COMMISSIONE EUROPEA
Bruxelles, 10.9.2020
COM(2020) 568 final
2020/0259(COD)
Proposta di
REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
relativo a una deroga temporanea a talune disposizioni della direttiva 2002/58/CE del Parlamento europeo e del Consiglio per quanto riguarda l'uso di tecnologie da parte dei fornitori di servizi di comunicazione interpersonale indipendenti dal numero per il trattamento di dati personali e di altro tipo ai fini della lotta contro gli abusi sessuali sui minori online
RELAZIONE
1.CONTESTO DELLA PROPOSTA
•Obiettivi della proposta
La direttiva 2002/58/CE ("direttiva e-privacy") garantisce la tutela della vita privata, della riservatezza delle comunicazioni e dei dati personali nel settore delle comunicazioni elettroniche. Tale direttiva attua gli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea ("Carta") nel diritto derivato dell'Unione.
Il 21 dicembre 2020, con l'entrata in applicazione del codice europeo delle comunicazioni elettroniche (European Electronic Communications Code — "EECC"), la definizione di servizi di comunicazione elettronica sarà sostituita da una nuova definizione, che comprende i servizi di comunicazione interpersonale indipendenti dal numero. A partire da tale data, questi servizi rientreranno pertanto nell'ambito di applicazione della direttiva e-privacy, che si basa sulla definizione dell'EECC. Tale cambiamento riguarda i servizi di comunicazione quali i servizi di messaggistica e di posta elettronica basati sul web nonché la telefonia via Internet.
Alcuni fornitori di servizi di comunicazione interpersonale indipendenti dal numero stanno già utilizzando tecnologie specifiche per individuare gli abusi sessuali sui minori nell'ambito dei loro servizi e segnalarli alle autorità di contrasto e alle organizzazioni che agiscono nell'interesse pubblico contro gli abusi sessuali sui minori e/o per rimuovere il materiale pedopornografico. Tali organizzazioni comprendono le linee nazionali di pronto intervento per la segnalazione della pornografia minorile, nonché le organizzazioni che si prefiggono di ridurre lo sfruttamento sessuale dei minori e prevenire la vittimizzazione dei minori, sia all'interno dell'UE che nei paesi terzi.
Gli abusi sessuali sui minori sono un reato particolarmente grave, che ha pesanti e vaste conseguenze permanenti per le vittime. Ledendo persone minorenni, questo reato causa anche un danno sociale significativo e a lungo termine. La lotta contro gli abusi sessuali sui minori è una priorità dell'UE. Il 24 luglio 2020 la Commissione europea ha adottato una strategia dell'UE per una lotta più efficace contro gli abusi sessuali su minori, che mira a fornire una risposta efficace a livello di UE al reato di abuso sessuale sui minori. La Commissione ha annunciato che entro il secondo trimestre del 2021 proporrà la legislazione necessaria per contrastare efficacemente gli abusi sessuali sui minori online, anche imponendo ai fornitori di servizi online interessati di individuare il materiale pedopornografico noto e di segnalarlo alle autorità pubbliche. L'obiettivo della legislazione annunciata sarà quello di sostituire il presente regolamento istituendo misure obbligatorie per individuare e segnalare gli abusi sessuali sui minori, al fine di apportare maggiore chiarezza e certezza al lavoro delle autorità di contrasto come pure dei soggetti interessati nel settore privato in relazione alla lotta agli abusi online, garantendo nel contempo il rispetto dei diritti fondamentali degli utenti, tra cui in particolare il diritto alla libertà di espressione e di opinione, la protezione dei dati personali e della vita privata, e prevedendo meccanismi che garantiscano la responsabilità e la trasparenza.
