Come già ricordato nella nostra precedente news, il 10 gennaio scorso la Commissione Europea ha presentato una proposta di Regolamento (il “Regolamento”) che dovrebbe modificare la Direttiva 2002/58/EC (“Direttiva e-Privacy”) uniformando l’attuale quadro normativo in materia di trattamento dei dati personali nelle comunicazioni elettroniche e la cui approvazione definitiva si auspica che possa coincidere con la piena applicazione del Regolamento Generale sulla protezione dei dati personali (“GDPR”) prevista per il 25 maggio 2018.

Il Gruppo di lavoro Articolo 29 (“WP29”), con parere n. 1/2017 WP247 del 4 aprile 2017, ed il Garante Europeo per la protezione dei dati (“GEPD”), con parere n. 6/2017 del 24 aprile 2017, hanno rilasciato le loro rispettive opinioni sulla proposta di Regolamento.

Sia il WP29 che il GEPD hanno accolto in modo favorevole la proposta di Regolamento, seppur evidenziando alcune preoccupazioni.

  1. I pareri del WP29 e del GEPD

Aspetti positivi sottolineati

I principali aspetti positivi evidenziati dal WP29 in merito alla proposta di Regolamento sono i seguenti:

  1. l’estensione dell’ambito di applicazione: della normativa anche ai servizi di telefonia vocale e di messaggistica basati su internet (cd. Servizi “Over-the-top” anche “OTT”), ossia ai trattamenti legati allo scambio di e-mail e messaggi online, e dunque anche ai nuovi servizi di comunicazione elettronica (ad esempio, WhatsApp, Facebook Messenger, Skype, Viber).
  2. la scelta dello strumento di regolamentazione: come per il GDPR, la scelta di un regolamento piuttosto che di una direttiva. Ciò infatti garantisce che le norme siano uniformi in tutta l’UE e fornisce chiarezza alle autorità e alle organizzazioni di vigilanza;
  3. allineamento con il GDPR: il regime delle sanzioni previste nella proposta di Regolamento ePrivacy è, in gran parte, simile a quello previsto dal GDPR; si rileva poi anche la scelta di rendere l’autorità responsabile del monitoraggio per il rispetto del GDPR responsabile anche per l’applicazione della normativa ePrivacy; inoltre, il regime di notifica di violazione dei dati previsto da Regolamento non è diverso rispetto a quello già previsto nel GDPR (artt. 33 e 34), con le conseguenze positive di evitare sovrapposizioni con i requisiti del GDPR in materia;
  4. contenuti delle comunicazioni e relativi metadati: il WP29 ha inoltre ritenuto positivo che la protezione sia estesa non solo ai contenuti delle comunicazioni ma anche ai relativi metadati, cioè “gli elementi accessori e di contorno di una informazione […]” i quali “ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati” (cfr. comunicato stampa del Garante Privacy del 26 aprile 2016, doc. web 6294728);
  5. aspetti relativi alla manifestazione del consenso: l’accesso a Internet a banda larga e alla comunicazione vocale sono servizi “essenziali per le persone affinché possano comunicare e partecipare ai vantaggi dell’economia digitale “(Regolamento, cons. 18) e pertanto “il consenso al trattamento dei dati provenienti dall’utilizzo di internet o delle comunicazioni vocali non sarà valido se il titolare dei dati non dispone di una vera scelta libera o se non può rifiutare o revocare il consenso senza conseguenze negative” (Regolamento, cons. 18). Pertanto, il WP29 sottolinea come, data la dipendenza delle persone da tali servizi, non possa ritenersi valido il consenso (riteniamo si debba intendere: ove prestato in uno con l’azione positiva di adesione al servizio, c.d. take it or leave it) per il trattamento delle loro comunicazioni per scopi aggiuntivi (ad esempio, per la pubblicità e la commercializzazione).

