E’ noto che, nel gennaio del 2017, la Commissione Europea ha presentato una proposta di Regolamento (Regolamento ePrivacy) finalizzata ad aggiornare, modificandola, la Direttiva 2002/58 (Direttiva ePrivacy) per uniformare a livello europeo la disciplina del trattamento dei dati personali nelle comunicazioni elettroniche, quale fisiologico completamento della disciplina introdotta dal GDPR.
Il Regolamento ePrivacy dovrebbe essere approvato in tempo utile perché entri in vigore contemporaneamente al GDPR, cioè per il 25 maggio 2018.
La bozza del Regolamento ePrivacy ha già raccolto i pareri (sostanzialmente favorevoli) del Gruppo di lavoro Articolo 29 (parere WP29 n. 1/2017 del 4 aprile 2017) e del Garante Europeo per la protezione dei dati (parere GEPD n. 6/2017 del 24 aprile 2017) ma l’iter di approvazione sta subendo ritardi significativi perché i principali attori della rete (i cosiddetti “Over The Top” o “OTT”), stanno esercitando forti pressioni per “ammorbidire” il testo, a tutela delle proprie strategie commerciali.
Allo stato attuale possiamo, comunque, individuare gli elementi più significativi del Regolamento ePrivacy nei seguenti:
- estensione dell’ambito di applicazione del Regolamento anche ai servizi di telefonia vocale e di messaggistica basati su internet e, dunque, anche ai nuovi servizi di comunicazione elettronica quali, ad esempio, WhatsApp, Facebook Messenger, Skype, Viber;
- uniformità con le disposizioni del GDPR allo scopo di evitare sovrapposizioni con lo stesso GDPR;
- estensione della protezione dei contenuti delle comunicazioni anche ai relativi metadati;
- specifica disciplina del consenso, basata sul principio secondo cui “il consenso al trattamento dei dati provenienti dall’utilizzo di internet o delle comunicazioni vocali non sarà valido se il titolare dei dati non dispone di una vera scelta libera o se non può rifiutare o revocare il consenso senza conseguenze negative”;
- previsione della regola opt-in per tutte le comunicazioni commerciali.
Il 9 giugno 2017 Marju Lauristin – membro del Parlamento Europeo e della Commissione per le libertà civili, giustizia e affari interni del Parlamento Europeo – ha presentato una relazione contenente alcune importanti proposte di modifica del Regolamento, tra le quali segnalo:
- la previsione del principio secondo cui gli utenti finali devono avere il diritto di revocare il loro consenso da un servizio aggiuntivo senza dover rinunciare al contratto per il servizio di base;
- il rafforzamento e l’estensione della definizione di ‘metadati’;
- l’introduzione del principio secondo cui, per la fornitura di un servizio di comunicazione elettronica esplicitamente richiesto dall’utente per un uso puramente personale, anche connesso a fini lavorativi, i fornitori di servizi di comunicazione elettronica possono trattare il contenuto delle comunicazioni elettroniche esclusivamente per la fornitura del servizio richiesto;
- il tracciamento degli utenti (per esempio, tramite gli ormai famigerati cookies) può aversi solo previo loro specifico consenso che non deve, comunque, essere obbligatorio per accedere al servizio;
- la dettagliata disciplina delle condizioni alle quali sarà permesso tracciare i terminali degli utenti (WI-FI tracking o Bluetooth tracking) e del lasso di tempo di conservazione di tali dati che, in linea generale, non deve superare quello strettamente necessario a fornire il servizio richiesto;
- l’obbligo che tutti i software siano impostati di default “per offrire impostazioni di protezione della privacy atte ad impedire ad altre parti di memorizzare informazioni sull’apparecchiatura terminale di un utente e di elaborare informazioni già memorizzate su tali apparecchiature”.
La discussione in sede europea sul testo del Regolamento è, tuttavia, tutt’altro che arrivata a conclusione, dato che, da più parti, si sono sollevate voci di dissenso (si vedano, per esempio, le prese di posizione negative di IAB nei mesi di settembre e ottobre ).
E’ solo di qualche giorno fa la notizia che “la proposta di regolamento UE sulla vita privata e le comunicazioni elettroniche avanza a fatica sotto il fuoco ad alzo zero delle lobby. Si allungano i tempi e si rischia che il testo perda le innovazioni più significative ed efficaci. (…) . Il problema sono le resistenze nei confronti di molti aspetti della proposta, che pone limiti stringenti alle intrusioni nella vita privata, alla raccolta più o meno occulta dei dati, alla conservazione per tempi esagerati e soprattutto alla profilazione sistematica degli utenti. Tutto questo non piace agli Over The Top, i padroni dei Big Data, che vorrebbero continuare a fare man bassa delle informazioni personali, come fanno oggi, anche con trattamenti che appaiono in violazione delle norme attuali, molto meno restrittive”.
Non resta, pertanto, che attendere l’esito finale di questo “scontro” per capire come il Regolamento ePrivacy riuscirà, nel suo testo finale, a contemperare, da un lato, l’esigenza di tutela dell’individuo/utente della rete e, dall’altro lato, l’altrettanto importante necessità di garantire un armonico e lecito sviluppo dell’economia digitale europea.