Abbiamo parlato in precedenza di controlli indiscriminati della posta elettronica e dei dati personali contenuti negli smartphone dei lavoratori da parte del datore di lavoro, nonché delle limitazioni al potere ispettivo del datore in presenza di uso promiscuo dei dispositivi.

Il nostro esperto Luca Bolognini continua ad approfondire l’argomento, parlandoci questa volta della proposta di regolamento sulla e-Privacy, relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche.

La proposta di regolamento sulla e-Privacy della Commissione Europea

Lo scorso 10 gennaio 2017, la Commissione europea ha pubblicato la proposta di Regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche (Regolamento e-Privacy, di seguito anche la “Proposta“). La Proposta abrogherà e sostituirà l’attuale Direttiva 2002/58 (“Direttiva e-Privacy”). Le disposizioni attualmente in vigore della Direttiva E-Privacy prevedono regole relative alla privacy nelle telecomunicazioni, nelle attività di marketing e dei servizi digitali, che completano e rafforzano le disposizioni contenute nella Direttiva 95/46 (“Direttiva sulla protezione dei dati”).

La Proposta di regolamento sulla e-Privacy segue negli intenti l’ultimo importante aggiornamento in materia di privacy in UE, apportato dal Regolamento generale sulla protezione dei dati personali (di seguito “RGPD“, meglio conosciuto ovunque come “GDPR”), al fine di introdurre un più compiuto set di regole sulla tutela della privacy degli individui on line e per essere in linea con le nuove norme del nuovo RGPD.

La Commissione europea aveva anticipato la sua Proposta affermando che le nuove regole avrebbero introdotto cambiamenti importanti. Si prendono in considerazione i metadati, per esempio, che dovranno essere anonimizzati o cancellati se gli utenti non hanno dato il loro consenso, a meno che i dati siano necessari per la fatturazione. Dall’altra parte, una volta che il consenso è fornito, gli operatori di telecomunicazioni tradizionali e gli OOT avranno maggiori opportunità di fornire servizi aggiuntivi e di sviluppare le loro attività. Le disposizioni in materia di cookie, che hanno comportato un sovraccarico di richieste di consenso per gli utenti su Internet, saranno semplificate; nessun consenso sarà necessario per cookie non intrusivi volti a migliorare l’esperienza su Internet o cookie utilizzati da un sito web per contare il numero di visitatori. Chi effettuerà chiamate a fini di marketing dovrà mostrare il numero di telefono o utilizzare uno speciale prefisso che indica una chiamata di marketing.

Metadati. L’articolo 7 della Proposta obbliga i fornitori di servizi di comunicazione elettronica a cancellare il contenuto delle comunicazioni elettroniche o rendere i dati anonimi dopo la ricezione di contenuti di comunicazione elettronica. La Proposta stabilisce che i dati possono essere registrati o memorizzati dagli utenti finali o da un terzo incaricato da questi di registrare, memorizzare o trattare tali dati, in conformità con quanto previsto dal RGDP.

OTT. Anche operatori di comunicazioni basate sull’utilizzo di servizi della società dell’informazione, definiti over-the-top (OTT), sono presi in considerazione dalla Proposta. Infatti, la Commissione europea afferma chiaramente che la Proposta si applica anche ai cosiddetti fornitori “OTT”, come i provider di applicazioni di comunicazione VOIP o messaggistica istantanea e chat. Pur rilevando che già diversi OTT sono più o meno in linea con la privacy e la riservatezza nelle comunicazioni, la tutela di tali diritti fondamentali sarà sempre più indirizzata verso forme di richiesta di consenso per l’utilizzo dei software ed applicazioni di tali operatori, accompagnata da una maggiore informazione agli utenti sulle loro impostazioni privacy. Tali principi saranno affermati anche attraverso la collaborazione con le autorità di vigilanza e il meccanismo di coerenza del RGPD.

Cookies. Si rafforza, almeno negli intenti della Proposta, la possibilità di esprimere un consenso attraverso software come il browser Internet, richiedendo agli utenti di scegliere le proprie impostazioni privacy, e si ampliano le eccezioni alla regola del consenso cookie: così, una percentuale significativa di imprese sarà in grado di evitare l’uso di banner e informative, confidando in una semplificazione delle procedure a favore sia di chi naviga sia di chi offre contenuti on line. Agli utenti finali dovrebbero essere offerte diverse opzioni di impostazione della privacy per categorie, che vanno dalla più elevata (per esempio, ‘non accetta i cookie’), alla più bassa (‘accetta sempre i cookie’), passando per l’intermedia (‘rifiuta i cookie di terze parti’ o ‘accetta solo i cookie di prima parte’). Tali impostazioni privacy, afferma la Commissione europea, dovrebbero essere presentate in un formato facilmente visibile e intelligibile.

Comunicazioni indesiderate. È ribadita la regola favorevole al mercato secondo cui, qualora un soggetto ottenga il recapito di posta elettronica dal proprio cliente, nel contesto della vendita di un prodotto o di un servizio, tale soggetto, in conformità con il RGPD, potrà utilizzare quell’indirizzo per la commercializzazione diretta di prodotti o servizi analoghi purché ai clienti sia fornita da subito e ad ogni messaggio, in modo chiaro ed esplicito, la possibilità di opporsi, gratuitamente e in maniera agevole, a tale utilizzo. È l’antico “soft spam”, lo stesso che oggi troviamo anche all’articolo 130 comma 4 del Codice privacy italiano. Negli altri casi serve il consenso espresso dell’utente finale destinatario del contatto. Il soggetto che utilizza servizi di comunicazione elettronica per effettuare chiamate a fini di marketing diretto è obbligato a rendere noto l’identificativo della linea alla quale potrebbe essere ricontattato o a mostrare un codice/prefisso che permetta di identificare tale tipo di chiamata come chiamata a fini commerciali. Interessante, in materia di marketing diretto anche con sistemi automatizzati, è il fatto che invece il margine di azione per contatti marketing verso persone giuridiche ed enti diversi dalle persone fisiche si confermerebbe molto ampio e libero, prevedendosi soltanto, genericamente, che i singoli Stati membri dovrebbero stabilire garanzie e tutele dallo spam per questi destinatari in forma evidentemente più blanda e non necessariamente previo consenso (non a caso il paragrafo 5 dell’art. 16 della Proposta, tradotto con un errore nell’attuale versione italiana – si riferisce a persone fisiche anziché giuridiche per un refuso – parla di “interesse legittimo” e non di diritto).

Sanzioni. In generale, sono previste sanzioni più elevate rispetto al passato. La Proposta prende spunto dall’approccio del RGPD, e anzi riferisce l’applicazione del Capo VII del RGPD alle sanzioni per violazioni del venturo Regolamento ePrivacy. Per lo spam, si prevedono sanzioni fino a 10.000.000 di euro o, per le imprese, fino al 2% del fatturato globale annuo dell’impresa, se superiore.  Le violazioni del principio della riservatezza delle comunicazioni, del trattamento consentito dei dati delle comunicazioni elettroniche , dei termini ultimi previsti per la cancellazione in conformità degli articoli 5, 6 e 7, sono soggette a sanzioni amministrative pecuniarie fino a venti milioni di euro, o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

La Proposta intende essere applicabile dal 25 maggio 2018, per ovvie ragioni di coordinamento con il RGPD.