I fornitori di servizi di comunicazione elettronica devono ottemperare all'obbligo previsto dalla direttiva e-privacy di rispettare la riservatezza delle comunicazioni e devono soddisfare le condizioni per il trattamento dei dati delle comunicazioni. Le pratiche attuali di alcuni servizi di comunicazione interpersonale indipendenti dal numero volte a individuare gli abusi sessuali sui minori online potrebbero interferire con determinate disposizioni della direttiva e-privacy. La direttiva e-privacy non contiene una base giuridica esplicita per il trattamento volontario dei dati relativi ai contenuti o al traffico ai fini dell'individuazione degli abusi sessuali sui minori online. Di conseguenza, per i servizi che rientrano nell'ambito di applicazione della direttiva e-privacy, i fornitori potranno continuare ad applicare tali misure solo nel caso in cui gli Stati membri adottino misure legislative giustificate in base ai motivi di cui all'articolo 15 di tale direttiva e che rispettino le prescrizioni stabilite da tale disposizione. In mancanza di tali misure legislative nazionali e in attesa dell'adozione della legislazione a lungo termine annunciata nella strategia della Commissione del 24 luglio 2020, i fornitori di servizi di comunicazione interpersonale indipendenti dal numero non disporrebbero di una base giuridica per continuare a individuare gli abusi sessuali sui minori nell'ambito dei loro servizi. Tali attività effettuate su base volontaria sono fondamentali in quanto consentono di identificare e soccorrere le vittime e riducono l'ulteriore diffusione di materiale pedopornografico, contribuendo nel contempo anche all'identificazione degli autori dei reati e alle indagini su questi ultimi nonché alla prevenzione dei reati di abuso sessuale sui minori.
La Commissione ritiene sia essenziale intervenire immediatamente. La presente proposta avanza pertanto una soluzione legislativa provvisoria ristretta e mirata con il solo obiettivo di introdurre una deroga rigorosamente limitata e temporanea all'applicabilità dell'articolo 5, paragrafo 1, e dell'articolo 6 della direttiva e-privacy, che tutelano la riservatezza delle comunicazioni e dei dati sul traffico. La presente proposta rispetta i diritti fondamentali, compresi i diritti alla vita privata e alla protezione dei dati personali, consentendo nel contempo ai fornitori di servizi di comunicazione interpersonale indipendenti dal numero di continuare a utilizzare tecnologie specifiche e di proseguire le loro attività attuali nella misura necessaria per individuare e segnalare gli abusi sessuali sui minori e per rimuovere il materiale pedopornografico nell'ambito dei loro servizi, in attesa dell'adozione della legislazione a lungo termine annunciata. Gli sforzi volontari volti a individuare l'adescamento di minori a fini sessuali ("adescamento") devono inoltre essere limitati all'uso di tecnologie all'avanguardia esistenti in linea con le garanzie previste. Il presente regolamento dovrebbe cessare di applicarsi nel dicembre 2025. Qualora la legislazione a lungo termine annunciata sia adottata ed entri in vigore prima di tale data, detta legislazione dovrebbe abrogare il presente regolamento.
2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ
•Base giuridica
La pertinente base giuridica è costituita dagli articoli 16 e 114 del trattato sul funzionamento dell'Unione europea ("TFUE").
Poiché il presente regolamento prevede una deroga temporanea a talune disposizioni della direttiva 2002/58/CE, adottata sulla base dell'articolo 95 del trattato che istituisce la Comunità europea, è opportuno adottare il presente regolamento sulla base della corrispondente disposizione di cui all'articolo 114 TFUE. Inoltre non tutti gli Stati membri hanno adottato misure legislative a norma dell'articolo 15, paragrafo 1, della direttiva e-privacy per quanto riguarda l'uso di tecnologie da parte dei fornitori di servizi di comunicazione interpersonale indipendenti dal numero per la lotta agli abusi sessuali sui minori online; l'adozione di tali misure comporta un rischio significativo di frammentazione che può incidere negativamente sul mercato interno. È pertanto opportuno adottare il presente regolamento sulla base dell'articolo 114 TFUE.
L'articolo 16 TFUE introduce una base giuridica specifica per stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni dell'Unione e degli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del diritto dell'Unione, nonché le norme relative alla libera circolazione di tali dati. Poiché una comunicazione elettronica riguardante una persona fisica è di norma considerata rientrare nella categoria dei dati personali, il presente regolamento dovrebbe basarsi anche sull'articolo 16 TFUE.
