NET
DIG.eat
Tutti i contenuti che vuoi, in continuo aggiornamento, a tua disposizione gratuitamente. Senza limiti.
Data Retention e sicurezza nazionale
Rivedi il webinar dell’Avv. Davide Maniscalco incentrato sulla posizione del Garante nel rapporto tra libertà, sicurezza e proporzionalità.
Per accedere al contenuto è necessario registrarsi alla piattaforma, con una semplice iscrizione in due passaggi (e pochi dati richiesti).
Si avrà così accesso al palinsesto completo gratuitamente e on demand.
