A metà febbraio scorso, Bruxelles ha compiuto un importante passo avanti, forse il decisivo, verso l’approvazione del Regolamento ePrivacy. Dopo quasi quattro anni di contrattazioni, i rappresentanti degli Stati membri dell’UE hanno raggiunto un compromesso sul nuovo regolamento ePrivacy. La parola “fine”, però, non è ancora stata messa, ma il Consiglio dell’Unione Europa ha raggiunto un accordo sulla versione finale del testo approvando così un mandato negoziale per la revisione definitiva delle norme in materia di tutela della vita privata e della riservatezza nell’uso di servizi di comunicazione elettronica.
Vediamo i punti più interessanti della bozza di Regolamento.
Indice
Ambito territoriale
Anche il nuovo e-Privacy, come già a fatto il GDPR, intende stravolgere l’efficacia territoriale della norma in modo da garantire applicazione estremamente ampia.
Il presente regolamento dovrebbe difatti applicarsi indipendentemente dal fatto che il trattamento dei dati delle comunicazioni elettroniche avvenga o meno nell’Unione o che il fornitore di servizi o la persona che tratta tali dati sia stabiliti o situati nell’Unione o meno.
Il nuovo regolamento si applicherà nei confronti di tutti gli utenti finali che si trovano nell’UE: al pari di quanto previsto dal GDPR, ciò comporterà l’applicazione delle norme in esame anche nei casi in cui il trattamento dei dati avviene al di fuori del territorio europeo o nei casi in cui i fornitori siano ubicati al di fuori dell’UE.
In questo senso il nuovo regolamento si uniforma al criterio (peraltro di estremo successo) introdotto dal GDPR, replicandone di fatto i meccanismi.
Applicazione soggettiva
L’attuale versione dell’e-Privacy sarà applicabile sia alle persone fisiche che alle giuridiche.
I dati delle comunicazioni elettroniche possono difatti rivelare anche informazioni riguardanti società ed altri enti come, ad esempio, segreti aziendali o altre informazioni sensibili che, seppur non riconducibili alla sfera dei dati personali, hanno comunque un valore economico importante da tutelare in quanto solo tutelando la riservatezza di tali informazioni si può spingere le imprese ad innovare.
Una tutela allargata, alquanto inedita, ma che apre interessanti spazi di tutela per tutti privati e aziende.
I metadati
Nella bozza di regolamento, fatto salvo il consenso, i fornitori di comunicazioni elettroniche, potranno essere trattati le comunicazioni elettroniche di metadati solo se tale trattamento:
1- è necessario ai fini della gestione della rete, della sua ottimizzazione, o per soddisfare requisiti di qualità tecnica del servizio;
2- è necessario per la prestazione di un servizio di comunicazione elettronica riconducibile ad un contratto di cui l’utente finale è parte o, se necessario per la fatturazione, e la rilevazione o blocco di utilizzo fraudolento dei servizi;
3- è necessario per tutelare l’interesse vitale di una persona fisica; o, in relazione ai metadati che costituiscono dati di localizzazione, è necessario per finalità di ricerca scientifica o storica o finalità statistiche, purché tali dati siano pseudonimizzati e i dati sulla posizione non vengano utilizzati per determinare la natura o le caratteristiche di un utente finale o per costruire un profilo di un utente finale.
4- è necessario per scopi scientifici o scopi di ricerca storica o scopi statistici.
Interessante vedere come con questo Regolamento i metadati divengono oggetto di tutela al pari quasi dei dati personali di cui all’art 6 GDPR, prevedendo anche per essi delle basi giuridiche a giustificazione del trattamento.
L’ulteriore utilizzo sarà consentito, ad esempio, senza consenso, a condizione che i fornitori anonimizzino i dati o, se ciò non sia possibile, li pseudonimizzino.
Applicazione ai sistemi di messaggistica
Infine, il regolamento troverà applicazione anche con riferimento all’utilizzo di sistemi di messaggistica basati su protocolli web (WhatsApp, Telegram, Signal e simili).
Questi servizi “sostituiscono sempre più i tradizionali servizi di telefonia vocale, messaggi di testo (SMS) e di posta elettronica a favore di servizi online funzionalmente equivalenti come Voice over IP, servizi di messaggistica e servizi di posta elettronica basati sul web”.
Per questo, il nuovo regolamento estenderà anche a queste nuove tecnologie il concetto di “comunicazione elettronica” comprendendo quindi non solo i servizi di accesso a Internet e i servizi consistenti in tutto o in parte nella trasmissione di segnali, ma anche i servizi di comunicazione interpersonale, che possono o meno essere basati sui numeri, come ad esempio Voice over IP, servizi di messaggistica e web-based servizi di posta elettronica.
In sostanza, il regolamento sarà così applicabile in tutte le circostanze in cui avviene la comunicazione elettronica tra un numero finito, cioè non potenzialmente illimitato, di utenti finali.
***
Questi e molti agli gli aspetti disciplinato del Regolamento e che incidono sulle comunicazioni elettroniche, settore con interessi economici elevato. Anche per tale ragione la bozza di Regolamento ha faticato sino ad oggi ad arrivare al termine dell’iter legislativo e comportato contrastanti posizioni degli Stati Membri. Ci sono infatti volute ben 8 Presidenze diverse del Consiglio dell’Unione Europea per arrivare ad un accordo su un testo condiviso. Nella consapevolezza delle importanti novità che comporterà la bozza prevede un’applicazione differite dei suoi contenuti dopo due anni dalla pubblicazione, come già è avvenuto per il GDPR.
Ma come sempre, possiamo solo attendere per sapere se il Regolamento ePrivacy riuscirà a vedere finalmente la luce.