•Sussidiarietà (per la competenza non esclusiva)
Secondo il principio di sussidiarietà, l'UE può intervenire solo se gli obiettivi previsti non possono essere conseguiti dai singoli Stati membri. L'intervento dell'UE è necessario per mantenere la capacità dei fornitori di servizi di comunicazione interpersonale indipendenti dal numero di individuare e segnalare volontariamente gli abusi sessuali sui minori online e di rimuovere il materiale pedopornografico, nonché per garantire un quadro giuridico uniforme e coerente per le attività in questione in tutto il mercato interno. La mancanza di un intervento dell'Unione in materia rischierebbe di creare frammentazione qualora gli Stati membri adottassero legislazioni nazionali divergenti. È inoltre molto probabile che tali soluzioni nazionali non possano essere adottate in tutti gli Stati membri entro il 21 dicembre 2020. In aggiunta, una deroga a livello di Unione all'applicazione delle disposizioni della direttiva e-privacy per talune attività di trattamento può essere adottata unicamente mediante una normativa dell'Unione. L'obiettivo non può pertanto essere conseguito efficacemente da alcuno Stato membro che agisca da solo né mediante un intervento collettivo da parte degli Stati membri.
•Proporzionalità
La proposta soddisfa il principio di proporzionalità enunciato all'articolo 5 del trattato sull'Unione europea in quanto non va oltre quanto necessario per il conseguimento degli obiettivi fissati. Introduce una deroga temporanea e mirata in relazione ad alcuni aspetti delle modifiche del quadro attuale al fine di garantire che talune misure rimangano ammissibili se ed in quanto sono attualmente conformi al diritto dell'Unione. La proposta introduce in particolare una deroga rigorosamente limitata e temporanea all'applicabilità dell'articolo 5, paragrafo 1, e dell'articolo 6 della direttiva e-privacy al solo scopo di consentire ai fornitori di servizi di comunicazione interpersonale indipendenti dal numero di continuare a utilizzare tecnologie specifiche e di proseguire le loro attività attuali nella misura necessaria per individuare e segnalare gli abusi sessuali sui minori online e rimuovere il materiale pedopornografico nell'ambito dei loro servizi, in attesa dell'adozione della legislazione a lungo termine annunciata. Tale deroga al campo di applicazione riveduto della direttiva e-privacy deve essere interpretata restrittivamente, in particolare perché i servizi di comunicazione interpersonale indipendenti dal numero rimarranno soggetti alla direttiva e-privacy per quanto riguarda tutte le altre attività. La proposta contiene pertanto garanzie volte ad assicurare che le tecnologie che beneficiano della deroga soddisfino gli standard inerenti alle migliori pratiche attualmente in applicazione, limitando in tal modo l'invasività in relazione alla riservatezza delle comunicazioni e il rischio di elusione. La deroga è limitata alle tecnologie utilizzate regolarmente dai servizi di comunicazione interpersonale indipendenti dal numero per individuare e segnalare gli abusi sessuali sui minori online e rimuovere il materiale pedopornografico prima dell'entrata in vigore del presente regolamento, e garantisce che i tipi di tecnologie utilizzati siano quelli meno invasivi della vita privata in conformità allo stato dell'arte del settore. I fornitori dovrebbero inoltre pubblicare relazioni annuali sui trattamenti effettuati. La durata della deroga è limitata al periodo strettamente necessario per l'adozione della legislazione a lungo termine.
•Scelta dell'atto giuridico
Un regolamento è lo strumento migliore per conseguire gli obiettivi della presente proposta in quanto garantirà l'applicabilità diretta delle disposizioni e un approccio uniforme e coerente in tutto il mercato interno. Ciò riveste un'importanza particolare in quanto le azioni delle imprese volte a combattere gli abusi sessuali sui minori online sono applicate in modo uniforme in tutti i loro servizi; l'esistenza di misure nazionali di recepimento divergenti potrebbe disincentivare il proseguimento dell'impegno volontario. Inoltre solo con un regolamento sembra possibile rispettare la data del 21 dicembre per l'entrata in applicazione.
