x

x

La Commissione Europea torna ad occuparsi del mercato unico digitale: una prima analisi della proposta del nuovo regolamento in tema di comunicazioni elettroniche

La Commissione Europea torna ad occuparsi del mercato unico digitale: una prima analisi della proposta del nuovo regolamento in tema di comunicazioni elettroniche
La Commissione Europea torna ad occuparsi del mercato unico digitale: una prima analisi della proposta del nuovo regolamento in tema di comunicazioni elettroniche

Abstract: la tutela dei dati personali e della riservatezza nelle comunicazioni elettroniche è uno dei punti chiave nella realizzazione di un mercato unico digitale. La Commissione Europea ha recentemente pubblicato una proposta di Regolamento che mira a fornire una disciplina uniforme in tema di comunicazioni elettroniche e tutela di dati personali, e che abroga la precedente disciplina dettata dalla Direttiva 2002/58/CE.

 

Il 10 gennaio 2017 la Commissione Europea ha pubblicato la proposta di un Regolamento relativo al “Rispetto delle vita privata e la protezione dei dati personali nell’ambito delle comunicazioni elettroniche” (Respect for private life and the protection of personal data in electronic communications), che andrebbe ad abrogare la Direttiva 2002/58/CE (conosciuta anche come “Direttiva ePrivacy”).

Come noto, l’obiettivo principale delle Direttiva ePrivacy è stato quello di garantire la tutela dei diritti e delle libertà fondamentali degli utenti di comunicazioni elettroniche, la riservatezza di tali  comunicazioni e la protezione dei dati personali degli utenti, promuovendo al contempo il libero scambio dei dati relativi a tali comunicazioni.

Con la citata direttiva, attuata in Italia mediante l’introduzione nel Codice in materia di dati personali (Decreto Legislativo n. 196/2003, o “Codice Privacy”) del Titolo X dedicato alle comunicazioni elettroniche (articoli 121 – 134), il Legislatore comunitario ha voluto normare la rapida diffusione dei servizi di comunicazione elettronica accessibili al pubblico attraverso Internet. Lo sviluppo della società dell’informazione e la possibilità per gli utenti di accedere a reti digitali mobili verificatesi nei primi anni 2000, infatti, aveva causato lo sconvolgimento delle tradizionali strutture del mercato, sollevando la necessità di integrare la precedente Direttiva 95/46/CE.

La proposta di un nuovo Regolamento prosegue nella direzione segnata dalla Direttiva ePrivacy, ma in un contesto che potremmo definire più “maturo”.

La Commissione Europea nel 2015 ha, infatti, adottato la cosiddetta Strategia di un mercato unico digitale (Single Digital Market Strategy), ovvero un piano per la creazione di un unico mercato digitale europeo che superi i 28 mercati nazionali, che elimini gli ostacoli alle operazioni transfrontaliere e favorisca di conseguenza la crescita economica.

Tale strategia, che pone alla sua base l’obiettivo di aumentare la fiducia e la sicurezza nei servizi digitali da parte dei cittadini europei, poggia su tre macro aree o pilastri: (i) favorire e migliorare l’accesso a servizi e beni digitali a consumatori e imprese (ad es. e- commerce), (ii) creare un contesto che permetta lo sviluppo tecnologico (ad es. favorendo la sicurezza online), ed infine (iii) favorire la crescita dell’economia digitale e la occupazione (ad es. attraverso la diffusione di competenze digitali e alla realizzazione di servizi di e- government).

A ciò si aggiunga che la Direttiva 2002/58/CE non è stata in grado di affrontare il rapido sviluppo tecnologico (si pensi alle nuove forme di comunicazione elettronica che in molti casi hanno soppiantato quelle tradizionali, oppure ancora all’Internet of Things), risultando così un mezzo insufficiente a garantire piena tutela dei dati personali e riservatezza nell’uso delle comunicazioni elettroniche.

