In ragione dell’importanza delle tematiche trattate e dell’ ambito applicativo, il progetto di Regolamento e-Privacy, ad oggi ancora al vaglio del Parlamento Europeo e del Consiglio, ha subito negli ultimi anni copiose modifiche che riflettono gli interessi delle imprese, dei consumatori e senza dubbio anche le esigenze di cautela percepite dalle istituzioni.
La più recente proposta tedesca sembra però, di fatto, vanificare gli sforzi profusi sino ad ora dagli Stati Membri per addivenire ad un progetto legislativo completo e conciliante per tutte le parti interessate: alcune proposte, in particolare, andrebbero a discapito delle Telco.
L’iter del Regolamento ePrivacy
La Direttiva 2002/58/CE (e s.m.i), brevemente definita Direttiva e-Privacy, concerne il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche.
La disciplina verte sulle materie di eCommerce, marketing diretto ed indiretto, advertising online, call center, ma anche operatori cosiddetti Over-The-Top, ossia – secondo la definizione propria dell’AGCOM – le imprese che forniscono, per mezzo della rete, servizi, contenuti e applicazioni bypassando i sistemi di distribuzione tradizionali.
La crescita esponenziale dei servizi online ed i conseguenti rischi di sicurezza per la vita privata dei cittadini hanno portato ad un ripensamento radicale dell’intero impianto normativo, sfociato nella riforma del 2016: la direttiva e-Privacy sarà sostituita da un Regolamento, tutt’ora in discussione.
In particolare, il 10 gennaio 2017, la Commissione Europea ha presentato un progetto di Regolamento e-Privacy, ad oggi ancora al vaglio del Parlamento Europeo e del Consiglio. La decisione di avvalersi dello strumento legislativo comunitario del Regolamento, e quindi di godere della sue caratteristiche di self binding e self executing, è chiaramente connessa alla finalità di addivenire ad una normativa uniforme ma soprattutto direttamente applicabile ed obbligatoria all’interno del territorio dell’Unione.
Uno degli obiettivi primari del futuro Regolamento e-Privacy sarà quello di semplificare le regole dei cookie e di razionalizzare il metodo di raccolta del consenso.
Con riguardo al consenso, nella prima proposta è stato preso in considerazione l’inserimento dell’obbligo di raccolta del consenso online secondo i criteri del GDPR: specifico, esplicito, sempre dimostrabile ma soprattutto rinnovabile periodicamente.
Nella prima proposta del Regolamento, inoltre, è stato revocato l’obbligo dell’inserimento del banner per il consenso al tracciamento tramite cookie, previsione che supererebbe il noto Provvedimento n. 229 del 2008 del Garante Privacy italiano ed emanato dopo un’attenta disamina della già menzionata Direttiva e-Privacy.
Tale semplificazione verrebbe consentita prevedendo la possibilità per gli utenti di configurare, dal principio, le impostazioni per il consenso/rifiuto ai cookie direttamente dalle impostazioni dei browser utilizzati per la navigazione.
In questo senso, gli utenti sarebbero consapevoli in ogni momento dei dati conferiti durante la navigazione, senza dover necessariamente acconsentire al trattamento, di volta in volta, sui relativi banner, sospendendo l’esperienza di navigazione o (peggio) autorizzando una raccolta poco sicura in ragione di una lettura rapida dell’informativa sul trattamento.
Il rapporto tra Direttiva e-Privacy e GDPR
Già nel 2018 il Garante belga per la Protezione dei Dati sollevò dubbi circa l’interazione tra normativa sulle comunicazioni elettroniche e normativa sulla protezione dei dati personali.
In particolare, questo Garante chiedeva allo European Data Protection Board (il Comitato Europeo per la protezione dei dati qui brevemente “EDPB”) di esprimere un parere sul rapporto tra la Direttiva ed il GDPR.
