Nell’ambito della nuova e recente proposta di Regolamento ePrivacy approvata dal Consiglio dell’Unione Europea, risulta fondamentale cogliere quale ne sia l’ambito d’applicazione, al fine di comprendere la portata territoriale, i player del mercato interessati, in cosa consistono e come vengono disciplinate le comunicazioni elettroniche oggetto del Regolamento.
Il tutto, analizzando altresì il ruolo riservato alle autorità di controllo, ivi incluso quello dell’European Data Protection Board (“EDPB”), nonché il regime sanzionatorio.
Nuovo regolamento ePrivacy, obiettivo 2025: i temi sul tavolo
I profili di territorialità
Per delineare l’ambito di applicazione della nuova proposta di Regolamento ePrivacy approvata dal Consiglio dell’Unione Europea il 10 febbraio 2021 (“Regolamento”), il primo fondamentale quesito che necessita di una risposta attiene al perimetro territoriale: qual è il territorio interessato dalle norme previste dal Regolamento?
Si tenga presente che, già ai sensi del Considerando 8.aaa, il Regolamento statuisce che le norme troveranno applicazione indipendentemente dal fatto che il trattamento dei dati relativi alle comunicazioni elettroniche o dei dati personali degli utenti finali che si trovano nell’Unione Europea avvenga o meno nell’UE, o dal fatto che il fornitore di servizi o la persona che tratta tali dati siano stabiliti o situati nell’UE.
L’articolo 3 definisce in maniera più dettagliata l’ambito di applicazione territoriale prevedendo che il Regolamento si applichi (i) alla fornitura di servizi di comunicazione elettronica a utenti finali che si trovano nell’Unione Europea, (ii) al trattamento di contenuti di comunicazione elettronica e a metadati di comunicazione elettronica di utenti finali che si trovano nell’Unione Europea, (iii) alla protezione delle informazioni contenute nei dispositivi (terminal equipment information) di utenti finali che si trovano nell’Unione Europea, (iv) all’offerta di elenchi pubblicamente disponibili di utenti finali di servizi di comunicazione elettronica che si trovano nell’Unione Europea; (v) all’invio di comunicazioni di marketing diretto a utenti finali che si trovano nell’Unione Europea (comma 1).
Coloro che trattano dati relativi alle comunicazioni elettroniche o dati personali degli utenti finali e non hanno sede nell’Unione Europea, sono tenuti a nominare per iscritto un rappresentante nell’Unione Europea. Quest’ultimo è incaricato a rappresentare il soggetto non avente sede nell’UE dinnanzi alle autorità di controllo e agli utenti finali su tutte le questioni relative al trattamento dei dati delle comunicazioni elettroniche al fine di garantire il rispetto del Regolamento. La nomina del rappresentante non è, invece, necessaria qualora le attività svolte e coperte dal Regolamento siano occasionali ed è improbabile che comportino un rischio per i diritti fondamentali degli utenti finali, tenendo a tal fine conto della natura, del contesto, nonché della portata e scopo di tali attività.
In sostanza, l’ambito territoriale supera, in qualche misura, i confini dell’Unione Europea e si basa su un criterio di collocazione fisica degli utenti finali: affinché sia applicabile il Regolamento, è sufficiente che i servizi di comunicazione elettronica siano forniti nel territorio dell’Unione Europea all’utente finale; non rileva invece che il trattamento dei dati avvenga al di fuori del territorio dell’Unione Europea o che i fornitori siano ubicati al di fuori di tali confini.
Ambito soggettivo di applicazione: categorie di soggetti destinatari degli obblighi
Altro tema preliminarmente rilevante è rappresentato dall’individuazione dei soggetti sottoposti alle norme contenute nel Regolamento, sia per quel che concerne le categorie di soggetti di diritto (e.g., persone fisiche e/o giuridiche), sia per quanto riguarda le categorie di servizi resi e che possono rientrare nella nozione di “providers of electronic communications services”, ovvero i fornitori di servizi di comunicazione elettronica.
Quanto alla categoria di soggetti di diritto, occorre premettere che, da una lettura combinata del Considerando 2.a e del Considerando 3, si evince come il Regolamento miri a tutelare i diritti di tutti gli utenti finali, a prescindere dalla loro qualificazione giuridica: “(…) subject matters that are not within the scope of the Regulation (EU) 2016/679, such as the protection of the rights of end-users who are legal persons”. Per tale ragione deve ritenersi applicabile – in linea di principio – sia alle persone fisiche, sia a quelle giuridiche.