Per realizzare il mercato unico digitale e per assicurare una piena tutela dei dati personali degli utenti, il Legislatore comunitario ha individuato tra gli elementi chiave la necessità di rafforzare la cornice normativa in ambito di tutela dei dati personali attraverso l’emanazione di regolamenti comunitari.

In tale contesto, è stato dapprima adottato il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento  Regolamento UE n. 2016/679)  entrato in vigore il 24 maggio 2016 e che diverrà definitivamente applicabile in ogni Stato membro il 25 maggio 2018, e che abrogherà definitivamente la Direttiva 95/46/CE.

Tale primo strumento, però, è stato fin da subito ritenuto da solo non sufficiente a realizzare la Strategia di un mercato unico digitale. La proposta della Commissione sottoposta a Parlamento europeo e al Consiglio, che mira a rendere maggiormente efficace il livello di tutela dei dati personali trattati nelle comunicazioni elettroniche in accordo con gli articoli 7 e 8 della  Carta dei diritti fondamentali dell’unione europea, dovrebbe agire su un duplice piano: da un lato garantire agli utenti europei maggiori livelli di protezione dei propri dati nell’utilizzo di servizi di comunicazione elettronica, mentre dall’altro introdurre parità di condizioni per gli attori del mercato.

È stato quindi ritenuto necessario introdurre un nuovo Regolamento che disciplinasse la materia in conformità al GDPR, e che si ponesse al contempo quale legge complementare e  speciale rispetto allo stesso.

Infatti, come è emerso dalla revisione della direttiva ePrivacy promossa dalla stessa Commissione (REFIT evaluation) e da una consultazione pubblica organizzata tra i mesi di aprile e luglio 2016, i punti chiavi su cui intervenire sono molteplici.

In primo luogo, i nuovi servizi offerti mediante Internet e utilizzati da un numero crescente di consumatori, come ad esempio le chiamate VoIP (Voice over IP), o la sempre più diffusa messaggistica istantanea, non rientrerebbero nel campo di applicazione della Direttiva ePrivacy né del Regolamento 679/2016. 

In secondo luogo, è stato considerato necessario allineare la disciplina dettata dalla direttiva ePrivacy con quanto previsto dal GDPR al fine di garantire una maggior protezione alla vita privata dei cittadini. I nuovi mezzi di comunicazione, infatti, devono garantire la riservatezza delle comunicazioni, che potrebbero contenere dati personali degli utenti o informazioni riservate di persone giuridiche.

In terzo luogo, è richiesto un miglioramento della normativa sui cookie per proteggere i consumatori da forme di marketing invasivo. Ed infine, dovranno essere sempre più condivise tra gli Stati Membri le best practice in tema di comunicazione elettroniche.

Il testo della proposta di Regolamento, che si compone di 29 articoli, recepisce i risultati emersi dalle predette consultazioni.

La nozione di servizio di comunicazioni elettroniche va ricercata nella proposta di Direttiva per l’istituzione di un Codice Europeo delle Comunicazioni Elettroniche del 12 ottobre 2016, ovvero “i servizi forniti di norma a pagamento su reti di comunicazioni elettroniche, che comprendono il "servizio di accesso a Internet" quale definito all’articolo 2, paragrafo 2, del regolamento (UE) 2015/2120 e/o il "servizio di comunicazione interpersonale" e/o i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali come i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina (M2M) e per la diffusione circolare radiotelevisiva, ma esclusi i servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti”.

Dal punto di vista dell’ambito d’applicazione, il Regolamento si applicherà al trattamento dei dati di comunicazioni elettroniche svolto in connessione con la fornitura e l’utilizzo delle comunicazioni elettroniche e alle informazioni relative alle apparecchiature terminali degli utenti finali (articolo 2). La Commissione, inoltre, ribadisce l’importanza della riservatezza dei dati delle comunicazioni elettroniche, stabilendo che eventuali interferenze debbano essere vietate (articolo 5), fatte salve specifiche eccezioni (articoli 6 e 7).

