Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di regolamento relativo alla vita privata e alle comunicazioni elettroniche (regolamento e-privacy)

(Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD www.edps.europa.eu)

(2017/C 234/03)

Il presente parere indica la posizione del GEPD sulla proposta di regolamento sulla vita privata e le comunicazioni elettroniche, che sostiene l’abrogazione e la sostituzione della direttiva e-privacy.

Senza il regolamento e-privacy, il quadro dell’UE sulla tutela della vita privata e sulla protezione dei dati sarebbe incompleto. Nonostante il regolamento generale sulla protezione dei dati (RGPD) sia un ottimo risultato, è necessario uno strumento giuridico specifico per proteggere il diritto alla vita privata garantito dall’articolo 7 della Carta dei diritti fondamentali, di cui la riservatezza delle comunicazioni è una componente fondamentale. Il GEPD accoglie pertanto con favore e sostiene la proposta che punta proprio a tale obiettivo. Il GEPD sostiene altresì la scelta dello strumento giuridico, vale a dire un regolamento che sarà direttamente applicabile e contribuirà a un maggiore livello di armonizzazione e coerenza. Accoglie con favore l’ambizione di fornire un elevato livello di protezione relativo sia al contenuto sia ai metadati e sostiene l’obiettivo di estendere gli obblighi di riservatezza a una più ampia serie di servizi (fra cui i cosiddetti servizi «over the top», OTT) che rifletta il progresso della tecnologia. Ritiene inoltre che la decisione di concedere poteri di esecuzione unicamente alle autorità per la protezione dei dati nonché la disponibilità della cooperazione e i meccanismi di coerenza in seno al futuro comitato europeo per la protezione dei dati, contribuirà a un’applicazione più coerente ed efficace in tutta l’UE.

Allo stesso tempo, il GEPD nutre preoccupazioni in merito alla possibilità che la proposta, nella sua versione attuale, possa di fatto tenere fede alla sua promessa di garantire un livello elevato di protezione della vita privata nelle comunicazioni elettroniche. È necessario un nuovo quadro giuridico per l’e-privacy che deve essere anche più intelligente, più chiaro e più solido. Resta ancora molto da fare: la complessità delle norme, in base a quanto delineato nella proposta, è sconfortante. Le comunicazioni vengono scomposte in metadati, dati relativi ai contenuti e dati emessi dalle apparecchiature terminali. Ciascuno di essi ha un diverso livello di riservatezza ed è soggetto a eccezioni diverse. Tale complessità può portare a un rischio di lacune (forse involontarie) nella protezione.

La maggior parte delle definizioni su cui si basa la proposta saranno negoziate e decise nel contesto di uno strumento giuridico diverso: il codice europeo delle comunicazioni elettroniche. Non sussiste attualmente alcuna motivazione giuridica per mettere in contatto i due strumenti in modo così stretto e la concorrenza e le definizioni orientate al mercato del codice sono semplicemente non adatte allo scopo nel contesto dei diritti fondamentali. Il GEPD sostiene pertanto l’inclusione di una serie di definizioni necessarie nel regolamento e-privacy, che tengano conto del campo di applicazione e degli obiettivi previsti da tale regolamento.

Dobbiamo peraltro prestare particolare attenzione alla questione relativa al trattamento dei dati delle comunicazioni elettroniche da parte di responsabili del trattamento diversi dai fornitori dei servizi di comunicazione elettronica. Le protezioni ulteriori offerte ai dati delle comunicazioni sarebbero inutili qualora potessero essere facilmente eluse, per esempio, con il trasferimento dei dati a terzi. Dovrebbe essere altresì garantito che le norme in materia di e-privacy non autorizzino un livello di protezione inferiore a quello sancito nell’RGPD. Per esempio, il consenso dovrebbe essere autentico e offrire libertà di scelta agli utenti, conformemente a quanto richiesto dall’RGPD. Non ci dovrebbero essere più «barriere di tracciamento». Inoltre, le nuove norme devono anche stabilire solidi requisiti per la tutela della vita privata fin dalla progettazione e per impostazione predefinita. Infine, nel presente parere, il GEPD affronta anche altre questioni urgenti, quali le restrizioni al campo di applicazione dei diritti.

1.   INTRODUZIONE E CONTESTO

Il presente parere (parere) è stato formulato in risposta a una richiesta con la quale la Commissione europea (Commissione) ha invitato il Garante europeo della protezione dei dati (GEPD), in qualità di autorità di vigilanza indipendente e organo consultivo, a fornire un parere sulla proposta di regolamento sulla protezione della vita privata e le comunicazioni elettroniche (1) (proposta). La proposta è tesa ad abrogare e sostituire la direttiva 2002/58/CE sulla vita privata e le comunicazioni elettroniche (direttiva e-privacy) (2). La Commissione ha inoltre richiesto il parere del gruppo dell’articolo 29 per la tutela dei dati (WP29), al quale il GEPD ha contribuito come membro a pieno titolo (3).

Il presente parere fa seguito al parere preliminare 5/2016 del GEPD sulla revisione della direttiva e-privacy (2002/58/CE (4)) emesso il 22 luglio 2016. Il GEPD può anche fornire ulteriore consulenza nelle fasi successive della procedura legislativa.

