Diritto e informatica forense

IL NUOVO REGOLAMENTO ePRIVACY di Benedetto Fucà

Il Nuovo Regolamento ePrivacy di Benedetto Fucà1

1-Business Analyst - Laurea in Giurisprudenza e Master in Cyber security - Digital Forensic & Computer Crime

Abstract - Il Consiglio Europeo il 10 febbraio ha approvato un mandato negoziale finalizzato alla revisione della Direttiva 2002/58/CE (detta Direttiva ePrivacy). La Direttiva sarà sostituita da un Regolamento che si pone come normativa speciale, nella materia del trattamento dei dati personali: quello delle comunicazioni elettroniche, rispetto al G.D.P.R. L’articolo analizza gli aspetti fondamentali di questo rapporto, le materie oggetto della normativa nonché i possibili sviluppi negli ecosistemi digitali composti da device Internet of Things

Un nuovo importante tassello alla definizione di un quadro normativo, a livello europeo, che riguarda la privacy sta per essere deliberato. Si tratta del nuovo Regolamento ePrivacy, che va a sostituire la Direttiva 2002/58/CE (detta Direttiva ePrivacy). Infatti, il Consiglio Europeo il 10 febbraio ha approvato un mandato negoziale finalizzato alla revisione di una normativa che ormai da tempo richiedeva un necessario aggiornamento.

Si tratta di un aggiornamento necessario sia dal punto di vista tecnologico che anche normativo. Dal punto di vista tecnologico, negli ultimi anni, l’evoluzione di tecnologie digitali già presenti e di nuovi asset tecnologici, che hanno visto la luce in questi anni, rendevano la Direttiva attuale ormai obsoleta. Inoltre, la necessità di armonizzare il quadro normativo anche alla luce dell’entrata in vigore del General Data Protection Regulation rende necessario regolamentare questo ambito con un apposito Regolamento (in sostituzione della Direttiva che per sua natura non è direttamente applicabile dagli Stati membri) che recepisce le importanti novità del G.D.P.R.

Va innanzitutto, chiarito il rapporto tra questi due Regolamenti: il G.D.P.R. può essere visto come la legge generale, la vera pietra miliare in ambito di protezione dei dati personali; il Regolamento ePrivacy, invece, è una normativa speciale che va a specificare un settore determinato del trattamento dei dati personali: quello relativo alle comunicazioni elettroniche. In particolare, le comunicazioni di dati che avvengono tramite dispositivi dell’Internet delle cose (IoT), le attività di direct marketing e telecomunicazioni effettuate dalle società attive nel digitale. A differenza del G.D.P.R. il nuovo Regolamento è applicabile non solo alle persone fisiche ma anche alle persone giuridiche. La tutela riguarda l’utente finale, indipendentemente dalla sua natura giuridica.

L’importanza di questa nuova normativa è fondamentale nella misura in cui la Direttiva che verrà sostituita è del 2002 e risulta necessario avere un testo normativo aggiornato rispetto all’evoluzione tecnologica; fondamentale per garantire un trattamento e una comunicazione dei dati in linea con quanto già stabilito dal G.D.P.R.

Il lungo percorso, ormai giunto alle battute finali, che sta portando alla nascita di questo Regolamento, si intreccia con quanto già previsto dal G.D.P.R. Inizialmente, l’approvazione e la successiva entrata in vigore dei due Regolamenti doveva avvenire contestualmente. Così non è stato, in quanto individuare norme specifiche sul trattamento dei dati ha richiesto un esame più approfondito e un coinvolgimento maggiore degli stakeholder (aziende, Stati, portatori di interessi diffusi) proprio perché va a dettare regole specifiche e speciali su un settore peculiare.

Questo rapporto lex generalis / lex specialis risulta specificamente menzionato nel richiamo dell’art. 95 del G.D.P.R.: “Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.” L’articolo, richiamando la Direttiva (presto sostituita dal Regolamento) nei fatti afferma l’applicabilità di quest’ultima nei servizi di comunicazione. Tuttavia, come si è avuto modo di vedere, dall’entrata in vigore del G.D.P.R., spesso è stato proprio quest’ultimo che in via sussidiaria ha offerto una tutela normativa in capo alle persone fisiche in questo materia. Sussidiarietà sostenuta anche dall’European Data Board Protection (E.P.D.B.) per coprire l’obsolescenza normativa rispetto allo sviluppo tecnologico digitale[1].