3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO
•Valutazioni ex post / Vaglio di adeguatezza della legislazione vigente
•Consultazioni dei portatori di interessi
•Assunzione e uso di perizie
•Valutazione d'impatto
Tenuto conto dell'obiettivo strategico e dell'importanza del fattore tempo in relazione a tale questione, non sono disponibili altre opzioni strategiche sostanzialmente diverse e quindi non è opportuno effettuare una valutazione d'impatto. In particolare, con tale misura si intende introdurre una deroga rigorosamente limitata e temporanea all'applicabilità dell'articolo 5, paragrafo 1, e dell'articolo 6 della direttiva e-privacy per garantire che i fornitori di servizi di comunicazione interpersonale indipendenti dal numero possano continuare volontariamente a utilizzare tecnologie specifiche per individuare e segnalare gli abusi sessuali sui minori online e rimuovere il materiale pedopornografico nell'ambito dei loro servizi dopo il 20 dicembre 2020, in attesa dell'adozione della legislazione a lungo termine. La legislazione a lungo termine sarà proposta nel secondo trimestre del 2021, come annunciato nella strategia dell'UE per una lotta più efficace contro gli abusi sessuali su minori, e sarà accompagnata da una valutazione d'impatto.
•Diritti fondamentali
La proposta tiene pienamente conto dei diritti e dei principi fondamentali sanciti dalla Carta dei diritti fondamentali dell'Unione europea. Le misure proposte tengono conto in particolare dell'articolo 7 della Carta dei diritti fondamentali dell'Unione europea, che tutela il diritto fondamentale di ogni persona al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni, diritto che comprende la riservatezza delle comunicazioni. La proposta tiene conto dell'articolo 24, paragrafo 2, della Carta, il quale stabilisce che, in tutti gli atti relativi ai minori, siano essi compiuti da autorità pubbliche o da istituzioni private, l'interesse superiore del minore deve essere considerato preminente. Inoltre, nella misura in cui il trattamento delle comunicazioni elettroniche da parte di servizi di comunicazione interpersonale indipendenti dal numero con il solo obiettivo di individuare e segnalare gli abusi sessuali sui minori online e rimuovere il materiale pedopornografico rientra nell'ambito di applicazione della deroga istituita dalla presente proposta, il regolamento generale sulla protezione dei dati, che recepisce nel diritto derivato l'articolo 8, paragrafo 1, della Carta, continua ad applicarsi a tale trattamento.
4.INCIDENZA SUL BILANCIO
5.ALTRI ELEMENTI
•Piani attuativi e modalità di monitoraggio, valutazione e informazione
•Illustrazione dettagliata delle singole disposizioni della proposta
L'articolo 1 definisce l'obiettivo della proposta, ossia creare una deroga rigorosamente limitata e temporanea all'applicazione di determinati obblighi previsti dalla direttiva 2002/58/CE, con l'unico obiettivo di consentire ai fornitori di servizi di comunicazione interpersonale indipendenti dal numero di continuare ad utilizzare tecnologie per il trattamento di dati personali e di altro tipo nella misura necessaria a individuare e segnalare gli abusi sessuali sui minori online e rimuovere il materiale pedopornografico nell'ambito dei loro servizi.
L'articolo 2 fa riferimento alla definizione di servizi di comunicazione interpersonale indipendenti dal numero nella direttiva (UE) 2018/1972 (codice europeo delle comunicazioni elettroniche) e a talune definizioni contenute nella direttiva 2011/93/UE relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio.
L'articolo 3 definisce l'ambito di applicazione della deroga introducendo una dispensa limitata dagli obblighi stabiliti dall'articolo 5, paragrafo 1, e dall'articolo 6 della direttiva e-privacy per il trattamento dei dati personali e di altro tipo connesso alla fornitura dei servizi di comunicazione interpersonale indipendenti dal numero necessario per l'uso della tecnologia, compresa, ove necessario, qualsiasi verifica umana direttamente connessa all'uso della tecnologia, al solo scopo di individuare o segnalare gli abusi sessuali sui minori online alle autorità di contrasto e alle organizzazioni che agiscono nell'interesse pubblico contro gli abusi sessuali sui minori nonché di rimuovere il materiale pedopornografico; tale articolo stabilisce inoltre un elenco di condizioni per l'applicazione di tale deroga.
L'articolo 4 fissa la data di entrata in vigore e la data di applicazione del regolamento nonché la data o le condizioni alle quali il regolamento cessa di applicarsi.
