Molteplici organizzazioni pubbliche e private stanno investendo nella allocazione di risorse temporali e finanziarie, al fine di orientarsi alla conformazione col nuovo General Data Protection Regulation (noto anche come GDPR, a volte in italiano RGPD) che diverrà pienamente efficace a Maggio.
Pochi sanno però che un’altra regolamentazione, strettamente connessa al GDPR, è attualmente in discussione presso la Commissione Europea e potrebbe essere pronta per luglio di quest’anno: il Regolamento ePrivacy, il Regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche.
La proposta di Regolamento sulla Privacy e sulle Comunicazioni Elettroniche migliorerà la protezione della vita personale degli individui e aprirà nuove opportunità economiche: questa è la descrizione della proposta di Regolamento, postata sul sito web del Mercato Unico Digitale della Commissione, dove è possibile scaricare l’ultima versione della proposta, che risale a gennaio 2017.
Ricordiamo che la Strategia del Mercato Unico Digitale (in inglese “Digital Single Market” o DSM) ha un obiettivo specifico: incrementare l’affidabilità e la sicurezza dei servizi digitali.
Il Regolamento 2016/679 dell’Unione Europea (GDPR) è un fattore chiave per raggiungere tale traguardo, ma la revisione della Direttiva 2002/58/CE (“Direttiva ePrivacy”) potrebbe avere un impatto ancora più ampio, in veste di lex specialis del GDPR.
La Direttiva ePrivacy attualmente in vigore garantisce la protezione di diritti e libertà fondamentali, in particolare il rispetto della vita privata, della confidenzialità delle comunicazioni e della protezione dei dati personali nel settore delle nuove comunicazioni elettroniche.
Questo atto salvaguarda inoltre la libertà di movimento dei dati, delle attrezzature e dei servizi delle comunicazioni elettroniche all’interno dell’Unione Europea e implementa tra le fonti di legge secondarie della stessa il fondamentale diritto al rispetto della vita privata per ciò che riguarda le comunicazioni, così come statuito dall’Articolo 7 della Carta dei Diritti Fondamentali dell’Unione Europea (anche nota come Carta di Nizza, proclamata inizialmente nel 2000 e poi siglata dalle istituzioni europee nel 2007).
Tuttavia l’ultima revisione della Direttiva ePrivacy risale al 2009, atto che in data 8 maggio 2014 ha portato il Garante della privacy italiano ad emanare un provvedimento in materia, ma nel frattempo sono avvenuti importanti evoluzioni sia in ambito economico che, soprattutto, in quello tecnologico.
Sia i consumatori che le aziende dipendono fortemente da nuovi servizi basati su Internet, che permettono comunicazioni personali come messaggi vocali via IP, servizi di messaggistica istantanea e servizi e-mail, rispetto a mezzi di comunicazione tradizionali.
Questi servizi vengono chiamati in inglese Over-the-Top communications services (OTT) e non sono soggetti all’attuale ordinamento dell’Unione Europea per le comunicazioni elettroniche, compreso quindi la Direttiva ePrivacy che non ha tenuto il passo con gli sviluppi tecnologici, creando così un vuoto normativo circa le comunicazioni operate per mezzo di questi nuovi servizi.
Il termine “ePrivacy” vuole includere ogni tipo di comunicazione elettronica, compreso il Web, la Messaggistica Istantanea, le App, in generale tutto ciò che si definisce “Internet of Things”, nonché la protezione dei metadata.
Tutto ciò mostra in modo inconfutabile le ragioni per cui la proposta del nuovo Regolamento doveva –secondo le previsioni- essere allegata all’attuale GDPR ed entrare in vigore contestualmente.
C’è però un’importante differenza tra questa proposta e la normativa GDPR: le disposizioni del futuro Regolamento ePrivacy si applicheranno sia alle persone fisiche che a quelle giuridiche, visto che le informazioni sensibili contenute nelle comunicazioni elettroniche di queste ultime potrebbero avere un valore economico.
