L’e-privacy: il regolamento della discordia

Il contesto originario della proposta

Il 10 gennaio 2017, la Commissione europea ha presentato una proposta per un nuovo regolamento sulla e-Privacy (e-PR) innescando un processo legislativo che è ancora in corso. L'e-PR proposto, era destinato a sostituire l'attuale direttiva e-Privacy 2002/58.

La necessità di un nuovo regolamento nasceva dal bisogno di adeguare lo scenario normativo all’incremento esponenziale dei servizi di comunicazione digitale. La direttiva attualmente in vigore infatti risale al 2002, che nel mondo digitale corrisponde a un’altra era, nella quale si stavano per affacciare i grandi giganti del web (Facebook non esisteva, Amazon iniziava a crescere…). Di lì a poco sarebbero cambiati per sempre i servizi offerti via Internet, le modalità di comunicazione e di fruizione dei servizi. I consumatori non sarebbero stati mai più gli stessi.

“Questi servizi di comunicazione over-the-top (“OTT”) non sono di norma soggetti all’attuale quadro di riferimento dell’Unione per le comunicazioni elettroniche, compresa la direttiva sulla vita privata elettronica. Ne consegue che la direttiva non è al passo con gli sviluppi tecnologici, il che si traduce in una lacuna nella tutela delle comunicazioni effettuate mediante i nuovi servizi.”

Non è causale nemmeno la scelta di utilizzare un Regolamento anziché una Direttiva in quanto, un Regolamento è immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali.

Oltre all’obiettivo di aggiornare l'attuale quadro di e-Privacy nell'UE, la Commissione ha qualificato la proposta come lex specialis del Regolamento generale sulla protezione dei dati 2016/679 (GDPR), con l’intento originale che l'e-Privacy proposto diventasse esecutivo il 25 maggio 2018 (contemporaneamente al GDPR).

I punti principali della proposta vertono sul fondamentale diritto alla tutela della riservatezza delle comunicazioni e dei dati personali e familiari dei cittadini, coinvolgendo ogni mezzo di comunicazione: ivi compresi le chiamate, l’accesso a internet, le applicazioni di messaggistica istantanea, la posta elettronica, le chiamate telefoniche via internet e la messaggistica personale attraverso le piattaforme sociali. Ma si estendono anche alle persone giuridiche, sia relativamente alle informazioni con valore economico come segreti aziendali, che alle persone giuridiche come utente finale.

La scelta di equiparare gli OTT, ovvero i servizi di messagistica istantanea (compresi i social), voice over ip (tipo Skype) ecc., agli operatori telco ovvero di telecomunicazioni, significa per chi gestisce tali servizi una forte limitazione nell’utilizzo dei dati raccolti relativi all’uso della messaggistica istantanea o dei servizi vocali online da parte degli utenti.

Un altro importante cambiamento riguarda l’applicazione del Regolamento anche alla trasmissione di comunicazioni da macchina a macchina (IoT e AI). Questo significherebbe che ogni comunicazione, anche automatica, del dispositivo (non solo elettrodomestici IoT, pensiamo ad assistenti vocali intelligenti come Alexa, telecamere, macchine elettriche, ecc.) verso il proprio costruttore dovrebbe essere autorizzata dall’utente utilizzatore.

Non c’è da stupirsi quindi se nello scenario del Mercato Unico Digitale (Digital Single Market o DSM) il nuovo Regolamento e-Privacy sia fortemente contestato e divida gli interessi di consumatori, giganti del web e istituzioni.

Lo stato dell’e-Privacy oggi

Dall'emissione della proposta di e-Privacy, molti emendamenti sono stati proposti e discussi in seno al Consiglio al fine di risolvere le osservazioni e le preoccupazioni sollevate dagli Stati membri. Questi emendamenti hanno cercato di raggiungere il giusto equilibrio tra la necessità di innovazione tecnologica, la sicurezza pubblica e la protezione della privacy nel contesto dell'economia digitale.

