LA RISERVATEZZA DELLE TELECOMUNICAZIONI NELL’EUROPA DEL GDPR E DEL REGOLAMENTO ePRIVACY
Indice
FRAMEWORK
RISULTATI STORICI
IL REGOLAMENTO ePRIVACY
La proposta. Abrogazione della Dir. 2002/58/CE
Oggetto e definizioni
Ambito di applicazione
Dati, metadati e contenuto
Dati in transito o archiviati? Conservazione e cancellazione
Trattamento consentito
CONCLUSIONI
FRAMEWORK
Dalle prime intuizioni di Luigi Galvani sul flusso della corrente elettrica all’invenzione della pila di Alessandro Volta, dai primi messaggi in codice Morse trasmessi con un pantelegrafo alla disputa sulla paternità del telefono (attribuita a Antonio Meucci grazie alle battaglie di Basilio Catania), sono trascorsi appena due secoli e i mezzi di telecomunicazione si sono profondamente evoluti. Si pensi alle opportunità offerte da internet e da tutte le nuove tecnologie. L’archetipica necessità dell’uomo di comunicare, anche a distanza, è stata motore per la trasformazione di reti e linee per la telecomunicazione, motore di innovazione di processi e di prodotti.
Negli ultimi anni, in particolare, si è assistito a una progressiva sovrapposizione di mercati, che prima erano ben distinti. Da un lato gli operatori di telecomunicazioni (c.d. Tel.Co.), che gestiscono le infrastrutture tecnologiche necessarie per consentire l’accesso alla rete; dall’altro le aziende provenienti dal mondo dell’informatica (ICT), che offrono servizi innovativi come ad es. networks di telecomunicazione pubblici e privati. Ci sono poi gli operatori c.d. Over The Top (OTT), fornitori di servizi, contenuti o applicazioni che innovano la comunicazione al di là della mera trasmissione di contenuti (testo, voce) come sinora avvenuto con gli operatori tradizionali: tramite i social-networks è possibile infatti condividere contenuti audio, foto e video con una pluralità indistinta di altri profili iscritti alla medesima piattaforma, in tempo reale o in differita. Gli OTT non forniscono l’accesso a internet, se ne servono per offrire i propri prodotti o servizi.
La strategia europea per il mercato unico digitale, e la libera circolazione di dati, apparecchiature e servizi di comunicazione elettronica, costituisce il contesto storico, culturale e normativo da cui scaturiscono i più recenti Regolamenti: il GDPR sulla protezione delle persone fisiche in materia di trattamento dei dati personali e il Reg. ePrivacy sul rispetto della vita privata e tutela delle comunicazioni elettroniche.
RISULTATI STORICI
Alcune tappe storiche da menzionare lungo il percorso verso l’attuazione della strategia europea per il mercato unico digitale, prima di passare al contenuto delle tutele previste in materia di comunicazioni elettroniche, sono:
- Progressiva abolizione delle tariffe di roaming
Le prime disposizioni europee relative al roaming - ossia agli accordi tra operatori di telefonia mobile tramite cui l’utente può chiamare e accedere ai servizi internet, a prezzi accessibili, anche quando si trova temporaneamente in altro Stato e non c’è il fornitore di servizi equivalente – sono previste nel Reg. 2007/717/CE. Con Reg. 2012/531/UE si sono fissati massimali. Oggi si persegue invece il concetto “ROAM LIKE AT HOME” (RLAH) per abolire le tariffe;
- Portabilità transfrontaliera dei contenuti online
Sottoscrivendo accordi contrattuali per la prestazione di servizi di contenuti online, l’utente deve poter accedere a detti servizi anche quando si trova in un altro Stato e deve essere garantito della fruizione indipendentemente dal fatto che sia per motivi di svago, lavoro, studio;
