La sfida della tutela della privacy nel mercato unico digitale: tra GDPR e Regolamento ePrivacy

È trascorso ormai più di un anno dall’entrata in vigore, a tutti gli effetti, del Regolamento UE 2016/679 (noto come GDPR – acronimo di General Data Protection Regulation) e tuttavia non si può negare di essere ancora molto lontani dal raggiungimento dell’obiettivo primario che ha mosso il legislatore europeo: l’effettiva tutela dei dati delle persone fisiche dispersi del mondo virtuale creato dal web. Manca, in effetti, un importante tassello nella legislazione europea: l’approvazione del c.d. Regolamento e-Privacy (COM/2017/010 final – 2017/03 COD) oggetto di discussione in seno agli organi europei già dall’inizio del 2017, la cui data di entrata in vigore avrebbe dovuto coincidere con quella del GDPR e che, tuttavia, ad oggi, pare ancora incerta, nonostante il Comitato Europeo per la Protezione dei Dati (EDPB), attraverso lo Statement 3/2019 on the future ePrivacy Regulation abbia nuovamente sollecitato i legislatori nazionali ad intensificare gli sforzi verso l’adozione di una regolamentazione essenziale al completamento del rinnovato quadro normativo europeo sulla protezione dei dati personali.

Il presente intervento mira ad offrire una breve disamina di questa importante proposta legislativa comunitaria soggetta a continui mutamenti, anche al fine di interrogarsi sulle cause che ne stanno ritardando l’entrata in vigore. La proposta di regolamento del Parlamento Europeo e del Consiglio, originariamente presentata il 10 gennaio 2017 ed oggetto di successive modifiche, da ultimo quella presentata lo scorso 26 luglio, muove da una importante presa di coscienza da parte del legislatore comunitario: ormai sempre di più consumatori e imprese si affidano ai nuovi servizi di comunicazione over-the-top (OTT), ma questi non sono di norma soggetti all’attuale quadro di riferimento dell’Unione per le comunicazioni elettroniche che, non dimostrandosi al passo con gli sviluppi tecnologici, determina una lacuna nella tutela delle comunicazioni effettuate mediante i nuovi servizi.

La proposta di Regolamento, articolata in 42 considerando, sette capi e 29 articoli, avrebbe, dunque, la finalità di abrogare l’attuale direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) disciplinando in maniera più rigorosa le modalità di fornitura ed uso delle tecnologie di comunicazione elettroniche quotidianamente utilizzate dai cittadini europei, senza, tuttavia, limitarne la libera circolazione. Il c.d. regolamento e-Privacy, trova la sua base giuridica negli artt. 16 e 114 del TFUE nonché negli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea e si pone rispetto al GDPR come lex specialis, e, pertanto, è volto ad integrare il GDPR disponendo ulteriori e rafforzate garanzie per tutti i tipi di comunicazione elettronica, ivi comprese le applicazioni di messaggistica istantanea, la posta elettronica, le chiamate telefoniche via internet e la messaggistica privata attraverso le piattaforme social.
Peraltro, la proposta di regolamento include una previsione secondo cui tutti i dati trasmessi da una macchina all’altra sono da considerare alla stregua di un servizio di comunicazione elettronica, in tal modo qualificando tutti i produttori di dispositivi IoT (internet of things) come fornitori di servizi di comunicazione elettronica, conseguentemente soggetti all’ambito applicativo del regolamento in parola.

Inoltre, rispetto al GDPR, il regolamento e-Privacy ha un ambito di applicazione più esteso poiché mira a tutelare le comunicazioni e i relativi interessi legittimi non solo delle persone fisiche, ma anche delle persone giuridiche, per quest’ultime constatando come le comunicazioni elettroniche siano in grado di rivelare informazioni altamente sensibili, come segreti aziendali, o altre informazioni aventi valore economico.

