Con l’entrata in vigore definitiva del Regolamento Generale sulla Protezione dei Dati (“GDPR”) ormai alle spalle, l’attenzione degli utenti più accorti e dei fornitori di servizi di comunicazione elettronica è ora tutta rivolta ai negoziati in seno alle istituzioni europee che potrebbero portare all’adozione di un altro Regolamento europeo relativo alla tutela dei dati personali: il cosiddetto Regolamento ePrivacy (“ePR”).
Che cos’è il Regolamento ePrivacy
Si tratta di un Regolamento complementare al GDPR che stabilisce norme specifiche per la tutela dei dati trattati ai fini della fornitura e della fruizione di servizi di comunicazione elettronica (quali email, messaggistica istantanea, ecc.).
La bozza del Regolamento ePrivacy è stata presentata dalla Commissione europea nel gennaio del 2017 ed è ora all’esame del Parlamento europeo e del Consiglio. Se adottato, il Regolamento andrebbe a sostituire, aggiornandone i contenuti, la Direttiva ePrivacy che attualmente fissa regole specifiche volte a garantire la riservatezza delle comunicazioni e la tutela dei dati personali nel settore delle comunicazioni elettroniche.
A che serve il Regolamento ePrivacy
Secondo la Commissione europea, l’aggiornamento della Direttiva ePrivacy si sarebbe reso necessario per accrescere la fiducia dei consumatori nei servizi digitali nonché per mettere la normativa del settore in questione al passo con gli sviluppi tecnologici occorsi nell’ultimo decennio. Infatti, sempre a parere della Commissione, uno dei principali motivi che renderebbero necessario un aggiornamento della normativa è che dall’ultima revisione della Direttiva ePrivacy nel 2009 “si sono … registrati importanti sviluppi tecnologici ed economici. I consumatori e le imprese si sono affidati sempre più ai nuovi servizi basati su internet intesi a consentire le comunicazioni interpersonali, quali il voice-over-IP, la messaggistica istantanea e i servizi di posta elettronica basati sulla rete anziché fruire dei servizi di comunicazione tradizionali. Questi servizi di comunicazione over-the-top (“OTT”) non sono di norma soggetti all’attuale quadro di riferimento dell’Unione per le comunicazioni elettroniche.” Ciò si tradurrebbe in una lacuna nella tutela delle comunicazioni effettuate mediante tali nuovi servizi.
L’impatto del Regolamento sul fatturato delle aziende
La necessità di aggiornare la Direttiva ePrivacy, o quantomeno l’opportunità di introdurre regole più severe di quelle attuali, è però messa in discussione da molti ed in particolare da quegli operatori economici i cui servizi verrebbero maggiormente impattati dall’introduzione di regole più rigide sul trattamento dei dati delle comunicazioni elettroniche. Infatti, secondo alcuni studi, l’adozione del Regolamento ePrivacy potrebbe comportare una riduzione complessiva del fatturato annuo delle aziende europee superiore a 500 miliardi di euro, e a risentirne di più sarebbero probabilmente i fornitori di servizi online, quali email, messaggistica istantanea e servizi vocali online. Non sorprende quindi che il dibattito in seno alle istituzioni europee sia molto acceso, e che le sorti stesse del Regolamento siano incerte.
Ecco una panoramica sulle questioni ancora sul tavolo e sulle principali novità che potrebbero essere introdotte dal Regolamento ePrivacy.
Le principali novità del Regolamento ePrivacy
- Regolamento vs Direttiva: così come avvenuto col GDPR, la scelta operata dal legislatore europeo è stata quella di proporre il passaggio da una Direttiva (in questo caso la Direttiva ePrivacy) ad un Regolamento (ossia il Regolamento ePrivacy). Come è noto, un Regolamento è immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali. Pertanto, questo strumento normativo è in grado di incidere in maniera più decisa sul grado di armonizzazione della normativa sulle comunicazioni elettroniche a livello europeo. Questa scelta è stata apprezzata dal Gruppo di Lavoro Articolo 29 proprio in quanto assicura norme uniformi in tutta l’UE, garantisce chiarezza tanto alle autorità di controllo quanto alle aziende e contribuisce ad assicurare la coerenza con il GDPR. La scelta del Regolamento come strumento normativo non pare essere stata messa in discussione nell’ambito dell’esame del testo proposto dalla Commissione da parte del Parlamento europeo e del Consiglio. É quindi probabile che se si arriverà ad adottare nuove regole europee in materia di comunicazioni elettroniche lo si farà in forma di Regolamento.
