Il 10 gennaio del 2017 la Commissione europea ha pubblicato la sua proposta di riforma della Direttiva ePrivacy. Il 28 settembre la Commissione IMCO (Internal Market and Consumer Protection) ha adottato il suo parere sul Regolamento. La Commissione per gli affari giuridica (JURI) e quella per la ricerca, l’energia e l’industria (ITRE) hanno adottato i loro rispettivi pareri il 2 ottobre. L’11 ottobre la Commissione LIBE (libertà civili) del Parlamento europeo discuterà la proposta di riforma, che confluirà in una versione da dibattere nel Parlamento in sessione plenaria il prossimo 23 ottobre.

Leggi anche >> Cosa prevede il regolamento europeo per la tutela dei nostri dati e per la privacy

L’intenzione è di concludere il dibattito entro la fine dell’anno, in modo da poter approvare il Regolamento in tempo per farlo entrare in vigore insieme al Regolamento per la protezione dei dati personali o GDPR (cioè maggio del 2018). La ePrivacy si muove, infatti, nel quadro generale posto dal GDPR e si sovrappone a esso con regolamentazioni per specifici settori, quali il trattamento dei dati all'interno dei servizi digitali e delle comunicazioni in Internet.

I dati delle comunicazioni elettroniche

La tradizionale telefonia e i messaggi testuali (SMS) sono ormai soppiantati dai cosiddetti Over The Top (OTT), per cui si pone sempre più urgentemente il problema di armonizzare la regolamentazione dei servizi digitali con i servizi tradizionali. La definizione di OTT ingloba le imprese prive di una propria infrastruttura di comunicazione, che però forniscono una serie di servizi attraverso la rete Internet (quindi al di sopra delle reti = over the top), cioè tramite gli Internet access provider. Nel caso specifico il riferimento è ai servizi di messaggistica (Whatsapp, Skype, Telegram) o in generale di comunicazione elettroniche, come il Voip (voice over Ip).

Il regolamento ePrivacy recepisce la definizione di servizi di comunicazioni elettroniche dalla proposta di direttiva che istituisce il Codice delle Comunicazioni elettroniche, nel quale la definizione comprende i servizi di accesso alla rete Internet e i servizi che consistono, in tutto o in parte, nel trasporto di segnali e comunicazioni interpersonali, quindi con l’inclusione dei servizi di messaggistica, di posta elettronica e voip.

Al fine di tutelare gli utenti nell'utilizzo di servizi equivalenti, la proposta di regolamento ePrivacy estende le regole stabilite per gli operatori di telecomunicazioni e Internet provider agli OTT e in genere ai servizi di comunicazioni interpersonali anche qualora siano semplicemente ausiliari (ancillary) ad altri servizi, così coprendo anche le Gaming App, nelle quali possono essere scambiati messaggi (giochi multiplayer). È utile ricordare che la regolamentazione non si applica soltanto ai servizi stabiliti nell'Unione europea, ma in genere a tutti i fornitori di servizi rivolti a utenti residenti nell'Unione europea (art. 3). Se l’azienda non è stabilita nell'Unione dovrà designare un rappresentante all'interno del territorio europeo.

L’articolo 5 fissa un divieto generale di interferenze con le comunicazioni elettroniche, dati e contenuti, da parte di persone diverse dagli utenti finali, eccetto che nei casi indicati dal regolamento medesimo. Ovviamente ciò comporta che anche la semplice conservazione dei dati sia vietata.

È l’articolo 6 a fissare i casi in cui il trattamento dei dati della comunicazione da parte dei fornitori di reti e servizi di comunicazione elettronica è ammesso, e cioè: (a) se necessario per realizzare la trasmissione della comunicazione, per la durata necessaria a tal fine, oppure (b) se necessario per mantenere o ripristinare la sicurezza delle reti e dei servizi di comunicazione elettronica o rilevare problemi e/o errori tecnici nella trasmissione di comunicazioni elettroniche, per la durata necessaria a tal fine.

I fornitori di servizi di comunicazione elettronica possono, inoltre, trattare i metadati della comunicazione elettronica se necessario per soddisfare i requisiti di qualità obbligatori a norma delle direttive europee, oppure per esigenze di fatturazione, per il rilevamento di uso fraudolento o abusivo dei servizi, o se l’utente finale ha prestato il suo consenso al trattamento dei metadati delle sue comunicazioni per uno o più fini specificati, compresa l’erogazione di servizi di traffico a tali utenti finali, purché i fini in questione non possano essere realizzati mediante un trattamento anonimizzato delle informazioni.