Estremamente importante a questo riguardo è il Considerando 3 che statuisce quanto segue “Inoltre, questo Regolamento dovrà assicurare che le disposizioni del Regolamento 2016/679 (GDPR) del Parlamento Europeo e del Consiglio, si applichino anche agli utilizzatori finali che sono persone giuridiche”.
Questo include la definizione di consenso secondo il Regolamento 2016/679: pertanto quando si fa riferimento al consenso dato da un utilizzatore finale, inclusa una persona giuridica, si dovrà applicare la sopradescritta definizione, estendendo l’applicazione del GDPR anche alle persone giuridiche.
La volontà di protezione delle comunicazioni e degli interessi delle persone giuridiche trova fondamento giuridico nell’Articolo 7 della Carta dei Diritti Fondamentali dell’Unione Europea e dell’Articolo 8.1 della Convenzione Europea dei Diritti dell’Uomo.
La giurisprudenza della Corte di Giustizia Europea (sentenza del 2008, rif. C-450/06) e quella della Corte Europea dei Diritti dell’Uomo (prima sentenza nel 1992, Niemetz v. Germany) ha già avuto modo di confermare che le attività delle persone giuridiche non possono essere esentate dalla protezione garantita dai sopra menzionati articoli.
Il contesto attuale
Come detto in precedenza, la materia della ePrivacy è correntemente regolata dalla direttiva 2002/58/CE, che è stata aggiornato con la direttiva 2009/136/UE e che è anche nota ai più come la legge sui cookie (benché questi non siano gli unici strumenti su cui si applicano le disposizioni della direttiva, come vedremo più avanti).
La Commissione dell’Unione Europea ha operato un’analisi approfondita di queste normative, attraverso una specifica procedura di revisione chiamata REFIT (si tratta di un controllo sulla conformità e l’efficienza di una norma).
Un primo fitness check ha stabilito che gli obiettivi e i principi di queste norme sono ancora efficaci ed efficienti.
Dall’altro lato, le innovazioni in campo tecnologico, sociale ed economico hanno causato un’applicazione non uniforme della direttiva da parte degli stati membri.
Questo è uno dei fattori che ha portato al prossimo passo: l’adozione di un Regolamento ePrivacy.
La prima differenza deriva dal fatto che si tratterà di un regolamento UE invece che una direttiva: il distinguo è fondamentale, poiché un regolamento ha portata generale ed è vincolante in tutti i suoi elementi per tutti gli Stati membri dell’Unione Europea, mentre una direttiva normalmente necessita di un atto legislativo nazionale per la sua implementazione.
Il futuro Regolamento ePrivacy è strettamente connesso al GDPR, rendendolo così una sorta di lex specialis di quest’ultimo che invece varrà come lex generalis: insieme alla direttiva NIS sulla sicurezza informatica, il GDPR e il regolamento ePrivacy compongono la grande riforma dell’Unione Europea della normativa europea sulla data protection.
Ultimi aggiornamenti del 2017
In data 19 ottobre 2017 il Comitato LIBE (Civil Liberties, Justice and Home Affairs) ha adottato un atto specifico, noto come Report Lauristin (dal nome di uno dei suoi maggiori contributori, Marju Lauristin), che è un “progetto di risoluzione legislativa del Parlamento Europeo e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE”.
Il report ha aggiunto molteplici emendamenti alla proposta iniziale e alcuni esperti la considerano un’importante presa di posizione nei confronti delle cosiddette lobby Over The Top.
Si reputano parti di quest’ultima differenti aziende che si sono rese conto dell’ampio impatto che avrà il futuro Regolamento ePrivacy: non solo sui cookie e le comunicazioni elettroniche, ma anche su nuove tecnologie provenienti dall’industria 4.0 e dall’Internet of Things.
