di Luca Bolognini

Abbiamo parlato in precedenza di controlli indiscriminati della posta elettronica e dei dati personali contenuti negli smartphone dei lavoratori da parte del datore di lavoro, nonché delle limitazioni al potere ispettivo del datore in presenza di uso promiscuo dei dispositivi.

Il nostro esperto Luca Bolognini continua ad approfondire l’argomento, parlandoci questa volta della proposta di regolamento sulla e-Privacy, relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche.

La proposta di regolamento sulla e-Privacy della Commissione Europea

Lo scorso 10 gennaio 2017, la Commissione europea ha pubblicato la proposta di Regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche (Regolamento e-Privacy, di seguito anche la “Proposta“). La Proposta abrogherà e sostituirà l’attuale Direttiva 2002/58 (“Direttiva e-Privacy”). Le disposizioni attualmente in vigore della Direttiva E-Privacy prevedono regole relative alla privacy nelle telecomunicazioni, nelle attività di marketing e dei servizi digitali, che completano e rafforzano le disposizioni contenute nella Direttiva 95/46 (“Direttiva sulla protezione dei dati”).

La Proposta di regolamento sulla e-Privacy segue negli intenti l’ultimo importante aggiornamento in materia di privacy in UE, apportato dal Regolamento generale sulla protezione dei dati personali (di seguito “RGPD“, meglio conosciuto ovunque come “GDPR”), al fine di introdurre un più compiuto set di regole sulla tutela della privacy degli individui on line e per essere in linea con le nuove norme del nuovo RGPD.

La Commissione europea aveva anticipato la sua Proposta affermando che le nuove regole avrebbero introdotto cambiamenti importanti. Si prendono in considerazione i metadati, per esempio, che dovranno essere anonimizzati o cancellati se gli utenti non hanno dato il loro consenso, a meno che i dati siano necessari per la fatturazione. Dall’altra parte, una volta che il consenso è fornito, gli operatori di telecomunicazioni tradizionali e gli OOT avranno maggiori opportunità di fornire servizi aggiuntivi e di sviluppare le loro attività. Le disposizioni in materia di cookie, che hanno comportato un sovraccarico di richieste di consenso per gli utenti su Internet, saranno semplificate; nessun consenso sarà necessario per cookie non intrusivi volti a migliorare l’esperienza su Internet o cookie utilizzati da un sito web per contare il numero di visitatori. Chi effettuerà chiamate a fini di marketing dovrà mostrare il numero di telefono o utilizzare uno speciale prefisso che indica una chiamata di marketing.

Metadati. L’articolo 7 della Proposta obbliga i fornitori di servizi di comunicazione elettronica a cancellare il contenuto delle comunicazioni elettroniche o rendere i dati anonimi dopo la ricezione di contenuti di comunicazione elettronica. La Proposta stabilisce che i dati possono essere registrati o memorizzati dagli utenti finali o da un terzo incaricato da questi di registrare, memorizzare o trattare tali dati, in conformità con quanto previsto dal RGDP.

OTT. Anche operatori di comunicazioni basate sull’utilizzo di servizi della società dell’informazione, definiti over-the-top (OTT), sono presi in considerazione dalla Proposta. Infatti, la Commissione europea afferma chiaramente che la Proposta si applica anche ai cosiddetti fornitori “OTT”, come i provider di applicazioni di comunicazione VOIP o messaggistica istantanea e chat. Pur rilevando che già diversi OTT sono più o meno in linea con la privacy e la riservatezza nelle comunicazioni, la tutela di tali diritti fondamentali sarà sempre più indirizzata verso forme di richiesta di consenso per l’utilizzo dei software ed applicazioni di tali operatori, accompagnata da una maggiore informazione agli utenti sulle loro impostazioni privacy. Tali principi saranno affermati anche attraverso la collaborazione con le autorità di vigilanza e il meccanismo di coerenza del RGPD.

Cookies. Si rafforza, almeno negli intenti della Proposta, la possibilità di esprimere un consenso attraverso software come il browser Internet, richiedendo agli utenti di scegliere le proprie impostazioni privacy, e si ampliano le eccezioni alla regola del consenso cookie: così, una percentuale significativa di imprese sarà in grado di evitare l’uso di banner e informative, confidando in una semplificazione delle procedure a favore sia di chi naviga sia di chi offre contenuti on line. Agli utenti finali dovrebbero essere offerte diverse opzioni di impostazione della privacy per categorie, che vanno dalla più elevata (per esempio, ‘non accetta i cookie’), alla più bassa (‘accetta sempre i cookie’), passando per l’intermedia (‘rifiuta i cookie di terze parti’ o ‘accetta solo i cookie di prima parte’). Tali impostazioni privacy, afferma la Commissione europea, dovrebbero essere presentate in un formato facilmente visibile e intelligibile.

Comunicazioni indesiderate. È ribadita la regola favorevole al mercato secondo cui, qualora un soggetto ottenga il recapito di posta elettronica dal proprio cliente, nel contesto della vendita di un prodotto o di un servizio, tale soggetto, in conformità con il RGPD, potrà utilizzare quell’indirizzo per la commercializzazione diretta di prodotti o servizi analoghi purché ai clienti sia fornita da subito e ad ogni messaggio, in modo chiaro ed esplicito, la possibilità di opporsi, gratuitamente e in maniera agevole, a tale utilizzo. È l’antico “soft spam”, lo stesso che oggi troviamo anche all’articolo 130 comma 4 del Codice privacy italiano. Negli altri casi serve il consenso espresso dell’utente finale destinatario del contatto. Il soggetto che utilizza servizi di comunicazione elettronica per effettuare chiamate a fini di marketing diretto è obbligato a rendere noto l’identificativo della linea alla quale potrebbe essere ricontattato o a mostrare un codice/prefisso che permetta di identificare tale tipo di chiamata come chiamata a fini commerciali. Interessante, in materia di marketing diretto anche con sistemi automatizzati, è il fatto che invece il margine di azione per contatti marketing verso persone giuridiche ed enti diversi dalle persone fisiche si confermerebbe molto ampio e libero, prevedendosi soltanto, genericamente, che i singoli Stati membri dovrebbero stabilire garanzie e tutele dallo spam per questi destinatari in forma evidentemente più blanda e non necessariamente previo consenso (non a caso il paragrafo 5 dell’art. 16 della Proposta, tradotto con un errore nell’attuale versione italiana – si riferisce a persone fisiche anziché giuridiche per un refuso – parla di “interesse legittimo” e non di diritto).

Sanzioni. In generale, sono previste sanzioni più elevate rispetto al passato. La Proposta prende spunto dall’approccio del RGPD, e anzi riferisce l’applicazione del Capo VII del RGPD alle sanzioni per violazioni del venturo Regolamento ePrivacy. Per lo spam, si prevedono sanzioni fino a 10.000.000 di euro o, per le imprese, fino al 2% del fatturato globale annuo dell’impresa, se superiore.  Le violazioni del principio della riservatezza delle comunicazioni, del trattamento consentito dei dati delle comunicazioni elettroniche , dei termini ultimi previsti per la cancellazione in conformità degli articoli 5, 6 e 7, sono soggette a sanzioni amministrative pecuniarie fino a venti milioni di euro, o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

La Proposta intende essere applicabile dal 25 maggio 2018, per ovvie ragioni di coordinamento con il RGPD.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.