Dopo l'approvazione della riforma del Regolamento in materia di protezione dei dati personali (GDPR), che entrerà in vigore nel 2018, entro la metà del 2017 l'Unione europea dovrebbe approvare anche la riforma della direttiva Eprivacy (2002/85/CE), che si occupa specificamente della tutela delle comunicazioni elettroniche, della sicurezza dei dispositivi digitali e della protezione dei dati personali nel mondo online. La riforma si presenta quindi come una normativa di dettaglio rispetto al GDPR, il quale pone le regole generali per la protezione dei dati personali.

Anche per questa materia si è preferito passare dalla direttiva, che necessita di adattamento nazionale, al regolamento, che invece si applica automaticamente a tutti gli Stati senza necessità di recepimento, al fine di realizzare l’unificazione delle norme tra tutti gli Stati dell’Unione europea (punto 2.4 del Memorandum della bozza presentata dalla Commissione europea il 17 gennaio scorso).

Consultazione pubblica

Dal Memorandum della bozza possiamo ricavare alcune interessanti informazioni sui risultati ottenuti dalla consultazione pubblica. In particolare notiamo che vi è un netto contrasto tra le posizioni dell’industria e quelle delle organizzazioni per i diritti civili e le pubbliche autorità. È noto, infatti, che l’industria si è opposta alla realizzazione del Regolamento ePrivacy, ritenendo più che sufficiente la normativa che si rifà al Regolamento Generale, e per questo chiede l'abrogazione della attuale direttiva Eprivacy. Il 64% degli interventi da parte dell’industria nella consultazione, infatti, era contrario a una regolamentazione specifica per le comunicazioni online, mentre l’83% dei cittadini e relativi associazioni e addirittura l’88% delle autorità pubbliche sono a favore di tale legge speciale.

Il perché è evidente: esiste una palese differenza tra le comunicazioni online (es. mail), che vengono regolarmente scansionate e le comunicazioni che avvengono tramite, ad esempio, il telefono, le quali possono essere ascoltate solo a seguito di un mandato di un giudice. È quindi necessario armonizzare la tutela dell’online con l’offline. Non dimentichiamo che oggi la maggior parte delle comunicazioni passa tramite Internet: ad esempio i sistemi di messaggistica hanno sostanzialmente soppiantato gli SMS.

Le aziende, in particolare, spingono per una autoregolamentazione che, a loro dire, porterebbe benefici per i consumatori, laddove, in realtà, l’assenza di una specifica regolamentazione (perché il GDPR non regolamenta direttamente la libertà di comunicazione online) consentirebbe alle aziende di estendere e consolidare il modello commerciale del monitoraggio degli utenti.

Regolamento Eprivacy, di cosa si occupa e a chi si applica

Quindi, certa la necessità di una regolamentazione di dettaglio, il Regolamento Eprivacy si occupa specificamente della privacy nelle telecomunicazioni, sia con riferimento alle persone fisiche che a quelle giuridiche (anche se con alcune differenze). Il Regolamento si applica ai fornitori di servizi di comunicazione elettronica, ma anche di comunicazioni tradizionali, ai fornitori di elenchi pubblici, ai fornitori di software di comunicazione elettronica, compreso il recupero e la presentazione di informazioni online. Inoltre, si applica ai soggetti (persone fisiche o giuridiche) che inviano comunicazioni commerciali o collezionano dati degli utenti, compreso quelli relativi ai dispositivi degli utenti o contenuti negli stessi dispositivi (Considerando 8).

Il Regolamento si occupa delle seguenti attività:

Per quanto riguarda la competenza territoriale, il Regolamento si applica ai dati trattati tramite servizi locati nell'Unione europea, indipendentemente dal luogo di effettivo trattamento, nonché a quelli di utenti risiedenti sempre in Ue. Si tratta di un'estensione volta a coprire, quindi, tutti i servizi che in qualche modo trattano dati di un utente, o di un dispositivo digitale, che si trova nel territorio dell’Unione europea.