Una chiara dimostrazione di quanto questa adozione abbia colpito nel segno si è avuta una settimana prima della votazione, quando numerose associazioni rappresentanti le industrie del web, dell’editoria, dei media e della pubblicità, hanno inviato a diversi membri del Parlamento Europeo una lettera aperta indicando le loro preoccupazioni per i recenti emendamenti che erano e sono considerati una minaccia per il modello di business di queste categorie.
In particolare, essi hanno provato a spingere un differente modello di normativa basata sul diritto dei servizi online: l’idea è che gli editori debbano poter dare pieno accesso ai loro servizi anche a quegli utilizzatori online che non hanno dato il loro consenso al trattamento dei dati.
Poco meno di 10 giorni dopo, il Parlamento Europeo ha votato in favore della versione emendata della proposta durante la sua sessione plenaria il giorno 26 ottobre 2017, con 318 voti a favore, 280 contro e 20 astenuti: i numeri mostrano ancora una volta quanto flebile sia la maggioranza.
Con questa mossa il Parlamento ha dato il via libera alle conversazioni con il Consiglio e la Commissione, nonché all’inizio delle negoziazioni.
Dopo l’approvazione del Report Lauristin, il Consiglio UE è stato il primo ad iniziare l’analisi della Proposta di Regolamento, pubblicando un documento preparatorio chiamato Interinstitutional File 2017/003.
Sarà lo stesso Consiglio inoltre, a presentare la versione finale della Proposta.
In ogni caso, è molto improbabile che quest’ultima venga pubblicata prima della definitiva entrata in vigore del GDPR alla fine del mese di maggio: dovrà poi comunque passare al setaccio delle discussioni in Commissione e Parlamento.
Ad oggi la parentesi temporale più plausibile rimane l’inizio del 2019, cui dovrà poi essere aggiunto il periodo transitorio (grace period) della probabile durata di un anno, tra la sua pubblicazione e l’effettiva entrata in vigore.
Gli specifici oggetti della Proposta
Cookie Web
L’obiettivo del nuovo Regolamento è di semplificare le disposizioni in materia di consenso e di cookie rispetto alla situazione attuale, ed infatti vi sono precisi articoli come l’8.1 che trattano delle cosiddette Cookie Provision.
In particolare, il consenso non sarà più necessario per i cosiddetti non-privacy intrusive cookies, ovvero un tipo di cookie non invasivo del campo della privacy, come ad esempio quelli relativi all’e-commerce, in quanto sono in grado di migliorare l’esperienza dell’utente su Internet.
Ciò determinerà un importante cambiamento in quanto ad oggi, qualora non si accettino i cookie di un sito web, non è possibile usufruire dei suoi contenuti.
Al giorno d’oggi, benché la Commissione sia giunta solo da poco tempo ad affermare che le inserzioni pubblicitarie siano fondamentali per accedere a contenuti gratuiti in rete, la stessa sta cercando di far passare un Regolamento che ribalterebbe completamente l’attuale modello di business pubblicitario, non apportando in realtà alcun beneficio per gli utenti in rete.
La bozza della Proposta dispone espressamente che andrebbe data agli utenti la possibilità di avere diverse opzioni di impostazione della privacy, da un livello molto basso (per esempio l’accettazione di tutti i cookie), ad uno molto alto (non si accetta alcun cookie) e con delle ampie aree grigie.
Internet of things
A causa della sua rilevanza, il concetto di Internet of Things è propriamente menzionato nella proposta di Regolamento ePrivacy ed in particolare si discute di come andrebbe applicato il principio della confidenzialità.
Questo stabilisce che lo scambio di informazioni, così come eventuali link ad elementi esterni, non possono essere rivelati a terzi che non fossero parti attive dello scambio.
Interessante è il fatto che si è cercato di garantire l’applicazione del sopradescritto principio anche a nuovi mezzi di comunicazione del futuro, cercando così di creare un espediente normativo per garantire la conformità delle nuove tecnologie al Regolamento.
OVER-THE-TOP communication services e metadata.
