Foto di Pavan Trikutam
    / [pdf]

L’argomento è piuttosto impegnativo, considerando che la proposta dell’UE sul regolamento e-Privacy è all’attenzione delle istituzioni e non ancora definita. Ho creato una mappa (attualmente solo in inglese) composta da otto sezioni, dove ho incluso tutte (spero) le questioni relative alla proposta sul regolamento ePrivacy, e la commenterò in ogni sezione.

Prima sezione - La direttiva 2002/58/CE

Partendo dall’inizio, è chiaro che non stiamo parlando di un nuovo regolamento in materia. Infatti, è noto che abbiamo già in Europa la direttiva 2002/58/CE, attualmente in vigore, “relativa al trattamento dei dati personali e alla protezione della privacy nel settore delle comunicazioni elettroniche (direttiva sulla privacy e le comunicazioni elettroniche)”. La direttiva citata è nota anche perché il GDPR la richiama espressamente. In primo luogo, voglio citare una parte del considerando (173) - l’ultimo del GDPR - che recita:

Il presente regolamento dovrebbe applicarsi a tutte le questioni relative alla protezione dei diritti e delle libertà fondamentali nei confronti del trattamento dei dati personali che non sono soggette a obblighi specifici con lo stesso obiettivo stabiliti dalla direttiva 2002/58/CE del Parlamento europeo e del Consiglio (2), compresi gli obblighi del responsabile del trattamento e i diritti delle persone fisiche. Al fine di chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, quest’ultima dovrebbe essere modificata di conseguenza. Una volta adottato il presente regolamento, la direttiva 2002/58/CE dovrebbe essere rivista, in particolare per garantirne la coerenza con il presente regolamento.

Inoltre, nel GDPR, l’articolo 95, intitolato “Relazione con la direttiva 2002/58/CE”, dice espressamente

Il presente regolamento non impone alle persone fisiche o giuridiche obblighi supplementari in relazione al trattamento connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione in relazione a questioni per le quali esse sono soggette a obblighi specifici aventi lo stesso obiettivo di cui alla direttiva 2002/58/CE.

Infine, l’articolo 21, intitolato “Diritto di opposizione”, al paragrafo 5 dice

Nell_‘ambito dell’utilizzo dei servizi della società dell’informazione, e nonostante la direttiva 2002/58/CE, l’interessato può esercitare il suo diritto di opposizione con mezzi automatizzati utilizzando specifiche tecniche. _

Tutto ciò premesso, la proposta sull’ePrivacy abrogherà la direttiva 2002/58/CE.  

Seconda sezione - La relazione della proposta sulla ePrivacy con il GDPR

Nella seconda sezione faccio riferimento alla relazione della proposta sulla ePrivacy con il GDPR. Abbiamo già detto della relazione della direttiva 2002/58/CE con il GDPR. E la relazione della proposta sulla ePrivacy con il GDPR? Se abbiamo letto tutti i documenti sulla proposta sull’ePrivacy, ci siamo resi conto di una stretta relazione con il GDPR, in particolare in termini di dipendenza della proposta dal GDPR. La dipendenza significa che il GDPR ha un ruolo primario nella protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali. Allo stesso tempo, la proposta sostiene il GDPR nelle comunicazioni elettroniche. Essendo una proposta di regolamento sulle comunicazioni elettroniche nella protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali, è chiaro che il riferimento primario rimane il GDPR. La proposta sull’ePrivacy rappresenta il completamento nel campo della protezione dei dati, coprendo il settore delle comunicazioni elettroniche.  

Terza sezione - Cronologia

In questa sezione, farò una faticosa passeggiata virtuale dall’inizio ad oggi, perché il lavoro istituzionale sulla proposta sull’ePrivacy - come probabilmente sapete - è stato molto duro. In particolare, non possiamo attualmente conoscere il testo finale e quando l’intero processo finirà (si spera presto, ma le voci dai palazzi dicono 2023). Cominciamo con la cronologia di cinque anni dal 2017 al 2021.

