Protezione dei dati personali. Il nuovo Regolamento garantirà l’applicabilità delle stesse norme in tutta l’UE. Ecco le novità punto per punto
Le Autorità Garanti per la Protezione dei Dati Personali sono in fermento in questi giorni, a riprova di quel che dico da tempo “non c’è digitale senza privacy”, non è possibile cioè il completamento della trasformazione digitale in corso senza una consapevolezza privacy totale. E questa consapevolezza non deve essere solo europea ma mondiale e i colossi web devono farci i conti. A nulla serve trasferire i server su piattaforme nel pacifico o sedi legali in luoghi improponibili. L’ePrivacy si applica, comunque. Meglio assecondarla, anche perchè una bella privacy si vede e diventa modello di business.
Il parere favorevole delle Autorità Europee
Ma approfondiamo quanto accaduto. Risale a qualche giorno fa, al 26 aprile 2017 per la precisione, la notizia del parere favorevole delle Autorità europee per la protezione dei dati (Gruppo ex Articolo 29 della Direttiva 46/95) sulla proposta di Regolamento della Commissione europea, concernente il “rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all’interno dell’Unione Europea”, il cosiddetto “Regolamento ePrivacy”.
Nel parere approvato il 4 aprile scorso, il Gruppo, oltre a manifestare un generale apprezzamento per le nuove misure, ha tuttavia espresso anche alcune perplessità su aspetti specifici. Tra questi, le regole che dovranno disciplinare il tracciamento dei terminali degli utenti attraverso reti wi-fi o bluetooth, come pure l’omesso, esplicito divieto per i fornitori di servizi di far ricorso ai cd. “tracking walls”, e cioè di imporre scelte del tipo “prendere o lasciare” che forzino gli utenti ad esprimere un consenso al tracciamento delle proprie attività on-line pur di accedere a contenuti determinati.
Il regolamento generale diventerà attivo il 25 maggio
La proposta di Regolamento ePrivacy presentata dalla Commissione a gennaio rientra nel quadro della riforma introdotta con l’approvazione del pacchetto protezione dati e, in particolare, del nuovo Regolamento Generale (RGPD), che diverrà esecutivo il 25 maggio 2018. Si tratta di un ulteriore passo avanti perché la proposta (che abrogherà la direttiva 2002/58, ossia la “vecchia” direttiva e-privacy) comprende norme speciali destinate ad incidere significativamente sui comportamenti e sui diritti delle persone che utilizzano ormai quotidianamente i servizi di comunicazione elettronica, specie quelli on-line.
Il nuovo Regolamento garantirà l’applicabilità delle stesse norme in tutta la UE e sul testo proposto il Parlamento europeo ed il Consiglio dell’UE dovranno esprimersi nel prossimo futuro. Al riguardo, lo scorso 11 Aprile dinanzi al Parlamento Europeo si è tenuta un’audizione organizzata dalla Commissione per le libertà civili, la giustizia e gli affari interni (LIBE), alla quale ha partecipato anche un rappresentante dell’Ufficio del Garante italiano.
La proposta per punti
Questi, in sintesi, i punti di maggior rilievo della proposta di Regolamento e-Privacy (i miei commenti sono in corsivo sottolineato):
– Applicazione delle norme: le norme europee verranno estese anche agli OTT, cioè i fornitori di servizi come WhatsApp, Facebook, Messenger e Skype, che saranno tenuti al rispetto delle regole e a garantire lo stesso livello di tutele dei più tradizionali operatori di telecomunicazione (tra le quali per esempio le regole sulla conservazione dei dati, la pseudoanonimizzazione non solo in uscita ma anche stanziale, l’adozione di codici di condotta e di registri dei trattamenti, la notifica delle violazioni, solo per citarne alcune).
– Metadati: non soltanto i dati, ma anche il contenuto delle comunicazioni e i metadati, cioè gli elementi accessori e di contorno di una informazione, godranno dello stesso livello di protezione: ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati. Sarà richiesto il consenso degli utenti finali per la fornitura di servizi accessori (es. antivirus o ricerca di parole testuali nelle mail) e per il conseguimento di specifiche finalità ulteriori rispetto alla fornitura del servizio, che non possono essere ottenute utilizzando dati anonimi. Molto ampia, inoltre, la protezione del dispositivo utilizzato: si prevede che ogni interferenza con i terminali richieda il consenso dell’utente. Si ricorda che ora le informative devono essere facili, semplici possibilmente a cartoni animati e che allo scopo si attendono le icone ufficiali delle Autorità Garanti.
– IOT: viene per la prima volta menzionata la specificità dell’internet delle cose al fine di estendere il principio di confidenzialità delle comunicazioni anche ai trattamenti machine-to-machine. Il che ci riporta un po’ alla privacy pre-decreto Salva Italia di Monti, quello che ha eliminato la persona giuridica dal concetto di interessato. Io credo che in funzione di questo tornerà prepotentemente.
– Cookies: l’utente potrà compiere una scelta unica, accettando o rifiutando in blocco l’installazione dei cookie tramite un settaggio preliminare del browser. Il consenso non sarà invece necessario per l’installazione dei cookie cd. analytics, quelli utilizzati ad esempio per contare gli utenti che visitano uno specifico sito web o per tener traccia degli acquisti nel proprio carrello elettronico (fa un po’ d’ordine sull’utilizzo dei cookies la cui gestione in Italia si era un po’ troppo appesantita) .
– Telemarketing: la proposta prevede che per l’effettuazione di chiamate a carattere promozionale gli operatori utilizzino linee telefoniche contraddistinte da un prefisso identificativo unico che dovrà obbligatoriamente essere mostrato in chiaro (e in Italia dovrà fare conti con il recente DDL concorrenza che prevede il consenso già dalla prima telefonata per continuare la conversazione).
– Informativa e acquisizione del consenso dovranno essere maggiormente user friendly anche mediante l’impiego di icone stardardizzate.