Analogamente, il GEPD evidenzia gli aspetti positivi – analoghi a quelli rilevati dal WP29 – consistenti in particolare:

  1. nella scelta dello strumento del regolamento, che può garantire un livello di protezione in tutta l’UE;
  2. nell’estendere gli obblighi di riservatezza ad una più ampia gamma di servizi, inclusi i cd. OTT;
  3. nella possibilità di consentire il trattamento solo in caso di condizioni chiaramente definite;
  4. nelle novità relative al consenso previste dai nuovi art. 9 e 10;
  5. nel prevedere implicitamente un pieno allineamento con il GDPR in riferimento ai data breach, mediante la scelta (già ricordata) di non inserire specifiche previsioni in merito;
  6. nella scelta di rendere la stessa autorità responsabile della sorveglianza delle regole relative al GDPR e al Regolamento ePrivacy;
  7. nella regola opt-in per tutte le comunicazioni commerciali.

Criticità rilevate

Tuttavia, sia il WP29 sia il GEPD hanno anche espresso preoccupazioni in merito ad alcuni contenuti del Regolamento.

In particolare, il WP29 ha evidenziato quattro principali punti critici:

  1. il tracciamento dei terminali degli utenti attraverso reti WiFi o Bluetooth

L’art. 8, secondo comma, del Regolamento prevede che “La raccolta delle informazioni emesse dall’apparecchiatura terminale per consentirne la connessione a un altro dispositivo o a un’apparecchiatura di rete è proibita, eccetto se: (b) è visualizzato un avviso chiaro e ben visibile, inteso a informare almeno delle modalità, delle finalità, del responsabile e di ogni altra informazione richiesta a norma dell’articolo 13 del regolamento (UE) 679/2016, della raccolta di dati personali nonché di ogni misura a disposizione dell’utente finale dell’apparecchiatura terminale per arrestare o minimizzare tale raccolta”.

La mancanza di qualsiasi specificazione relativa alla necessità del consenso del soggetto interessato induce a pensare che per detto tracciamento sia sufficiente la visualizzazione di un mero avviso (banner) volto ad informare gli utenti della possibilità di “arrestare o minimizzare tale raccolta”.

Secondo il WP29, gli obblighi previsti dal Regolamento ePrivacy per il monitoraggio della localizzazione delle apparecchiature terminali dovrebbero essere conformi ai requisiti del GDPR e pertanto, a seconda delle circostanze e delle finalità della raccolta dei dati, tale tracciamento dovrebbe avvenire solo con il consenso oppure solo se le informazioni raccolte sono anonime;

2. le condizioni in cui è consentita l’analisi dei contenuti e dei metadati

Secondo il WP29 i contenuti e i metadati delle comunicazioni dovrebbero essere trattati soltanto con il consenso di tutti gli utenti finali (mittenti e destinatari), non essendo dunque sufficiente il consenso di uno solo dei soggetti interessati. Tuttavia, può essere consentito il trattamento senza il consenso se strettamente necessario a specifici scopi come, ad esempio, il filtraggio di spam;

3. le impostazioni predefinite dei terminali e del software

Il raccomanda che le impostazioni predefinite dei terminali e dei software debbano “offrire impostazioni di protezione della privacy e offrire opzioni chiare agli utenti per confermare e modificare queste impostazioni predefinite durante l’installazione”;

4. il divieto di “tracking walls”

Il Regolamento dovrebbe espressamente proibire il “tracking wall”, che consiste in scelte del tipo “prendere o lasciare” “in cui l’accesso ad un sito web o al servizio viene negato a meno che i singoli non accettino di essere tracciati”.