- Ampliamento dell’ambito di applicazione anche agli OTT: una delle principali novità che si sta tentando di introdurre con il Regolamento ePrivacy è l’estensione del campo di applicazione della Direttiva ePrivacy ai cosiddetti fornitori di servizi over-the-top (“OTT”), ossia a quei fornitori di servizi di comunicazione basati sull’uso della rete Internet come i servizi di instant messaging. Come già accennato, le norme vigenti contenute nella Direttiva ePrivacy si applicano solo ai fornitori di servizi di comunicazione elettronica “tradizionali”, quali gli operatori di telefonia mobile e fissa e le società che forniscono l’accesso a Internet. Con questa estensione dell’ambito di applicazione della normativa ePrivacy si equiparerebbero, da un punto di vista regolamentare, gli operatori “tradizionali” agli OTT. Si tratta di uno degli aspetti più controversi della riforma proposta. Infatti, da un lato c’è chi vede con favore questa estensione dell’ambito di applicazione ritenendo che i servizi OTT siano equivalenti sotto il profilo funzionale a mezzi di comunicazione più tradizionali e possano quindi avere analoghe ripercussioni sulla vita privata e sul diritto alla riservatezza delle comunicazioni; dall’altro, c’è chi ritiene che i servizi OTT non siano assimilabili ai servizi di comunicazione tradizionali, e pertanto non dovrebbero essere sottoposti alle medesime regole. In pratica, con l’adozione del Regolamento, gli OTT sarebbero soggetti alle stesse regole che si applicano alle telco. Ciò si tradurrebbe, ad esempio, in una forte limitazione della possibilità di trattare i dati relativi all’uso della messaggistica istantanea o dei servizi vocali online. Infatti, le condizioni di liceità del trattamento previste dal Regolamento ePrivacy sono molto più limitate rispetto a quelle previste dal GDPR, oggi applicabili agli OTT. Ad esempio, al contrario del GDPR, il Regolamento ePrivacy non consente di trattare i dati per il perseguimento di un legittimo interesse del titolare.
- Confidenzialità delle comunicazioni da macchina a macchina: un’altra importante novità riguarda il riconoscimento che il principio di riservatezza sancito dal Regolamento ePrivacy dovrebbe applicarsi anche alla trasmissione di comunicazioni da macchina a macchina. Si tratta di un chiarimento dettato dall’osservazione che un numero crescente di dispositivi e di oggetti di uso comune comunicano sempre più fra loro per mezzo di reti di comunicazione elettroniche: è il fenomeno del cosiddetto “internet delle cose” o “IoT”. Anche questa è una novità parecchio controversa che alcuni hanno definito come uno dei “maggiori ostacoli” per le aziende che verrebbero introdotti dal Regolamento. Infatti, l’affermazione del principio secondo cui le comunicazioni da macchina a macchina godono della protezione offerta dal Regolamento potrebbe avere ripercussioni sulla trasmissione di informazioni che molti dispositivi oggi inviano automaticamente al proprio fabbricante, anche a fini di manutenzione e sicurezza. In sostanza, l’adozione del Regolamento comporterebbe che il trasferimento di questi dati possa avvenire solo con il consenso dell’utente, e non in automatico come avviene oggi. Ciò comporterebbe un maggiore controllo sul flusso dei dati in uscita dai dispositivi IoT da parte degli utenti, ma al contempo anche una perdita di efficienza nella gestione degli aggiornamenti dei dispositivi.
- Consenso per l’uso dei cookie attraverso le impostazioni del browser: un altro elemento innovativo contenuto nella proposta di Regolamento riguarda i cookie. Si è pensato di rimediare all’eccesso di “cookie banner” che si presentato quotidianamente agli utenti di Internet imponendo ai browser di consentire agli utenti di gestire il proprio consenso ai “cookie di terze parti” tramite le impostazioni del browser. Il timore però è che la soluzione suggerita non risolva il problema, essendo ben possibile che i famigerati “cookie banner” verrano semplicemente sostituiti da altri pop-up che informeranno l’utente dell’impossibilità di visitare il sito desiderato senza modificare le impostazioni del browser.
- Sanzioni più elevate e meccanismi di enforcement più efficaci: vista la stretta relazione esistente tra il Regolamento ePrivacy ed il GDPR, la proposta è quella di allineare la sanzioni amministrative previste per le violazioni del Regolamento ePrivacy con quelle previste dal GDPR, ovvero sanzioni fino a 20 milioni di euro o fino al 4 % del fatturato totale annuo, se superiore. Sempre per garantire la coerenza tra Regolamento ePrivacy e GDPR, si è proposto di affidare la responsabilità di far applicare la normativa sulle comunicazioni elettroniche alle stesse autorità responsabili del monitoraggio del GDPR. Quest’ultimo aspetto non rappresenterà una vera novità per quegli Stati membri, come l’Italia, ove il compito di far rispettare la normativa che attua la Direttiva ePrivacy è già demandato alle autorità per la protezione dei dati personali.