Tra gli aspetti centrali, emergono la protezione dell’apparecchiatura terminale dell’utente per garantire l’integrità delle informazioni scambiate (art.8), e il necessario consenso degli utenti finali (consent of end- users) al trattamento dei propri dati, che potrà essere espresso (e in ogni momento revocato) anche tramite opportune impostazioni tecniche del software utilizzato (articolo 9).

Per garantire un consenso informato, i produttori di software dovranno prevedere la possibilità di impedire a terzi la memorizzazione delle informazioni sul terminale di un utente finale o di elaborazione delle informazioni già memorizzate su tali apparecchiature (quindi un vero e proprio diritto di impedire i cosiddetti cookie), e soprattutto dovranno informare in maniera chiara l’utente finale sulle impostazioni privacy del programma (articolo 10).

La proposta prevede, inoltre, una tutela specifica degli utenti finali: l’articolo 12 garantisce il diritto all’anonimato delle chiamate e delle connessioni, mentre i fornitori di comunicazioni elettroniche avranno l’obbligo di informare l’utente finale di eventuali rischi derivanti dall’utilizzo di tali servizi (articolo 17). Per quanto concerne le cosiddette comunicazioni commerciali indesiderate (unsolicited communications), l’invio delle stesse per finalità di marketing diretto è ammesso solo previo consenso dell’utente (articolo 16).

Infine, riguardo alla tutela di tali diritti, è riconosciuto agli utenti un diritto al risarcimento per ogni danno derivante dall’utilizzo di servizi di comunicazioni elettroniche (articolo 22), sono previste sanzioni amministrative pecuniarie (come nel Regolamento 679/2016) fino a 20.000.000 di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (articolo 23), in caso di violazione del Regolamento.

Si attende la pubblicazione in Gazzetta Ufficiale dell’Unione Europea per conoscere la data in cui il Regolamento entrerà in vigore, mentre è già previsto (salve modifiche in fase di approvazione avanti Parlamento europeo e Consiglio) che diverrà applicabile (con contestuale abrogazione della direttiva 2002/58/CE) in data 25 maggio 2018, il medesimo giorno del  Regolamento 679/2016.

È chiara l’intenzione del Legislatore europeo di rendere applicabili i due Regolamenti in ogni Stato Membro dal medesimo giorno al fine di armonizzare efficacemente il quadro normativo in ambito di tutela dei dati personali e delle comunicazioni elettroniche. 

Abstract: la tutela dei dati personali e della riservatezza nelle comunicazioni elettroniche è uno dei punti chiave nella realizzazione di un mercato unico digitale. La Commissione Europea ha recentemente pubblicato una proposta di Regolamento che mira a fornire una disciplina uniforme in tema di comunicazioni elettroniche e tutela di dati personali, e che abroga la precedente disciplina dettata dalla Direttiva 2002/58/CE.

 

Il 10 gennaio 2017 la Commissione Europea ha pubblicato la proposta di un Regolamento relativo al “Rispetto delle vita privata e la protezione dei dati personali nell’ambito delle comunicazioni elettroniche” (Respect for private life and the protection of personal data in electronic communications), che andrebbe ad abrogare la Direttiva 2002/58/CE (conosciuta anche come “Direttiva ePrivacy”).

Come noto, l’obiettivo principale delle Direttiva ePrivacy è stato quello di garantire la tutela dei diritti e delle libertà fondamentali degli utenti di comunicazioni elettroniche, la riservatezza di tali  comunicazioni e la protezione dei dati personali degli utenti, promuovendo al contempo il libero scambio dei dati relativi a tali comunicazioni.

Con la citata direttiva, attuata in Italia mediante l’introduzione nel Codice in materia di dati personali (Decreto Legislativo n. 196/2003, o “Codice Privacy”) del Titolo X dedicato alle comunicazioni elettroniche (articoli 121 – 134), il Legislatore comunitario ha voluto normare la rapida diffusione dei servizi di comunicazione elettronica accessibili al pubblico attraverso Internet. Lo sviluppo della società dell’informazione e la possibilità per gli utenti di accedere a reti digitali mobili verificatesi nei primi anni 2000, infatti, aveva causato lo sconvolgimento delle tradizionali strutture del mercato, sollevando la necessità di integrare la precedente Direttiva 95/46/CE.