I fornitori di servizi di comunicazione elettronica possono trattare il contenuto delle comunicazioni elettroniche solo a fini di erogazione di un servizio specifico a un utente finale, se questi ha prestato il consenso al trattamento del contenuto della comunicazione e l’erogazione del servizio non può essere realizzata senza il trattamento di tale contenuto, oppure se tutti gli utenti finali interessati hanno prestato il loro consenso al trattamento del contenuto delle loro comunicazioni elettroniche per uno o più fini specificati che non possono essere realizzati mediante il trattamento anonimizzato delle informazioni e il fornitore ha consultato l’autorità di controllo.

L’articolo 7 prevede l’obbligo di cancellazione dei dati e dei metadati, oppure in alternativa l’anonimizzazione, quando non sono più necessari ai fini della trasmissione, tranne quelli necessari a fini di fatturazione.

L’articolo 8 fissa le regole per la raccolta di informazioni dai terminali degli utenti, compreso i cookie.

Infine, l’articolo 11 permette all’Unione europea o ad uno Stato membro di introdurre limitazioni legislative agli obblighi di cui agli articoli da 5 a 8, se tali limitazioni rispettano le libertà fondamentali e costituiscono una misura necessaria, appropriata e proporzionata in una società democratica intesa a salvaguardare la sicurezza nazionale, la difesa, la sicurezza pubblica, la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, o altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell'Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale.

L’articolo 2 esclude le attività delle autorità statali a fini di prevenzione e repressione di reati dall’applicazione del regolamento ePrivacy.

In sintesi, le nostre comunicazioni elettroniche (messaggi, chiamate, mail e navigazione online) non possono essere utilizzate se non con il nostro consenso.

Gli emendamenti che possono ridurre la tutela della privacy

Numerosi sono, però, gli emendamenti presentati, da discutere oppure già approvati (nei pareri), che potranno mutare drasticamente la situazione e quindi ridurre la tutela della nostra vita privata.

Il parere adottato in Commissione IMCO prevede la protezione delle comunicazioni elettroniche solo quando le comunicazioni sono in “transito”. Questa modifica consentirebbe alle aziende di utilizzare il contenuto delle comunicazioni elettroniche quando queste sono memorizzate nel cloud, sui server aziendali (quindi non in transito), a fini di comunicazioni commerciali e profilazione degli utenti. Diversamente, il parere della Commissione JURI tutela le comunicazioni sia in transito che a riposo, inibendo al provider di servizi di leggere le mail quando sono memorizzate nel cloud, a meno di ottenere un espresso consenso.

Anche molti degli emendamenti proposti in Commissione LIBE modificherebbero la proposta in riforma riducendo la protezione per gli utenti. Ad esempio l’emendamento 397 recita:

The processing of electronic communications data following conveyance to the intended recipients or their service provider shall be subject to Regulation (EU) 2016/679

Altri emendamenti stabiliscono che il trattamento è soggetto all'attuale normativa, da intendersi ovviamente il GDPR. Il punto è che il GDPR prevede espressamente i legittimi interessi quale base del trattamento. In particolare il Considerando 47 stabilisce che il trattamento dei dati per finalità di marketing diretto può essere considerato legittimo interesse. I legittimi interessi consentono alle aziende di valutare direttamente il bilanciamento tra i propri interessi (anche economici) e quelli degli utenti, in tal modo introducendo un fattore di incertezza nell'applicazione delle norme.

Insomma, un’azienda potrà sostenere di avere un legittimo interesse, economico, a trattare i dati delle nostre comunicazioni, valutando personalmente se esiste un bilanciamento sufficiente coi diritti dei cittadini. Il cittadino potrà solo opporsi successivamente presentando un esposto all'Autorità di controllo.

L’emendamento 441, invece prevede, in aggiunta alle eccezioni di cui all’articolo 6 (vedi sopra):

(b a) it is necessary for the purpose of the legitimate interests of the provider except where such interests are overridden by the interests or fundamental rights and freedoms of the consumers concerned;

Anche qui si introducono i legittimi interessi quale base giuridica del trattamento, rendendo così non più necessario il consenso dell’interessato. L’emendamento 479 addirittura, richiamando l’art. 6 del GDPR, consente il trattamento per legittimo interesse dell’azienda ma anche per “further processing” (" elaborazione ulteriore”), nel qual caso sarà sufficiente per l’azienda assicurarsi che l’elaborazione dei dati “ulteriore” rispetto a quella necessaria per instradare la comunicazione, persegua uno scopo compatibile con la richiesta iniziale (che eventualmente potrebbe essere anche uno scopo commerciale o di invio di pubblicità mirata).