2020/0259 (COD)
Proposta di
REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
relativo a una deroga temporanea a talune disposizioni della direttiva 2002/58/CE del Parlamento europeo e del Consiglio per quanto riguarda l'uso di tecnologie da parte dei fornitori di servizi di comunicazione interpersonale indipendenti dal numero per il trattamento di dati personali e di altro tipo ai fini della lotta contro gli abusi sessuali sui minori online
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16, paragrafo 2, in combinato disposto con l'articolo 114, paragrafo 1,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo,
deliberando secondo la procedura legislativa ordinaria,
considerando quanto segue:
(1)La direttiva 2002/58/CE del Parlamento europeo e del Consiglio stabilisce regole che garantiscono il diritto alla vita privata e alla riservatezza in relazione al trattamento dei dati personali negli scambi di dati nel settore delle comunicazioni elettroniche. Tale direttiva precisa e integra il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.
(2) La direttiva 2002/58/CE si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico. La definizione di servizio di comunicazione elettronica figura attualmente all'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio. La direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio abrogherà la direttiva 2002/21/CE con effetto dal 21 dicembre 2020. A decorrere da tale data, la definizione di servizi di comunicazione elettronica sarà sostituita da una nuova definizione di cui all'articolo 2, paragrafo 4, della direttiva (UE) 2018/1972, che comprende i servizi di comunicazione interpersonale indipendenti dal numero quali definiti all'articolo 2, paragrafo 7, di tale direttiva. Tali servizi, che comprendono ad esempio il Voice over IP, i servizi di messaggistica e i servizi di posta elettronica basati sul web, rientreranno pertanto nell'ambito di applicazione della direttiva 2002/58/CE a decorrere dal 21 dicembre 2020.
(3)A norma dell'articolo 6, paragrafo 1, del trattato sull'Unione europea, l'Unione riconosce i diritti, le libertà e i principi sanciti nella Carta dei diritti fondamentali dell'Unione europea. L'articolo 7 della Carta dei diritti fondamentali dell'Unione europea ("la Carta") tutela il diritto fondamentale di ogni persona al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni, diritto che comprende la riservatezza delle comunicazioni. L'articolo 8 della Carta sancisce il diritto alla protezione dei dati personali. L'articolo 24, paragrafo 2, della Carta, stabilisce che, in tutti gli atti relativi ai minori, siano essi compiuti da autorità pubbliche o da istituzioni private, l'interesse superiore del minore deve essere considerato preminente.
(4)L'abuso e lo sfruttamento sessuale dei minori costituiscono gravi violazioni dei diritti umani, in particolare dei diritti dei minori ad essere protetti da ogni forma di violenza, abuso e abbandono, maltrattamento o sfruttamento, compreso l'abuso sessuale, come stabilito dalla Convenzione delle Nazioni Unite sui diritti del fanciullo del 1989 e dalla Carta. La digitalizzazione ha apportato alla società e all'economia molti vantaggi, ma anche sfide, tra cui un aumento degli abusi sessuali sui minori online. La protezione dei minori online è una delle priorità dell'Unione. Il 24 luglio 2020 la Commissione ha adottato una strategia dell'UE per una lotta più efficace contro gli abusi sessuali sui minori ("la strategia"), che mira a fornire una risposta efficace a livello di Unione al reato di abuso sessuale sui minori.
(5)Taluni fornitori di servizi di comunicazione interpersonale indipendenti dal numero, come i servizi di messaggistica e di posta elettronica basati sul web, stanno già utilizzando su base volontaria tecnologie specifiche per individuare e segnalare gli abusi sessuali sui minori online alle autorità di contrasto e alle organizzazioni che agiscono nell'interesse pubblico contro gli abusi sessuali sui minori, o per rimuovere il materiale pedopornografico. Le suddette organizzazioni comprendono le linee nazionali di pronto intervento per la segnalazione di materiale pedopornografico, nonché le organizzazioni che si prefiggono di ridurre lo sfruttamento sessuale dei minori e prevenire la vittimizzazione dei minori, sia all'interno dell'UE che nei paesi terzi. A livello collettivo tali attività effettuate su base volontaria sono fondamentali in quanto consentono di identificare e soccorrere le vittime e riducono l'ulteriore diffusione di materiale pedopornografico, contribuendo nel contempo anche all'identificazione degli autori dei reati e alle indagini su questi ultimi nonché alla prevenzione dei reati di abuso sessuale sui minori.