La proposta di un nuovo Regolamento prosegue nella direzione segnata dalla Direttiva ePrivacy, ma in un contesto che potremmo definire più “maturo”.

La Commissione Europea nel 2015 ha, infatti, adottato la cosiddetta Strategia di un mercato unico digitale (Single Digital Market Strategy), ovvero un piano per la creazione di un unico mercato digitale europeo che superi i 28 mercati nazionali, che elimini gli ostacoli alle operazioni transfrontaliere e favorisca di conseguenza la crescita economica.

Tale strategia, che pone alla sua base l’obiettivo di aumentare la fiducia e la sicurezza nei servizi digitali da parte dei cittadini europei, poggia su tre macro aree o pilastri: (i) favorire e migliorare l’accesso a servizi e beni digitali a consumatori e imprese (ad es. e- commerce), (ii) creare un contesto che permetta lo sviluppo tecnologico (ad es. favorendo la sicurezza online), ed infine (iii) favorire la crescita dell’economia digitale e la occupazione (ad es. attraverso la diffusione di competenze digitali e alla realizzazione di servizi di e- government).

A ciò si aggiunga che la Direttiva 2002/58/CE non è stata in grado di affrontare il rapido sviluppo tecnologico (si pensi alle nuove forme di comunicazione elettronica che in molti casi hanno soppiantato quelle tradizionali, oppure ancora all’Internet of Things), risultando così un mezzo insufficiente a garantire piena tutela dei dati personali e riservatezza nell’uso delle comunicazioni elettroniche.

Per realizzare il mercato unico digitale e per assicurare una piena tutela dei dati personali degli utenti, il Legislatore comunitario ha individuato tra gli elementi chiave la necessità di rafforzare la cornice normativa in ambito di tutela dei dati personali attraverso l’emanazione di regolamenti comunitari.

In tale contesto, è stato dapprima adottato il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento  Regolamento UE n. 2016/679)  entrato in vigore il 24 maggio 2016 e che diverrà definitivamente applicabile in ogni Stato membro il 25 maggio 2018, e che abrogherà definitivamente la Direttiva 95/46/CE.

Tale primo strumento, però, è stato fin da subito ritenuto da solo non sufficiente a realizzare la Strategia di un mercato unico digitale. La proposta della Commissione sottoposta a Parlamento europeo e al Consiglio, che mira a rendere maggiormente efficace il livello di tutela dei dati personali trattati nelle comunicazioni elettroniche in accordo con gli articoli 7 e 8 della  Carta dei diritti fondamentali dell’unione europea, dovrebbe agire su un duplice piano: da un lato garantire agli utenti europei maggiori livelli di protezione dei propri dati nell’utilizzo di servizi di comunicazione elettronica, mentre dall’altro introdurre parità di condizioni per gli attori del mercato.

È stato quindi ritenuto necessario introdurre un nuovo Regolamento che disciplinasse la materia in conformità al GDPR, e che si ponesse al contempo quale legge complementare e  speciale rispetto allo stesso.

Infatti, come è emerso dalla revisione della direttiva ePrivacy promossa dalla stessa Commissione (REFIT evaluation) e da una consultazione pubblica organizzata tra i mesi di aprile e luglio 2016, i punti chiavi su cui intervenire sono molteplici.

In primo luogo, i nuovi servizi offerti mediante Internet e utilizzati da un numero crescente di consumatori, come ad esempio le chiamate VoIP (Voice over IP), o la sempre più diffusa messaggistica istantanea, non rientrerebbero nel campo di applicazione della Direttiva ePrivacy né del Regolamento 679/2016. 

In secondo luogo, è stato considerato necessario allineare la disciplina dettata dalla direttiva ePrivacy con quanto previsto dal GDPR al fine di garantire una maggior protezione alla vita privata dei cittadini. I nuovi mezzi di comunicazione, infatti, devono garantire la riservatezza delle comunicazioni, che potrebbero contenere dati personali degli utenti o informazioni riservate di persone giuridiche.