Inoltre, il Regolamento si applica anche alle comunicazioni tra macchine o sistemi automatizzati, a coprire anche le attività che rientrano nel cosiddetto Internet of Things(Internet degli Oggetti), poiché tali comunicazioni coinvolgono ovviamente anche dati afferenti agli utenti (Considerando 12).

Nella bozza è espressamente menzionata la volontà di utilizzare definizioni ampie e neutrali, in modo da rendere la normativa flessibile e adattabile alle future evoluzioni tecnologiche. Il Regolamento, invece, non si applica ai servizi di comunicazione non disponibili al pubblico, e alle attività delle Autorità per la prevenzione e repressioni di reati o per la tutela della sicurezza pubblica.

La tutela delle comunicazioni elettroniche

Venendo alla regolamentazione, la base di partenza è la regola che le comunicazioni elettroniche devono essere confidenziali, e quindi il trattamento delle comunicazioni, intese in senso ampio, è soggetto al consenso dell’utente, a meno che non rientri in una regola di esenzione per motivi specifici. Il consenso, come per il GDPR, è la regola in base alla quale il trattamento può avvenire, ma esistono, anche qui come per il GDPR, tutta una serie di basi giuridiche che permettono il trattamento di dati senza necessità di consenso, come ad esempio questioni di sicurezza del sito web o in genere del servizio fornito. È ovvio che l’esenzione deve essere intesa con riferimento alla specifica finalità, per cui il trattamento di dati a fini di sicurezza non può mai sfociare in un trattamento di dati ulteriori rispetto a quelli strettamente necessarie per la tutela del servizio.

Come anche per il GDPR, il consenso deve essere liberamente fornito. Questo significa che non è valido un consenso estorto col ricatto di non fornire il servizio se non si consente al trattamento di dati ulteriori rispetto al servizio stesso. È, invece, permesso lo scambio tra dati (invece che un pagamento in denaro) e fornitura di servizi.

La tutela si estende anche ai dispositivi degli utenti, intesi quali parte della sfera privata dell’utente stesso, nei quali sono contenuti generalmente dati personali e sensibili. Il trattamento di dati del dispositivo e in genere la raccolta di dati dal dispositivo sono ammessi solo in presenza di uno specifico consenso. Anche qui soccorrono casi di esenzione, ma sono strettamente limitati.

In questo quadro, la regolamentazione si pone il problema dell’eccesso di richieste di consenso (Considerando 22) che ormai si presentano all'utente che naviga online, tramite i banner con gli avvertimenti e le relative informative sui cookie. Per questo motivo il Regolamento prevede la possibilità di fornire il consenso in maniera cumulativa tramite le impostazioni dei browser o di altre applicazioni. Le scelte operate in tal modo devono essere vincolanti per le terze parti. L’applicativo non dovrà bloccare di default i cookie, ma presentare le informazioni utili all'utente al momento dell’installazione, per consentirgli di scegliere con consapevolezza se bloccare o meno i cookie. La norma appare così trasportare il consenso oggi previsto a carico dei siti (con i banner) ai browser.

Il progetto di Regolamento distingue esplicitamente tra dati, metadati e contenuto delle comunicazioni con specifiche e precise definizioni. Il Regolamento consente alle aziende l’elaborazione di metadati (termine che sostituisce la precedente definizione di “dati di traffico”) ai fini di sicurezza del servizio, per rilevare guasti tecnici e per prevenire frodi od abusi del servizio. Nella bozza del 10 gennaio la categoria dei metadati è stata, però, sfoltita, eliminando i dati che identificano i dispositivi digitali (telefono, tablet, router) e la localizzazione dei dispositivi.

Ovviamente il Regolamento non inficia la possibilità degli Stati nazionali di operare intercettazioni delle comunicazioni per la prevenzione e la repressione di reati e per la tutela della sicurezza pubblica. I fornitori di servizi dovranno predisporre apposite procedure per rispondere alle legittime richieste della autorità (Considerando 26).

Per quanto riguarda le regole di emarketing, è richiesto il consenso preventivo (opt-in) a meno che i dati siano stati raccolti a seguito di un contratto tra le parti, nel qual caso occorre solo consentire la revoca del consenso (opt-out).