(6)Fino al 20 dicembre 2020, il trattamento dei dati personali da parte dei fornitori di servizi di comunicazione interpersonale indipendenti dal numero mediante misure volontarie al fine di individuare e segnalare gli abusi sessuali sui minori online e rimuovere il materiale pedopornografico è disciplinato dal regolamento (UE) 2016/679.
(7)La direttiva 2002/58/CE non contempla disposizioni specifiche relative al trattamento dei dati personali e di altro tipo in relazione alla fornitura di servizi di comunicazione elettronica al fine di individuare e segnalare gli abusi sessuali sui minori online e rimuovere il materiale pedopornografico. Tuttavia, a norma dell'articolo 15, paragrafo 1, della direttiva 2002/58/CE, gli Stati membri possono adottare misure legislative intese a limitare la portata dei diritti e degli obblighi di cui, tra l'altro, agli articoli 5 e 6 di tale direttiva, che riguardano la riservatezza delle comunicazioni e dei dati relativi al traffico, a fini di prevenzione, indagine, accertamento e perseguimento dei reati connessi agli abusi sessuali sui minori. In assenza di tali misure legislative e in attesa dell'adozione di un nuovo quadro giuridico a più lungo termine per contrastare efficacemente gli abusi sessuali sui minori a livello di Unione, come annunciato nella strategia, non vi sarebbe alcuna base giuridica che consenta ai fornitori di servizi di comunicazione interpersonale indipendenti dal numero di continuare a individuare e segnalare gli abusi sessuali sui minori online e di rimuovere il materiale pedopornografico nell'ambito dei loro servizi oltre il 21 dicembre 2020.
(8)Il presente regolamento prevede pertanto una deroga temporanea all'articolo 5, paragrafo 1, e all'articolo 6 della direttiva 2002/58/CE, che tutelano la riservatezza delle comunicazioni e dei dati relativi al traffico. Poiché la direttiva 2002/58/CE è stata adottata sulla base dell'articolo 114 del trattato sul funzionamento dell'Unione europea, è opportuno adottare il presente regolamento sulla stessa base giuridica. Inoltre non tutti gli Stati membri hanno adottato misure legislative a livello nazionale per limitare la portata dei diritti e degli obblighi previsti da tali disposizioni a norma dell'articolo 15, paragrafo 1, della direttiva 2002/58/CE, e l'adozione di tali misure comporta un rischio significativo di frammentazione che potrebbe incidere negativamente sul mercato interno.
(9)Dato che le comunicazioni elettroniche riguardanti persone fisiche sono di norma considerate rientrare nella categoria dei dati personali, il presente regolamento dovrebbe altresì basarsi sull'articolo 16 del trattato, che costituisce una base giuridica specifica per l'adozione di norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni dell'Unione e degli Stati membri nello svolgimento di attività che rientrano nel campo di applicazione del diritto dell'Unione, nonché di norme relative alla libera circolazione di tali dati.
(10)Nella misura in cui il trattamento dei dati personali in relazione alla fornitura di servizi di comunicazione elettronica mediante servizi di comunicazione interpersonale indipendenti dal numero al solo scopo di individuare e segnalare gli abusi sessuali sui minori online e rimuovere il materiale pedopornografico rientra nell'ambito di applicazione della deroga prevista dal presente regolamento, a tale trattamento si applica il regolamento (UE) 2016/679, compreso l'obbligo di effettuare, se del caso, una valutazione dell'impatto dei trattamenti previsti a norma dell'articolo 35 di tale regolamento prima della diffusione delle tecnologie in questione.
(11)Poiché l'unico obiettivo del presente regolamento è consentire il proseguimento di talune attività esistenti volte a combattere gli abusi sessuali sui minori online, la deroga prevista dal presente regolamento dovrebbe essere limitata a tecnologie consolidate utilizzate regolarmente dai servizi di comunicazione interpersonale indipendenti dal numero al fine di individuare e segnalare gli abusi sessuali sui minori online e di rimuovere il materiale pedopornografico prima dell'entrata in vigore del presente regolamento. Il riferimento alla tecnologia comprende, se necessario, qualsiasi verifica umana direttamente connessa all'uso della tecnologia e alla sua supervisione. L'uso della tecnologia in questione dovrebbe pertanto essere comune nel settore, pur senza essere obbligatorio per tutti i fornitori, e senza precludere l'ulteriore evoluzione della tecnologia in un modo che rispetti la vita privata. A tale riguardo, dovrebbe essere irrilevante il fatto che uno specifico fornitore che intenda avvalersi della deroga utilizzi già tale tecnologia o meno alla data di entrata in vigore del presente regolamento. I tipi di tecnologie utilizzati dovrebbero essere quelli meno invasivi della vita privata in conformità allo stato dell'arte del settore e non dovrebbero includere il filtraggio sistematico e la scansione delle comunicazioni contenenti testo, ma dovrebbero esaminare solo comunicazioni specifiche in caso di elementi concreti di sospetto di abusi sessuali su minori.