Primo anno: 2017

Tutto è iniziato formalmente nel 2017 quando la Commissione europea ha proposto la prima versione della Proposta di regolamento del Parlamento europeo e del Consiglio relativo al rispetto della vita privata e alla protezione dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla privacy e le comunicazioni elettroniche). Successivamente, nell’aprile 2017, il GEPD ha pubblicato il “Parere 6/2017 sulla proposta di regolamento sulla privacy e le comunicazioni elettroniche (regolamento ePrivacy)”. È un lungo documento di 40 pagine. Cercando di riassumere il contenuto, sottolineiamo brevemente che il GEPD ha fatto riferimento alla necessità di uno strumento giuridico dedicato per l’ePrivacy, evidenziando le principali preoccupazioni e raccomandazioni, soprattutto per quanto riguarda:

  • le definizioni che non devono dipendere dalla separata procedura legislativa relativa alla direttiva che istituisce il codice europeo delle comunicazioni elettroniche;
  • le disposizioni sul consenso dell’utente finale devono essere rafforzate
  • la proposta manca di ambizione per quanto riguarda i cosiddetti “muri di tracciamento” (noti anche come “cookie walls”);
  • la proposta non riesce a garantire che i browser (e altri software immessi sul mercato che permettono le comunicazioni elettroniche) saranno impostati di default per evitare di tracciare i passi digitali degli individui;
  • le eccezioni relative al tracciamento dell’ubicazione delle apparecchiature terminali sono troppo ampie e mancano di garanzie adeguate.

Nell’ottobre 2017, il Parlamento europeo ha pubblicato un progetto di proposta sulla ePrivacy.

Secondo anno: 2018

Nel 2018 sono seguite due bozze della proposta sulla ePrivacy da parte della presidenza bulgara e della presidenza austriaca. Inoltre, l’EDPB ha rilasciato la sua prima dichiarazione. L’EDPB ha sottolineato i seguenti punti:

  1. La riservatezza delle comunicazioni elettroniche richiede una protezione specifica al di là del GDPR
  2. La direttiva ePrivacy è già in vigore
  3. Il regolamento proposto mira a garantire la sua applicazione uniforme in ogni Stato membro e in ogni tipo di controllore di dati
  4. Il nuovo regolamento deve far rispettare il requisito del consenso per i cookie e tecnologie simili e offrire ai fornitori di servizi strumenti tecnici che permettano loro di ottenere tale consenso

Terzo anno: 2019

Nel 2019 sono stati pubblicati due testi dalla presidenza rumena e quattro bozze dalla presidenza finlandese. Questa produzione dimostra la rilevanza dell’intervento politico, l’interesse generale per un testo definitivo e la grave difficoltà di trovare un equilibrio verso una bozza finale. Oltre ai progetti pubblicati, dobbiamo menzionare la dichiarazione 3/2019 su un regolamento ePrivacy, adottata il 13 marzo 2019 dall’EDPB. Infatti, l’EDPB - tenendo fede alla sua posizione - ha ribadito

le posizioni precedentemente adottate dalle autorità di protezione dei dati nell’UE, compreso il parere 1/2017 del gruppo di lavoro dell’articolo 29 e la dichiarazione adottata il 25 maggio 2018.

Quarto anno: 2020

All’inizio del 2020 (febbraio), abbiamo avuto un progetto emesso dalla presidenza croata del Consiglio e un altro progetto dalla presidenza tedesca nel novembre dello stesso anno. Ancora, l’EDPB nel novembre 2020 ha emesso il suo terzo documento e precisamente la “Dichiarazione sul regolamento ePrivacy e il futuro ruolo delle autorità di vigilanza e dell’EDPB”, adottata il 19 novembre 2020. L’EDPB, brevemente, ha espresso principalmente in tre punti:

  1. In primo luogo, sottolineando che la dichiarazione “non pregiudica le sue posizioni precedenti”;
  2. In secondo luogo, accogliendo “l’obiettivo della presidenza del Consiglio di raggiungere un approccio generale per iniziare i negoziati con il Parlamento europeo e adottare il regolamento ePrivacy il più presto possibile”;
  3. In terzo luogo, sottolineando “che molte disposizioni del futuro regolamento ePrivacy riguardano il trattamento dei dati personali” e, quindi, evidenziando il ruolo istituzionale delle autorità di vigilanza.

