La nuova Direttiva europea ePrivacy arriva al rush finale: il Consiglio dell’Unione europea, al momento guidato dalla presidenza portoghese, ha dato il suo mandato negoziale per la revisione delle norme sulla protezione della privacy e della riservatezza nell’uso dei servizi di comunicazione elettronica. Queste regole aggiornate definiranno i casi in cui i service provider possono elaborare i dati delle comunicazioni elettroniche o avere accesso ai dati memorizzati sui dispositivi degli utenti finali. L’accordo di oggi consente alla presidenza portoghese di avviare i colloqui con il Parlamento europeo sul testo finale della nuova Direttiva ePrivacy.
L’aggiornamento della Direttiva attuale, che risale al 2002, è considerato fondamentale per far fronte ai nuovi sviluppi tecnologici e di mercato, come la diffusione del Voice over Ip, della posta elettronica e dei servizi di messaggistica basati sul web e l’emergere di nuove tecniche per il monitoraggio online del comportamento degli utenti.
Integrazione al Gdpr
“Regole solide sulla privacy sono fondamentali per creare e mantenere la fiducia nel mondo digitale. Il percorso verso questa posizione del Consiglio non è stato facile, ma ora abbiamo un mandato che raggiunge un buon equilibrio tra una solida protezione della vita privata delle persone e la promozione della sviluppo di nuove tecnologie e innovazione”, ha dichiarato Pedro Nuno Santos, ministro portoghese delle Infrastrutture e presidente di turno del Consiglio Ue.
La nuova Direttiva ePrivacy abrogherà quella attualmente in vigore. In quanto lex specialis del Gdpr, specificherà e integrerà quest’ultimo. Ad esempio, a differenza del Gdpr, molte disposizioni in materia di ePrivacy si applicano sia alle persone fisiche che a quelle giuridiche.
In base al mandato del Consiglio, il regolamento coprirà i contenuti delle comunicazioni elettroniche trasmessi utilizzando servizi e reti accessibili al pubblico e i metadati relativi alla comunicazione. I metadati includono, ad esempio, informazioni sulla posizione, l’ora e il destinatario della comunicazione e sono considerati potenzialmente sensibili quanto il contenuto stesso.
Per garantire la piena protezione dei diritti alla privacy e per promuovere un Internet of Things affidabile e sicuro, le regole riguarderanno anche i dati da macchina a macchina trasmessi tramite una rete pubblica.
Le regole si applicheranno quando gli utenti finali si trovano nell’Ue. Ciò copre anche i casi in cui il trattamento avviene al di fuori dell’Unione europea o il fornitore di servizi è stabilito o situato al di fuori dell’Ue.
Le disposizioni della nuova Direttiva ePrivacy
In via generale, i dati delle comunicazioni elettroniche saranno riservati. Qualsiasi interferenza, compreso l’ascolto, il monitoraggio e l’elaborazione dei dati da parte di chiunque non sia l’utente finale, sarà vietata, salvo quando consentito dalla normativa ePrivacy. Il trattamento consentito dei dati delle comunicazioni elettroniche senza il consenso dell’utente include, ad esempio, la garanzia dell’integrità dei servizi di comunicazione, il controllo della presenza di malware o virus, o casi in cui il fornitore di servizi è vincolato dalla legge dell’Ue o degli Stati membri per perseguimento di reati o prevenzione di minacce alla sicurezza pubblica.
I metadati possono essere elaborati, ad esempio, per la fatturazione o per rilevare o bloccare l’uso fraudolento. Possono anche essere elaborati per proteggere gli interessi vitali degli utenti, compreso il monitoraggio delle epidemie e della loro diffusione o in caso di emergenze umanitarie, in particolare disastri naturali e provocati dall’uomo.
In alcuni casi, i fornitori di reti e servizi di comunicazione elettronica possono elaborare i metadati per uno scopo diverso da quello per cui sono stati raccolti, anche quando questo non è basato sul consenso dell’utente o su determinate disposizioni su misure legislative ai sensi del diritto dell’Ue o degli Stati membri. Questo trattamento per un altro scopo deve essere compatibile con lo scopo iniziale e ad esso si applicano forti garanzie specifiche.
Per quanto riguarda i device personali, l’uso delle capacità di elaborazione e archiviazione e la raccolta di informazioni dal dispositivo sarà consentito solo con il consenso dell’utente o per altri specifici scopi trasparenti previsti dalla normativa.
L’utente finale dovrebbe avere la possibilità di scegliere se accettare i cookie o identificatori simili. Rendere l’accesso a un sito web dipendente dal consenso all’uso dei cookie per scopi aggiuntivi in alternativa a un paywall sarà consentito se l’utente è in grado di scegliere tra tale offerta e un’offerta equivalente dello stesso fornitore che non comporta il consenso ai cookie.
L’utente finale potrà fornire il consenso all’uso di determinati tipi di cookie inserendo uno o più provider nella whitelist nelle impostazioni del proprio browser. I fornitori di software saranno incoraggiati a rendere più facile per gli utenti impostare e modificare le whitelist sui loro browser e revocare il consenso in qualsiasi momento.
Le regole entreranno in vigore 20 giorni dopo la pubblicazione della Gazzetta ufficiale dell’Ue e saranno applicabili dopo due anni.