Quanto al GEPD, ha sollevato perplessità in ordine ai seguenti temi principali:

  1. le regole descritte nella proposta di Regolamento sono molto complesse: “Le comunicazioni vengono suddivise in metadati, dati di contenuto, dati emessi dalle apparecchiature terminali” ed “ognuno di essi ha diritto a un diverso livello di riservatezza ed è soggetto a diverse eccezioni”. Secondo il GEPD questa complessità può comportare un rischio nella protezione;
  2. la maggior parte delle definizioni su cui si basa la proposta sono quelle indicate dal Codice Europeo delle Comunicazioni Elettroniche (EECC), che però è uno strumento giuridico diverso per oggetto (protezione della concorrenza e del mercato) e obiettivi (costruzione di un mercato unico della comunicazione effettivo) rispetto al Regolamento (che ha ad oggetto la protezione dei dati personali e della riservatezza delle comunicazioni nel contesto dei servizi di comunicazione elettronica e per obiettivo l’incentivazione della sicurezza dei servizi digitali e della conseguente fiducia degli utenti).

Ciò comporta la necessità che i concetti essenziali del Regolamento siano delineati in modo chiaro nell’ottica dell’oggetto e degli obiettivi propri di questa normativa.

Di conseguenza, il GEPD raccomanda di spezzare il legame tra questi corpi normativi, inserendo direttamente nel Regolamento le definizioni fondamentali, da individuarsi senz’altro in modo coerente con l’EECC, ma non necessariamente identico;

3. il GEPD sottolinea positivamente l’evidenza data al rapporto di complementarietà e specificazione che caratterizza il Regolamento e il GDPR, da cui deriva la garanzia di un uguale standard di protezione approntato dalle norme del Regolamento e da quelle del GDPR, ma evidenzia in aggiunta l’opportunità di rafforzare le disposizioni sul consenso dell’utente;

4. il consenso deve essere realmente libero: “Per esempio, il consenso dovrebbe essere genuino, offrendo una scelta libera agli utenti, come richiesto dal GDPR” e, anche per questo motivo, non dovrebbero esserci “tracking walls” (noto anche come “cookie walls”), ossia l’accesso ai siti web non dovrebbe essere subordinato al fatto che l’utente debba essere costretto ad acconsentire di essere monitorato.

Il consenso dovrebbe poi essere richiesto a tutte le parti coinvolte dalla comunicazione (ad esempio, mittenti e riceventi delle e-mail), salve specifiche eccezioni legate a particolari circostanze.

Inoltre, i contenuti del Regolamento (tra cui le definizioni) dovrebbero fare sì che il consenso sia fornito da chi effettivamente utilizza il servizio di comunicazione elettronica, e non da chi si limita a sottoscrivere l’adesione ad esso.

Infine, la legge dovrebbe prevedere che i browser siano impostati di default nel senso di escludere il monitoraggio;

5. le eccezioni relative al tracciamento dei terminali sono troppo ampie e mancano di adeguate garanzie;

6. la proposta amplia di fatto al di là dell’oggetto e degli obiettivi del Regolamento (mediante il richiamo dell’art. 23, paragrafo 1, lettere da a) a e) del GDPR) la possibilità per gli Stati membri di introdurre restrizioni ai diritti: il GEPD segnala la necessità che nelle specifiche circostanze che possono verificarsi debba essere dimostrata la necessità e la proporzionalità di tali restrizioni;

7. le nuove regole devono fissare anche solidi requisiti in tema di privacy by design e by default.

(su questi aspetti, si veda anche l’interessante post di Paolo Calvi: Proposta di Regolamento ePrivacy e GDPR, pubblicato sul blog europrivacy.info).

II. Work in progress

  • il 9 giugno scorso Marju Lauristin, membro del parlamento europeo (MEP) e della Commissione per le libertà civili, giustizia e affari interni del Parlamento Europeo (LIBE) ha presentato una relazione contenente degli emendamenti al Regolamento.

Nella preparazione di questa relazione, la relatrice Marju Lauristin ha condotto una serie di approfondimenti con le seguenti Commissioni: draft opinion of the Committee on Legal Affairs, draft opinion of the Committee on the Internal Market and Consumer Protection, draft report of the Committee on Industry, Research and Energy.