- Fine dei blocchi geografici ingiustificati
I blocchi geografici sono una pratica discriminatoria che impedisce agli utenti di accedere e acquistare prodotti o servizi con un operatore che ha sede in un altro Stato membro. Il 27 febbraio 2018 il Consiglio ha adottato un regolamento che vieta i blocchi geografici ingiustificati nel mercato interno.[1] Il regolamento ha l’obiettivo di eliminare i blocchi al commercio elettronico che sono basati ad esempio sulla nazionalità del cliente, il luogo di connessione, il metodo di pagamento o il luogo di consegna di un prodotto;
- Normativa in materia di protezione dei dati
Accertata la centralità dei servizi di comunicazione elettronica nell’economia digitale, l’utilizzo di mezzi e metodi di trattamento dei dati, che avviene sulle piattaforme di comunicazione online, impone al legislatore europeo la previsione di idonee tutele per le persone fisiche: da un lato, garantendo il libero accesso alla rete internet come servizio essenziale, da erogare a tutti i consociati indipendentemente dalla loro collocazione geografica sul territorio e a prezzi accessibili e non discriminatori, affinché tutti possano godere dei vantaggi offerti dall’economia digitale; dall’altro, deve prevedere tutele come quelle del GDPR, Regolamento Generale sulla protezione dei dati a baluardo dei diritti di un interessato coinvolto nel trattamento di dati, e come quelle previste dal Reg. ePrivacy, a presidio dei trattamenti di dati, metadati e contenuti scambiati durante comunicazione elettronica su piattaforme accessibili al pubblico (lex specialis rispetto al GDPR).
IL REGOLAMENTO ePRIVACY
La proposta. Abrogazione della Dir. 2002/58/CE
Il 10 gennaio 2017 la Commissione Europea ha presentato la proposta di Regolamento ePrivacy e, dopo un iter di quattro anni, si è ottenuto dal Consiglio Europeo il parere favorevole sulla versione finale. La proposta di Reg. è stata resa necessaria dal fatto che allo stato attuale la normativa in materia di comunicazione elettroniche risulta ancora frammentata e disomogenea: a regolare la materia a livello europeo è infatti la Dir. 2002/58/CE, che presenta importanti lacune e criticità. La Direttiva è ormai inidonea a regolamentare l’impattato che la trasformazione digitale ha avuto, negli ultimi decenni, sul mercato dei servizi di comunicazione elettronica e sulla loro fruizione da parte degli utenti finali. Inoltre, la scelta di un Regolamento (a sostituzione di una direttiva) è evidentemente tesa ad armonizzare il quadro giuridico applicabile a livello europeo, sottolineando così l’esigenza di superare i particolarismi applicativi.
Il Reg. ePr. intende riesaminare la materia oggetto della Dir. 2002/58/CE, per assicurare la riservatezza e la sicurezza delle comunicazioni elettroniche, nonché l’integrità delle informazioni contenute nei dispositivi. Accrescere la fiducia nei servizi digitali e non abbassare il livello di protezione offerto dall’attuale direttiva. Garantire coerenza, integrare il GDPR e abrogare la Dir. 2002/58/CE.
Oggetto e definizioni
Il Regolamento prevede norme a tutela dei diritti e delle libertà fondamentali delle persone fisiche e giuridiche coinvolte nella fornitura o nell’utilizzo di servizi di comunicazione elettronica con l’obiettivo di dare un quadro normativo armonizzato per la disciplina delle reti, dei servizi di comunicazione elettronica, nonché delle risorse e dei servizi correlati.
