Qualche mese fa ci siamo occupati del regolamento ePrivacy[1] raccontando, forse con troppo ottimismo, come questa norma avrebbe potuto (e dovuto) integrare il quadro della protezione dei dati personali spingendosi nell’oceano di informazioni che vengono trattate dai soggetti che operano nel campo delle comunicazioni elettroniche.
L’ottimismo, e quindi l’urgenza di completare il quadro normativo, era giustificato da una frase contenuta nella relazione accompagnatoria della proposta (rimasta tale) di regolamento[2]:
“I consumatori e le imprese si sono affidati sempre più ai nuovi servizi basati su internet intesi a consentire le comunicazioni interpersonali, quali il voice-over-IP, la messaggistica istantanea e i servizi di posta elettronica basati sulla rete anziché fruire dei servizi di comunicazione tradizionali. Questi servizi di comunicazione over-the-top (“OTT”) non sono di norma soggetti all’attuale quadro di riferimento dell’Unione per le comunicazioni elettroniche, compresa la direttiva sulla vita privata elettronica. Ne consegue che la direttiva non è al passo con gli sviluppi tecnologici, il che si traduce in una lacuna nella tutela delle comunicazioni effettuate mediante i nuovi servizi.”
La Commissione Europea, dunque, sembrava abbastanza consapevole che andassero regolati alcuni aspetti essenziali riguardanti:
Per comprendere esattamente la portata di questi elementi critici, la cui disciplina sembrava essere affidata al regolamento ePrivacy, occorre far riferimento alle definizioni contenute nella Direttiva EU 2018/1972 che istituisce il Codice Europeo delle Comunicazioni Elettroniche[3] e riprese, appunto, dalla proposta – non ancora definitiva – del regolamento ePrivacy:
Queste definizioni rivestono una particolare importanza perché includono tutti i servizi forniti dagli Over the Top (ma anche da altri soggetti); sono i servizi che si traducono in forme di comunicazione che vanno oltre il classico formato audio (le telefonate) o testuale (la posta elettronica), includendo i formati più vari (p.e. foto e video) e che, potenzialmente, contengono molti più dati personali provenienti da più mittenti.
La differenza con la pregressa normativa è notevole. Infatti, la Direttiva 2002/21/CE (direttiva quadro per le comunicazioni elettroniche superata dalla Direttiva EU 2018/1972) che ha fornito la base definitoria alla Direttiva 2002/58/CE (ancora in vigore) trasposta in Italia nel Dlgs. 196/2003 (il Codice privacy, in particolare nel Titolo X – Comunicazioni elettroniche, articoli dal 121 al 132‑quater) espone solo la seguente definizione:
che, mutuata integralmente nell’ambito del Codice privacy, non fa alcun cenno a un’interazione tra più persone.
Il regolamento ePrivacy, quindi, avrebbe dovuto:
integrando opportunamente il Regolamento UE 2016/679 (GDPR).
Sembra, invece, che l’arrivo del COVID‑19, oltre a creare immensi danni alla salute delle persone, stia penetrando anche nelle larghe maglie normative dell’ePrivacy con rischi molto elevati per i diritti e le libertà delle persone. Per questo appare opportuno, sempre considerando lo stato di emergenza che stiamo vivendo, riflettere su alcune scelte che coinvolgono molti soggetti titolari del trattamento, pubblici e privati, e molti fornitori di servizi di comunicazione interpersonale.
Le scuole italiane non erano pronte a fronteggiare una chiusura così lunga e, quindi, ad utilizzare sistemi alternativi (tipicamente telematici) per garantire l’attività didattica. Così molti istituti hanno dovuto improvvisare soluzioni basate su servizi apparentemente gratuiti forniti dagli Over the Top; per esempio, sono state massicciamente impiegate le piattaforme messe a disposizione da Google: Google Classroom e Google Meet.
Secondo il GDPR, l’unica (debole per questo ambito) fonte normativa attualmente disponibile insieme al Codice privacy, le scuole, in qualità di titolari del trattamento dati (immagini dei docenti, elaborati degli studenti, ecc.) avrebbero dovuto designare Google quale responsabile del trattamento conformemente all’art. 28 oltre a fornirgli adeguate istruzioni; avrebbero dovuto, solo per citare uno degli elementi più significativi, fornire adeguate istruzioni sulla durata della conservazione del contenuto delle comunicazioni (per esempio, della lezione effettuata dal docente in diretta con gli alunni). Quanti istituti scolastici l’hanno fatto? Se fosse entrato in vigore il regolamento ePrivacy non sarebbe stato necessario dare questa istruzione, giacché l’art. 7 della proposta prevede che:
“Fatto salvo quanto disposto all’articolo 6, paragrafo 1, lettera b) e all’articolo 6, paragrafo 3, lettere a) e b), il fornitore del servizio di comunicazioni elettroniche cancella il contenuto delle comunicazioni elettroniche o anonimizza tali dati dopo che il o i destinatari previsti hanno ricevuto il contenuto della comunicazione elettronica. Tali dati possono essere registrati o conservati dagli utenti finali o da un terzo da essi incaricato di registrare, conservare o trattare altrimenti tali dati, a norma del regolamento (UE) 2016/679″.