L’EDPB ha concluso invitando

_gli Stati membri a sostenere un regolamento ePrivacy più efficace e coerente come inizialmente proposto dalla Commissione europea e come modificato dal Parlamento europeo. _

Quinto anno: 2021

Il 2021 (quest’anno) è l’anno più produttivo e probabilmente il più vicino alla versione finale (si spera). Infatti, l’anno inizia (gennaio 2021) con un progetto della presidenza portoghese. Il mese dopo (febbraio), un altro progetto del Consiglio dei Ministri europei è stato pubblicato. Questo progetto è estremamente importante perché gli Stati membri hanno concordato un mandato per i negoziati (trilogo) con il Parlamento europeo. Infatti, in questo intervento, ci riferiamo a quella bozza (febbraio 2021), considerandola come l’ultima valida prima dei negoziati. Ci sono molte modifiche di testo in quella bozza - alcune sono semplicemente parole, e altre sono significative (ci sono articoli aggiunti e cancellati) - rispetto al testo originale pubblicato nel 2017 dalla Commissione europea. Il marzo 2021, l’EDPB ha pubblicato la quarta dichiarazione, e precisamente la “Dichiarazione 03/2021 sul regolamento ePrivacy” adottata il 9 marzo 2021. In primo luogo, è abbastanza rilevante che l’EDPB metta in evidenza e precisamente quanto segue:

Il regolamento ePrivacy non deve in nessun caso abbassare il livello di protezione offerto dall’attuale direttiva ePrivacy, ma dovrebbe integrare il GDPR fornendo ulteriori forti garanzie per la riservatezza e la protezione di tutti i tipi di comunicazione elettronica.

Entrando nei dettagli di questa dichiarazione, l’EDPB ha sottolineato i seguenti punti:

  1. Preoccupazioni riguardo al trattamento e alla conservazione dei dati delle comunicazioni elettroniche ai fini dell’applicazione della legge e della salvaguardia della sicurezza nazionale;
  2. La riservatezza delle comunicazioni elettroniche richiede una protezione specifica (articoli 6, 6a, 6b, 6c);
  3. Il nuovo regolamento deve far rispettare il requisito del consenso per i cookie e tecnologie simili, e offrire ai fornitori di servizi strumenti tecnici che consentano loro di ottenere facilmente tale consenso (articolo 8);
  4. Ulteriori trattamenti per fini compatibili (articolo 6c e articolo 8(1)(g));
  5. Ruolo futuro delle autorità di vigilanza, dell’EDPB e del meccanismo di cooperazione (articoli da 18 a 20).

Il 20 maggio 2021, i negoziati (trilogo) sono ufficialmente iniziati tra la Commissione europea, il Parlamento europeo e il Consiglio dell’Unione europea. Il 4 novembre 2021, un nuovo testo ha evidenziato alcuni punti chiave che devono ancora essere discussi dalle istituzioni coinvolte nei negoziati. Anche se quel documento era riservato, è stato pubblicato su Internet per una mancanza. A novembre, dopo quel documento, abbiamo trovato due bozze parzialmente accessibili al pubblico e pubblicate sul sito del Consiglio dell’Unione europea. Sembra che ci sia stato un altro incontro a novembre (ci risulta il 18 novembre), e probabilmente ce ne sarà un altro a dicembre all’interno dei negoziati, ma non siamo riusciti a recuperare alcuna informazione da Internet.

Quarta sezione - Situazione attuale

Per quanto riguarda la sezione sullo stato attuale, ci risulta che dovrebbe consistere nell’ultima bozza datata 12 novembre 2021, parzialmente accessibile al pubblico e pubblicata sul sito web del Consiglio dell’Unione Europea.  

Quinta sezione - Panoramica

La quinta sezione sulla panoramica mostra uno schema della versione attuale della proposta sulla ePrivacy, in particolare i 43 considerando e gli articoli modificati, cancellati o integrati. In particolare, si può vedere nella mappa (come si legge nella chiave) che:

  • lo sfondo rosso è relativo agli interventi all’ultima versione della proposta;
  • lo sfondo rosso e il testo blu in grassetto si riferiscono agli articoli in discussione durante i negoziati;
  • lo sfondo giallo e il testo rosso in grassetto si riferiscono agli interventi proposti nella versione del 10 febbraio 2021;
  • lo sfondo giallo e il testo barrato sono relativi agli articoli cancellati nella versione del 10 febbraio 2021.