  • lo scorso 21 giugno Marju Lauristin ha presentato la sua relazione ai suoi colleghi della Commissione LIBE, il 10 luglio 2017 si è tenuta la riunione della Commissione LIBE per discutere della relazione contenente gli emendamenti al Regolamento e, come confermato dalla stessa relatrice, il prossimo step si terrà a settembre/ottobre. Tale relazione dovrà infatti essere prima approvata dalla Commissione LIBE e soltanto dopo verrà presentata al Parlamento Europeo.

I principali aspetti rilevati dalla proposta di modifica possono riassumersi come segue:

  1. La relazione chiarisce la relazione tra il GDPR e il Regolamento ePrivacy specificando che quest’ultimo “mira a fornire delle garanzie aggiuntive e complementari tenendo conto della necessità di una protezione supplementare per quanto riguarda la riservatezza delle comunicazioni” e per questo “il trattamento dei dati relativi alle comunicazioni elettroniche da parte dei fornitori di servizi di comunicazioni elettronica dovrebbe essere consentito solo in conformità, e in base a un motivo giuridico specificamente previsto, con il presente regolamento” (cfr. emendamento 4).
  2. L’emendamento 18 propone la cancellazione del considerando 18 del Regolamento (in base al quale “il consenso al trattamento dei dati provenienti dall’utilizzo di internet o delle comunicazioni vocali non sarà valido se il titolare dei dati non dispone di una vera scelta libera o se non può rifiutare o revocare il consenso senza conseguenze negative”) e introduce il nuovo considerando 17, lettera a), che in parte ripete quanto già previsto nel considerando 18, ossia che “ai fini del presente regolamento, il consenso dell’utente finale, indipendentemente dal fatto che quest’ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato ed essere soggetto alle stesse condizioni del consenso del soggetto interessato ai sensi del Regolamento (UE) 2016/679” e, inoltre, chiarisce che “gli utenti finali dovrebbero avere il diritto di revocare il loro consenso da un servizio aggiuntivo senza violare il contratto per il servizio di base. Il consenso per l’elaborazione di dati da utilizzo di Internet o di comunicazioni vocali non deve essere valido se l’utente non ha alcuna scelta vera e propria o non è in grado di rifiutare o revocare il consenso senza alcun danno” (cfr. emendamento n. 17).
  3. La relazione ha rimosso il rinvio al Codice Europeo delle Comunicazioni elettroniche modificando l’art. 4, comma 1 punto b) ed eliminando l’art. 4, secondo comma del Regolamento, nonché introducendo le predette definizioni direttamente nel testo del Regolamento ePrivacy (cfr. nuovo paragrafo 3 dell’articolo 4, vedasi emendamenti da 47 a 54).

In questo modo, il Regolamento diventerebbe autonomo e separato da altre iniziative legislative adottate dall’UE, come quella, appunto, del Codice delle Comunicazioni Elettroniche, assecondando peraltro l’opinione del GEPD che, come osservato in precedenza,aveva sollevato perplessità proprio in merito al fatto che il Regolamento si limita a rinviare alle definizioni dell’art. 2 della direttiva del Codice Europeo delle Comunicazioni elettroniche (cfr. art. 4, comma 1, punto b), del Regolamento).

4. La relazione introduce la distinzione (assente nella versione originaria del Regolamento) tra utenti finali intesi come “una persona giuridica o una persona fisica che utilizza o richiede un servizio di comunicazione elettronica accessibile al pubblico” (cfr. emendamento 53, nostra sottolineatura) e utenti intesi come “qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza necessariamente aver sottoscritto questo servizio” (cfr. emendamento 54, nostra sottolineatura).

