Regolamento ePrivacy, eppur si muove. Con l’approvazione della versione finale del testo e il contestuale conferimento del mandato negoziale al Consiglio per iniziare le negoziazioni con il Parlamento europeo, l’11 febbraio scorso si è compiuto un importante passo in avanti verso l’approvazione del “Regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche”. Detto appunto Regolamento e-Privacy.
La prima bozza proposta dalla Commissione risale al 10 gennaio 2017 mentre l’ultima bozza approvata è stata predisposta sotto la presidenza portoghese del Consiglio. Una volta terminate le negoziazioni del Trilogo (Commissione, Consiglio e Parlamento europeo), il testo finale del Regolamento entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell’Unione Europea con un biennio di “grazia” per i Paesi membri, similmente a quanto avvenuto con il Regolamento generale sulla protezione dei dati, il GDPR.
Lo strumento del regolamento fa sì che questo sia direttamente applicabile in ciascun Stato membro, senza necessità di recepimento dello stesso tramite la previsione di normative nazionali, evitando le differenze di armonizzazione che potrebbero sorgere tra le differenti legislazioni, così da garantire nello stesso modo il diritto fondamentale dei cittadini alla protezione dei dati personali.
Cos’è il Regolamento ePrivacy
Il Regolamento ePrivacy si inserisce nell’ambito della strategia per il mercato unico digitale, promossa dall’Unione Europea a partire dal 2015 volta a far fronte alle sfide poste dall’economia digitale e si pone l’obiettivo di riesaminare la direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (la Direttiva e-Privacy), non solo alla luce degli obiettivi fissati dalla strategia dell’Unione Europea, ma anche alla luce degli sviluppi tecnologici che nel frattempo si sono affermati sul mercato (i nuovi servizi di comunicazione interpersonale basati su Internet o le nuove tecnologie dell’Internet of Things). A giudizio del Presidente del Consiglio di turno, Pedro Nuno Santos, il testo da ultimo licenziato troverebbe “un buon equilibrio tra una solida tutela della vita privata delle persone e la promozione dello sviluppo di nuove tecnologie dell’innovazione”.
D’altra parte, il Regolamento integra il nuovo framework normativo delle comunicazioni rappresentato dalla Direttiva (UE) 2018/1972 del Parlamento Europeo e del Consiglio dell’11 dicembre 2018 che istituisce il codice europeo delle comunicazioni elettroniche. Il Regolamento ne mutua le definizioni e i concetti chiave al fine di garantire una protezione efficace ed equa degli utenti finali che utilizzano i nuovi servizi basati sul web che sono, dal punto di vista funzionale, equivalenti ai tradizionali servizi di telefonia (cfr. considerando 11), creando un sistema coerente, nell’ambito del quale la protezione dei dati personali rappresenta uno degli assi portanti. A circa vent’anni dall’entrata in vigore del pacchetto telecom (direttiva “quadro” 2002/21/CE, direttiva sull’accesso 2002/19/CE, direttiva “autorizzazioni” 2002/20/CE e direttiva sul servizio universale 2002/22/CE) che introduceva un nuovo quadro regolamentare per le comunicazioni elettroniche, il legislatore europeo si appresta a definire le regole per un mercato (e un mondo) profondamente cambiato e in continua evoluzione.
Una volta approvato dal Parlamento, il Regolamento e-Privacy andrà a sostituire la Direttiva e-Privacy aggiornandone le previsioni alla luce dello sviluppo tecnologico che ha interessato in modo trasversale pressoché tutti i settori di mercato. Ciò al fine di garantire fornire un più elevato livello di tutela della vita privata per gli utenti dei servizi di comunicazione elettronica, in coerenza con il GDPR e con lo state of the art. Vengono stabilite norme in materia di tutela dei diritti e delle libertà fondamentali delle persone fisiche e giuridiche per quanto attiene alla fornitura e all’uso di servizi di comunicazione elettronica, in primis il diritto al rispetto della vita privata e delle comunicazioni, nonché la tutela delle persone fisiche in merito al trattamento dei dati personali.
Il rapporto con la Direttiva ePrivacy
Il Regolamento riproduce l’impostazione della Direttiva prevedendo un divieto generale di trattamento del contenuto e dei metadati delle comunicazioni elettroniche, tranne nei casi in cui l’utente finale abbia prestato il proprio consenso ovvero sussista una delle eccezioni previste dalla normativa. Il presupposto è che il trattamento dei dati e dei contenuti delle comunicazioni elettroniche comporti rischi elevati per i diritti e le libertà delle persone fisiche, soprattutto in considerazione della pervasività delle tecnologie.
Tra i principali elementi di novità, il legislatore europeo fornisce una disciplina organica dei cosiddetti servizi di comunicazione over the top (le chiamate telefoniche via Internet e la messaggistica personale attraverso le piattaforme sociali) – che sono in grado di sostituire i servizi di comunicazione tradizionale ma che ad oggi, non sono soggetti al medesimo set di norme. In tal senso, il primo considerando del Regolamento e-Privacy sottolinea il fatto che il principio di riservatezza dovrebbe applicarsi agli attuali e ai futuri mezzi di comunicazione. Il Regolamento intende, inoltre, semplificare e rafforzare la disciplina in materia di cookies, introdotta con la Direttiva e rafforzare la tutela degli utenti dalle comunicazioni indesiderate e di marketing diretto. Proprio le attività di marketing, oggetto dei più recenti provvedimenti dell’Autorità Garante per la protezione dei dati personali, risulteranno fortemente impattati dalle nuove regole.