Da questo punto di vista, il Regolamento si differenzia rispetto a quanto previsto dal Regolamento (UE) 2016/679 (“GDPR”) sul presupposto che la riservatezza dei dati personali e delle informazioni contenuti nelle comunicazioni elettroniche trasmesse da persone giuridiche sia meritevole di tutela, al pari di quanto previsto per le persone fisiche. Tali informazioni possono, infatti, rappresentare asset rilevanti per la stessa operatività delle persone giuridiche (e.g., segreti commerciali o altre informazioni sensibili che hanno valore economico per l’azienda).
Con riferimento, invece, alle categorie di provider di servizi le norme del Regolamento troveranno applicazione per i fornitori di servizi di comunicazione elettronica, così come per i fornitori di elenchi pubblici, nonché per le persone fisiche o giuridiche che utilizzino i servizi di comunicazione elettronica per inviare comunicazioni di marketing diretto, che facciano uso delle capacità di elaborazione e di archiviazione delle apparecchiature terminali o che raccolgono informazioni elaborate da, emesse da, o archiviate nelle apparecchiature terminali dell’utente finale (Considerando 8).
Nel definire gli “electronic comunication services” il Regolamento rinvia all’articolo 2 del Codice Europeo delle Comunicazioni Elettroniche (Direttiva (UE) 2018/1972 del Parlamento e del Consiglio Europeo). Per tali devono intendersi i servizi forniti di norma a pagamento su reti di comunicazioni elettroniche, che comprendono le seguenti tipologie di servizi: (i) servizi di accesso a internet come definiti dal Regolamento (UE) 2015/ 2120, (ii) servizi di comunicazione interpersonale, e (iii) servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali come i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina e per la diffusione circolare radiotelevisiva. Non sono inclusi nella definizione i servizi per la fornitura di contenuti attraverso reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti. Tali ultimi servizi devono intendersi infatti ricompresi nella nozione di servizi di media audiovisivi.
Alla luce del rinvio effettuato il novero dei servizi impattati dalle nuove previsioni normative viene ampliato includendo fra gli altri i c.d. servizi over-the-top (“OTT”). Questi ultimi sono servizi e applicazioni messi a disposizione dell’utente finale attraverso Internet e che, nel senso più ampio, permettono la comunicazione individuale tra utenti. Le sottocategorie di tali servizi includono servizi di posta elettronica, applicazioni di messaggeria istantanea (e.g., WhatsApp, Facebook Messenger) e servizi voce e video (e.g. Skype, Teams, etc.).
Rientrano nel campo di applicazione del Regolamento anche i servizi di trasmissione da macchina a macchina (machine-to-machine) a condizione che la trasmissione sfrutti un servizio o una rete di comunicazione elettronica accessibile al pubblico. Il Regolamento non trova, infatti, applicazione “where the transmission of machine-to-machine or Internet of Things services is carried out via a private or closed network such as a closed factory network” (Considerando 12).
Quanto ai soggetti non rientranti tra i destinatari degli obblighi, il Regolamento introduce la categoria delle c.d. “third parties” (Considerando 19). Queste ultime sono persone fisiche o giuridiche che non forniscono un servizio di comunicazione elettronica bensì servizi diversi (e ancillari rispetto al servizio di comunicazione elettronica) all’utente finale. Ai soggetti che dovessero qualificarsi come third parties non si applicano le disposizioni del Regolamento. Diversamente, il soggetto che metta a disposizione servizi necessari ai fini della fornitura del servizio di comunicazione elettronica (e.g., archiviazione automatica dei messaggi nel cloud tramite posta elettronica basata sul web) non potrà essere considerato un terzo e pertanto ad esso saranno applicabili le disposizioni del Regolamento. L’elemento dirimente è pertanto rappresentato dalla tipologia e dalla natura del servizio prestato.
Ambito oggettivo di applicazione: contenuti delle comunicazioni e metadati
Per quel che concerne l’ambito oggettivo di applicazione del Regolamento, occorre comprendere quali siano le tipologie di comunicazioni elettroniche prese in considerazione dal Regolamento.