Come possiamo vedere:

  1. L’articolo sul consenso originariamente era il numero 9, e ora è il numero 4a;
  2. L’articolo 6 è stato cancellato, e ora abbiamo tre articoli 6, e in particolare 6a, 6b e 6c;
  3. L’articolo 10 è stato cancellato, e il contenuto è stato rivisto, ampliato e inserito in altri articoli;
  4. L’articolo 17 è stato soppresso;
  5. Gli articoli 12, 13, 14, 15, 16, 21, 23 e 26 sono oggetto dei negoziati.

 

Sesta sezione - Il codice europeo delle comunicazioni elettroniche (EECC)

La sesta sezione è relativa al Codice europeo delle comunicazioni elettroniche; è quasi un esercizio sulle definizioni e sul pensare ad alcune provocazioni. In effetti, la proposta sulla ePrivacy richiama espressamente le definizioni stabilite dal:

  1. GDPR;
  2. Direttiva (UE) 2018/1972 dell'11 dicembre 2018 che istituisce il codice europeo delle comunicazioni elettroniche;
  3. Direttiva 2008/63/CE della Commissione, del 20 giugno 2008, relativa alla concorrenza sui mercati delle apparecchiature terminali di telecomunicazione;
  4. Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015 che istituisce una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione.

Nella nostra prospettiva, tra le definizioni di cui sopra, non si può prescindere da quelle stabilite dalla direttiva (UE) 2018/1972, come richiamato dalla proposta, e principalmente le seguenti cinque:

  1. rete di comunicazione elettronica”;
  2. servizio di comunicazione elettronica”;
  3. servizio di comunicazione interpersonale’;
  4. servizio di comunicazione interpersonale basato sul numero”;
  5. servizio di comunicazione interpersonale indipendente dal numero";

In particolare, la nostra attenzione è sulle definizioni di “servizio di comunicazione elettronica” e “servizio di comunicazione interpersonale indipendente dal numero”. Evidenziamo le seguenti definizioni:

servizio di comunicazione interpersonale”:

un servizio normalmente fornito a pagamento che permette lo scambio interpersonale e interattivo diretto di informazioni attraverso reti di comunicazione elettronica tra un numero finito di persone, in cui le persone che iniziano o partecipano alla comunicazione ne determinano il destinatario (o i destinatari) e non comprende i servizi che permettono la comunicazione interpersonale e interattiva solo come una caratteristica accessoria minore che è intrinsecamente legata a un altro servizio.

e

servizio di comunicazione interpersonale indipendente dal numero":

_un servizio di comunicazione interpersonale che non si collega con risorse di numerazione assegnate pubblicamente, vale a dire uno o più numeri in piani di numerazione nazionali o internazionali, o che non consente la comunicazione con uno o più numeri in piani di numerazione nazionali o internazionali. _

Alla luce delle definizioni di cui sopra, la domanda è: “E i servizi di comunicazione, generalmente open-source e forniti gratuitamente alle persone?” Ci sono diverse risorse di questo tipo, infatti.  

Settima sezione - Punti chiave

Nella settima sezione sui punti chiave, ci concentriamo su alcune questioni rilevanti per l’analisi. La proposta sulla ePrivacy:

  1. È lex specialis del GDPR;
  2. Completa l’ecosistema del regolamento sulla protezione dei dati;
  3. La sua base giuridica è composta da: a. GDPR b. TFUE c. Carta d. CEDU
  4. È stato considerata parte della strategia del mercato unico digitale (strategia DSM);
  5. Si applica sia alle persone fisiche che a quelle giuridiche;
  6. Migliora la sicurezza e la riservatezza delle comunicazioni (compresi i contenuti e i metadati, ad esempio, il mittente, l’ora, la posizione di una comunicazione);
  7. Fornisce le definizioni di: a. dati delle comunicazioni elettroniche; b. contenuto delle comunicazioni elettroniche; c. metadati delle comunicazioni elettroniche d. messaggio elettronico;
  8. Regola i cookie;
  9. Regola la sicurezza.

 

Ottava sezione - Una prospettiva privacy

L’ottava sezione riporta una panoramica della produzione primaria delle istituzioni che si occupano di protezione dei dati, mostrando il loro interesse specifico per un quadro giuridico adeguato.  

Nona sezione - Aspettative

Concludendo, sembra che la versione finale potrebbe essere pubblicata nel 2023 ed entrare in vigore nel 2025 (due anni dopo).