Un servizio di comunicazione elettronica è un servizio fornito di norma a pagamento su reti di comunicazioni (sistemi di trasmissione di segnali): può comprendere il servizio di accesso a internet, il servizio di comunicazione interpersonale o di trasmissione di segnali. Per garantire la riservatezza della comunicazione è necessario proteggere i dati, i metadati e i contenuti da qualsivoglia interferenza (es. ascolto, registrazione, conservazione, monitoraggio, scansione o altri tipi di sorveglianza), a prescindere che siano o meno dati personali. La “privacy” intesa come “protezione dei dati” ai sensi del GDPR, è infatti un concetto diverso: la c.d. Data Protection comprende anche altri meccanismi di tutela come il diritto di accesso ai propri dati, il diritto alla rettifica o alla cancellazione, di ricevere idonee informative… oltre a imporre obblighi specifici al titolare del trattamento.
Ambito di applicazione
Il Regolamento si applica ai trattamenti effettuati in relazione alla fornitura di un servizio di comunicazione elettronica, nonché all’invio di comunicazioni di marketing diretto. Tutela gli utenti finali stabiliti all’interno del territorio europeo e le informazioni connesse alle loro apparecchiature. Non si applica a servizi di comunicazione elettronica non disponibili al pubblico; alle attività extra UE; alle attività di politica estera e sicurezza comune; alle attività di prevenzione, accertamento, indagine e perseguimento di reati.
Il limite all’applicazione del Regolamento è dato dalla potenziale fuoriuscita dei dati in networks potenzialmente aperti a un numero indefinito di persone: l’utente esposto ai network pubblici trova le tutele previste dal Regolamento. Non si applica quindi agli home/corporte netwoks (che hanno un pre-definito numero di utenti) né ai networks utilizzati per finalità interne di comunicazione in una Pubblica Amministrazione. Si applica agli “Home Assistant”[2].
Dati, metadati e contenuto
I dati delle comunicazioni elettroniche sono l’insieme di metadati e di contenuti. I metadati sono i dati trattati in una rete di comunicazione elettronica per trasmettere, distribuire o scambiare il contenuto delle comunicazioni, compresi i dati usati per tracciare e identificare la fonte e il destinatario, i dati relativi alla localizzazione, alla data, all’ora e durata della comunicazione. Il contenuto rappresenta invece il messaggio in sé (quale testo, voce, video, immagini o suono).
I metadati possono avere natura di dati personali laddove includono ad esempio i numeri chiamati, i siti web visitati, la geolocalizzazione, etc., poiché consentono di trarre conclusioni precise sulla vita privata delle persone coinvolte nella comunicazione (Cons. 2 del Reg. ePravacy). In effetti ci si è accorti che è proprio dai metadati che le Big del Tech possono trarre maggior profitto[3]: «Instead of analyzing the content of user lists such as favorite TV show, activities and music they learned that simple meta data – such us the amount of information shared – turned out to be much more useful and predictive than the original raw data». [4]
Dati in transito o archiviati? Conservazione e cancellazione
I dati in transito sono i dati trasmessi tra due o più terminali (device o server) per mezzo di una rete di comunicazione elettronica; i dati archiviati, quei dati che vengono conservati a seguito della trasmissione e che devono essere cancellati o anonimizzati dal fornitore del servizio di comunicazione elettronica dopo che il o i destinatari previsti hanno ricevuto il contenuto della comunicazione.
Ai sensi dell’art. 7 del Reg. Pr. Il fornitore cancella o rende anonimi i contenuti e i metadati quando non più necessario per le finalità del trattamento. Mentre, quando il trattamento di metadati è effettuato per scopi di fatturazione, i metadati significativi possono essere conservati fino a quando la fattura non può essere legalmente impugnata.
Il diritto europeo o quello degli Stati membri possono prevedere misure di conservazione dei metadati, che rispettino le libertà fondamentali e che siano necessarie e proporzionate per la salvaguardia dell’ordine pubblico e sicurezza comune - ad esempio a fini di indagine, prevenzione, accertamento e perseguimento di reati.