Un altro problema che si è posto all'attenzione della Commissione riguarda il direct marketing operato tramite telefonate e comunicazioni (all'interno di tale categoria rientrano anche le comunicazioni dei partiti politici). Il Regolamento punta a fornire una tutela per gli utenti dalle comunicazioni non sollecitate (spam), che è materia non regolamentata dal GDPR, e quindi in assenza di un Regolamento eprivacy sarebbe sprovvista di regolamentazione. I fornitori di servizi di comunicazione dovranno predisporre appositi strumenti per il blocco delle chiamate mute e altre forme di comunicazioni indesiderate o fraudolente.

Per quanto riguarda gli elenchi pubblici, anche qui la regola base per l’inclusione dei dati dell’utente è la raccolta, prima del trattamento, di un valido consenso, fornendo nel contempo un facile mezzo per revocare il consenso fornito.

Infine, come è ovvio, la tutela degli utenti spetta alle Autorità di Controllo (per l’Italia il Garante per la Privacy) con specifica indicazione che tali Autorità non possono essere quelle demandate al controllo dei gestori di telefonia, le quali si occuperanno di imporre le sanzioni per le violazioni del Regolamento, fino al 4% di fatturato annuale globale (come previsto anche dal GDPR). La bozza del 10 gennaio presenta una limitazione rispetto ai testi precedenti, in quanto non è più possibile per le associazioni per i consumatori rappresentare uno o più utenti al fine di tutelare il loro diritto alla privacy.

In conclusione

Occorre premettere che lo scopo del Regolamento Eprivacy è quello di assicurare la libera circolazione dei dati e dei servizi di comunicazione elettronica nell'ambito del Digital Single Market dell’Unione europea.

Ancora una volta, quindi, l’attenzione è sull'aspetto commerciale. A differenza, però, delle normative statunitensi, le quali partono da un approccio strettamente commerciale, in base al quale i diritti dei cittadini sono tutelati tramite l’autoregolamentazione del mercato (le imprese tutelano la privacy in quanto politiche troppo aggressive tendono a scoraggiare i clienti), in Europa la privacy è un diritto fondamentale del cittadino e quindi si cerca un equilibrio tra i diritti. A un approccio settoriale, proprio degli Usa, dove si ha una moltiplicazione delle norme rendendo difficile per i cittadini conoscerle tutte, l’Europa risponde con un approccio generale che, se da un lato tende ad essere meno adattabile alle evoluzioni tecnologiche (la direttiva Eprivacy è del 2002, ed è già considerata superata), dall'altro semplifica notevolmente il quadro normativo rendendo più semplice il compito al cittadino.

Infatti, uno degli strumenti primari per la tutela di un individuo è la trasparenza, sia delle regole (nel senso di comprensibilità delle norme) ma anche dei diritti e soprattutto delle violazioni (anche imponendo alle imprese obblighi di comunicazione delle perdite di dati). Ricordiamo che molte aziende americane hanno cominciato a opporsi alle eccessive richieste delle agenzie statunitensi nel momento in cui hanno preso coscienza del fatto che stavano perdendo la fiducia dei clienti. E così hanno iniziato anche a pubblicare rapporti di trasparenza, in modo da rassicurare i loro clienti. Di contro, allo stato non risulta nessuna azienda europea che pubblichi rapporti di trasparenza dello stesso tipo.

Questo per dire che se l’approccio europeo, teso a realizzare norme chiare e semplici, in modo da creare consapevolezza negli utenti prima di ogni cosa, appare positivo, manca ancora la presa di coscienza da parte delle aziende europee che la tutela dei diritti può costituire quell'elemento in più per fidelizzare gli utenti. Sotto questo profilo il Regolamento Eprivacy avrebbe potuto spingere di più sull'introduzione di obblighi di trasparenza.

Il Regolamento dovrebbe essere approvato entro la metà del 2017 e dovrebbe entrare in vigore il 25 maggio del 2018. In verità il termine del 25 maggio 2018 appare piuttosto ambizioso, considerando che ci sono voluti 4 anni per finalizzare il GDPR.