I dati personali sono dappertutto. Nelle comunicazioni elettroniche, tuttavia, ce ne sono davvero molti e, nella sedicesima riunione plenaria, tenutasi il 2 ed il 3 dicembre scorso, l’EDPB (il Comitato Europeo per la Protezione del Dati Personali) ha dovuto confrontarsi con questa realtà su sollecitazione del BEREC (il Body of European Regulators for Electronic Communications – l’Organismo dei Regolatori Europei delle Comunicazioni Elettroniche).
Il parere dell’EDPB, considerando la delicatezza degli argomenti, è arrivato dopo quasi un anno di attesa ed ha chiarito alcuni aspetti controversi relativi al trattamento dei dati personali. Per esempio, stabilendo che è lecito trattare i dati della testata IP e TCP/UDP ma non i dati del relativo pacchetto, che dicono che cosa fa effettivamente l’utente online.
Facciamo il punto, partendo dal contesto normativo in cui questo parere andrà a inserirsi.
Le norme che regolano il mondo delle comunicazioni elettroniche
Com’è noto, il mondo delle comunicazioni elettroniche è regolato, oltre che da altre norme, dal Reg. UE 2015/2120 che “stabilisce misure riguardanti l’accesso a un’Internet aperta”, il cosiddetto TSMR (Telecom Single Market Regulation), e che, di fatto, definisce le cosiddette “misure di neutralità della rete” rispetto alle possibilità di sviluppo economico dell’Unione Europea. Nel 2016, precisamente ad agosto, il BEREC ha pubblicato le “Guidelines on the Implementation by National Regulators of European Net Neutrality Rules”, a beneficio delle singole autorità regolatrici nazionali (per l’Italia è l’Autorità per le Garanzie nelle Comunicazioni, AGCOM) oltre che degli operatori di telecomunicazioni, per fornire gli orientamenti necessari all’applicazione della norma europea.
Tuttavia, il TSMR e, di conseguenza, le Linee guida BEREC scontano una data di nascita prematura rispetto al quadro normativo che si è andato formando successivamente. Infatti, nel 2015 erano vigenti la direttiva 46/95/CE (protezione dei dati personali) e la direttiva 2002/58/CE (cosiddetta direttiva ePrivacy relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche). Oggi, invece, è pienamente applicabile il Reg. UE 2016/679 (GDPR che ha sostituito la direttiva 46) ed ha ancora molte difficoltà a giungere alla definitiva approvazione il Regolamento ePrivacy (che dovrebbe sostituire la direttiva 58).
In questo quadro, quindi, il BEREC ha deciso di aggiornare le proprie Linee guida chiedendo all’EDPB alcuni chiarimenti terminologici (dietro i quali, tuttavia, si nasconde molta sostanza) oltre che orientamenti su comportamenti da adottare per specifici servizi forniti dagli operatori di telecomunicazioni.
Il monitoraggio finalizzato alla gestione del traffico
Il primo dei problemi affrontati dall’EDPB è stato quello di qualificare con precisione fin dove può spingersi l’attività di monitoraggio svolta dagli operatori di telecomunicazioni per la gestione del traffico. In particolare, quali dati personali le norme europee consentono di trattare e quali, invece, devono essere esclusi per finalità di gestione del traffico.
Un chiarimento preliminare a questo interrogativo è stato riservato dall’EDPB alla locuzione “contenuto specifico” di una comunicazione elettronica che si differenzia dal semplice “contenuto”. Infatti, l’art. 3 del TSMR, al paragrafo 3 (secondo capoverso, ultimo periodo), afferma che le “misure [adottate dai fornitori di servizi di accesso ad Internet per la gestione del traffico] non controllano i contenuti specifici e sono mantenute per il tempo strettamente necessario”.
Ma cos’è un “contenuto specifico”? Per chiarirlo, l’EDPB scende in particolari tecnici che si legano alla pila di protocolli universalmente utilizzata per le comunicazioni su Internet; in particolare, l’EDPB afferma che, considerando un pacchetto che viaggia su Internet, la testata IP (noto come livello 3 della pila di protocolli nel modello ISO/OSI) e la testata TCP/UDP (noto come livello 4) non costituiscono “contenuti specifici” mentre i dati del pacchetto al livello 4 costituiscono “contenuto specifico”. Questo significa che, per scopi di regolazione del traffico, è consentito trattare le testate IP e TCP/UDP e, quindi, effettuare monitoraggi sul flusso dei pacchetti limitandosi alle sole testate. Il monitoraggio dei dati al livello 4 non è consentito perché costituirebbe una profonda interferenza nella vita delle persone e, quindi, una violazione dell’art. 8 della Convenzione Europea dei Diritti Umani e dell’art. 7 della Carta dei Diritti Fondamentali dell’Unione Europea.