(12)Al fine di garantire la massima accuratezza e affidabilità possibili, la tecnologia utilizzata dovrebbe, conformemente allo stato dell'arte del settore, essere tale da limitare il più possibile il tasso di errore dovuto ai falsi positivi e, se necessario, rettificare senza indugio eventuali errori di questo tipo che possano comunque verificarsi.
(13)I dati personali e di altro tipo utilizzati nello svolgimento delle attività oggetto della deroga di cui al presente regolamento, nonché il periodo durante il quale i dati sono successivamente conservati in caso di risultati positivi, dovrebbero essere ridotti al minimo in modo da garantire che la deroga resti limitata a quanto strettamente necessario.
(14)Al fine di garantire la trasparenza e la responsabilizzazione per quanto riguarda le attività intraprese a norma della deroga, i fornitori dovrebbero pubblicare annualmente relazioni sul trattamento che rientra nell'ambito di applicazione del presente regolamento, indicando il tipo e il volume dei dati trattati, il numero di casi individuati, le misure applicate per selezionare e migliorare gli indicatori chiave, il numero e il tasso di errori (falsi positivi) delle diverse tecnologie utilizzate, le misure applicate per limitare il tasso di errore e il relativo risultato conseguito, la politica di conservazione dei dati e le garanzie applicate in materia di protezione dei dati.
(15)Il presente regolamento dovrebbe entrare in vigore il terzo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea, al fine di garantire che sia applicabile a decorrere dal 21 dicembre 2020.
(16)Il presente regolamento limita il diritto alla tutela della riservatezza delle comunicazioni e costituisce una deroga alla decisione adottata nella direttiva (UE) 2018/1972 di assoggettare i servizi di comunicazione interpersonale indipendenti dal numero alle stesse norme di tutti gli altri servizi di comunicazione elettronica per quanto riguarda la vita privata. Il periodo di applicazione del presente regolamento dovrebbe pertanto essere limitato al 31 dicembre 2025, vale a dire ad un periodo ragionevolmente necessario per l'adozione di un nuovo quadro giuridico a lungo termine, con garanzie più dettagliate. Qualora la legislazione a lungo termine sia adottata ed entri in vigore prima di tale data, detta legislazione dovrebbe abrogare il presente regolamento.
(17)I fornitori di servizi di comunicazione interpersonale indipendenti dal numero dovrebbero essere soggetti agli obblighi specifici di cui alla direttiva 2002/58/CE per quanto riguarda qualsiasi altra attività che rientri nel suo ambito di applicazione.
(18)L'obiettivo del presente regolamento è introdurre una deroga temporanea a talune disposizioni della direttiva 2002/58/CE senza creare frammentazione nel mercato interno. È inoltre molto probabile che la legislazione nazionale non sia adottata in tempo utile in tutti gli Stati membri. Poiché tale obiettivo non può essere conseguito in misura sufficiente dagli Stati membri ma può essere conseguito meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo. Il presente regolamento introduce una deroga rigorosamente limitata e temporanea all'applicabilità dell'articolo 5, paragrafo 1, e dell'articolo 6 della direttiva 2002/58/CE, con una serie di garanzie per assicurare che non vada oltre quanto necessario per il conseguimento degli obiettivi fissati.
(19)Il Garante europeo della protezione dei dati è stato consultato conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio e ha espresso un parere il […],
HANNO ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
Oggetto
Il presente regolamento stabilisce norme temporanee e rigorosamente limitate che derogano a determinati obblighi previsti dalla direttiva 2002/58/CE, con l'unico obiettivo di consentire ai fornitori di servizi di comunicazione interpersonale indipendenti dal numero di continuare ad utilizzare tecnologie per il trattamento di dati personali e di altro tipo nella misura necessaria a individuare e segnalare gli abusi sessuali sui minori online e a rimuovere il materiale pedopornografico nell'ambito dei loro servizi.