Principio cardine cui la proposta normativa si ispira è la tutela della riservatezza delle comunicazioni, intesa come garanzia che le informazioni scambiate tra le parti non siano rivelate a terzi non direttamente coinvolti nella comunicazione. Il principio della riservatezza si declina così nell’impedire qualsiasi interferenza nella comunicazione (sia direttamente che attraverso l’elaborazione automatizzata) quali ascolto, registrazione, conservazione, monitoraggio, scansione o altri tipi di intercettazione, sorveglianza o trattamento dei dati delle comunicazioni elettroniche e nel vietare qualsiasi memorizzazione automatica di informazioni afferenti alla comunicazione medesima. La vera sfida che il regolamento in parola si prefigge è, però, quella di garantire la riservatezza, nei termini appena indicati, non solo con riferimento al contenuto della comunicazione bensì anche rispetto ai metadati, ovvero ai dati esterni alla comunicazione, rappresentati dai dati di traffico e di localizzazione, in grado anch’essi di rivelare informazioni estremamente sensibili e personali, nonché con riferimento alle apparecchiature terminali degli utenti finali ed alle informazioni connesse all’uso di tali apparecchiature. Ecco, dunque, che il carattere innovativo del regolamento rispetto all’attuale direttiva in materia di comunicazioni elettroniche sta proprio nell’equiparazione dei metadati ai contenuti delle comunicazioni ai quali il legislatore comunitario si propone di assicurare il medesimo grado di confidenzialità. Espressamente richiamando i noti principi di privacy by design e privacy by default, la proposta di regolamento mira così ad introdurre la possibilità per l’utente finale di rilasciare il consenso non solo per il trattamento del contenuto delle comunicazioni elettroniche, ma anche per il trattamento dei relativi metadati e per il trattamento delle informazioni connesse all’uso delle apparecchiature elettroniche e tale consenso dovrebbe avere la medesima accezione del consenso della persona interessata a norma del GDPR, con la conseguenza che lo stesso non sarà valido se il titolare dei dati non dispone di una vera scelta libera o se non può rifiutarlo o revocarlo senza conseguenze negative.

Le uniche eccezioni all’obbligo di ottenere il consenso per avvalersi della capacità di trattamento e conservazione dei dati, metadati e contenuto delle comunicazioni elettroniche nonché delle informazioni contenute nell’apparecchiatura terminale, da parte dei fornitori di servizi, dovrebbero pertanto essere limitate alle situazioni che comportano un’intrusione nella vita privata scarsa o nulla, così come previste e disciplinate dal regolamento medesimo.

L’analisi del c.d regolamento e-privacy, qui sinteticamente proposta, se da un lato rende evidente la ratio che ha mosso il legislatore europeo, ovvero quella di fornire un elevato livello di tutela della vita privata per gli utenti dei servizi di comunicazione elettronica e condizioni di parità per tutti gli operatori del mercato, dall’altro ne svela le criticità, nella misura in cui la tutela della riservatezza delle comunicazioni elettroniche è quasi esclusivamente basata sulla centralità del consenso rilasciato dagli utenti, quando, in realtà, l’esperienza applicativa del GDRP ha ormai reso evidente l’insufficienza di questo paradigma a soddisfare le esigenze di trasparenza e consapevolezza da parte degli utenti che dovrebbero essere (ma ad oggi non sono) presupposti imprescindibili per la prestazione del consenso. Le perplessità rispetto alla effettiva tutela della riservatezza che il testo del regolamento e-privacy, così come originariamente proposto, sarebbe in grado di assicurare alle comunicazioni elettroniche, unitamente alle valutazioni circa l’impatto che la sua approvazione avrebbe sugli interessi economici dei fornitori dei moderni servizi di comunicazione, alimentano il dibattito intorno alla sua approvazione, che si protrae ormai da quasi un biennio.

Per concludere, l’approvazione del regolamento e-Privacy appare, si, uno step fondamentale per dare nuovo impulso all’ambizioso processo di tutela della privacy nell’era digitale, iniziato con il significativo sforzo normativo rappresentato dal Regolamento UE 679/2016 (GDPR) e proseguito con l’approvazione del nuovo Codice Privacy (D.lgs. 101/2018). L’auspicio, dunque, è che si provveda presto ai necessari correttivi che possano condurre all’approvazione del regolamento in parola ed a una più compiuta regolamentazione in materia di eprivacy indispensabile per accrescere la fiducia nei servizi digitali nonché, soprattutto, la sicurezza degli stessi.