Dopo quattro anni di trattative, ieri gli Stati membri dell’UE hanno concordato un mandato negoziale per la revisione delle norme sulla protezione della privacy e della riservatezza nell’uso dei servizi di comunicazione elettronica. Le regole aggiornate sulla “ePrivacy” definiranno i casi in cui i fornitori di servizi possono elaborare i dati delle comunicazioni elettroniche o avere accesso ai dati memorizzati sui dispositivi degli utenti finali. L’accordo di ieri consente ora all’attuale presidenza portoghese di avviare i colloqui con il Parlamento Europeo sul testo finale.
Come si legge nel comunicato ufficiale del Consiglio dell’UE, “regole solide sulla privacy sono fondamentali per creare e mantenere la fiducia in un mondo digitale”, e perciò è necessario un aggiornamento dell’attuale direttiva ePrivacy del 2002 per far fronte ai nuovi sviluppi tecnologici e di mercato, come l’attuale uso diffuso di Voice over IP, servizi di posta elettronica e di messaggistica basati sul web e l’emergere di nuove tecniche per il monitoraggio degli utenti online.
La proposta di regolamento ePrivacy abrogherà l’attuale direttiva del 2002. In quanto lex specialis del Regolamento generale sulla protezione dei dati, specificherà e integrerà il Gdpr. Ad esempio, contrariamente al Gdpr, molte disposizioni in materia di ePrivacy si applicheranno sia alle persone fisiche che a quelle giuridiche.
In base al mandato del Consiglio, il regolamento coprirà i contenuti delle comunicazioni elettroniche trasmessi utilizzando servizi e reti accessibili al pubblico e i metadati relativi alla comunicazione. Ad esempio, i metadati includono informazioni sulla posizione, l’ora e il destinatario della comunicazione, e per questo sono considerati potenzialmente sensibili quanto il contenuto della comunicazione stessa.
Per garantire la piena protezione dei diritti alla privacy e per promuovere un Internet of Things affidabile e sicuro, le regole riguarderanno anche i dati da macchina a macchina trasmessi tramite una rete pubblica.
Le regole si applicheranno quando gli utenti finali si trovano nell’UE. Ciò copre anche i casi in cui il trattamento avviene al di fuori dell’UE o il fornitore di servizi è stabilito o situato al di fuori dell’UE.
Di regola, i dati delle comunicazioni elettroniche dovranno rimanere riservati. Qualsiasi interferenza, incluso l’ascolto, il monitoraggio e il trattamento dei dati da parte di chiunque non sia l’utente finale, sarà vietata, tranne i casi in cui il regolamento ePrivacy lo consentirà.
Il trattamento consentito dei dati delle comunicazioni elettroniche senza il consenso dell’utente include, ad esempio, la garanzia dell’integrità dei servizi di comunicazione, il controllo della presenza di malware o virus, o casi in cui il fornitore di servizi è vincolato dalla legge dell’UE o degli Stati membri per perseguimento di reati o prevenzione di minacce alla sicurezza pubblica. I metadati possono essere elaborati, ad esempio, per la fatturazione o per rilevare o bloccare un utilizzo fraudolento.
Con il consenso dell’utente, i fornitori di servizi potrebbero, ad esempio, utilizzare i metadati per visualizzare i movimenti del traffico per aiutare le autorità pubbliche e gli operatori dei trasporti a sviluppare nuove infrastrutture dove è più necessario.
I metadati potranno anche essere elaborati per proteggere gli interessi vitali degli utenti, compreso il monitoraggio delle epidemie e della loro diffusione o in caso di emergenze umanitarie, in particolare disastri naturali e causati dall’uomo. In alcuni casi, i fornitori di reti e servizi di comunicazione elettronica potranno elaborare i metadati per uno scopo diverso da quello per cui sono stati raccolti, anche quando ciò non è basato sul consenso dell’utente o su determinate disposizioni su misure legislative ai sensi del diritto dell’UE o degli Stati membri.
Inoltre, l’utente finale dovrebbe avere la possibilità di scegliere se accettare i cookie o identificatori simili. Rendere l’accesso a un sito web in base al consenso sui cookie per scopi aggiuntivi in alternativa a un paywall sarà consentito se l’utente è in grado di scegliere tra tale offerta e un’offerta equivalente dello stesso fornitore che non comporta il consenso ai cookie.
Per evitare l’affaticamento del consenso sui cookie, un utente finale potrà fornire il consenso all’uso di determinati tipi di cookie inserendo uno o più provider nella whitelist nelle impostazioni del browser. I fornitori di software saranno incoraggiati a rendere facile per gli utenti impostare e modificare le whitelist sui loro browser e revocare il consenso in qualsiasi momento. Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell’UE e inizierà ad applicarsi due anni dopo.