Il Regolamento si applica (i) al trattamento dei contenuti delle comunicazioni elettroniche e dei metadati delle comunicazioni elettroniche effettuato in relazione alla fornitura e all’uso di servizi di comunicazione elettronica, (ii) alle informazioni contenute nelle apparecchiature terminali degli utenti finali, (iii) all’offerta di un elenco accessibile al pubblico di utenti finali di servizi di comunicazione elettronica, e (iv) all’invio di comunicazioni di marketing diretto agli utenti finali (art. 2).
Al contrario, il Regolamento non si applica: (i) alle attività che esulano dal campo di applicazione del diritto dell’Unione Europea, nonché a tutte le misure, attività di trattamento e operazioni concernenti la sicurezza e la difesa nazionali, ivi include le attività delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali e per la prevenzione di minacce alla sicurezza pubblica, (ii) alle attività degli Stati membri che rientrano nel campo di applicazione delle disposizioni sulla politica estera e di sicurezza comune di cui al Trattato sull’Unione Europea, (iii) ai servizi di comunicazione elettronica che non sono accessibili al pubblico, e (iv) ai dati relativi alle comunicazioni elettroniche trattati dopo il ricevimento da parte dell’utente finale.
Il Regolamento non troverà applicazione con riferimento a reti – domestiche o aziendali – il cui accesso è limitato a un gruppo predefinito di utenti finali (e.g., familiari, dipendenti di una società). Allo stesso modo, il Regolamento non si applica ai dati trattati dai servizi o dalle reti utilizzati a fini di comunicazione puramente interna tra istituzioni pubbliche, tribunali, amministrazioni giudiziarie, finanziarie, sociali e del lavoro. Non appena, però, i dati di comunicazione elettronica dovessero essere trasferiti dal closed network a una rete pubblica di comunicazione elettronica, il Regolamento troverà applicazione.
Sotto il profilo oggettivo, occorre distinguere tra il contenuto effettivo della comunicazione elettronica e i metadati corrispondenti. Questi ultimi sono le informazioni che si possono ricavare dalla comunicazione elettronica ma che non rivelano il contenuto della comunicazione stessa.
Se il contenuto delle comunicazioni elettroniche può contenere informazioni altamente sensibili relative alla persona coinvolta nella comunicazione, quali esperienze personali, emozioni, malattie, preferenze sessuali, posizioni politiche, la cui divulgazione potrebbe comportare un danno, una perdita economica o una situazione di disagio, allo stesso modo, i metadati potrebbero rivelare informazioni altrettanto sensibili e personali, quali numeri di telefono, ora e data delle comunicazioni, siti visitati, geolocalizzazione, permettendo così di trarre conclusioni sulla vita privata delle persone coinvolte, le relazioni sociali, le abitudini e attività della vita quotidiana, gli interessi e i gusti.
Il Regolamento tende quindi a tutelare tutte le comunicazioni elettroniche considerandole di default riservate: il presupposto per raccogliere e trattare i dati afferenti alle comunicazioni elettroniche degli utenti finali nell’UE (inclusi i metadati), consiste nell’aver raccolto un idoneo consenso (i.e., esplicito e inequivocabile) da parte degli utenti finali.
Tali considerazioni si estendono altresì ai trattamenti automatizzati nell’ambito delle interazioni machine-to-machine e dei servizi IOT. I fornitori di questi servizi e i rispettivi clienti devono essere considerati utenti finali (e non fornitori di servizi di comunicazione elettronica); come tali beneficiano del regime di riservatezza proprio dei dati di comunicazione elettronica.
Un ulteriore elemento di novità è rappresentato dalla disciplina del trattamento dei metadati. I fornitori di reti e servizi di comunicazione elettronica sono autorizzati a trattare metadati di comunicazioni elettroniche ove (i) sia necessario ai fini della gestione o dell’ottimizzazione della rete o per soddisfare i requisiti tecnici di qualità del servizio ai sensi della normativa rilevante in materia, (ii) sia necessario per l’esecuzione di un contratto di servizi di comunicazione elettronica di cui l’utente finale è parte, o se necessario per la fatturazione, il calcolo dei pagamenti di interconnessione, l’individuazione o la cessazione dell’uso fraudolento o abusivo di servizi di comunicazione elettronica o dell’abbonamento a tali servizi, (iii) l’utente finale abbia prestato il proprio consenso al trattamento per una o più finalità specifiche, (iv) sia necessario per tutelare gli interessi vitali di una persona fisica, (v) in relazione ai metadati che costituiscono dati relativi alla localizzazione, sia necessario a fini di ricerca scientifica, storica o a fini statistici (a condizione che- fra l’altro – tali dati siano pseudonimizzati e i dati relativi alla localizzazione non siano utilizzati per finalità di profilazione), e (vi) in relazione ai metadati diversi dai dati relativi alla localizzazione, sia necessario a fini di ricerca scientifica, storica o a fini statistici, purché tale trattamento sia conforme al diritto dell’UE o degli Stati membri e soggetto ad adeguate garanzie (e.g. cifratura, pseudonimizzazione), per tutelare i diritti fondamentali e l’interesse degli utenti finali in conformità a quanto previsto dal GDPR.
