La proposta di regolamento “ePrivacy”, da tempo all’attenzione delle istituzioni ma non ancora definita, sta avendo un parto travagliato ma in dirittura d’arrivo.
Per comprendere come si inquadra l’ePrivacy è opportuno precisare che non è una nuova disciplina da introdurre nell’ordinamento giuridico europeo, posto che in Europa è già presente la direttiva 2002/58/CE, attualmente in vigore, “relativa al trattamento dei dati personali e alla protezione della privacy nel settore delle comunicazioni elettroniche (direttiva sulla privacy e le comunicazioni elettroniche)“.
La direttiva 2002/58/CE
Per l’iter di ePrivacy è quindi bene partire da qui. La direttiva 2002/58/CE è nota anche perché il GDPR la richiama espressamente e precisamente:
- il considerando (173) – l’ultimo del GDPR – recita:
Il presente regolamento dovrebbe applicarsi a tutte le questioni relative alla protezione dei diritti e delle libertà fondamentali nei confronti del trattamento dei dati personali che non sono soggette a obblighi specifici con lo stesso obiettivo stabiliti dalla direttiva 2002/58/CE del Parlamento europeo e del Consiglio (2), compresi gli obblighi del responsabile del trattamento e i diritti delle persone fisiche. Al fine di chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, quest’ultima dovrebbe essere modificata di conseguenza. Una volta adottato il presente regolamento, la direttiva 2002/58/CE dovrebbe essere rivista, in particolare per garantirne la coerenza con il presente regolamento.
Regolamento ePrivacy: perché ne abbiamo bisogno oggi più che mai
• l’articolo 95, intitolato “Relazione con la direttiva 2002/58/CE“, stabilisce che:
Il presente regolamento non impone alle persone fisiche o giuridiche obblighi supplementari in relazione al trattamento connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione in relazione a questioni per le quali esse sono soggette a obblighi specifici aventi lo stesso obiettivo di cui alla direttiva 2002/58/CE.
• l’articolo 21, intitolato “Diritto di opposizione“, al paragrafo 5 riporta che:
Nell’ambito dell’utilizzo dei servizi della società dell’informazione, e nonostante la direttiva 2002/58/CE, l’interessato può esercitare il suo diritto di opposizione con mezzi automatizzati utilizzando specifiche tecniche.
Tutto ciò premesso, la proposta di regolamento nota come “ePrivacy”, una volta approvata ed entrata in vigore, abrogherà la direttiva 2002/58/CE.
La valutazione del legislatore europeo – coerentemente con quanto fatto con il GDPR – ha condotto alla scelta del regolamento invece della direttiva come strumento al fine di ottenere un sistema normativo unitario a livello europeo.
La relazione tra la proposta su ePrivacy e il GDPR
Abbiamo già accennato alla relazione tra la direttiva 2002/58/CE e il Regolamento 2016/679; esiste una parallela relazione anche tra la proposta sulla ePrivacy e il GDPR in termini di “dipendenza” della proposta dal GDPR.
La “dipendenza” va intesa nel senso che il GDPR ha un ruolo primario nella protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali; allo stesso tempo, la proposta sostiene il GDPR per la parte che riguarda le comunicazioni elettroniche.
In effetti, la direttiva 2002/58/CE è conseguente a quella 95/46/CE che disciplinava – precedentemente al GDPR – la “tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
L’impegno del legislatore europeo riguardo alla proposta di regolamento su “ePrivacy” è chiaramente volto a predisporre un testo che sia più adeguato all’intero attuale contesto anche in relazione all’evoluzione tecnologica degli ultimi venti anni.
L’iter della proposta di regolamento su “ePrivacy” sino alla versione attuale
Non è semplice illustrare l’articolato percorso relativo alla proposta di regolamento su “ePrivacy” e, quindi, descriveremo di seguito i punti salienti del suo itinerario fino ad oggi.
Il lavoro istituzionale sulla proposta su “ePrivacy” – come probabilmente è noto – è stato molto duro e non vede ancora un testo finale, ma solo dei draft: dovremo, quindi, attendere il completamento dell’iter.
2017, la prima versione della proposta ePrivacy
Tutto è iniziato formalmente nel 2017, quando la Commissione europea ha formulato la prima versione della Proposta di regolamento del Parlamento europeo e del Consiglio relativo al rispetto della vita privata e alla protezione dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla privacy e le comunicazioni elettroniche), datata 10/1/2017.
