Il cammino verso l’armonizzazione delle regole comunitarie in materia di protezione dei dati personali non si ferma. Lo scorso 4 aprile il Gruppo Articolo 29, che riunisce le autorità europee per la protezione dei dati personali, ha adottato un parere relativo alla proposta di Regolamento e-Privacy della Commissione pubblicata il 10 gennaio 2017. Il Regolamento e-Privacy, che le istituzioni europee auspicano di approvare entro maggio 2018, si pone come il necessario completamento della riforma in materia di protezione dei dati personali iniziata con l’approvazione del Regolamento UE 679/2016, che entrerà in vigore a maggio del 2018. I due corpi normativi andranno a sostituire le attuali direttive che regolano la protezione dei dati personali e le comunicazioni elettroniche in Europa. Ricordiamo che un Regolamento Europeo è immediatamente applicabile in tutti gli Stati Membri, senza la necessità di interventi attuativi da parte dei legislatori nazionali. Per questo motivo entrambi gli strumenti concorrerebbero in maniera decisiva ad aumentare il grado di armonizzazione a livello europeo in queste materie. L’intervento si è reso necessario anche perché il settore delle comunicazioni elettroniche è stato espressamente escluso dall’ambito di applicazione del Regolamento 679/2016. La proposta di Regolamento non è definitiva e sarà sottoposta all’esame delle istituzioni europee, quindi la versione pubblicata il 10 gennaio e commentata dal Gruppo Articolo 29 potrebbe subire modifiche.
Nel complesso, il Gruppo Articolo 29 si è espresso favorevolmente all’utilizzo dello strumento del Regolamento, nonché all’inclusione degli operatori cosiddetti Over The Top (OTT) quali destinatari degli obblighi introdotti dal Regolamento. La normativa attuale sulle comunicazioni elettroniche, che è inclusa nel nostro Codice Privacy e costituisce implementazione di una direttiva comunitaria, si applica esclusivamente ai fornitori di servizi di comunicazione elettronica. Questo ha determinato negli anni una differenza di trattamento tra soggetti diversi che offrono servizi sostanzialmente identici o comunque sostituibili, nella percezione degli utenti (si pensi ai servizi di messaggeria istantanea, chat, ecc.). Con questo intervento, si equiparano, da un punto di vista regolamentare, le Telco e gli OTT.
La proposta di Regolamento introduce e regolamenta per la prima volta i metadati, e cioè quelli che oggi sono i dati di traffico e i dati di localizzazione. Non che l’attuale normativa non si occupi di questi dati: il Regolamento però equipara i metadati ai contenuti delle comunicazioni, quanto alla loro confidenzialità. In altre parole, la confidenzialità delle comunicazioni elettroniche deve intendersi estesa sia ai contenuti che ai dati generati dalle comunicazioni, i metadati appunto. Il concetto può sembrare banale ma non lo è affatto. In Italia la confidenzialità dei contenuti delle comunicazioni è garantita dalla costituzione ed è stata oggetto negli anni passati di numerosi interventi del Garante per la protezione dei dati personali. Ma in altri Paesi europei quello che per noi è un diritto costituzionalmente garantito non è oggetto della medesima protezione. Avere esteso questa tutela anche ai metadati è anche un elemento importante: viene riconosciuta l’alta intrusività dei metadati e la loro elevata possibilità di rivelare abitudini, luoghi, preferenze, e pertanto si riconosce la necessità di una tutela equivalente a quella dei contenuti.
Nel nostro ordinamento i dati di traffico – con riguardo al loro trattamento in forma aggregata per finalità di profilazione – sono stati oggetto di provvedimenti specifici del Garante. A talune condizioni, passando per una verifica preliminare del Garante, è possibile non fondare questo trattamento sul consenso degli interessati. La proposta di regolamento prevede che i metadati possano essere trattati solo con il consenso degli interessati, salve le alternative specificamente previste. Da questo punto di vista, qualora la proposta di Regolamento venisse approvata così come è, questo potrebbe determinare un passo indietro per le Telco che già operano sulla base di verifiche preliminari presentate al Garante. Va anche detto che l’avere ribadito in questo settore la centralità del consenso degli utenti per i relativi trattamenti dei dati, in un’epoca in cui è sempre più evidente l’insufficienza di questo paradigma a soddisfare l’effettiva esigenza di trasparenza e consapevolezza da parte degli utenti, può lasciare perplessi.
C’è poi da chiedersi se il fiorire di normative specifiche in materia di protezione dei dati personali sia la strada giusta per garantire da un lato un adeguato (e armonizzato) livello di protezione, e al contempo assicurare uno sviluppo economico in ambito Europeo evitando il divario da sempre esistente tra l’Europa e gli Stati Uniti. Se il Regolamento risponde a una esigenza di armonizzare la normativa tra gli Stati membri, non si può negare che si tratti di norme particolarmente complesse e oscure, e che andando esse ad aggiungersi alle normative già esistenti, prima fra tutte il Regolamento UE 679/2016, c’è il rischio di creare sovrapposizioni, problemi interpretativi ed incertezze che rischiano di mettere a rischio l’armonizzazione e l’esigenza di tutela perseguita dalla normativa.
Da ultimo, va detto che il periodo di tempo ipotizzato per l’approvazione – maggio 2018 cosi da essere contemporaneo all’entrata in vigore del Regolamento 679/2016 – appare ottimistico. Ricordiamo che i tempi di approvazione del regolamento Privacy sono stati lunghissimi: più di quattro anni. È pur vero che la proposta d Regolamento e-Privacy si pone sulla stessa linea del Regolamento generale e rimanda a concetti già stabiliti, ma poco più di un anno per finalizzare e approvare un testo complesso che avrà un impatto notevole su vari settori industriali, è sicuramente un arco temporale piuttosto breve.
Al nuovo regolamento Europeo in materia di protezione dei dati personali sarà dedicato il Convegno “Nuovo regolamento privacy: cosa cambia per la PA e per i cittadini. Tutto quello che è necessario sapere per mettersi in regola e rimanerci”, il prossimo 24 maggio a FORUM PA 2017.