I metadati non potranno essere condivisi con terzi, a meno che gli stessi non siano resi anonimi. In coerenza con quanto previsto all’art. 6 del GDPR, il legislatore europeo ribadisce, infine, che al fine di utilizzare i metadati per finalità rispetto alle quali l’interessato non abbia prestato il proprio consenso, il titolare potrà effettuare una valutazione che accerti la compatibilità tra le finalità iniziali e quelle ulteriori. Tale previsione apre evidentemente la strada a trattamenti di informazioni per fini non del tutto prevedibili al momento della raccolta ma che cionondimeno potrebbero risultare leciti in quanto compatibili con quelli inizialmente comunicati agli interessati.
Il ruolo delle autorità competenti e dell’edpb, e il regime sanzionatorio
Al fine di garantire un elevato livello di protezione dei dati personali dell’applicazione delle norme del Regolamento, sono state previste una serie di disposizioni volte a disciplinare, da un lato, il ruolo delle autorità di controllo competenti in materia, e, dall’altro, un regime di rimedi e sanzioni da applicare in caso di violazioni alle norme del Regolamento.
Ruolo delle autorità competenti e dell’EDBP
Ogni Stato membro è tenuto a designare una o più autorità pubbliche indipendenti – che soddisfino i requisiti previsti dal GDPR – incaricate di vigilare sulla corretta applicazione del Regolamento; mentre, per quanto concerne l’applicazione dei diritti degli utenti finali a controllare le comunicazioni elettroniche (artt. 12 – 16) gli Stati membri possono affidarne il controllo alla sopramenzionata autorità, ad una diversa autorità o ad altre autorità di controllo dotate delle competenze adeguate. È evidente che le scelte in merito all’autorità (o alle autorità) competenti saranno determinanti per definire la strategia di enforcement.
Sempre in materia di enforcement, al fine di garantire l’applicazione uniforme del Regolamento, è altresì previsto che (i) le autorità di controllo di ogni Stato membro contribuiscano all’applicazione coerente del Regolamento in tutta l’Unione Europea, collaborino tra loro e con la Commissione; e (ii) qualora in uno Stato membro più di un’autorità di controllo sia responsabile del controllo dell’applicazione del Regolamento, tali autorità cooperino tra loro.
Qualora, invece, le autorità di controllo anzidette non siano le stesse responsabili del controllo dell’applicazione del GDPR, esse coopereranno con queste ultime e, se del caso, con le autorità nazionali istituite ai sensi della Direttiva (UE) 2018/1972 (Codice Europeo delle Comunicazioni Elettroniche).
Allo stesso modo, il Regolamento prevede un articolo specifico in relazione al ruolo e alle competenze dell’EDPB. Esso contribuisce all’applicazione uniforme del Regolamento e, a tal fine, sarà chiamato a (i) svolgere un ruolo consultivo nei confronti della Commissione su qualsiasi proposta di modifica del Regolamento, (ii) esaminare (di propria iniziativa, su richiesta di un’autorità di controllo, o su richiesta della Commissione) qualsiasi questione riguardante l’applicazione del Regolamento in relazione ai capi I, II e III, (iii) emettere orientamenti, raccomandazioni e best practice per garantire un’applicazione coerente del Regolamento, per facilitare la cooperazione tra le autorità, per valutare i diversi tipi di servizi di comunicazione elettronica e il momento della ricezione del contenuto delle comunicazioni elettroniche, sulla prestazione del consenso da parte degli utenti finali persone giuridiche e/o aventi un rapporto di lavoro, (iv) fornire alla Commissione un parere sulle icone standardizzate (menzionate all’articolo 8, par. 3) per semplificare gli obblighi informativi, (v) promuovere lo scambio di conoscenze e di documentazione sulla legislazione in materia di protezione delle comunicazioni elettroniche degli utenti finali e dell’integrità delle loro apparecchiature terminali.
