TUTELA DEI DATI PERSONALI
Consiglio UE: nuova proposta della Presidenza portoghese su nuovo testo del Regolamento ePrivacy.
Il 5 gennaio 2021, il Consiglio dell'Unione Europea ha rilasciato una nuova versione bozza del Regolamento ePrivacy, che dovrebbe sostituire la Direttiva ePrivacy 2002/58.
La Commissione europea ha approvato una prima bozza del regolamento ePrivacy addirittura nel Gennaio 2017 e da allora non è stato trovato l'accordo politico sulle varie versioni del testo: il progetto di regolamento è da allora in discussione in Consiglio. Il 1° Gennaio 2021 il Portogallo ha assunto la presidenza del Consiglio per sei mesi. In vista della riunione del gruppo di lavoro Telecomunicazioni del Consiglio (tenutasi il 7 Gennaio 2021) la Presidenza portoghese ha pubblicato una versione rivista del progetto di Regolamento (la quattordicesima, inclusa la prima bozza della Commissione europea). Una volta approvato, il Regolamento ePrivacy stabilirà i requisiti e le limitazioni per i fornitori di servizi di comunicazione elettronica accessibili al pubblico ("fornitori di servizi") che elaborano dati o che accedono a dispositivi appartenenti a persone fisiche e giuridiche "che si trovano nell'Unione [europea]" ( "utente finale").
Il Regolamento mira a salvaguardare la privacy degli utenti finali, la riservatezza delle loro comunicazioni e l'integrità dei loro dispositivi. Requisiti e limitazioni si applicheranno in modo uniforme in tutti gli Stati membri dell'UE. Tuttavia, gli Stati membri dell'UE hanno il potere di limitare la portata di questi requisiti e limitazioni laddove questa sia una "misura necessaria, appropriata e proporzionata in una società democratica per salvaguardare uno o più interessi pubblici generali".
Il progetto della Presidenza portoghese segue ampiamente la struttura adottata dalla precedente Presidenza tedesca. La bozza è suddivisa nei seguenti cinque capitoli:
Ampliare l'ambito di applicazione territoriale del progetto di Regolamento in modo che si applichi anche al trattamento dei dati personali da parte di un responsabile del trattamento non stabilito nel SEE, ma stabilito in un luogo in cui si applica il diritto degli Stati membri in virtù del diritto internazionale pubblico; secondo la Presidenza, l'obiettivo era allineare pienamente l'ambito di applicazione territoriale del Regolamento ePrivacy con l'articolo 3, paragrafo 3, del GDPR.
Aggiunta della definizione di "dati di localizzazione" alla proposta di regolamento. Reinserire le disposizioni che autorizzano il trattamento dei dati delle comunicazioni elettroniche (inclusi i metadati) per finalità compatibili con le finalità iniziali per le quali i dati sono stati raccolti; questa disposizione era stata soppressa dalla presidenza croata (gennaio - giugno 2020).
Inserimento dello standard di trattamento GDPR per “l'esecuzione di un contratto” nel Regolamento ePrivacy; la versione precedente del progetto di regolamento autorizzava i fornitori di servizi a trattare i dati delle comunicazioni elettroniche senza consenso allo scopo di "ottenere la trasmissione della comunicazione". La bozza portoghese autorizza i fornitori di servizi a trattare i dati (e i metadati) delle comunicazioni elettroniche allo scopo di "fornire un servizio di comunicazione elettronica". Secondo la Presidenza portoghese, la versione precedente includeva una "base legale troppo restrittiva" che non era completamente allineata con la base giuridica del GDPR che autorizzava il trattamento dei dati per l'esecuzione di un contratto (articolo 6 (1) (b)).
Richiedere ai fornitori di servizi che condividono dati statistici anonimi di comunicazioni elettroniche con terzi di effettuare una valutazione d'impatto sulla protezione dei dati e informare gli utenti finali delle operazioni di trattamento previste; la versione precedente del progetto di regolamento e-privacy non includeva limitazioni alla condivisione di dati statistici anonimi sulle comunicazioni elettroniche.
Autorizzare i fornitori di servizi ad accedere ai dati sui dispositivi degli utenti finali ove necessario per l'esecuzione di un contratto; la versione precedente del progetto di regolamento autorizzava i fornitori di servizi ad accedere ai dati sui dispositivi degli utenti finali solo ove tecnicamente necessario per eseguire il contratto. La parola "tecnicamente" è stata eliminata.
