Il 9 giugno scorso Marju Lauristin, membro del parlamento europeo (MEP) e della Commissione per le libertà civili, giustizia e affari interni del Parlamento Europeo (LIBE) ha presentato una relazione contenente degli emendamenti al Regolamento.
Nella preparazione di questa relazione, la relatrice Marju Lauristin ha condotto una serie di approfondimenti con le seguenti Commissioni: draft opinion of the Committee on Legal Affairs, draft opinion of the Committee on the Internal Market and Consumer Protection, draft report of the Committee on Industry, Research and Energy.
Il successivo 21 giugno Marju Lauristin ha presentato la sua relazione ai suoi colleghi della Commissione LIBE e il 10 luglio 2017 si è tenuta la riunione della Commissione LIBE per discutere della relazione contenente gli emendamenti al Regolamento.
I principali aspetti rilevati dalla proposta di modifica possono riassumersi come segue:
1.La relazione chiarisce la relazione tra il GDPR e il Regolamento ePrivacy specificando che quest’ultimo “mira a fornire delle garanzie aggiuntive e complementari tenendo conto della necessità di una protezione supplementare per quanto riguarda la riservatezza delle comunicazioni” e per questo “il trattamento dei dati relativi alle comunicazioni elettroniche da parte dei fornitori di servizi di comunicazioni elettronica dovrebbe essere consentito solo in conformità, e in base a un motivo giuridico specificamente previsto, con il presente regolamento” (cfr. emendamento 4).
2. L’emendamento 18 propone la cancellazione del considerando 18 del Regolamento (in base al quale “il consenso al trattamento dei dati provenienti dall’utilizzo di internet o delle comunicazioni vocali non sarà valido se il titolare dei dati non dispone di una vera scelta libera o se non può rifiutare o revocare il consenso senza conseguenze negative”) e introduce il nuovo considerando 17, lettera a), che in parte ripete quanto già previsto nel considerando 18, ossia che “ai fini del presente regolamento, il consenso dell’utente finale, indipendentemente dal fatto che quest’ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato ed essere soggetto alle stesse condizioni del consenso del soggetto interessato ai sensi del Regolamento (UE) 2016/679” e, inoltre, chiarisce che “gli utenti finali dovrebbero avere il diritto di revocare il loro consenso da un servizio aggiuntivo senza violare il contratto per il servizio di base. Il consenso per l’elaborazione di dati da utilizzo di Internet o di comunicazioni vocali non deve essere valido se l’utente non ha alcuna scelta vera e propria o non è in grado di rifiutare o revocare il consenso senza alcun danno” (cfr. emendamento n. 17).
3. La relazione ha rimosso il rinvio al Codice Europeo delle Comunicazioni elettroniche modificando l’art. 4, comma 1 punto b) ed eliminando l’art. 4, secondo comma del Regolamento, nonché introducendo le predette definizioni direttamente nel testo del Regolamento ePrivacy (cfr. nuovo paragrafo 3 dell’articolo 4, vedasi emendamenti da 47 a 54).
In questo modo, il Regolamento diventerebbe autonomo e separato da altre iniziative legislative adottate dall’UE, come quella, appunto, del Codice delle Comunicazioni Elettroniche, assecondando peraltro l’opinione del GEPD che, come osservato in precedenza, aveva sollevato perplessità proprio in merito al fatto che il Regolamento si limita a rinviare alle definizioni dell’art. 2 della proposta di direttiva del Codice Europeo delle Comunicazioni elettroniche (cfr. art. 4, comma 1, punto b), del Regolamento).
4. La relazione introduce la distinzione (assente nella versione originaria del Regolamento) tra utenti finali intesi come “una persona giuridica o una persona fisica che utilizza o richiede un servizio di comunicazione elettronica accessibile al pubblico” (cfr. emendamento 53, nostra sottolineatura) e utenti intesi come “qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza necessariamente aver sottoscritto questo servizio” (cfr. emendamento 54, nostra sottolineatura).