La proposta è una delle iniziative chiave della strategia per il mercato unico digitale (5), volta a rafforzare la fiducia e la sicurezza nei servizi digitali nell’Unione europea, con particolare attenzione alla garanzia di un elevato livello di protezione per i cittadini e alla parità di condizioni per tutti gli operatori di mercato nell’intera UE.

La proposta mira a rendere più moderna e ad aggiornare la direttiva e-privacy, nell’ambito dello sforzo più ampio di fornire un quadro giuridico coerente e armonizzato per la protezione dei dati in Europa. La direttiva e-privacy precisa e integra la direttiva 95/46/CE (6), che sarà sostituita dal regolamento generale sulla protezione dei dati (RGPD) (7) di recente adozione.

In primo luogo, il GEPD riassume, nella sezione 2, le sue principali osservazioni riguardanti la proposta, focalizzando l’attenzione sugli aspetti positivi della stessa. In secondo luogo, nella sezione 3, indica le sue principali preoccupazioni rimanenti e fornisce raccomandazioni sul modo in cui affrontarle. Altre preoccupazioni e raccomandazioni per ulteriori miglioramenti sono descritti nell’allegato al presente parere che tratta la proposta in modo più dettagliato. L’impegno ad affrontare le preoccupazioni emerse nel presente parere e nel relativo allegato come pure a migliorare ulteriormente il testo del regolamento e-privacy non solo servirebbe a proteggere meglio gli utenti finali e gli altri soggetti interessati titolari dei dati, ma introdurrebbe anche una maggiore certezza giuridica per tutte le parti coinvolte.

4.   CONCLUSIONI

Il GEPD accoglie con favore la proposta della Commissione in merito a un regolamento e-privacy più moderno, aggiornato e consolidato. Condivide l’opinione secondo cui è costantemente necessario disporre di norme specifiche per proteggere la riservatezza e la sicurezza delle comunicazioni elettroniche nell’UE e per integrare e dettagliare i requisiti dell’RGDP. Ritiene altresì che siano necessarie disposizioni giuridiche semplici, mirate e tecnologicamente neutrali che forniscano una protezione robusta, intelligente ed efficace nel prossimo futuro.

Il GEPD accoglie con favore l’ambizione dichiarata di fornire un elevato livello di protezione per quanto riguarda sia i contenuti che i metadati e in particolare gli elementi chiave positivi indicati nella sezione 2.1.

Nonostante accolga con favore la proposta, il GEPD esprime preoccupazione in merito a diverse disposizioni che rischiano di compromettere l’intenzione della Commissione di garantire un elevato livello di protezione della vita privata nelle comunicazioni elettroniche. In particolare, il GEPD esprime le seguenti preoccupazioni principali:

Tali preoccupazioni principali (insieme alle raccomandazioni sul modo con cui affrontarle) sono indicate nel presente parere. Al di là delle osservazioni generali del GEPD e delle preoccupazioni principali dettagliate nella parte principale del parere, il GEPD fornisce altresì ulteriori commenti e raccomandazioni (talvolta più tecnici) sulla proposta in un allegato per facilitare, in particolare, l’operato dei legislatori e delle altre parti interessate che desiderano migliorare ulteriormente il testo nel corso dell’iter legislativo. Infine, il GEPD rileva altresì l’importanza di una rapida elaborazione della presente importante questione, al fine di garantire che, in base a quanto previsto, il regolamento e-privacy possa essere applicato a partire dal 25 maggio 2018, data in cui diventerà applicabile anche lo stesso RGPD.

L’importanza della riservatezza delle comunicazioni, conformemente al disposto dell’articolo 7 della Carta, sta aumentando al passo con la crescente rilevanza assunta dalle comunicazioni elettroniche nella nostra società e nella nostra economia. Le garanzie delineate nel presente parere svolgeranno un ruolo fondamentale nell’assicurare il conseguimento degli obiettivi strategici a lungo termine della Commissione definiti nella strategia per il mercato unico digitale.

(1)  Proposta di regolamento del Parlamento europeo e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche), COM(2017) 10 final, 2017/0003 (COD).

(2)  Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (GU L 201, del 31.7.2002, pag. 37).

(3)  Parere 1/2017 del WP29 relativo alla proposta di regolamento per il regolamento e-privacy (2002/58/CE) (WP247), adottato il 4 aprile 2017. Cfr. anche il parere 3/2016 del WP29 relativo alla valutazione e alla revisione della direttiva e-privacy (2002/58/CE) (WP240), adottato il 19 luglio 2016.

(4)  Cfr. https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf

(5)  Strategia per il mercato unico digitale in Europa, comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni, del 6 maggio 2015 (COM(2015) 192 final), disponibile all’indirizzo: http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52015DC0192&from=IT

(6)  Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).

(7)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(8)  Proposta di regolamento del Parlamento europeo e del Consiglio che istituisce il codice europeo delle comunicazioni elettroniche, COM(2016) 590 final/2, 2016/0288(COD) del 12.10.2016.