Trattamento consentito
I fornitori di servizi/networks possono trattare dati solo se è necessario per la fornitura di un servizio, per mantenerne o ripristinarne la sicurezza; se è necessario per prevenire rischi o attacchi alle apparecchiature degli utenti finali; o se è necessario per adempiere a obblighi di legge. I dati possono essere trattati per la durata necessaria al
raggiungimento dello scopo e una parte terza non può trattare i dati a meno che non sia nominata Responsabile del trattamento e ai sensi dell’art. 28 GDPR.
I fornitori di servizi/networks possono trattare contenuti solo se L’utente ha prestato il proprio consenso e sono tenuti ad effettuare una valutazione di impatto (DPIA) laddove fosse necessario per via dei rischi a cui sono esposte le persone fisiche.
I fornitori di servizi/networks possono trattare metadati solo se è necessario per scopi tecnici (gestione e ottimizzazione) del servizio/network o se è necessario per dare esecuzione al contratto in cui l’utente finale è parte. Se l’utente ha prestato il proprio consenso o se è necessario per proteggere un interesse vitale di natura personale.
i fornitori di servizi di comunicazioni elettroniche devono trattare i metadati solo con il consenso dell’utente. Ma se poi si ammette che il trattamento dei metadati possa essere effettuato quando ciò è necessario per la fornitura dei servizi che sono basati su un contratto ci si può porre il problema della corretta individuazione della base giuridica su cui fondare i trattamenti. Pensare di individuare la base giuridica nel contratto aprirebbe brecce pericolose. Il consenso andrebbe sempre esplicitato se si ragiona secondo i principi di liceità correttezza e trasparenza.
È in ogni caso possibile non richiedere nuovamente il consenso laddove il trattamento ulteriore è compatibile con la finalità con cui l’informazione è stata precedentemente raccolta ed è permesso trattare i metadati per scopi di ricerca scientifica e statistica con le idonee misure di sicurezza della pseudonimizzazione o cifratura, senza pertanto compiere attività di profilazione.
CONCLUSIONI
Viviamo ormai in un’economia che ha fondato sull’utilizzo dei dati l’innovazione di processi e prodotti, mentre assistiamo alla compenetrazione dell’ICT nella società civile con la produzione di grandi quantità di dati - i c.d. Big Data caratterizzati da eterogeneità e accuratezza, in cui l’insieme dei dati e metadati, trattati ed elaborati, acquisisce un senso autonomo e ulteriore rispetto alle singole informazioni. Non va quindi trascurato che, l’attività di raccolta e di elaborazione dei dati, così come la produzione di dati informativi, sono “Core Activities”, che acquisiscono un valore autonomo, assumendo queste attività stesse una connotazione imprenditoriale (Data Analytics).[5]
In siffatto scenario le maggiori opportunità, anche proprio in termini di finanziamenti stanziati dall’Europa per rendersi essa stessa più competitiva nel mercato mondiale, sono per start-up e PMI, oltre che per le aziende più consolidate, che aggiudicandosi e gestendo progetti innovativi, coerenti con la strategia per il mercato unico digitale europeo, offrono al pubblico prodotti e servizi fortemente scalabili.
Associazione PRIVACY ACADEMY
CORSO DI AGGIORNAMENTO PER DPO
Dott. Giacomo De Simio
26 Maggio 2021
[1] https://data.consilium.europa.eu/doc/document/PE-64-2017-INIT/en/pdf
[2] https://www.cyberlaws.it/2020/smart-assistant-privacy/
[3] Shoshana Zuboff on surveillance capitalism | VPRO Documentary:
https://www.youtube.com/watch?v=hIXhnWUmMvw&ab_channel=vprodocumentary
[44] Shoshana Zuboff, “The Age of Surveillance Capitalism. The Fight for the Future at the New Frontier of Power”, New York, Public Affairs, 2019
[5] Il Regolamento e-Privacy tra principi giuridici e impatti sull’economia digitale, Istituto Italiano per la Privacy https://www.istitutoitalianoprivacy.it/wp-content/uploads/2018/03/Paper-IIP_ePrivacy_2018_ITA.pdf