Nuovi servizi come WhatsApp, Skype, Snapchat, Facebook Messenger ecc. sono solo alcune delle ragioni per cui si è giunti alla decisione di riformare l’intera disciplina della ePrivacy.
Il Regolamento sarà dotato di numerosi articoli dedicati allo SPAM e su tutte le comunicazioni elettroniche non richieste, provenienti sia dai provider che da terze parti.
Uno dei più importanti cambiamenti riguarda le chiamate a fini di marketing, che dovranno essere riconoscibili dagli utenti: ognuna di queste verrà identificata da uno specifico numero di telefono o da un determinato prefisso che permetterà all’utilizzatore di categorizzare la chiamata come “destinata a finalità di marketing”, rendendone pertanto più semplice per gli utenti finali il riconoscimento (ad oggi questi numeri non vengono mostrati o risultano comunque non riconoscibili).
I servizi di messaggistica istantanea sopraindicati hanno avuto un grande impatto sulla vita quotidiana della popolazione, soprattutto a causa delle comunicazioni interne anche note come metadata.
In particolare, queste ultime dovranno essere rese anonime o ne si dovrà consentire la cancellazione, con un’unica e importante eccezione in materia contabile: tuttavia, anche in questo caso, una volta che i metadata siano stati utilizzati per la contabilità, dovranno essere comunque eliminati.
Futura entrata in vigore e strategie legali
Il Regolamento ePrivacy, nelle intenzioni originali delle istituzioni europee, avrebbe dovuto entrare in vigore nello stesso giorno del GDPR, ovvero il 25 maggio 2018, essendo la ePrivacy una raccolta essenziale o lex specialis per la nuova disciplina legale europea della privacy.
Tuttavia, la situazione attuale fa trasparire chiaramente come il nuovo Regolamento non sarà mai pronto per quella data: ciò significa che per il momento la materia sarà ancora regolata dalla Direttiva ePrivacy del 2002 n. 58 della Comunità Europea.
Una volta che però il GDPR diverrà pienamente efficace, dovrà convivere con la vetusta direttiva ePrivacy, con tutte le problematiche ricadute interpretative ed operative, che faranno arrovellare operatori del diritto, management ed organizzazioni. Nel frattempo sarà comunque importante prepararsi per delle grandi sfide.
Le aziende devono essere in grado di anticipare queste nuove regolamentazioni di netta rottura con il passato e, allo stesso tempo, essere in grado di inquadrare i loro business model e far collimare le loro strategie aziendali: questo attraverso processi di ristrutturazione e diversificazione della data governance e potenzialmente dello stesso business model.
Non smetteremo mai di stressare l’importanza di dotarsi di una specifica strategia legale da affiancare a un modello di business disruptive, di rottura: l’obiettivo deve essere quello di manipolare in chiave tattico-strategica la variabile legal per trasformarla in elemento di beneficio e sostegno per idee di business innovative, anziché divenirne ostacolo e limite.
Nel momento in cui la figura del legal non sarà più identificata come semplice risolutore di problemi ex-post, ma diverrà parte integrante del team di gestione strategica di un’azienda, allora in quel momento la strategia legale potrà diventare propulsore di reale e costante vantaggio competitivo.
di Massimiliano Passalacqua e Eduardo Iacomino, Adviser di P&S LEGAL, specialisti di innovazione e sviluppo sostenibile, con focus sulle tecnologie convergenti
si tratta di un’altra regolamentazione, strettamente connessa al GDPR, e attualmente in discussione presso la Commissione Europea:potrebbe essere pronta per luglio di quest’anno
[/dt_quote]
[dt_blog_masonry image_scale_animation_on_hover=”n” image_hover_bg_color=”n” bwb_columns=”desktop:1|h_tablet:1|v_tablet:1|phone:1″ dis_posts_total=”8″ content_alignment=”center” post_date=”n” post_category=”n” post_author=”n” post_comments=”n” post_content=”off” read_more_button=”off” category=”news”]