Successivamente, il 24/4/2017 l’EDPB ha pubblicato il “Parere 6/2017 (Opinion 6/2017) sulla proposta di regolamento sulla privacy e le comunicazioni elettroniche (regolamento ePrivacy)”. Si tratta di un lungo documento di 40 pagine, nel quale l’EDPB ha fatto riferimento alla necessità di uno strumento giuridico dedicato per la proposta su “ePrivacy”, evidenziando le principali preoccupazioni e raccomandazioni, soprattutto per quanto riguarda:
• le definizioni che non devono dipendere dalla separata procedura legislativa relativa alla direttiva che istituisce il codice europeo delle comunicazioni elettroniche;
• le disposizioni sul consenso dell’utente finale devono essere rafforzate
• la proposta manca di ambizione per quanto riguarda i cosiddetti “muri di tracciamento” (noti anche come “cookie wall”);
• la proposta non riesce a garantire che i browser (e altri software immessi sul mercato che permettono le comunicazioni elettroniche) saranno impostati di default per evitare di tracciare i passi digitali degli individui;
• le eccezioni relative al tracciamento dell’ubicazione delle apparecchiature terminali sono troppo ampie e mancano di garanzie adeguate.
Il 26/10/2017 il Parlamento europeo ha pubblicato un progetto di proposta su ePrivacy.
2018, due nuove bozze
Nel 2018 sono seguite due bozze della proposta sulla ePrivacy da parte, rispettivamente, della presidenza bulgara e della presidenza austriaca.
Inoltre, il 25/5/2018 l’EDPB ha rilasciato la sua prima dichiarazione con la quale ha sottolineato i seguenti punti:
- La riservatezza delle comunicazioni elettroniche richiede una protezione specifica che vada al di là del GDPR.
- La direttiva ePrivacy è già in vigore.
- Il regolamento proposto mira a garantire la sua applicazione uniforme in ogni Stato membro e ad ogni tipo di titolare del trattamento.
- Il nuovo regolamento deve far rispettare il requisito del consenso per i cookie e tecnologie simili e offrire ai fornitori di servizi strumenti tecnici che permettano loro di ottenere tale consenso.
Il 2018 si conclude con una bozza di regolamento della presidenza austriaca del 19/10/2018.
2019, altre bozze
Nel 2019 sono stati pubblicati due testi dalla presidenza rumena (22/2/2019 e il Progress Report del 20/5/2019) e quattro bozze dalla presidenza finlandese (12/7/2019, second draft del 26/7/2019, third draft del 18/9/2019 e fourth draft del 4710/2019).
Questa produzione dimostra la rilevanza dell’intervento politico, l’interesse generale per un testo definitivo e la grave difficoltà di trovare un equilibrio verso una bozza finale.
Oltre ai progetti pubblicati, dobbiamo menzionare la dichiarazione 3/2019 su un regolamento ePrivacy, adottata il 13 marzo 2019 dall’EDPB.
Infatti, l’EDPB – tenendo fede alla sua posizione – ha ribadito le posizioni precedentemente adottate dalle autorità di protezione dei dati nell’UE, compreso il parere 1/2017 del gruppo di lavoro dell’articolo 29 e la dichiarazione adottata il 25 maggio 2018.
2020, EDPB
Nel 2020 si registrano la bozza della presidenza croata (Draft by the Croatian Council Presidency) del 21/2/2020 e la bozza della presidenza tedesca (Draft by the German Presidency) del 4/11/2020.
Ancora una volta, l’EDPB ha emesso il suo terzo documento e precisamente la “Dichiarazione sul regolamento ePrivacy e il futuro ruolo delle autorità di vigilanza e dell’EDPB” (EDPB – Statement on the ePrivacy Regulation and the future role of Supervisory Authorities and the EDPB), adottata il 19 novembre 2020.
L’EDPB, brevemente, ha espresso la sua posizione principalmente in tre punti:
- In primo luogo, sottolineando che la dichiarazione “non pregiudica le sue posizioni precedenti”;
- In secondo luogo, accogliendo “l’obiettivo della presidenza del Consiglio di raggiungere un approccio generale per iniziare i negoziati con il Parlamento europeo e adottare il regolamento ePrivacy il più presto possibile”;
- In terzo luogo, sottolineando “che molte disposizioni del futuro regolamento ePrivacy riguardano il trattamento dei dati personali” e, quindi, evidenziando il ruolo istituzionale delle autorità di vigilanza.