Inoltre, c’è da chiedersi: come sono state attivate le utenze su piattaforme pubbliche come quelle offerte da Google (ma non solo)? Bisogna tener conto che molti alunni, nelle scuole, sono minori e che molti di loro hanno un’età inferiore a 14 anni. Quindi, nel delicato momento di creazione dell’utenza (per esempio, su Google Meet), quanta attenzione c’è stata alla verifica del soggetto che ha fornito i diversi consensi al trattamento (ricordiamo che le app per smartphone chiedono consensi ad accedere e trattare vari dati personali contenuti nel dispositivo)?
Anche in questo caso sarebbe stato utile l’art. 9 della proposta del regolamento ePrivacy che prevede, al terzo paragrafo, che:
“Gli utenti finali che hanno acconsentito al trattamento dei dati delle comunicazioni elettroniche a norma dell’articolo 6, paragrafo 2, lettera c), e dell’articolo 6, paragrafo 3, lettere a) e b), dispongono della facoltà di revocare tale consenso in qualsiasi momento, conformemente a quanto disposto all’articolo 7, paragrafo 3, del regolamento (UE) 2016/679, e ogni sei mesi viene loro rammentata tale possibilità, finché prosegue il trattamento”.
Anche i datori di lavoro sono stati presi alla sprovvista e, senza voler considerare la superficialità con la quale hanno avviato lo smart‑working da un giorno all’altro affidandosi a piattaforme più o meno sicure, è opportuno riflettere sulle riunioni basate su strumenti molto utili per le comunicazioni personali tra due soggetti privati ma poco idonei a garantire i dati personali dei lavoratori. Per esempio, l’utilizzo esteso di Skype, con l’impiego di account o di numeri di telefono personali del lavoratore, può risultare molto invasivo della privacy dei dipendenti oltre che, in qualche caso, potenzialmente in contrasto con l’art. 4 dello Statuto dei Lavoratori (L. 300/1970).
Anche il questo caso, avrebbe potuto aiutare l’art. 7 della proposta del regolamento ePrivacy.
Un’altra fattispecie significativa si è diffusa nelle pratiche di terapia psicologica, sia da parte di strutture pubbliche sia di professionisti privati. La terapia psicologica ha due caratteristiche fondamentali:
Purtroppo, gli obblighi di isolamento imposti dalle autorità in questo periodo di emergenza sanitaria rischiano di incidere su entrambe le caratteristiche della psicoterapia. Quindi, per non interrompere il contatto con i pazienti, molti psicologi hanno fatto ricorso alle sedute telematiche basate su strumenti gratuiti (da Whatsapp a Skype) che, purtroppo, con la normativa attuale, possono presentare rischi elevati per i diritti e le libertà degli interessati. Non dimentichiamo, infatti, che la conversazione su Whatsapp tra paziente e psicoterapeuta ha, come contenuto, dati appartenenti alle particolari categorie di dati personali (i dati sulla salute): un’eventuale Man In The Middle malintenzionato potrebbe violare la riservatezza della comunicazione.
Siamo, quindi, di fronte ad un altro caso in cui l’introduzione del regolamento ePrivacy avrebbe aiutato a rafforzare le garanzie per gli interessati.
Il legislatore europeo ha temporeggiato a lungo – forse consapevole degli enormi interessi in gioco – per regolare la privacy nell’immenso mondo dei servizi di comunicazione elettronica. Le recenti circostanze emergenziali, tuttavia, hanno messo a nudo questi vuoti normativi che, come emerge dagli esempi riportati, rischiano di incidere sui soggetti considerati, per consolidato orientamento, tra quelli meritevoli delle più elevate garanzie.
[1] https://www.ictsecuritymagazine.com/articoli/eprivacy-lintegrazione-del-gdpr/
[2] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017PC0010&from=IT
[3] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32018L1972&from=EN
Articolo a cura di Francesco Maldera
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…