Articolo 2
Definizioni
Ai fini del presente regolamento si applicano le seguenti definizioni:
1) "servizio di comunicazione interpersonale indipendente dal numero": un servizio quale definito all'articolo 2, punto 7, della direttiva (UE) 2018/1972;
2) "abusi sessuali sui minori online":
a) il materiale pedopornografico quale definito all'articolo 2, lettera c), della direttiva 2011/93/UE del Parlamento europeo e del Consiglio;
b) l'adescamento di minori al fine di compiere atti sessuali con un minore o di produrre materiale pedopornografico nei modi seguenti:
i) attirando il minore mediante l'offerta di regali o altri vantaggi;
ii) minacciando il minore di conseguenze negative che possono avere un impatto significativo sul minore stesso;
iii) fornendo al minore materiale pornografico o mettendolo a sua disposizione;
c) lo spettacolo pornografico quale definito all'articolo 2, lettera e), della direttiva 2011/93/UE.
Articolo 3
Ambito di applicazione della deroga
Gli obblighi specifici di cui all'articolo 5, paragrafo 1, e all'articolo 6 della direttiva 2002/58/CE non si applicano al trattamento dei dati personali e di altro tipo connesso alla fornitura di servizi di comunicazione interpersonale indipendenti dal numero strettamente necessario per l'uso della tecnologia al solo scopo di rimuovere materiale pedopornografico e di individuare o segnalare gli abusi sessuali sui minori online alle autorità di contrasto e alle organizzazioni che agiscono nell'interesse pubblico contro gli abusi sessuali sui minori, a condizione che:
a)il trattamento sia proporzionato e limitato alle tecnologie consolidate utilizzate regolarmente dai fornitori di servizi di comunicazione interpersonale indipendenti dal numero a tal fine prima dell'entrata in vigore del presente regolamento, conformi allo stato dell'arte del settore e le meno invasive della vita privata;
b)la tecnologia utilizzata sia di per sé sufficientemente affidabile in quanto limita il più possibile il tasso di errori relativi all'individuazione di contenuti che rappresentano abusi sessuali sui minori e, qualora si verifichino tali errori occasionali, le loro conseguenze siano corrette senza indugio;
c)la tecnologia utilizzata per individuare l'adescamento di minori sia limitata all'uso di indicatori chiave pertinenti, quali parole chiave e fattori di rischio oggettivamente identificati, quali la differenza di età, fatto salvo il diritto alla verifica umana;
d)il trattamento sia limitato a quanto strettamente necessario ai fini dell'individuazione e della segnalazione di abusi sessuali sui minori online e della rimozione di materiale pedopornografico e, a meno che l'abuso sessuale sui minori online non sia stato individuato e confermato come tale, sia immediatamente cancellato;
e)il fornitore pubblichi annualmente una relazione sul trattamento eseguito, indicando il tipo e il volume dei dati trattati, il numero di casi individuati, le misure applicate per selezionare e migliorare gli indicatori chiave, i numeri e i tassi di errori (falsi positivi) delle diverse tecnologie utilizzate, le misure applicate per limitare il tasso di errore e il relativo risultato conseguito, la politica di conservazione dei dati e le garanzie applicate in materia di protezione dei dati.
Per quanto riguarda la lettera d), se l'abuso sessuale sui minori online è stato individuato e confermato in quanto tale, i dati pertinenti possono essere conservati unicamente per i seguenti fini e solo per il periodo necessario:
–per la segnalazione e per rispondere a richieste proporzionate delle autorità di contrasto e di altre autorità pubbliche competenti;
–per bloccare il conto dell'utente in questione;
–in relazione a dati identificati in modo affidabile come pedopornografia, per la creazione di una firma digitale unica e non riconvertibile ("hash").
Articolo 4
Entrata in vigore e applicazione
Il presente regolamento entra in vigore il terzo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Esso si applica dal 21 dicembre 2020 al 31 dicembre 2025.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il
Per il Parlamento europeo
Per il Consiglio
Il presidente
Il presidente