Regolamento ePrivacy: cos’è e come si rapporta al GDPR
Il 25 maggio 2018 è entrato in vigore il Regolamento Generale sulla Protezione dei Dati (“GDPR”). Nonostante siano ancora molte le aziende che si stanno adeguando in questi ultimi mesi, ora l’attenzione si sta lentamente spostando verso un nuovo tema: stiamo parlando dell’adozione di un altro Regolamento europeo relativo alla tutela dei dati personali: il cosiddetto Regolamento ePrivacy (ePR).
Cos’è il Regolamento ePrivacy?
Il Regolamento ePrivacy è un regolamento complementare al GDPR: si tratta di un ulteriore passo avanti perché la proposta (che abrogherà la direttiva 2002/58, ossia la “vecchia” direttiva e-privacy) comprende norme speciali destinate ad incidere significativamente sui comportamenti e sui diritti delle persone che utilizzano ormai quotidianamente i servizi di comunicazione elettronica, specie quelli on-line.
Il Regolamento, se adottato, andrebbe a sostituire l’attuale Direttiva ePrivacy del 2009, che attualmente fissa regole specifiche volte a garantire la riservatezza delle comunicazioni e la tutela dei dati personali nel settore delle comunicazioni elettroniche, aggiornandone i contenuti.
Con tale normativa l’Unione Europea intende rafforzare la sfera privata dei cittadini online e regolare più intensivamente la protezione dei dati: alla base vi è, inoltre, l’idea di far sì che le persone inizino nuovamente a dar fiducia alle vie di comunicazioni digitali.
Negli ultimi anni sempre più consumatori ed imprese si sono affidati a nuovi servizi che permettono comunicazioni più interpersonali, quali il voice-over-IP, la messaggistica istantanea e i servizi di posta elettronica basati sulla rete.
Questi servizi di comunicazione over-the-top (“OTT”) spesso non sono soggetti all’attuale quadro di riferimento dell’Unione per le comunicazioni elettroniche.
Quali sono le novità del Regolamento ePrivacy?
- Regolamento vs Direttiva: così come avvenuto col GDPR, la scelta è stata quella di proporre il passaggio da una Direttiva (Direttiva ePrivacy) ad un Regolamento (Regolamento ePrivacy). Il grande vantaggio di adottare un Regolamento è la sua applicabilità in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali
- Ambito di applicazione: una delle principali novità della Direttiva ePrivacy è l’estensione del campo di applicazione ai cosiddetti fornitori di servizi over-the-top (“OTT”) come WhatsApp, Facebook, Messenger e Skype, ossia i fornitori di servizi di comunicazione basati sull’uso della rete Internet, come i servizi di instant messaging. Pertanto i fornitori OTT saranno tenuti al rispetto delle regole e a garantire lo stesso livello di tutele dei “tradizionali” operatori di telecomunicazione.
- Metadati: anche il contenuto delle comunicazioni e i metadati, cioè gli elementi accessori e di contorno di una informazione, godranno dello stesso livello di protezione: ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati. Sarà richiesto il consenso degli utenti finali per la fornitura di servizi accessori (es. antivirus o ricerca di parole testuali nelle mail) e per il conseguimento di specifiche finalità ulteriori rispetto alla fornitura del servizio, che non possono essere ottenute utilizzando dati anonimi. Molto ampia, inoltre, la protezione del dispositivo utilizzato: si prevede che ogni interferenza con i terminali richieda il consenso dell´utente.
- IOT: viene per la prima volta menzionata la specificità “dell´internet degli oggetti” al fine di estendere il principio di confidenzialità delle comunicazioni anche ai trattamenti machine-to-machine, ovvero al mondo degli oggetti e dei luoghi concreti
- Consenso per l’uso dei cookie attraverso impostazioni del browser: un altro elemento innovativo riguarda i cookie. Per rimediare all’eccesso di “cookie banner” che si presentato quotidianamente agli utenti di Internet, si consentirà agli utenti di gestire il proprio consenso ai “cookie di terze parti” tramite le impostazioni del browser. L´utente potrà compiere una scelta unica, accettando o rifiutando in blocco l´installazione dei cookie tramite un settaggio preliminare del browser. Il consenso non sarà invece necessario per l´installazione dei cookie cd. analytics, quelli utilizzati ad esempio per contare gli utenti che visitano uno specifico sito web o per tener traccia degli acquisti nel proprio carrello elettronico.
- Telemarketing: la proposta prevede che per l´effettuazione di chiamate a carattere promozionale gli operatori utilizzino linee telefoniche contraddistinte da un prefisso identificativo unico che dovrà obbligatoriamente essere mostrato in chiaro.
- Informativa e acquisizione del consensodovranno essere maggiormente user friendly anche mediante l´impiego di icone stardardizzate.
- Sanzioni più elevate: vista la stretta relazione esistente tra il Regolamento ePrivacy ed il GDPR, la proposta è quella di allineare la sanzioni amministrative previste per le violazioni del Regolamento ePrivacy con quelle previste dal GDPR, ovvero sanzioni fino a 20 milioni di euro o fino al 4 % del fatturato totale annuo, se superiore.
Il rapporto tra Regolamento ePrivacy e il GDPR è di complementarietà.
Tuttavia, mentre il GDPR mira in generale ad assicurare la protezione dei dati personali, il Regolamento ePrivacy mira ad assicurare la riservatezza, la sicurezza delle comunicazioni elettroniche e l’integrità delle informazioni contenute nei dispositivi elettronici utilizzati per comunicare (quali smartphone, tablet, ecc.), che contengano o meno dati personali.