In ragione di tale distinzione è stata sostituita, in diversi punti, la definizione “utente finale” con quella di “utente” (ex multis, emendamenti 58, 59, 69, 70) limitando, in questo modo, alle sole persone fisiche la tutela della riservatezza delle comunicazioni e ciò nonostante la bozza di relazione abbia lasciato immutato il considerando 3 del Regolamento, che equipara la protezione delle comunicazioni delle persone fisiche a quella delle persone giuridiche.

5. È stata rafforzata la definizione di ‘metadati’, estendendola a “tutti gli altri dati relativi alle comunicazioni trattati per la fornitura del servizio, che non sono considerati contenuti” compresi “i dati trasmessi o emessi dall'apparecchiatura terminale per identificare le comunicazioni degli utenti e/o l’apparecchiatura terminale o la sua posizione e consentirle di connettersi a una rete o ad un altro dispositivo” (cfr. emendamento 55). Come precisato nella bozza di relazione “questo emendamento serve a chiarire l’esatto concetto di metadato, come sottolineato dal Gruppo di lavoro Articolo 29, dagli studiosi e dalle autorità giudiziarie” (cfr. “giustificazione” alla fine dell’emendamento 55).

6. In aggiunta agli specifici casi di trattamento “consentito” (adesso definito “lecito” in base all’emendamento 60) delle comunicazioni elettroniche previsti dall’art. 6 del Regolamento, la relazione prevede che “per la fornitura di un servizio di comunicazione elettronica esplicitamente richiesto dall’utente per un uso puramente personale, anche connesso a fini lavorativi, i fornitori di servizi di comunicazione elettronica possono trattare il contenuto delle comunicazioni elettroniche esclusivamente per la fornitura del servizio richiesto e senza il consenso di tutti gli utentima ciò è possibile “soltanto quando tale trattamento produce effetti solo in relazione all’utente che ha chiesto il servizio e non pregiudica i diritti fondamentali degli altri utenti” (cfr. emendamento 71, nostra evidenziazione in grassetto).

Tuttavia, con tale emendamento, il trattamento delle comunicazioni elettroniche ‘senza consenso’ potrebbe avere una portata molto ampia tenuto conto che “l’uso personale o per motivi di lavoro” rientrano sicuramente tra le principali finalità di utilizzo dei servizi di comunicazione elettronica. Per “consenso di tutti gli utenti” presumiamo che si debba fare riferimento sia ai mittenti che ai destinatari delle comunicazioni, non essendo dunque sufficiente il consenso di uno solo dei soggetti interessati.

7. L’emendamento 78 prevede che il tracciamento degli utenti (per esempio, tramite cookie) può aversi previo loro consenso (precisamente, se “l’utente ha dato il suo specifico consenso”), il quale tuttavia “non è obbligatorio per accedere al servizio”.

La relazione si conforma dunque a quanto suggerito sia dal WP29 che dal GEPD nei loro rispettivi pareri, rendendo il consenso dell’utente effettivamente libero.

Tale regola è inoltre rafforzata in un nuovo e separato paragrafo dell’articolo 8 introdotto dall’emendamento 83, in forza del quale “A nessun utente deve essere negato l'accesso a qualsiasi servizio o funzionalità della società d’informazione, a prescindere dal fatto che il servizio sia a pagamento o meno, alla luce del fatto che non abbia dato il suo consenso a norma dell’articolo 8, paragrafo 1, lettera b) per il trattamento delle informazioni personali e/o per l’uso delle capacità di conservazione delle sue apparecchiature terminali che non siano necessarie per la prestazione di tale servizio o funzionalità”.

8. Oltre a quelle già previste all’art. 8 del Regolamento, la relazione introduce altre eccezioni per il tracciamento dei terminali degli utenti (cfr. emendamenti da 75 a 83). In particolare, l’emendamento 82 propone un’eccezione per il tracciamento dei lavoratori “se è necessario nel contesto del rapporto di lavoro” ma solo a condizione che il dipendente utilizzi i terminali messi a disposizioni dal datore di lavoro e purché tale tracciamento sia “strettamente necessario per il funzionamento dell’apparecchiatura terminale del dipendente” (cfr. emendamento 82).