Questo rapporto è stato chiarito, infatti anche dal Parere 5/2019[2], rilasciato dal E.P.D.P. su richiesta dell’Autorità belga per la Protezione dei Dati. Il Board, ribadendo il rapporto tra le due normative, ha chiarito che nel caso in cui il trattamento dei dati personali non è disciplinato in modo specifico dalla Direttiva e-Privacy (o laddove la direttiva e-privacy non disciplina una “regola speciale”), si applica il GDPR.

Come accennato sopra, oggetto di questo Regolamento saranno in primis i dati delle comunicazioni elettroniche che dovranno rimanere riservati. Qualsiasi interferenza, compreso l’ascolto, il monitoraggio e l’elaborazione dei dati da parte di chiunque non sia l’utente finale, sarà vietata, salvo quanto verrà consentito dalla normativa ePrivacy. Altra materia oggetto di tale normativa saranno i cookie, ovvero frammenti di dati sugli utenti memorizzati sul computer e utilizzati, da parte dei player digitali, per migliorare la navigazione. Metadati di comunicazione che vanno ad incidere, inoltre, sulla profilazione dell’utente finale. Mediante la profilazione, le aziende per scopi di business vanno implementare la data monetization ovvero lo scambio dei dati dell’utente finale verso un’altra organizzazione dietro un compenso, creando accordi commerciali che hanno ad oggetto proprio i dati ceduti dall’utente finale.

Inoltre, l’E.P.D.P., per cercare di allineare la regolamentazione all’uso della data monetization ha emanato le Linee Guida 5/2020[3] in cui vengono stabilite, alla luce dell’evoluzione digitale, due principi fondamentali:

  1. L’utente finale dovrebbe avere la possibilità di scegliere se accettare i cookie o identificatori simili.
  2. Rendere l’accesso a un sito web dipendente dal consenso all’uso dei cookie per scopi aggiuntivi in alternativa a un paywall sarà consentito se l’utente è in grado di scegliere tra tale offerta e un’offerta equivalente dello stesso fornitore che non comporta il consenso ai cookie.

In questo contesto, l’approvazione del nuovo Regolamento ePrivacy risulta fondamentale anche per gli ecosistemi dell’Internet of Things (IOT). La regolamentazione delle comunicazioni e del trattamento dei dati di questi dispositivi è uno dei punti salienti della normativa, infatti, si stabilisce che nella maggior parte dei casi i produttori di device potrebbero contare solo sul consenso dell’utente finale per trasmettere i dati da un dispositivo ad un altro dispositivo collegato, non potendo fondare il trattamento sull’esecuzione del rispettivo contratto con l’utente finale.

Gli impatti che il Regolamento potrebbe apportare anche in relazione alle nuove tecnologie, nello specifico IoT e Intelligenza Artificiale, si ricollegano in maniera particolare alla tecnologia blockchain. Immaginando, per esempio un ecosistema di Smart City, fortemente incentrato su device IoT e alimentati da una blockchain che certifica gli scambi, si pone il tema di come questo Regolamento può creare un fenomeno di trust che va ad alimentare la fiducia da parte dei cittadini nei confronti della Smart City. Andando ad alimentare un processo virtuoso che da un lato riesce a cogliere in pieno i vantaggi di questo ecosistema e dall’altro pone le basi per un ulteriore sviluppo tecnologico integrativo.

La valenza dell’entrata in vigore del Regolamento, che si pone come prima normativa speciale rispetto al G.D.P.R. apre una seria riflessione anche su un quadro normativo in grado di poter agganciare lo sviluppo tecnologico con altrettante normative speciali in grado di mantenere alta, all’interno dell’Unione Europea, una tutela normativa di alto livello.

 Benedetto Fucà

 Business Analyst 

Laurea in Giurisprudenza e Master in Cyber security

Digital Forensic & Computer Crime

[1] Si veda sul tema anche Sicurezza dei dati personali negli smart vehicles di Benedetto Fucà e Antonello Cassano, link abstract link abstract: https://www.ictedmagazine.com/images/Riviste_2020/Aprile_2020_abstract.pdf – 2020)

[2]Testo del parere: https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_it.pdf

[3] Testo del Parere: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

RIFERIMENTI

logo icted

ICTEDMAGAZINE

Information Communicatio
Technologies Education Magazine

Registrazione al n.157 del Registro Stam­pa presso il Tribunale di Catanzaro del 27/09/2004

Rivista trimestrale  

Direttore responsabile/Editore-responsabile intellettuale

Luigi A. Macrì