2 a. Art.6 of Regulation (EU) 2016/679 shall apply;

La normativa attuale, infatti, prevede che un trattamento sia legittimo se legato alla finalità per la quale sono stati raccolti i dati (quindi cosa il titolare dice all'interessato che farà con i dati). Il GDPR, però, prevede anche la possibilità di trattamenti per finalità compatibili, nel qual caso (art. 6 GDPR) per stabilire se la finalità è compatibile occorre tenere conto, tra le altre cose, "delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati" (GDPR, art. 6, par. 4, lett d). In tal modo si aprirebbe la strada a abusi nella raccolta ed utilizzo dei dati degli utenti.

Per concludere, se approvati questi emendamenti consentirebbero alle aziende di operare trattando i dati delle nostre comunicazioni, più o meno come un tempo faceva Gmail, scansionando le mail per inviare pubblicità personalizzata ai suoi utenti. Oggi Google non opera più in questo modo (il motivo sta nell'esigenza di parificare la gestione degli account free con quelli business, per questi ultimi infatti la scansione delle mail non avveniva, se non per motivi di sicurezza), ma se gli emendamenti dovessero essere approvati, non solo potrà tornare (e insieme a lei anche tutti le piattaforme di comunicazione online, come Whatsapp, ad esempio, Facebook, ecc…) ad analizzare le mail (e non solo), ma tale possibilità sarà concessa anche ai gestori di telefonia tradizionale (access provider).

Sempre in Commissione IMCO si è previsto che le “ulteriori elaborazioni” dei metadati (dati sulla localizzazione, i tempi di comunicazione, ecc…) possono essere utilizzati senza necessità di consenso. Per finire, questo parere non prevede nemmeno l’obbligo di informare gli utenti sui rischi di sicurezza scoperti.

Tracciamento online e cookie

Anche in tema di tracciamento online la regola è la medesima, cioè una generale riservatezza dei dati, a meno che l’utente non conceda il suo consenso al tracciamento. A tale scopo sono stati introdotti degli obblighi specifici in relazione ai cookie (vedi Cookie Law), che implicano la visualizzazione di banner e informative e il blocco dei cookie di profilazione e di terza parte. Questa imposizione è fortemente criticata dalle aziende e dagli editori, perché, sostengono, impedirebbe loro di fare affari tramite la pubblicità.

Questi oneri legali in realtà si sono trasformati in una forma di spam elettronico, ormai i siti sono invasi da banner che rinviano ad informative eccessivamente lunghe e sempre poco comprensibili per gli utenti e che inevitabilmente nessuno legge (del resto provate a leggere decine di pagine di informativa su uno smartphone). In più le nuove tecnologie di tracciamento (es. fingerprint) non vengono disturbate dal blocco dei cookie. Il risultato, complice anche una differente attuazione della norme tra i vari Stati, è deludente perché l’implementazione pratica non ha sortito gli effetti voluti, sia in tema di trasparenza che di controllo dei dati da parte degli utenti. Ma questo vuol dire solo che occorre una nuova implementazione, non certo che si debba rinunciare a perseguire un maggiore controllo dei dati.

L’attuale proposta prevede lo spostamento dell’obbligo di acquisire il consenso dai gestori di siti web (anche per cookie di terze parti) ai produttori di software, con i browser che dovranno richiedere agli utenti le impostazioni di privacy alla prima installazione (il passaggio sarà obbligatorio).

Le opzioni possibili varieranno dal divieto di installare tutti i cookie, fino al consenso solo per quelli di prima parte e al consenso per tutti. Le aziende saranno obbligate a rispettare le impostazioni dei software, a differenza di quanto avvenne in passato con il Do Not Track, che non veniva rispettato da molte aziende. Il Do not track era un tentativo di autoregolamentazione da parte delle aziende, al fine di evitare più stringenti regolamentazione dei governi. Inoltre, i browser già installati sui computer dovranno aggiornarsi, prevedendo tali nuove opzioni entro il 25 agosto 2018, da presentare quindi all'utente perché selezioni le impostazioni di gestione dei cookie.

