La presa di posizione dell’EDPB, con uno statement di marzo 2021, sul Regolamento e-Privacy, proposto dalla Commissione Europea ancora nel 2017 e ora in via di approvazione da parte del Concilio e del Parlamento UE, da un lato dimostra come l’autorità condivida l’approccio delle istituzioni europee per il Regolamento, ma censura la presenza di residue potenziali sovrapposizioni fra la nuova normativa e il GDPR.
Il regolamento e-Privacy dovrà fondarsi a detta dell’EDPB su un livello di sicurezza tecnologico elevato e su un consenso libero e autentico degli utenti, sfidando in maniera efficace il caos generalizzato delle cookie policy, promuovendo un’interessante soluzione che passi dai browser (che permettono di centralizzare la scelta relativa ai cookie, così evitandoci una decisione da prendere e disperdere sito per sito, con notevoli perdite di tempo per i naviganti). Importante anche la crittografia dei dati, che il Gruppo dei Garanti promuove non solo nel momento statico di archiviazione del dato ma anche nel momento dinamico della trasmissione del dato, soffermandosi sulla cosiddetta crittografia end-to-end (E2EE).
e-Privacy, il rapporto con il GDPR
Lo statement è da contestualizzare nell’irrigidimento di EDPB ed EDPS, da ricondurre al fatto che il GDPR è ormai un Regolamento rodato e che oggi pretende un compiuto adeguamento non solo da parte dei soggetti a cui si applica la disciplina, ma anche da parte del legislatore comunitario quando accidentalmente “dimentica” la tutela della riservatezza nel licenziare normative intrecciate con quella di cui al GDPR. Il trend, ben rappresentato nel puntuale e rigido esame normativo destinato anche al Data Governance Act ed alla Direttiva NIS verosimilmente non è destinato a cambiare ed anzi c’è da attendersi che la privacy diventerà sempre più centrale nella normativa comunitaria, con il ruolo di fulcro del GDPR che verrà verosimilmente riaffermato, oltre che dai Garanti con quest’attività consultiva preventiva, anche dalla giurisprudenza comunitaria.
Regolamento ePrivacy approvato dal Consiglio UE: gli scenari che si aprono
L’EDPB ha dedicato al Regolamento e-Privacy varie dichiarazioni e pareri tra il 2018 e oggi, evidenziando come il Regolamento e-Privacy, che si intreccia fittamente con il GDPR, non può in alcun modo cambiare quest’ultima normativa, né attenuare il livello di tutela che la stessa prevede, creando così, di fatto, uno “spazio separato” in cui non valgono tutte le regole del regolamento UE 679/2016, quasi come se la e-privacy valesse meno della privacy.
Non va dimenticato che l’EDPB è da tempo impegnato, insieme al Garante Europeo, nel “tutelare” il GDPR anche a livello normativo comunitario, così da evitare che si creino incongruenze normative o mancati coordinamenti in tema di definizioni o altro che possano creare confusione o fornire un appiglio per gli operatori, tale da consentirgli di aggirare le norme del GDPR in particolari settori. Altro tema su cui torna il Gruppo dei Garanti è la promozione dell’utilizzo della crittografia a tutela dei dati personali, in particolare di quella end-to end che garantisce la sicurezza dei dati in transito.
Gli obiettivi dell’e-Privacy secondo l’EDPB
Inoltre, il Garante pone l’attenzione sulla competenza delle autorità di controllo nazionali, i singoli Garanti, anche con riferimento alla disciplina e-Privacy. L’EDPB ritiene inoltre che il regolamento e-Privacy dovrebbe migliorare la situazione attuale in tema di acquisizione del consenso online e su app mobili. L’obiettivo del regolamento, condiviso dal Gruppo dei Garanti, dovrebbe essere quello di restituire il controllo agli utenti censurando prassi che rendono complesso evitare di concedere il consenso.
Secondo lo Statement la bozza di Regolamento dovrebbe andare oltre rispetto a quanto appena evidenziato e obbligare direttamente i browser e i sistemi operativi a mettere in atto un meccanismo di facile utilizzo ed efficace che consenta ai titolari del trattamento di ottenere il consenso (solo quando liberamente espresso).
Un ulteriore elemento che il Gruppo dei Garanti sottolinea è la necessità di un approccio che preservi la privacy per quanto riguarda le soluzioni, estremamente diffuse sulla rete, che impongono all’utente contratti “prendere o lasciare”, con la necessità di ottenere un autentico e libero consenso anche in queste ipotesi, senza che sia possibile subordinare l’accesso a servizi e funzionalità al consenso di un utente all’archiviazione di informazioni o al trattamento ulteriore dei dati (l’EDPB fa l’esempio dei cosiddetti “cookie wall“, che bloccano la visione del contenuto fino a quando non si accetta la generazione dei cookie da parte del sito web). L’EDPB suggerisce quindi l’introduzione di una disposizione esplicita nel regolamento e-Privacy per sancire questo divieto.
Inoltre, il Gruppo dei Garanti censura la proposta di Regolamento laddove formula una deroga, a detta dell’EDPB troppo ampia e generica, per la misurazione dell’audience, deroga che l’EDPB propone di limitare esclusivamente alla fornitura di statistiche all’operatore, senza che trascenda nella profilazione.
La crittografia nel Regolamento e-Privacy
Anche con riguardo al Regolamento e-Privacy il Gruppo dei Garanti UE evidenzia la necessità di una crittografia forte e affidabile nel mondo digitale moderno. Secondo l’EDPB, una crittografia avanzata e adeguata allo stato dell’arte dovrebbe essere la regola generale per garantire un flusso di dati sicuro, libero e affidabile tra cittadini, imprese e governi, ed è fondamentale per garantire la conformità del trattamento con i requisiti di sicurezza prescritti dal GDPR.
La crittografia end-to-end, dal mittente al destinatario, è anche l’unico modo per garantire la protezione completa dei dati in transito. Anche qui il Gruppo dei Garanti ricorda che ogni possibile tentativo di indebolire la crittografia, anche per scopi come la sicurezza nazionale, priverebbe completamente quei meccanismi di protezione del loro scopo, a causa del possibile uso illegale di eventuali backdoor o soluzioni simili.
Secondo l’EDPB la crittografia deve rimanere standardizzata, forte ed efficiente e deve diventare la base per il trattamento in sicurezza dei dati personali nell’Unione.