Per rafforzare questa posizione, l’EDPB ha citato una specifica pronuncia della Corte di Giustizia Europea sul caso Scarlet SA-SABAM e le relative conclusioni dell’Avvocato Generale. La vicenda affrontata in questa causa vedeva la SABAM (il soggetto che tutela i diritti d’autore in Belgio) chiedere che fosse dichiarata la violazione del diritto d’autore per lo scambio di file (contenenti, appunto, opere tutelate) avvenuto tramite l’infrastruttura di telecomunicazioni messa a disposizione da Scarlet SA; SABAM, in sintesi, affermava che Scarlet avrebbe potuto:
- monitorare il traffico per capire che alcuni pacchetti che viaggiavano sulla propria infrastruttura contenevano parti di oggetti (musica, film, ecc.) tutelati dal diritto d’autore;
- interrompere il servizio di trasmissione in presenza di tali violazioni.
Naturalmente, la Corte di Giustizia ha deliberato che questo tipo di filtri contrastano con i diritti e le libertà delle persone e, quindi, non può essere lecito utilizzarli.
La trasparenza nei confronti degli utenti
Un altro elemento contenuto nella richiesta di parere del BEREC riguardava la conciliazione tra le misure di trasparenza contenute nel TSMR e quelle contenute nel GDPR. Il TSMR, all’art. 4, prevede che:
- I fornitori di servizi di accesso a Internet provvedono affinché i contratti che includono servizi di accesso a Internet precisino almeno quanto segue:
- informazioni sul potenziale impatto delle misure di gestione del traffico applicate dal fornitore sulla qualità dei servizi di accesso a Internet, sulla vita privata degli utenti finali e sulla protezione dei loro dati personali;
Esiste, quindi, nel TSMR, un esplicito riferimento alla protezione dei dati personali che, secondo l’EDPB, deve sostanziarsi nel rendere chiare agli utenti (“interessati” nel lessico del GDPR) quali sono le finalità del trattamento e, soprattutto, nell’esplicitazione della base giuridica del trattamento. In particolare, se non esiste base giuridica alternativa al consenso, bisogna fare in modo che questo sia libero ovvero non legato a particolari condizionamenti di natura contrattuale. Quindi, certamente il fornitore di servizi di accesso a Internet deve fornire una informativa conforme agli articoli 12 e 13 del GDPR ed acquisire, nei casi in cui è necessario, il consenso con le caratteristiche specificate al punto 11, par. 1, art. 4 dello stesso GDPR.
Le offerte zero‑rating
L’ultimo argomento affrontato dall’EDPB riguarda le offerte zero‑rating con le quali alcuni fornitori di accesso ad Internet danno la possibilità ai clienti di navigare gratis solo su un insieme di siti definiti. La domanda posta dal BEREC è stata: posto che per questo tipo di contratto è necessario che il fornitore conosca i nomi di dominio e le URL visitati dal cliente, qual è la base giuridica che consente al fornitore di offerte zero‑rating di trattare lecitamente questi dati personali?
L’EDPB ritiene che non si possa applicare come base giuridica l’obbligo legale (art. 6, par. 1, lett. c) del GDPR perché, come già ricordato, nelle norme di settore (appunto il TSMR) è previsto che possono essere trattati solo i dati necessari alla gestione del traffico e, com’è noto, i nomi di dominio e le URL non sono né utili né necessari a questo scopo. Peraltro, non può essere impiegata nemmeno la base giuridica prevista dall’art. 6, par. 1, lett. b del GDPR (esecuzione di un contratto) perché la comunicazione avviene, di norma, tra almeno due soggetti di cui solo uno potrebbe aver concluso il contratto zero‑rating. L’unica base giuridica applicabile, secondo l’EDPB, appare essere il consenso che, peraltro, dovrà essere espresso da tutti i soggetti coinvolti nella comunicazione elettronica.
Conclusioni
Il parere fornito al BEREC porterà, certamente, ad un rapido aggiornamento delle Linee guida sull’applicazione del TSMR anche se la vera sfida del legislatore europeo è l’approvazione del Regolamento ePrivacy che, già nella sua bozza (a partire dalle definizioni contenute nell’art. 4), articola meglio alcuni concetti (come la definizione di “metadati delle comunicazioni elettroniche”) che, forse, nel precedente quadro normativo erano un po’ più sfumati o, addirittura, assenti.
