Protezione dei dati personali, comunicazione elettronica e mercato unico digitale: un’analisi di sintesi.

 

In data 10 gennaio 2017 la Commissione Europea ha trasmesso al Parlamento Europeo la proposta di regolamento in materia di protezione dei dati personali nelle comunicazioni elettroniche.

ARTICOLO PUBBLICATO DA LUIGI PIERO MARTINA SULLA RIVISTA GIURIDICA TELEMATICA SALVIS JURIBUS (ISSN 2464-9775).

AREA TEMATICA: DIRITTO CIVILE E DIRITTO INTERNAZIONALE.

Specificatamente, appunto, il 10 gennaio 2017 la Commissione Europea ha pubblicato la proposta di un Regolamento relativo al “Rispetto della vita privata e la protezione dei dati personali nell’ambito delle comunicazioni elettroniche” (Respect for private life and the protection of personal data in electronic communications), con lo scopo di abrogare la Direttiva 2002/58/CE (conosciuta anche come “Direttiva ePrivacy”). Direttiva che fu attuata in Italia mediante l’introduzione del Codice in materia di dati personali (Decreto Legislativo n. 196/2003, o “Codice Privacy”).

Suddetta proposta si lega alla più ampia “Strategia per il Mercato Unico Digitale” (Single Digital Market Strategy), quest’ultima avutasi con la precisa finalità di accrescere la fiducia del cittadino nei servizi digitali e nella sicurezza degli stessi; andando a costituire una vera e propria lex specialis rispetto al Nuovo Regolamento UE n. 679/2016 in materia di privacy ed integrandone la disciplina normativa a protezione delle informazioni contenute nelle comunicazioni elettroniche ed aventi carattere di “dato personale”.

E’ utile, pertanto, rammentare nuovamente che la nuova disciplina comporta sostanzialmente l’abrogazione della Direttiva Europea 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche; con lo specifico obiettivo di tutelare maggiormente la riservatezza nelle comunicazioni elettroniche e parimenti di garantire indirettamente nuove opportunità commerciali (estendendone il campo di applicazione a tutti i fornitori di comunicazioni elettroniche).

Dunque, il rinnovato trattamento dei dati relativi alle comunicazioni contribuisce a rafforzare la fiducia e la sicurezza nel mercato unico digitale, costituendone l’esatta applicazione di uno degli obiettivi principali della strategia per il mercato unico digitale. Allo stesso tempo, la proposta allinea le norme sulle comunicazioni elettroniche alle nuove norme tecniche di altissimo livello del regolamento generale dell’UE sulla protezione dei dati.

Altrettanto, la Commissione ne diviene protagonista di nuove norme per far sì che il trattamento dei dati personali ad opera delle istituzioni e degli organismi dell’UE garantisca lo stesso livello di tutela della riservatezza previsto negli Stati membri a norma del regolamento generale sulla protezione dei dati, e permetta di statuire un approccio strategico alle questioni concernenti i trasferimenti internazionali dei dati personali.

Difatti, Frans Timmermans, primo Vicepresidente della Commissione, ha dichiarato: “Grazie alle nostre proposte, che completeranno il quadro dell’UE in materia di protezione dei dati, la riservatezza delle comunicazioni elettroniche sarà protetta da norme aggiornate ed efficaci e le istituzioni europee applicheranno gli stessi standard elevati che ci aspettiamo dagli Stati membri.”

Ancora, Andrus Ansip, Vicepresidente della Commissione europea responsabile per il Mercato unico digitale, ha dichiarato: “Le nostre proposte creeranno la fiducia nel mercato unico digitale che la gente si aspetta. Il mio intento è garantire la riservatezza delle comunicazioni elettroniche e la tutela della vita privata. Il nostro progetto di regolamento sull’ePrivacy permetterà di trovare il giusto equilibrio tra elevata protezione dei consumatori e possibilità di innovazione per le imprese.”

Ulteriormente, Věra Jourová, Commissaria per la Giustizia, i consumatori e la parità di genere, ha affermato: “La legislazione europea in materia di protezione dei dati adottata l’anno scorso fissa standard elevati a vantaggio sia dei cittadini sia delle imprese dell’UE. Oggi la Commissione presenta anche la sua strategia per agevolare gli scambi internazionali di dati nell’economia digitale globale e promuovere in tutto il mondo standard elevati di protezione dei dati.”

Urge, quindi, rintracciare e sintetizzare le principali novità che possano “costruire” una cornice normativo-istituzionale chiara e definita, di sintesi.

Maggiore protezione al livello telematico ed apertura alle imprese.