Il Comitato, con l’Opinion 5/2019, richiamando il principio secondo cui “lex specialis derogat lex generalis”, ha chiarito come la Direttiva, per sua natura speciale precisi e completi le previsioni in materia di comunicazioni elettroniche con una portata più ampia rispetto al GDPR.
Del resto, all’art. 95 GDPR è stabilito che, nell’ambito delle materie per le quali sono previsti obblighi specifici aventi lo stesso obiettivo e fissati dalla Direttiva 2002/58, il Regolamento non impone obblighi supplementari alle persone fisiche e/o giuridiche in relazione a quelle specifiche tipologie di trattamento.
Tuttavia, è il Considerando 173 al GDPR a richiamare ad una necessaria riforma della disciplina speciale: per chiarire il rapporto tra il GDPR e la Direttiva 2002/58 è opportuno modificare e riesaminare quest’ultima per assicurare la coerenza tra le due fonti normative.
La proposta tedesca: quali novità?
Innanzitutto, nel nuovo documento sottoposto dalla Germania a Bruxelles, non viene più previsto il meccanismo del further processing, il quale permette di proseguire con il trattamento dei dati dei clienti/utenti a fronte dell’apporto di modifiche e/o migliorie ai servizi, senza dover necessariamente riottenere il loro consenso e, dunque, sulla base della prima autorizzazione ottenuta al principio del rapporto contrattuale.
Tale previsione svantaggerebbe in particolare gli operatori di servizi Telco che, come noto, periodicamente procedono all’aggiornamento dei servizi, anche al fine di renderli adatti al progresso tecnologico, e che stando a questa nuova previsione dovrebbero prevedere plurime azioni di refresh dei consensi, anche in relazione a finalità già rese note.
Ciò potrebbe costituire un ostacolo al business delle Telco che si troverebbero nell’impossibilità di innovare i propri servizi basandosi sui metadati (a differenza di tutti gli altri settori, disciplinati, in via generale, dal GDPR).
Il nuovo testo prevede poi di assoggettare alla medesima disciplina anche i servizi “Over the top”: la misura si applicherebbe quindi anche ad applicazioni informatiche di messaggeria istantanea quali Whatsapp, Facebook Messenger, Facetime e altre piattaforme di chat sulla base del principio di confidenzialità delle comunicazioni.
L’attuale proposta, presto esaminata dal Comitato europeo, sembrerebbe propendere verso un approccio tendenzialmente conservativo che, tra le altre cose, andrebbe ad escludere del tutto la possibilità per gli operatori del settore di fare affidamento sull’interesse legittimo per procedere al trattamento dei dati per finalità analoghe e strettamente connesse al contratto, come per esempio quella dell’aggiornamento tecnologico.
Le prime critiche alla proposta tedesca
Non si è fatto aspettare il comune dissenso da parte degli operatori del settore.
Etno (European Telecommunications Network Operators) e Gsma (Global System for Mobile Communications), organizzazioni mondiali del settore che rappresentano gli interessi degli operatori di reti mobili in tutto il mondo, hanno manifestato il proprio disappunto sulla proposta tedesca: il testo proposto dalla Germania non riesce a colmare il divario storicamente presente tra le due esigenze di protezione della privacy e della riservatezza ed innovazione.
L’Europa – proseguono – ha un’occasione preziosa da sfruttare per rafforzare il suo ruolo di guida all’innovazione e diventare estremamente competitiva a livello globale a discapito di Cina e Stati Uniti. Il testo tedesco però, riflette l’erronea convinzione che innovazione e protezione dei dati non possano coesistere, pur essendo stato percepito, durante gli ultimi anni, un crescente consenso dei diversi Stati membri per la reintroduzione del further processing.
Etno e Gsma si augurano che il testo, difforme dall’orientamento precedentemente espresso dagli Stati membri, non finisca per costituire la base di un approccio generale ed invitano detti Stati a non sostenere la proposta della Presidenza tedesca, in quanto non adatta al futuro della competitività europea.
Dalle ultime indiscrezioni la decisione sulla proposta di Regolamento arriverà a stretto giro.