La struttura dell'e-Privacy proposta e il modo in cui è stata originariamente interpretata, tuttavia, hanno reso difficile un modo fluido di procedere.

Dopo quasi tre anni di dibattiti e negoziati, si può affermare che l'Unione Europea non sia affatto prossima a raggiungere un accordo tra gli Stati che consenta di raggiungere la il giusto equilibrio, essere efficace nella pratica e allineato al quadro esistente per la protezione dei dati personali (GDPR).

È recente la notizia per cui il Comitato dei rappresentanti permanenti del Consiglio dell'Unione Europea ha nuovamente respinto l'ultima bozza del regolamento e-privacy.

Il voto del 22 novembre indica chiaramente che gli Stati membri non sono ancora in grado di concordare una posizione comune. Nonostante i migliori sforzi dell'attuale presidenza finlandese, il regolamento è quindi tornato nuovamente al tavolo di lavoro.

Le criticità sollevate al Regolamento sull’e-Privacy

Il 25 novembre Hogan Lovells ha pubblicato un rapporto dove chiede un approccio alternativo alla regolamentazione della e-Privacy nell'economia digitale.

Secondo lo studio, l’impossibilità di procedere con il regolamento e-Privacy è dovuta alla struttura e all'approccio legislativo del regolamento stesso, che, anziché integrare il GDPR come originariamente previsto, è in alcuni aspetti fondamentali in conflitto con esso.

Il nodo principale da sciogliere è la mancanza nell’impianto del e-Privacy di quella flessibilità di applicazione basata sul rischio che invece è presente nel GDPR.

Nel contesto della riservatezza delle comunicazioni elettroniche, la proposta di regolamento sulla e-Privacy segue un approccio che si basa su un divieto generale al trattamento con eccezioni molto limitate.

Ciò creerebbe un sistema duale e conflittuale in cui gli standard per la protezione dei dati personali non sarebbero applicati in modo coerente, ponendo potenziali problemi ed effetti indesiderati per lo sviluppo di comunicazioni da macchina a macchina, Internet delle Cose (IOT) e Intelligenza Artificiale (AI).

Lo studio mira a fornire una valutazione critica dell'e-Privacy proposto, esamina i principali punti di conflitto tra e-Privacy e GDPR e formula alcuni spunti per un nuovo testo, in particolare secondo la visione di Hogan Lovells:

  • L'e-Privacy dovrebbe abbandonare un approccio che protegge la riservatezza prevalentemente, se non esclusivamente, stabilendo basi giuridiche specifiche per il trattamento di tipi specifici di dati.
  • Si dovrebbe adottare un approccio basato sul rischio che consenta la proporzionalità e la responsabilità in base ai rischi dei dati trattati.
  • Il trattamento dei dati che non presenta rischi per le persone, come i dati anonimi o che vengono anonimizzati, dovrebbe essere escluso dal campo di applicazione dell'e-Privacy, che in linea con il GDPR dovrebbe applicarsi solo ai dati personali.

La vera sfida dell'e-Privacy

La vera sfida, legata al raggiungimento di un regolamento e-Privacy definitivo, è raggiungere quindi l’equilibrio tra le esigenze degli Stati membri di non ostacolare lo sviluppo dell’economia digitale, senza mai perdere di vista la tutela dei diritti fondamentali di privacy e riservatezza dei propri cittadini.

Da un punto di vista analitico, l’interpretazione proposta di Hogan Lovells in alcuni punti potrebbe portare ad una tutela della riservatezza inferiore a quella del GDPR.

La domanda da porsi infatti è: un approccio basato sul rischio può ignorare il fatto che un dato statistico, seppur anonimo o reso anonimo, in uno scenario di Machine Learning e gestione automatizzata di Big Data porta in ogni caso a una profilazione che può arrivare a individuare una cerchia talmente ristretta di singoli individui tale da non compromettere la tutela degli individui stessi?