Il regolamento sulla riservatezza e le comunicazioni elettroniche proposto dalla Commissione garantisce una maggiore tutela della vita privata delle persone e nuove opportunità alle imprese.

In riferimento a ciò, il 92% degli europei ritiene importante mantenere la riservatezza delle e-mail e dei messaggi online. Tuttavia, mentre la direttiva sulla ePrivacy, precedentemente menzionata, si applica unicamente agli operatori di telecomunicazioni tradizionali; con le novità suddette, le norme in materia di riservatezza vanno invece ad applicarsi anche ai nuovi operatori che forniscono servizi di comunicazione elettronica – ad esempio WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, Viber.

Circa il contenuto delle comunicazioni e dei metadati, la riservatezza è da garantirsi sia per i contenuti sia per i metadati delle comunicazioni elettroniche (ad esempio, l’ora della chiamata e il luogo). Entrambi hanno una forte componente di riservatezza, andando ad essere anonimizzati o eliminati in caso di mancato consenso degli utenti, a meno che non siano necessari, ad esempio per la fatturazione.

Nuove opportunità commerciali: una volta ottenuto il consenso al trattamento dei dati relativi alle comunicazioni (contenuti e/o metadati), gli operatori di telecomunicazioni tradizionali hanno maggiori opportunità di utilizzare i dati e di fornire servizi aggiuntivi.

Norme più semplici sui cookie: un processo di semplificazione della cosiddetta “disposizione sui cookie”, che ha dato luogo a un numero eccessivo di richieste di consenso per gli utenti di internet. Le nuove norme permettono agli utenti di avere un maggiore controllo sulle impostazioni, consentendo di accettare o rifiutare facilmente il monitoraggio dei cookie e di altri identificatori in caso di rischi per la riservatezza. Si va a chiarire che il consenso non è necessario per i cookie non intrusivi che migliorano l’esperienza degli utenti (ad esempio, quelli che permettono di ricordare la cronologia del carrello degli acquisti). Il consenso, pertanto, non risulta essere più necessario per i cookie che contano il numero di utenti che visitano un sito web.

Protezione contro lo spamming: vietare le comunicazioni elettroniche indesiderate, indipendentemente dal mezzo utilizzato, ad esempio email, SMS e, in linea di principio, anche chiamate telefoniche se gli utenti non hanno dato il consenso. Gli Stati membri possono optare per una soluzione che conferisca ai consumatori il diritto di opporsi alla ricezione delle telefonate a scopo commerciale, per esempio mediante la registrazione del loro numero in un elenco di nominativi da non chiamare.

Applicazione delle norme: la responsabilità di garantire il rispetto delle norme in materia di riservatezza previste dal regolamento spetta alle autorità nazionali per la protezione dei dati.

Protezione internazionale dei dati.

La comunicazione che va a delinearsi determina un approccio strategico ai trasferimenti internazionali di dati personali che agevola gli scambi commerciali e promuove una migliore cooperazione fra le autorità di contrasto, assicurando nel contempo un livello elevato di protezione dei dati.

La Commissione – oltre all’utilizzo di meccanismi alternativi previsti dalle nuove norme UE sulla protezione dei dati – va ad assumere un ruolo principale nell’attivazione di discussioni con i principali partner commerciali dell’Asia orientale e del Sudest asiatico, iniziando dal Giappone e dalla Corea nel 2017, ma anche con i Paesi interessati dell’America latina e i Paesi inseriti nella politica europea di vicinato, per giungere a “decisioni di adeguatezza” (che consentono il libero flusso dei dati personali verso paesi con norme in materia di protezione dei dati “sostanzialmente equivalenti” a quelle dell’UE).

E’ fondamentale tener presente che l’elemento comunicativo promosso dalla Commissione tenda a promuovere lo sviluppo di standard elevati di protezione dei dati sul piano internazionale, a livello sia bilaterale che multilaterale.

A tal proposito, con la presentazione delle proposte, la Commissione invita il Parlamento europeo e il Consiglio a lavorare in tempi rapidi e a garantire un processo agevole per l’adozione entro il 25 maggio 2018, data di applicazione del regolamento generale sulla protezione dei dati.

Armonizzazione della normativa

E’ da considerarsi anche che la scelta dello strumento del Regolamento (direttamente applicabile in tutti gli Stati membri dell’UE) risponde all’esigenza di ottenere una uniformità normativa a livello europeo, eliminando la frammentazione applicativa riscontratasi relativamente alle diverse leggi nazionali di recepimento della Direttiva ePrivacy.