In ragione di tale distinzione è stata sostituita, in diversi punti, la definizione “utente finale” con quella di “utente” (ex multis, emendamenti 58, 59, 69, 70) limitando, in questo modo, alle sole persone fisiche la tutela della riservatezza delle comunicazioni e ciò nonostante la bozza di relazione abbia lasciato immutato il considerando 3 del Regolamento, che equipara la protezione delle comunicazioni delle persone fisiche a quella delle persone giuridiche.
5. È stata rafforzata la definizione di ‘metadati’, estendendola a “tutti gli altri dati relativi alle comunicazioni trattati per la fornitura del servizio, che non sono considerati contenuti” compresi “i dati trasmessi o emessi dall’apparecchiatura terminale per identificare le comunicazioni degli utenti e/o l’apparecchiatura terminale o la sua posizione e consentirle di connettersi a una rete o ad un altro dispositivo” (cfr. emendamento 55). Come precisato nella bozza di relazione “questo emendamento serve a chiarire l’esatto concetto di metadato, come sottolineato dal Gruppo di lavoro Articolo 29, dagli studiosi e dalle autorità giudiziarie” (cfr. “giustificazione” alla fine dell’emendamento 55).
6. In aggiunta agli specifici casi di trattamento “consentito” (adesso definito “lecito” in base all’emendamento 60) delle comunicazioni elettroniche previsti dall’art. 6 del Regolamento, la relazione prevede che “per la fornitura di un servizio di comunicazione elettronica esplicitamente richiesto dall’utente per un uso puramente personale, anche connesso a fini lavorativi, i fornitori di servizi di comunicazione elettronica possono trattare il contenuto delle comunicazioni elettroniche esclusivamente per la fornitura del servizio richiesto e senza il consenso di tutti gli utenti” ma ciò è possibile “soltanto quando tale trattamento produce effetti solo in relazione all’utente che ha chiesto il servizio e non pregiudica i diritti fondamentali degli altri utenti” (cfr. emendamento 71, nostra evidenziazione in grassetto).
Tuttavia, con tale emendamento, il trattamento delle comunicazioni elettroniche ‘senza consenso’ potrebbe avere una portata molto ampia tenuto conto che “l’uso personale o per motivi di lavoro” rientrano sicuramente tra le principali finalità di utilizzo dei servizi di comunicazione elettronica. Per “consenso di tutti gli utenti” presumiamo che si debba fare riferimento sia ai mittenti che ai destinatari delle comunicazioni, non essendo dunque sufficiente il consenso di uno solo dei soggetti interessati.
7. L’emendamento 78 prevede che il tracciamento degli utenti (per esempio, tramite cookie) può aversi previo loro consenso (precisamente, se “l’utente ha dato il suo specifico consenso”), il quale tuttavia “non è obbligatorio per accedere al servizio”.
La relazione si conforma dunque a quanto suggerito sia dal WP29 che dal GEPD nei loro rispettivi pareri, rendendo il consenso dell’utente effettivamente libero.
Tale regola è inoltre rafforzata in un nuovo e separato paragrafo dell’articolo 8 introdotto dall’emendamento 83, in forza del quale “A nessun utente deve essere negato l’accesso a qualsiasi servizio o funzionalità della società d’informazione, a prescindere dal fatto che il servizio sia a pagamento o meno, alla luce del fatto che non abbia dato il suo consenso a norma dell’articolo 8, paragrafo 1, lettera b) per il trattamento delle informazioni personali e/o per l’uso delle capacità di conservazione delle sue apparecchiature terminali che non siano necessarie per la prestazione di tale servizio o funzionalità”.
8. Oltre a quelle già previste all’art. 8 del Regolamento, la relazione introduce altre eccezioni per il tracciamento dei terminali degli utenti (cfr. emendamenti da 75 a 83). In particolare, l’emendamento 82 propone un’eccezione per il tracciamento dei lavoratori “se è necessario nel contesto del rapporto di lavoro” ma solo a condizione che il dipendente utilizzi i terminali messi a disposizioni dal datore di lavoro e purché tale tracciamento sia “strettamente necessario per il funzionamento dell’apparecchiatura terminale del dipendente” (cfr. emendamento 82).