Il cambio di direzione è notevole. Da un lato può essere un problema, in quanto potrebbe avere un impatto non indifferente sui produttori di browser, favorendo una concentrazione del relativo mercato. Dall’altro però, le precedenti esperienze hanno evidenziato che imporre obblighi di gestione dei cookie ai gestori dei siti web (anche il piccolo blog con i pulsanti di condivisione dei social) può essere complicato anche tecnicamente e finisce per scoraggiare l’utilizzo delle nuove tecnologie, così allontanando i cittadini dal mondo digitale. In ogni caso l’idea è che comunque cookie non potranno essere inviati ai dispositivi degli utenti senza un consenso preventivo.

Ma anche qui alcuni emendamenti in discussione potrebbero portare a modifiche rilevanti. La Commissione JURI ritiene necessario che i software (es. un browser) siano impostati a tutela della privacy fin dall'inizio (privacy by design e by default), impedendo la raccolta dei dati, a meno ché l’utente non modifichi le impostazioni. Di parere contrario è la Commissione IMCO, per la quale i software non dovrebbero avere le impostazioni di privacy configurate nel senso della massima tutela. Nello stesso senso si è espressa la Commissione ITRE.

Quindi dovrebbe essere l’utente a regolare opportunamente le impostazioni per proteggere la propria privacy ed evidentemente potrebbe essere un problema per i cittadini, nel momento in cui alcuni browser si presentano con una quantità enorme di opzioni senza chiarimenti specifici sulla loro funzionalità. Tra l’altro tale ultima posizione contraddice espressamente la normativa già approvata nel GDPR (appunto privacy by default).

In Commissione LIBE sono stati portati ulteriori emendamenti che introducono i legittimi interessi del titolare del trattamento quale base giuridica, quindi la possibilità di utilizzare i cookie anche in assenza di consenso.

(b) the end-user has given his or her consent or there is another legitimate ground within the meaning of Article 6 of Regulation (EU) 2016/679 (emendamento 525)

Conclusioni

Il regolamento ePrivacy armonizzerà la regolamentazione delle aziende tradizionali di comunicazione con gli OTT, ma tale armonizzazione potrebbe avvenire al ribasso, cioè invece di regolamentare ed eventualmente ridurre la raccolta massiva dei dati da parte degli OTT, potrebbe essere consentita la medesima attività anche alle aziende tradizionali (cosa tra l’altro richiesta a gran voce da queste ultime). Inoltre, la tutela dei cittadini potrebbe essere ulteriormente ridimensionata eliminando la necessità (come è ora) di consenso per la profilazione spinta e permettendo alle aziende (OTT e tradizionali) di utilizzare i legittimi interessi come base giuridica invece del consenso, un elemento che porterebbe facilmente ad abusi ed incertezza applicativa.

Del resto molte delle riforme attualmente in discussione nelle istituzioni europee mirano di fatto alla realizzazione del Digital Single Market, per cui l’intento principale è principalmente economico. La tutela dei diritti e delle libertà dei cittadini potrebbe finire per essere un mero accidente di percorso. L’impressione è, quindi, che la regolamentazione europea sia sempre più influenzata da quella americana, che è settoriale e utilitaristica e predilige l’aspetto aziendale, anche sotto forma di autoregolamentazione da parte delle aziende (si pensi alla direttiva copyright in discussione).

L’attuale società moderna, infatti, è sempre più una società di consumatori, laddove in epoca di crisi non si chiede più un maggiore sforzo produttivo ma un maggiore consumo per mantenere e far crescere l’economia. Instillare, però, nei cittadini il desiderio di consumare è operazione complessa e costosa. Inoltre, l’eccessiva moltiplicazione dei prodotti genera di per sé ulteriore insoddisfazione, essendo impossibile (se non per i pochi ricchi) immunizzarsi da scelte sbagliate, per cui si rende necessario instillare nel cittadino un desiderio più mirato laddove il desiderio collega il consumo all’espressione della propria individualità (Ferguson, Self-Identity and Everyday Life). L’individuo esprime se stesso attraverso le sue scelte di shopping e le cose che possiede.

Ed ecco perché le aziende si lamentano del blocco dei cookie, sostenendo che tale blocco limita la loro possibilità di fare affari. In realtà il blocco in questione (attualmente soggetto a consenso esplicito) consente comunque di inviare pubblicità, solo che non è mirata, personalizzata, ma generica, che non è, però, funzionale alle loro necessità di installare desideri individualizzati.