Il rapporto con il GDPR
Il rapporto tra Regolamento ePrivacy e il GDPR è di complementarietà. Tuttavia, mentre il GDPR mira in generale ad assicurare la protezione dei dati personali, il Regolamento ePrivacy mira ad assicurare la riservatezza e la sicurezza delle comunicazioni elettroniche nonché l’integrità delle informazioni contenute nei dispositivi elettronici utilizzati per comunicare (quali smartphone, tablet, ecc.), che contengano o meno dati personali.
Il rapporto tra il GDPR e la vigente Direttiva ePrivacy è espressamente disciplinato all’articolo 95 del GDPR, il quale prevede che quest’ultimo non impone obblighi supplementari in relazione al trattamento dei dati effettuato nel quadro della fornitura di servizi di comunicazione elettronica, almeno per quanto riguarda quegli aspetti già specificamente disciplinati dalla Direttiva ePrivacy. Il che significa che la Direttiva ePrivacy è una sorta di lex specialis le cui regole prevalgono su quelle generali fissate dal GDPR. Ad esempio, dato che la Direttiva ePrivacy contiene regole specifiche in materia di sicurezza del trattamento, i fornitori di servizi di comunicazioni elettroniche non saranno tenuti ad applicare le misure di sicurezza cui all’articolo 32 del GDPR. Il GDPR continua però a trovare applicazione nel settore delle comunicazioni elettroniche per quanto riguarda tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali non specificamente disciplinati dalle disposizioni della Direttiva ePrivacy.
Il rapporto tra il Regolamento ePrivacy ed il GDPR dovrebbe rimanere largamente invariato rispetto a quello oggi esistente tra la Direttiva ePrivacy ed il GDPR. Infatti, la bozza presentata dalla Commissione indica che il Regolamento ePrivacy “precisa e integra” il GDPR. Tuttavia, alcuni aspetti del rapporto tra questi due strumenti rimangono ancora da chiarire, ad esempio quale sia la protezione che il GDPR garantisce al contenuto delle comunicazioni elettroniche e quale invece quella garantita dal Regolamento ePrivacy. In ogni caso, è bene ribadire che fino all’adozione definitiva del Regolamento ePrivacy restano applicabili le disposizioni della Direttiva ePrivacy, nonché quelle delle misure nazionali che la attuano come il nostro Codice della Privacy, le quali continueranno a prevalere sulle disposizioni generali del GDPR aventi lo stesso obbiettivo, in conformità all’articolo 95 dello stesso.
L’iter di approvazione del Regolamento ePrivacy
Come già anticipato, l’iter di approvazione del Regolamento ePrivacy sta incontrando non poche difficoltà. La prima bozza del Regolamento ePrivacy è stata presentata dalla Commissione europea nel gennaio 2017. L’idea iniziale era quella di procedere all’adozione del Regolamento prima del 25 maggio 2018, in modo da consentirne l’entrata in vigore in parallelo al GDPR. Tuttavia, il testo proposto dalla Commissione ha incontrato parecchie resistenze una volta sottoposto all’esame del Parlamento europeo e del Consiglio. Lo scorso ottobre, il Parlamento europeo ha adottato la propria posizione in prima lettura la quale ha introdotto numerose modifiche alla proposta di Regolamento presentata Commissione. Questo passaggio istituzionale consentirà di dare formalmente inizio ai negoziati tra le tre istituzioni (Parlamento, Consiglio e Commissione) per addivenire ad un accordo sul testo definitivo, non appena anche il Consiglio avrà adottato la propria posizione in prima lettura. Tuttavia, l’esame della proposta di Regolamento in seno al Consiglio procede a rilento. Gli ultimi sviluppi riguardano la presentazione nel mese di maggio di una nuova bozza di Regolamento e di un rapporto sui progressi fatti da parte della presidenza Bulgara del Consiglio. La Commissione ed il Parlamento stanno tentando di fare pressione sul Consiglio affinché adotti la propria posizione al più presto, in modo da cominciare i negoziati inter-istituzionali entro la fine di giugno 2018. Non è però ancora chiaro quali saranno le prossime mosse del Consiglio. In ogni caso, visto lo stallo dell’iter legislativo, appare abbastanza evidente che il nuovo Regolamento ePrivacy non potrà essere adottato (sempre che si riesca ad adottarlo) prima della fine del 2018, e che quindi non ci si possa attendere una sua entrata in vigore definitiva prima del 2019.