Sanzioni

Viene introdotto un apparato sanzionatorio simile, nella struttura e nella forma, a quello del GDPR (General Data Protection Regulation – Regolamento  Regolamento UE n. 2016/679): le sanzioni per la violazione delle nuove norme – individuate nell’ottica di essere effettive, proporzionate e dissuasive – sono sinteticamente le seguenti:

fino ad Euro 10.000.000 o al 2% del fatturato annuo a livello mondiale totale, se superiore, in caso di violazione delle norme relative all’informativa e consenso (art. 8, proposta Regolamento), alle impostazioni privacy di default (art. 10, proposta Regolamento), agli obblighi dei gestori di registri di pubblica accessibilità agli archivi pubblici (art. 15, proposta Regolamento) e alle comunicazioni indesiderate (art. 16, proposta Regolamento), oppure,

fino ad Euro 20.000.000 o al 4% del fatturato annuo a livello mondiale totale, se superiore, in caso di violazione delle norme in materia di riservatezza delle comunicazioni elettroniche (art. 5, proposta Regolamento), di condizioni di legittimità del trattamento dei dati di comunicazione elettronica (art. 6, proposta Regolamento) e in caso di violazione dei termini di conservazione e cancellazione dei dati (art 7, proposta Regolamento).

Il concetto e la definizione riepilogativa di “servizio comunicativo”.

A fronte di quanto predetto, è fisiologico chiarire la nozione di servizio di comunicazioni elettroniche che va ricercata nella proposta di Direttiva per l’istituzione di un Codice Europeo delle Comunicazioni Elettroniche del 12 ottobre 2016, ovvero “i servizi forniti di norma a pagamento su reti di comunicazioni elettroniche, che comprendono il “servizio di accesso a Internet” quale definito all’articolo 2, paragrafo 2, del regolamento (UE) 2015/2120 e/o il “servizio di comunicazione interpersonale” e/o i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali come i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina (M2M) e per la diffusione circolare radiotelevisiva, ma esclusi i servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti”.

Tra gli aspetti principali, emergono la protezione dell’apparecchiatura terminale dell’utente per garantire l’integrità delle informazioni scambiate (art.8), e il necessario consenso degli utenti finali (consent of end- users) al trattamento dei propri dati, che potrà essere espresso (e in ogni momento revocato) anche tramite opportune impostazioni tecniche del software utilizzato (articolo 9).

Inoltre, è utile ribadire, che, per garantire un consenso informato, i produttori di software devono prevedere la possibilità di impedire a terzi la memorizzazione delle informazioni sul terminale di un utente finale o di elaborazione delle informazioni già memorizzate su tali apparecchiature (quindi un vero e proprio diritto di impedire i cosiddetti cookie), e soprattutto devono informare in maniera chiara l’utente finale sulle impostazioni privacy del programma (articolo 10).

Altrettanto, l’articolo 12 garantisce il diritto all’anonimato delle chiamate e delle connessioni, mentre per i fornitori di comunicazioni elettroniche vi è l’obbligo di informare l’utente finale di eventuali rischi derivanti dall’utilizzo di tali servizi (articolo 17).

Per quanto concerne le cosiddette comunicazioni commerciali indesiderate (unsolicited communications), l’invio delle stesse per finalità di marketing diretto è ammesso solo previo consenso dell’utente (articolo 16).

Anche con tali approfondimenti, in conclusione, è chiara l’intenzione del Legislatore di perseguire un processo di armonizzazione del quadro normativo in ambito di tutela dei dati personali e delle comunicazioni elettroniche[1].


[1] Per approfondire: http://www.lgvavvocati.it/2017/03/28/la-commissione-europea-presenta-la-proposta-regolamento-ue-sulla-c-d-privacy/;

http://europa.eu/rapid/press-release_IP-17-16_it.htm;

http://lawlab.luiss.it/2017/01/24/nuovo-regolamento-sulle-comunicazioni-elettroniche-la-commissione-ue-presenta-la-proposta/;

http://europrivacy.info/it/2017/01/12/italiano-pronta-la-proposta-di-regolamento-su-privacy-e-comunicazioni-elettroniche/;

http://www.lcalex.it/privacy-comunicazioni-elettroniche-arrivo-un-regolamento-eprivacy/;

http://getsolution.it/comunicazioni-elettroniche-e-cookie/; http://m.filodiritto.com/articoli/2017/01/la-commissione-europea-torna-ad-occuparsi-del-mercato-unico-digitale-una-prima-analisi-della-proposta-del-nuovo.html.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...