La Commissione europea ha approvato una prima bozza del regolamento ePrivacy addirittura nel Gennaio 2017 e da allora non è stato trovato l'accordo politico sulle varie versioni del testo: il progetto di regolamento è da allora in discussione in Consiglio. Il 1° Gennaio 2021 il Portogallo ha assunto la presidenza del Consiglio per sei mesi. In vista della riunione del gruppo di lavoro Telecomunicazioni del Consiglio (tenutasi il 7 Gennaio 2021) la Presidenza portoghese ha pubblicato una versione rivista del progetto di Regolamento (la quattordicesima, inclusa la prima bozza della Commissione europea). Una volta approvato, il Regolamento ePrivacy stabilirà i requisiti e le limitazioni per i fornitori di servizi di comunicazione elettronica accessibili al pubblico ("fornitori di servizi") che elaborano dati o che accedono a dispositivi appartenenti a persone fisiche e giuridiche "che si trovano nell'Unione [europea]" ( "utente finale").
Il Regolamento mira a salvaguardare la privacy degli utenti finali, la riservatezza delle loro comunicazioni e l'integrità dei loro dispositivi. Requisiti e limitazioni si applicheranno in modo uniforme in tutti gli Stati membri dell'UE. Tuttavia, gli Stati membri dell'UE hanno il potere di limitare la portata di questi requisiti e limitazioni laddove questa sia una "misura necessaria, appropriata e proporzionata in una società democratica per salvaguardare uno o più interessi pubblici generali".
Il progetto della Presidenza portoghese segue ampiamente la struttura adottata dalla precedente Presidenza tedesca. La bozza è suddivisa nei seguenti cinque capitoli:
- l capitolo I definisce l'ambito di applicazione materiale, soggettivo e territoriale del progetto di regolamento (compreso l'obbligo di nominare un rappresentante per i fornitori di servizi non SEE), definisce i termini utilizzati nel regolamento e stabilisce lo standard del consenso;
- il capitolo II stabilisce i requisiti e le limitazioni per l'accesso ai dati sui dispositivi degli utenti finali (ad esempio, tramite cookie e pixel) e ulteriori requisiti e limitazioni per l'elaborazione di (1) contenuto delle comunicazioni elettroniche, (2) metadati delle comunicazioni elettroniche, (3) dati relativi ai dispositivi degli utenti finali (inclusi software e hardware); il capitolo II limita anche l'uso delle capacità di elaborazione e archiviazione dei dispositivi degli utenti finali;
- il capitolo III stabilisce i requisiti e le limitazioni per (1) i servizi di comunicazione interpersonale basati sui numeri (ad esempio, servizi di telefonia pubblica e Skype), inclusa l'offerta di elenchi disponibili al pubblico, e (2) comunicazioni di marketing diretto (ad esempio, e-mail e altri messaggi di posta elettronica );
- il capitolo IV individua le autorità responsabili dell'applicazione del regolamento e i loro poteri;
- il capitolo V descrive rimedi, responsabilità e sanzioni.
Ampliare l'ambito di applicazione territoriale del progetto di Regolamento in modo che si applichi anche al trattamento dei dati personali da parte di un responsabile del trattamento non stabilito nel SEE, ma stabilito in un luogo in cui si applica il diritto degli Stati membri in virtù del diritto internazionale pubblico; secondo la Presidenza, l'obiettivo era allineare pienamente l'ambito di applicazione territoriale del Regolamento ePrivacy con l'articolo 3, paragrafo 3, del GDPR.
Aggiunta della definizione di "dati di localizzazione" alla proposta di regolamento. Reinserire le disposizioni che autorizzano il trattamento dei dati delle comunicazioni elettroniche (inclusi i metadati) per finalità compatibili con le finalità iniziali per le quali i dati sono stati raccolti; questa disposizione era stata soppressa dalla presidenza croata (gennaio - giugno 2020).
Inserimento dello standard di trattamento GDPR per “l'esecuzione di un contratto” nel Regolamento ePrivacy; la versione precedente del progetto di regolamento autorizzava i fornitori di servizi a trattare i dati delle comunicazioni elettroniche senza consenso allo scopo di "ottenere la trasmissione della comunicazione". La bozza portoghese autorizza i fornitori di servizi a trattare i dati (e i metadati) delle comunicazioni elettroniche allo scopo di "fornire un servizio di comunicazione elettronica". Secondo la Presidenza portoghese, la versione precedente includeva una "base legale troppo restrittiva" che non era completamente allineata con la base giuridica del GDPR che autorizzava il trattamento dei dati per l'esecuzione di un contratto (articolo 6 (1) (b)).
Richiedere ai fornitori di servizi che condividono dati statistici anonimi di comunicazioni elettroniche con terzi di effettuare una valutazione d'impatto sulla protezione dei dati e informare gli utenti finali delle operazioni di trattamento previste; la versione precedente del progetto di regolamento e-privacy non includeva limitazioni alla condivisione di dati statistici anonimi sulle comunicazioni elettroniche.
Autorizzare i fornitori di servizi ad accedere ai dati sui dispositivi degli utenti finali ove necessario per l'esecuzione di un contratto; la versione precedente del progetto di regolamento autorizzava i fornitori di servizi ad accedere ai dati sui dispositivi degli utenti finali solo ove tecnicamente necessario per eseguire il contratto. La parola "tecnicamente" è stata eliminata.
