25 maggio 2018: ecco il GDPR, il nuovo regolamento europeo sulla protezione dei dati personali. In realtà, i regolamenti che dovevano nascere quel giorno, nelle intenzioni del legislatore europeo, erano due: gemelli eterozigoti. Diversi ma uguali nelle finalità, l’uno più corpulento, l’altro più acuto ma bisognoso di essere sostenuto. Alla fine, è nato solo quello più corpulento, l’altro è rimasto nelle pieghe delle procedure legislative dell’UE. E, così, prima o poi nascerà il “Regolamento relativo al rispetto della vita privata ed alla tutela dei dati personali nelle comunicazioni elettroniche”, il cosiddetto regolamento ePrivacy. Per ora, è fermo come proposta[i] ma esprime già tutta la sua portata.
Il regolamento ePrivacy nasce dall’esigenza di:
Il testo ePrivacy si muove in uno specifico contesto di trattamento di dati personali (comunicazioni elettroniche) e, per questo motivo, è sostenuto da tutto quello che è previsto dal GDPR (definizioni, principi, autorità di controllo, ecc.). Infatti, l’articolo 1 sottolinea che il regolamento tende a “precisare e ad integrare” quanto stabilito dal regolamento europeo 679/2016.
L’attualità della proposta di ePrivacy discende da un recente parere fornito dal Comitato Europeo per la Protezione dei Dati Personali[i] che commenteremo a conclusione di una sintesi dei contenuti del regolamento in bozza.
Analogamente al GDPR, ePrivacy si disinteressa del luogo in cui ha la sede legale il fornitore di reti o servizi di comunicazione elettronica (il titolare del trattamento, nel lessico del GDPR) e si dichiara applicabile a tutti i cittadini dell’Unione Europea. Questo vuol dire che l’impiego da parte di un utente italiano di un servizio di posta elettronica fornito da una società statunitense richiede che il servizio sia fornito conformemente alle norme UE.
Inoltre, sempre in sintonia con il GDPR, ePrivacy si applica a prescindere dal pagamento di un corrispettivo da parte dell’utente.
Anche il meccanismo dei controlli e delle sanzioni è simile al GDPR. Infatti, le autorità di controllo (per l’Italia il Garante per la Protezione dei Dati Personali) che devono garantire la tutela dei dati personali potranno esercitare i loro poteri anche in materia di tutela delle comunicazioni elettroniche. In caso di sanzioni, vale lo stesso meccanismo che prevede la doppia marcia con escalation: fino a 10.000.000 di euro per le violazioni meno gravi (elevabili al 2% del fatturato) e fino a 20.000.000 di euro per le violazioni più gravi (elevabili al 4% del fatturato).
La differenza più evidente riguarda l’ambito soggettivo di tutela. Il GDPR tutela i dati personali riferiti alle sole persone fisiche mentre l’ePrivacy tutela le comunicazioni relative a persone fisiche e persone giuridiche. Questo è chiarito bene nel capitolo 2 della relazione di accompagnamento della proposta di regolamento il quale specifica che la sua finalità ultima è quella di rendere effettivo il diritto al rispetto della vita privata e familiare previsto dall’art. 7 della Carta dei Diritti Fondamentali dell’Unione Europea[i]. Questo diritto, secondo specifiche sentenze della Corte di Giustizia dell’Unione Europea[ii] e della Corte Europea dei Diritti dell’Uomo[iii] (ricordiamo che l’art. 8 della Convenzione Europea dei Diritti dell’Uomo[iv] è il gemello del predetto articolo 7), è rivendicabile, per quanto riguarda la riservatezza delle comunicazioni, anche dalle persone giuridiche oltre che dalle persone fisiche.
Un’altra differenza rilevante riguarda la distinzione tra i contenuti delle comunicazioni elettroniche ed i relativi metadati. I contenuti sono la voce, i video, i testi che viaggiano da un mittente ad uno o più destinatari mentre i metadati sono i dati che accompagnano i contenuti ma che sono funzionali a consentire che la comunicazione possa avvenire con successo (data, ora, luogo, tipo di messaggio, ecc.). La differenza è precisata in relazione alla base giuridica che ne consente il trattamento (sempre con l’obbligo di minimizzarne la conservazione). Per i metadati, il trattamento è consentito:
Per i contenuti, invece, le basi di liceità sono ridotti a:
Il consenso, come è ovvio, può essere revocato in qualsiasi momento ma ePrivacy offre una ulteriore tutela imponendo al fornitore di servizi di comunicazione elettronica di ricordare all’utente questo diritto con una frequenza pari a sei mesi.
Infine, diversamente dal GDPR, l’ePrivacy impone la cancellazione o all’anonimizzazione immediata dei contenuti e dei metadati non appena il destinatario abbia ricevuto la comunicazione, salvo che l’interessato non abbia acconsentito diversamente. Solo i metadati utili a scopo di fatturazione possono essere conservati fino alla scadenza del periodo, previsto dalla legge nazionale, utile alla contestazione delle fatture.
L’ePrivacy, oltre ad integrare il GDPR sul fronte riservatezza, estende il proprio campo d’azione all’invadenza derivante dalle comunicazioni (prevalentemente telefoniche e email) cui, in Italia, ha tentato di dare una prima risposta la legge n. 5/2018 (legge sul telemarketing).
Le comunicazioni che prevedono una chiamata tramite numero identificativo dovranno essere filtrabili dall’utente chiamato che sarà messo in grado, dal suo fornitore di servizi di comunicazione, di configurare il rifiuto delle chiamate sconosciute oltre che quelle provenienti da determinati numeri o prefissi.
Sulle email pubblicitarie, infine, non cambia molto rispetto all’attuale disciplina prevista dal nostro Codice della Privacy. È previsto, infatti, che il mittente debba ottenere il consenso del destinatario a meno che non si verifichino tutte le seguenti condizioni allo stesso tempo
Le tante novità contenute nella proposta ePrivacy non hanno pienamente convinto il Comitato Europeo per la Protezione dei Dati Personali (EDPB) che, il 28 maggio scorso, ha adottato un parere per sollecitare alcune riflessioni da parte della Commissione Europea, del Parlamento Europeo e del Consiglio Europeo. In particolare, dopo aver chiesto di chiudere rapidamente l’iter legislativo, ha ribadito l’importanza di includere nel provvedimento:
A cura di: Francesco Maldera
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…