In terzo luogo, è richiesto un miglioramento della normativa sui cookie per proteggere i consumatori da forme di marketing invasivo. Ed infine, dovranno essere sempre più condivise tra gli Stati Membri le best practice in tema di comunicazione elettroniche.

Il testo della proposta di Regolamento, che si compone di 29 articoli, recepisce i risultati emersi dalle predette consultazioni.

La nozione di servizio di comunicazioni elettroniche va ricercata nella proposta di Direttiva per l’istituzione di un Codice Europeo delle Comunicazioni Elettroniche del 12 ottobre 2016, ovvero “i servizi forniti di norma a pagamento su reti di comunicazioni elettroniche, che comprendono il "servizio di accesso a Internet" quale definito all’articolo 2, paragrafo 2, del regolamento (UE) 2015/2120 e/o il "servizio di comunicazione interpersonale" e/o i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali come i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina (M2M) e per la diffusione circolare radiotelevisiva, ma esclusi i servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti”.

Dal punto di vista dell’ambito d’applicazione, il Regolamento si applicherà al trattamento dei dati di comunicazioni elettroniche svolto in connessione con la fornitura e l’utilizzo delle comunicazioni elettroniche e alle informazioni relative alle apparecchiature terminali degli utenti finali (articolo 2). La Commissione, inoltre, ribadisce l’importanza della riservatezza dei dati delle comunicazioni elettroniche, stabilendo che eventuali interferenze debbano essere vietate (articolo 5), fatte salve specifiche eccezioni (articoli 6 e 7).

Tra gli aspetti centrali, emergono la protezione dell’apparecchiatura terminale dell’utente per garantire l’integrità delle informazioni scambiate (art.8), e il necessario consenso degli utenti finali (consent of end- users) al trattamento dei propri dati, che potrà essere espresso (e in ogni momento revocato) anche tramite opportune impostazioni tecniche del software utilizzato (articolo 9).

Per garantire un consenso informato, i produttori di software dovranno prevedere la possibilità di impedire a terzi la memorizzazione delle informazioni sul terminale di un utente finale o di elaborazione delle informazioni già memorizzate su tali apparecchiature (quindi un vero e proprio diritto di impedire i cosiddetti cookie), e soprattutto dovranno informare in maniera chiara l’utente finale sulle impostazioni privacy del programma (articolo 10).

La proposta prevede, inoltre, una tutela specifica degli utenti finali: l’articolo 12 garantisce il diritto all’anonimato delle chiamate e delle connessioni, mentre i fornitori di comunicazioni elettroniche avranno l’obbligo di informare l’utente finale di eventuali rischi derivanti dall’utilizzo di tali servizi (articolo 17). Per quanto concerne le cosiddette comunicazioni commerciali indesiderate (unsolicited communications), l’invio delle stesse per finalità di marketing diretto è ammesso solo previo consenso dell’utente (articolo 16).

Infine, riguardo alla tutela di tali diritti, è riconosciuto agli utenti un diritto al risarcimento per ogni danno derivante dall’utilizzo di servizi di comunicazioni elettroniche (articolo 22), sono previste sanzioni amministrative pecuniarie (come nel Regolamento 679/2016) fino a 20.000.000 di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (articolo 23), in caso di violazione del Regolamento.

Si attende la pubblicazione in Gazzetta Ufficiale dell’Unione Europea per conoscere la data in cui il Regolamento entrerà in vigore, mentre è già previsto (salve modifiche in fase di approvazione avanti Parlamento europeo e Consiglio) che diverrà applicabile (con contestuale abrogazione della direttiva 2002/58/CE) in data 25 maggio 2018, il medesimo giorno del  Regolamento 679/2016.

È chiara l’intenzione del Legislatore europeo di rendere applicabili i due Regolamenti in ogni Stato Membro dal medesimo giorno al fine di armonizzare efficacemente il quadro normativo in ambito di tutela dei dati personali e delle comunicazioni elettroniche.