9. La relazione introduce importanti modifiche in merito al tracciamento dei terminali degli utenti (i.e. WI-FI tracking or Bluetooth tracking) prevedendo la possibilità della raccolta delle informazioni emesse dall’apparecchiatura terminale solo (i) al fine di, e per il tempo necessario a, stabilire una connessione richiesta dall’utente, oppure (ii) con il consenso informato dell’utente, oppure (iii) se i dati sono anonimizzati e i rischi vengono adeguatamente mitigati (cfr. emendamenti da 84 a 90).

Per la mitigazione del rischio, vengono indicate le seguenti misure: (a) la raccolta delle informazioni deve essere finalizzata alla sola contabilità statistica, (b) il monitoraggio deve essere effettuato solo nella misura strettamente necessaria a tale scopo, (c) i dati devono essere eliminati o anonimizzati immediatamente dopo il raggiungimento di detto scopo e (d) gli utenti devono essere dotati di effettive possibilità di opt-out (cfr. emendamento 89).

Infine, gli utenti devono essere informati in merito al tracciamento dei loro terminali tramite un’informativa chiara che indichi i dettagli sulle modalità di raccolta delle informazioni, lo scopo della raccolta, la persona responsabile nonché le altre informazioni richieste ai sensi dell’articolo 13 del GDPR (cfr. emendamento 90). In ogni caso, “la raccolta di tali informazioni è subordinata all’applicazione di adeguate misure tecniche ed organizzative per garantire un livello di sicurezza adeguato ai rischi di cui all’articolo 32 del GDPR” (cfr. emendamento 90).

La relazione dunque, conformemente a quanto suggerito dal WP29, propone una modifica molto significativa rispetto all’originaria proposta della Commissione Europea (che essenzialmente chiedeva per il tracciamento dell’utente la mera visualizzazione di un avviso/banner volto ad informare gli utenti della possibilità di “arrestare o minimizzare tale raccolta”, unitamente all’adozione di misure tecniche ed organizzative di mitigazione del rischio: cfr. art. 8, secondo comma, del Regolamento).

10. L’art. 10 si riferisce alle opzioni per le impostazioni predefinite dei terminali e dei software ed è stato modificato con una chiara preferenza per il meccanismo “Do-Not-Track” (DNT) prevedendo che tutti i software debbano essere impostati di default per offrire impostazioni di protezione della privacy atte ad impedire ad altre parti di memorizzare informazioni sull’apparecchiatura terminale di un utente e di elaborare informazioni già memorizzate su tali apparecchiature” (cfr. emendamento 95).

A tale riguardo, la relatrice spiega alla fine della relazione che “le impostazioni dovrebbero consentire la frammentazione del consenso dell’utente, tenendo conto della funzionalità dei cookie e delle tecniche di monitoraggio, e le DNT dovrebbero inviare segnali alle altre parti informandoli delle impostazioni privacy selezionate dall’utente. La conformità a queste impostazioni dovrebbe essere giuridicamente vincolante e applicabile a tutte le altre parti” (cfr. pag. 88 della relazione).

11. Le sanzioni previste dall’art. 23 del Regolamento ePrivacy vengono estese anche ai casi di violazione degli obblighi previsti dall’art. 8 del Regolamento ePrivacy (cookie, WI-FI tracking) con sanzioni fino a 20 milioni di Euro o il 4% del fatturato annuo globale (cfr. emendamento 131).

Per maggiori informazioni:

parere n. 1/2017 dell’Art. 29 Working Party;

parere n. 6/2017 del Garante Europeo per la protezione dei dati

proposta di Regolamento ePrivacy della Commissione Europea

draft opinion della Commissione per le libertà civili, giustizia e affari interni del Parlamento Europeo (LIBE), Relatrice: Marju Lauristin