Con il citato documento l’EDPB ha concluso invitando
gli Stati membri a sostenere un regolamento ePrivacy più efficace e coerente come inizialmente proposto dalla Commissione europea e come modificato dal Parlamento europeo.
2021, vicini al testo finale
Il 2021 è stato l’anno più produttivo e probabilmente il più vicino alla versione finale (almeno così si spera).
Infatti, il 5/1/2021 viene pubblicata la bozza della presidenza portoghese (Draft by the Portuguese Presidency).
Il mese successivo, e precisamente il 10/2/2021, viene pubblicata la bozza del Consiglio dei ministri dell’UE (Draft by the EU Council of Ministers). Questa bozza è estremamente importante perché con essa gli Stati membri hanno concordato un mandato per i negoziati con il Parlamento europeo (c.d. “trilogo”, ovvero un negoziato informale al quale prendono parte alcuni rappresentanti di Parlamento, Consiglio e Commissione). In questo contributo ci riferiamo proprio a tale bozza, considerandola come l’ultima valida prima dei negoziati formali.
Tale bozza comprende numerose modifiche al testo della proposta di regolamento – alcune sono semplicemente di “wording” e altre sono significative (alcuni articoli sono aggiunti e altri cancellati) – rispetto al testo originale pubblicato nel 2017 dalla Commissione europea.
Il 9/3/2021, l’EDPB ha pubblicato la sua quarta dichiarazione, e precisamente la “Dichiarazione 03/2021 sul regolamento ePrivacy” adottata il 9 marzo 2021 (EDPB – Statement 03/2021 on the ePrivacy Regulation).
In primo luogo, è rilevante che l’EDPB metta in evidenza quanto segue:
Il regolamento ePrivacy non deve in nessun caso abbassare il livello di protezione offerto dall’attuale direttiva ePrivacy, ma dovrebbe integrare il GDPR fornendo ulteriori forti garanzie per la riservatezza e la protezione di tutti i tipi di comunicazione elettronica.
Entrando nei dettagli dello statement dell’EDPB, evidenziamo i seguenti punti:
- Preoccupazioni riguardo al trattamento e alla conservazione dei dati delle comunicazioni elettroniche ai fini dell’applicazione della legge e della salvaguardia della sicurezza nazionale;
- La riservatezza delle comunicazioni elettroniche richiede una protezione specifica (articoli 6, 6a, 6b, 6c);
- Il nuovo regolamento deve far rispettare il requisito del consenso per i cookie e tecnologie simili, e offrire ai fornitori di servizi strumenti tecnici che consentano loro di ottenere facilmente tale consenso (articolo 8);
- Ulteriori trattamenti per fini compatibili (articolo 6c e articolo 8(1)(g));
- Ruolo futuro delle autorità di vigilanza, dell’EDPB e del meccanismo di cooperazione (articoli da 18 a 20).
Il 20 maggio 2021 hanno ufficialmente inizio i negoziati tra la Commissione europea, il Parlamento europeo e il Consiglio dell’Unione europea.
Il 4 novembre 2021 viene pubblicato un nuovo testo della proposta di regolamento su “ePrivacy” (New version by the Council partially accessible to the public – 26.11.2021) dal quale emerge che la presidenza slovena del Consiglio dell’UE aveva invitava gli stati membri a fornire i loro commenti e osservazioni sulla proposta di regolamento “ePrivacy.” In realtà, alcuni punti chiave devono ancora essere discussi dalle istituzioni coinvolte nei negoziati. Anche se quel documento risultava riservato, è stato comunque pubblicato su Internet per errore.
Risultano due ulteriori bozze pubblicate sul sito del Consiglio dell’Unione europea nel novembre 2021, e precisamente:
- “New version by the Council partially accessible to the public (26.11.2021)” dell’8/11/2021 e
- “New version by the Council partially accessible to the public (30.11.2021)” del 12/11/2021.
Sembra che, all’interno dei negoziati, ci siano stati un incontro a novembre e un altro a dicembre.
La versione attuale ePrivacy e analisi comparativa
Per un approfondimento sulla attuale versione rimandiamo all’articolo sottostante.