Il Regolamento ePrivacy e il GDPR
Uno dei temi più rilevanti, oggetto di discussione, riguarda il rapporto tra il nuovo Regolamento e il GDPR. Sotto il profilo degli obiettivi perseguiti, il GDPR intende tutelare il diritto di ogni persona alla protezione dei dati di carattere personale che la riguardano (art. 8 paragrafo 1 della Carta dei diritti fondamentali dell’Unione Europea), il Regolamento (così come la Direttiva), mira a proteggere il diritto di ciascuno al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni (art. 7 della Carta), nell’ambito del quale la tutela della riservatezza – in un contesto sempre più dominato dalla tecnologia – rappresenta un corollario essenziale.
Occorre osservare che le disposizioni del Regolamento ePrivacy precisano e integrano le disposizioni del GDPR a tutela dei dati personali, declinando i principi e le regole generali in materia di protezione dei dati personali, in norme specifiche volte a disciplinare le comunicazioni elettroniche. Nel caso in cui il Regolamento e-Privacy non stabilisca norme specifiche, il GDPR resta applicabile a qualsiasi trattamento di dati personali. In quest’ottica, il Regolamento e-Privacy non sembrerebbe compromettere il livello di tutela delle persone fisiche previsto dal GDPR. Al contrario, alla luce dell’ultima bozza di Regolamento e-Privacy, le disposizioni integrano il GDPR stabilendo norme su materie che non rientrano nel suo campo di applicazione, come la protezione dei diritti delle persone giuridiche in qualità di utenti finali. Rispetto a tali entità il concetto di riservatezza dei dati tende a espandersi fino a ricomprendervi segreti commerciali o altre informazioni confidenziali aventi valore economico, la cui protezione consente alle persone giuridiche di condurre le proprie attività economiche e consente, tra le altre cose, di sostenere l’innovazione.
Come affermato dall’EDPB (European Data Protection Board) nella sua Opinion 5/2019 sull’interazione tra la Direttiva e-Privacy e GDPR, le disposizioni della Direttiva precisano quelle contenute nel GDPR con riguardo al trattamento dei dati personali nel settore delle comunicazioni, in forza del principio lex specialis derogat legi generali. Ciò vale anche per il Regolamento e-Privacy: se quest’ultimo definisce in modo più specifico talune previsioni del GDPR, le disposizioni del Regolamento in quanto lex specialis prevalgono sulle disposizioni più generali del GDPR. L’EDPB osserva, inoltre, come le disposizioni sul consenso del GDPR si applichino anche nel contesto delle disposizioni della Direttiva e-Privacy e pertanto, ha sottolineato come anche nel Regolamento dovrebbero essere vietate dinamiche dove il consenso al trattamento di dati (nelle forme della memorizzazione di informazioni o dell’accesso a informazioni presenti sul dispositivo) rappresenti la condizione per fruire dei servizi. I fornitori di servizi dovrebbero, in definitiva, informare gli utenti e proporre delle alternative eque che non impongano trattamenti dati esorbitanti.
L’EDPB si è espresso anche a seguito dell’approvazione del testo del Regolamento accogliendo con favore questo ulteriore passo verso l’approvazione di un testo definitivo. Nel suo Statement 3/2021, ha dichiarato che il nuovo Regolamento e-Privacy non dovrà in alcun modo compromettere il livello di protezione oggi offerto dalla Direttiva e-Privacy, ma completare il GDPR prevedendo garanzie ancora più solide a tutela della riservatezza e protezione di tutti i tipi di comunicazioni elettroniche. L’EDPB accoglie con favore anche l’approccio adottato basato su divieti e deroghe specifiche e definite (e purpose oriented). Infine, ribadisce che solo un perfetto allineamento con il GDPR permetterebbe al Regolamento e-Privacy di perseguire gli obiettivi posti dal legislatore, di evitare la frammentazione nella sua applicazione e nell’attuazione dello stesso. Al fine di garantire la piena coerenza con le disposizioni del GDPR, secondo l’EDPB le stesse autorità responsabili dell’applicazione di quest’ultimo dovrebbero essere competenti ad applicare le disposizioni del Regolamento e-Privacy. A giudizio dell’EDPB, stante l’eliminazione dell’Art. 18 contenuto nella bozza di testo originaria del 2017, che prevedeva mutatis mutandis l’applicazione dei capi VI e VII del GDPR – relativi alle autorità di controllo indipendenti e alla cooperazione – anche al Regolamento e-Privacy, gli obiettivi che il Regolamento si propone di raggiungere, potrebbero essere resi vani da tale mancato allineamento.
Un nuovo appuntamento
Alla luce della recente accelerazione dell’iter legislativo iniziato nel 2017, vi proporremo nelle prossime settimane un’analisi delle previsioni e dei temi più rilevanti del nuovo Regolamento. La normativa in materia di protezione dei dati personali si arricchirà di nuove e rilevanti previsioni, direttamente applicabili negli Stati membri, che verosimilmente richiederanno specifiche azioni di compliance e l’adeguamento delle policy attualmente adottate dalle imprese.
Con l’ufficiale avanzamento nelle negoziazioni del Trilogo, il Regolamento e-Privacy potrebbe, nella migliore delle ipotesi, entrare in vigore nel 2023 e con la previsione di un periodo di due anni per la sua piena applicazione, gli operatori del settore avranno fino al 2025 per adeguare i propri business alla nuova normativa. Con l’auspicio di fornire alcune preliminari indicazioni (sebbene – vale la pena ribadirlo – non vi sia ancora una versione definitiva del Regolamento), in questo spazio saranno analizzati alcuni dei temi dell’e-privacy più rilevanti quali il campo di applicazione del Regolamento, la nuova disciplina in materia di cookies, di direct marketing e di soft spam.