Proprio l’EDPB con lo Statement 3/2021 on the ePrivacy Regulation, adottato il 9 marzo 2021, ha espresso parere favorevole al mandato negoziale del Consiglio sulla protezione della privacy e della riservatezza nell’uso dei servizi di comunicazione elettronica, ritenendo essenziale il quadro generale dell’UE per la protezione dei dati sia rapidamente integrato da norme armonizzate per le comunicazioni elettroniche. Ciononostante, è stato ribadito che il Regolamento non debba in alcun modo compromettere il livello di protezione offerto dall’attuale direttiva ePrivacy, né tanto meno il regolamento ePrivacy può essere usato per derogare alle norme del GDPR. Proprio a questo proposito, l’EDPB nell’ultimo Statement ha indicato al Consiglio alcune questioni che dovranno essere affrontate nei prossimi negoziati. In tema di tutela della riservatezza delle comunicazioni elettroniche, seppur l’EDPB concordi con l’approccio del Regolamento basato su divieti generali con eccezioni specifiche per il trattamento dei dati personali, l’EDPB ha espresso preoccupazione con riferimento ad alcune eccezioni (e.g., il trattamento di dati delle comunicazioni elettroniche da parte dei fornitori di reti e servizi di comunicazione elettronica se necessario per individuare o prevenire rischi di sicurezza o attacchi alle apparecchiature terminali degli utenti finali) in quanto sembrano consentire tipi di trattamento molto ampi e ricorda quindi la necessità di restringere tali eccezioni a scopi specifici e chiaramente definiti. L’EDPB auspica, inoltre, che il Regolamento ponga in primo piano il ruolo dell’anonimizzazione come misura essenziale da garantire in modo sistematico quando si usano dati delle comunicazioni elettroniche, ribadendo come l’adozione di sistemi di crittografia affidabili sia una necessità nel mondo digitale moderno.
Regime sanzionatorio
Oltre a riconoscere il diritto al risarcimento del danno per coloro che hanno subito un pregiudizio a seguito di violazioni, il Regolamento prevede diverse sanzioni a seconda della violazione commessa, indicando i criteri per la determinazione delle stesse che saranno poi caso per caso applicati dall’autorità di controllo competente. Quest’ultima dovrà tenere conto della natura, della gravità e della durata della violazione e delle sue conseguenze, nonché delle misure adottate per garantire il rispetto degli obblighi del Regolamento e per prevenire o attenuare le conseguenze della violazione stessa.
In linea generale, il regime delle sanzioni amministrative del GDPR (i.e., regime sanzionatorio con definizione dei massimi edittali si applica, mutatis mutandis, anche nel contesto del Regolamento.
Ai sensi dell’articolo 23, il Regolamento prevede, poi, sanzioni amministrative specifiche a seconda del tipo di violazione. In particolare, in caso di violazione degli obblighi previsti per le persone fisiche o giuridiche che trattano dati relativi a comunicazioni elettroniche (art. 8), degli obblighi previsti per i fornitori di elenchi accessibili al pubblico (art. 15), degli obblighi previsti le persone fisiche o giuridiche che usano dati relativi a comunicazioni elettroniche (art. 16) le sanzioni ammontano al maggiore tra 10 milioni di euro o, nel caso di un impegno, fino al 2% del fatturato mondiale dell’anno precedente.
Agli Stati membri è invece lasciata la possibilità di prevedere norme ad hoc che regolino le sanzioni amministrative da applicare per alcune specifiche violazioni, in particolare quelle delle previsioni relative alla presentazione dell’identificazione della linea chiamante e della linea chiamata (art. 12), alle eccezioni alla presentazione e restrizione dell’identificazione della linea chiamante e collegata in relazione alle comunicazioni di emergenza (art. 13), al blocco delle chiamate indesiderate, dolose o moleste (art. 14).
I singoli Stati membri potranno inoltre prevedere norme volte a individuare le sanzioni – efficaci e proporzionate – applicabili alle violazioni del Regolamento che non prevedano una specifica sanzione. Tali norme dovranno essere notificate alla Commissione entro otto mesi dalla data di entrata in vigore del Regolamento e ogni successiva modifica senza ritardo.
