Roma, 21 marzo 2018 – L’Istituto Italiano per la Privacy ha pubblicato uno studio a firma di Luca Bolognini, Camilla Bistolfi e Giovanni Crea, presentato oggi in un’anteprima a porte chiuse a Bruxelles, nel quale si analizzano gli aspetti più critici della Proposta di Regolamento ePrivacy, formulata dalla Commissione Europea il 10 gennaio 2017. Il nuovo Regolamento, che una volta approvato sostituirà la Direttiva 2002/58/CE (ePrivacy), si applicherà anche ai cosiddetti “Over The Top” (OTT), cioè operatori diversi da quelli che forniscono servizi di comunicazione elettronica. Si tratta dei fornitori di nuovi servizi digitali, dagli ormai ben noti motori di ricerca a tanti operatori di settori innovativi 4.0.

Sintesi dello studio

Il 10 gennaio 2017, la Commissione Europea ha pubblicato la Proposta di regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche (Regolamento ePrivacy, di seguito “ePR” o “Proposta”) che, una volta approvata, abrogherà e sostituirà l’attuale direttiva 2002/58/CE (la cosiddetta “Direttiva e-privacy”).

Uno dei principali cambiamenti introdotti dalla proposta è l’estensione del campo di applicazione della Direttiva e-privacy ai cosiddetti fornitori di servizi “Over-The-Top” (di seguito “OTT”). Considerata l’evoluzione dei servizi di comunicazione digitale, infatti, la Commissione vuole armonizzare la regolamentazione di questi servizi estendendo agli OTT la normativa inizialmente riservata ai servizi di comunicazione “tradizionali”.

La prima parte dello studio pubblicato dall’Istituto Italiano per la Privacy (IIP) prende in considerazione l’art. 2(4) della proposta di Codice europeo delle comunicazioni elettroniche (di seguito, “EECC”) che include una definizione di “servizi di comunicazione elettronica” identificandoli come “servizi forniti di norma a pagamento su reti di comunicazioni elettroniche, che comprendono il “servizio di accesso a Internet” quale definito all’articolo 2, paragrafo 2, del regolamento (UE) 2015/2120 e/o il “servizio di comunicazione interpersonale” e/o i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali come i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina (M2M) e per la diffusione circolare radiotelevisiva, ma esclusi i servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti”. Gli OTT, invece, offrono servizi di comunicazione basati sull’uso di Internet, ma senza proprietà delle infrastrutture di comunicazione, poiché il loro obiettivo è quello di fornire applicazioni e contenuti direttamente agli utenti finali utilizzando i cd. protocolli Internet e la connessione fornita dagli operatori tradizionali di comunicazione. Di conseguenza, questi ultimi forniscono sempre più i mezzi di trasmissione (la rete) e sempre meno i servizi di comunicazione elettronica, mentre gli OTT offrono il servizio finale direttamente all’utente e possono eventualmente archiviare i dati nel cloud per rendere più facile la fornitura il servizio anche quando la connessione alla rete cambia.

Secondo l’opinione degli autori dello studio, dunque, l’attuale formulazione della proposta non identifica e non risolve efficacemente le complessità derivanti dalla natura dei servizi OTT, che finiscono per essere soggetti a regole non coerenti con le disposizioni e gli obiettivi del GDPR e assimilati a servizi di comunicazione elettronica la cui definizione è ormai obsoleta alla luce delle innovazioni introdotte dai servizi basati su Internet.

Peraltro, la proposta sembra sovrapporsi al quadro giuridico introdotto dal GDPR, dando vita ad alcune differenze ingiustificate che generano “strati multipli” nella regolamentazione della tutela dei dati personali. Ad esempio, mentre l’art. 6 del GDPR fornisce varie basi di legittimità per il trattamento oltre al consenso dell’interessato, art. 6 della ePR autorizza la maggior parte dei trattamenti dei dati delle comunicazioni elettroniche solo qualora vi sia il consenso dell’utente finale, che deve peraltro essere richiesto con cadenza semestrale ai sensi dell’art. 9 (3) del ePR.

La seconda parte dello studio si propone di evidenziare la centralità dei servizi di comunicazione elettronica nell’economia e nella società digitale e nel più ampio processo di innovazione digitale in relazione ai dati ad essi associati (contenuti e metadati). La fornitura di servizi digitali è sempre più caratterizzata dal trattamento di dati di cui la comunicazione (elettronica) è solo un esempio. Ciò potrebbe sollevare, tra le altre questioni, la domanda sul possibile “interesse legittimo” del responsabile del trattamento come legittima base di trattamento. Sembra opportuno, a parere degli autori, tenere conto delle esigenze di sopravvivenza dei fornitori di servizi digitali senza innescare rischi per gli utenti interessati. In realtà, in un’economia in cui i servizi digitali sono basati sulla disponibilità di dati, comprese le informazioni personali, la stipula di un meccanismo di consenso preventivo per l’elaborazione di tali dati (opt-in) sembra essere sempre meno rilevante e suscettibile di introdurre un elemento di alterazione del normale funzionamento del mercato, che richiede invece una nuova visione del bilanciamento degli interessi che possa tenere conto delle esigenze di stabilità finanziaria per i fornitori di servizi digitali, elevandoli al grado di “interesse legittimo”.

Così, sebbene l’obiettivo della proposta di tutelare la riservatezza delle comunicazioni elettroniche resti auspicabile e necessario, appare problematico il fatto che la base giuridica per il trattamento dei dati delle comunicazioni elettroniche sia basata solo (salvo rare eccezioni di cui all’articolo 6 della ePR) sul consenso dell’utente a cui viene fornito il servizio. In questo senso, qualora l’estensione del regolamento ePrivacy agli OTT venisse mantenuta, sarebbe consigliabile considerare un ampliamento delle basi giuridiche per il trattamento dei dati delle comunicazioni elettroniche da parte di questi e altri fornitori, come già previsto dall’art. 6 (1) e (4) del GDPR. Ad esempio, la richiesta di servizio da parte di un utente dovrebbe portare a considerare il suo consenso al trattamento dei dati come implicito, se questo costituisce una componente inseparabile di tale servizio. Da questo punto di vista, le dinamiche dell’economia digitale (mercati multi-parte e retribuzione dei fornitori, funzionalità di elaborazione per le attività principali delle società) portano a una riflessione sul bilanciamento dei mercati e sulla protezione dei dati. In caso contrario, il rischio sarebbe quello di una riduzione dei servizi Internet o dell’introduzione di soluzioni a pagamento per gli utenti.

Il paper completo dell’Istituto è disponibile qui:

Paper IIP_ePrivacy_2018_versione_italiana