9. La relazione introduce importanti modifiche in merito al tracciamento dei terminali degli utenti (i.e. WI-FI tracking or Bluetooth tracking) prevedendo la possibilità della raccolta delle informazioni emesse dall’apparecchiatura terminale solo (i) al fine di, e per il tempo necessario a, stabilire una connessione richiesta dall’utente, oppure (ii) con il consenso informato dell’utente, oppure (iii) se i dati sono anonimizzati e i rischi vengono adeguatamente mitigati (cfr. emendamenti da 84 a 90).
Per la mitigazione del rischio, vengono indicate le seguenti misure: (a) la raccolta delle informazioni deve essere finalizzata alla sola contabilità statistica, (b) il monitoraggio deve essere effettuato solo nella misura strettamente necessaria a tale scopo, (c) i dati devono essere eliminati o anonimizzati immediatamente dopo il raggiungimento di detto scopo e (d) gli utenti devono essere dotati di effettive possibilità di opt-out (cfr. emendamento 89).
Infine, gli utenti devono essere informati in merito al tracciamento dei loro terminali tramite un’informativa chiara che indichi i dettagli sulle modalità di raccolta delle informazioni, lo scopo della raccolta, la persona responsabile nonché le altre informazioni richieste ai sensi dell’articolo 13 del GDPR (cfr. emendamento 90). In ogni caso, “la raccolta di tali informazioni è subordinata all’applicazione di adeguate misure tecniche ed organizzative per garantire un livello di sicurezza adeguato ai rischi di cui all’articolo 32 del GDPR” (cfr. emendamento 90).
La relazione dunque, conformemente a quanto suggerito dal WP29, propone una modifica molto significativa rispetto all’originaria proposta della Commissione Europea (che essenzialmente chiedeva per il tracciamento dell’utente la mera visualizzazione di un avviso/banner volto ad informare gli utenti della possibilità di “arrestare o minimizzare tale raccolta”, unitamente all’adozione di misure tecniche ed organizzative di mitigazione del rischio: cfr. art. 8, secondo comma, del Regolamento).
10. L’art. 10 si riferisce alle opzioni per le impostazioni predefinite dei terminali e dei software ed è stato modificato con una chiara preferenza per il meccanismo “Do-Not-Track” (DNT) prevedendo che tutti i software debbano essere impostati di default “per offrire impostazioni di protezione della privacy atte ad impedire ad altre parti di memorizzare informazioni sull’apparecchiatura terminale di un utente e di elaborare informazioni già memorizzate su tali apparecchiature” (cfr. emendamento 95).
A tale riguardo, la relatrice spiega alla fine della relazione che “le impostazioni dovrebbero consentire la frammentazione del consenso dell’utente, tenendo conto della funzionalità dei cookie e delle tecniche di monitoraggio, e le DNT dovrebbero inviare segnali alle altre parti informandoli delle impostazioni privacy selezionate dall’utente. La conformità a queste impostazioni dovrebbe essere giuridicamente vincolante e applicabile a tutte le altre parti” (cfr. pag. 88 della relazione).
11. Le sanzioni previste dall’art. 23 del Regolamento ePrivacy vengono estese anche ai casi di violazione degli obblighi previsti dall’art. 8 del Regolamento ePrivacy (cookie, WI-FI tracking) con sanzioni fino a 20 milioni di Euro o il 4% del fatturato annuo globale (cfr. emendamento 131).
Per maggiori informazioni:
parere n. 1/2017 dell’Art. 29 Working Party;
parere n. 6/2017 del Garante Europeo per la protezione dei dati
proposta di Regolamento ePrivacy della Commissione Europea
draft opinion della Commissione per le libertà civili, giustizia e affari interni del Parlamento Europeo (LIBE), Relatrice: Marju Lauristin