21.05.19
aggiornato al 21.10.20
Mario Steinberg
0 commenti
Regolamento E-privacy: cosa ti aspetta?

Regolamento E-privacy: cosa ti aspetta?

Anche se il regolamento sulla privacy e le comunicazioni elettroniche (regolamento ePrivacy) non dovrebbe essere adottato fino alla fine del 2020, sta già gettando la sua ombra. In questo articolo, voglio darvi una panoramica di ciò che è il regolamento E-Privacy, qual è la situazione legale attuale per l'uso di strumenti di tracciamento, e come potrebbe cambiare sotto l'EPVO. Alla fine, vi spiegherò brevemente perché penso che il nuovo regolamento sia importante. Ma non fatevi prendere dal panico: Così come il mondo, contrariamente a tutte le previsioni, cambierà con l'entrata in vigore della RGPD 25.05.2018 non si è conclusa, lo stesso non è da aspettarsi per la validità del regolamento e-privacy.

I. Il regolamento e-Privacy

1. Cos'è il regolamento e-Privacy?

Il regolamento E-Privacy (EPVO) è un progetto di regolamento attualmente in discussione a livello europeo da parte della Commissione europea. progetto di regolamento della Commissione europeache sostituisce la direttiva E-Privacy (Direttiva 2002/58/CEmodificato da Direttiva 2009/136/CELa direttiva E-Privacy), che è in vigore dal 2002, e per adattarla allo stato attuale della tecnologia (ad esempio, i cosiddetti servizi over-the-top, cioè i servizi di comunicazione basati su IP, non sono attualmente coperti dalla direttiva E-Privacy).

Essendo un regolamento europeo, il regolamento ePrivacy si applicherà direttamente e immediatamente in tutta l'Unione europea. A differenza della direttiva E-Privacy, non dipenderà dall'implementazione nel diritto nazionale da parte dei singoli stati membri. Per inciso, questa trasposizione della direttiva E-Privacy nel diritto nazionale non ha mai avuto luogo in Germania per quanto riguarda la parte della privacy rilevante per gli operatori di siti web.

2. Qual è l'obiettivo del regolamento e-privacy?

Il Regolamento sulla privacy elettronica mira a proteggere la riservatezza delle comunicazioni, nonché la riservatezza e l'integrità delle apparecchiature terminali degli utenti.

In parole povere, gli utenti dovrebbero essere protetti dall'essere spiati a loro insaputa quando visitano un sito web o utilizzano un servizio di posta elettronica o di messaggistica.

A differenza del RGPD, non solo le persone fisiche (individui) ma anche le persone giuridiche (società e associazioni) sono protette. Il regolamento e-Privacy chiarisce e completa il RGPD per quanto riguarda i dati delle comunicazioni elettroniche, che sono dati personali.

3. Cosa regola il regolamento e-Privacy?

Il regolamento E-Privacy regola non solo la comunicazione tramite la telefonia vocale (classica), i messaggi di testo (SMS) e la posta elettronica, ma anche la comunicazione tramite la telefonia VoIP, i servizi di messaggeria e i servizi di posta elettronica sul web. Si applica anche alla sempre più importante comunicazione da macchina a macchina (parola chiave "Internet delle cose").

L'EPVO presta particolare attenzione al modo in cui le informazioni vengono memorizzate o inviate, richieste o elaborate dai dispositivi terminali degli utenti (ad esempio, PC e smartphone). Questo perché i dati personali sensibili sono praticamente sempre memorizzati su questi dispositivi finali (ad esempio, e-mail e messaggi, immagini, dati di contatto e di localizzazione). Pertanto, i dispositivi degli utenti finali dovrebbero essere protetti contro gli strumenti di tracciamento utilizzati per osservare segretamente le loro attività a loro insaputa (ad esempio cookie, fingerprinting del browser e tecnologie simili per tracciare il comportamento degli utenti).

4. quando arriva il regolamento e-privacy?

Originariamente, era previsto che il regolamento e-privacy entrasse in vigore contemporaneamente al RGPD . La Commissione europea aveva già pubblicato la sua bozza del regolamento ePrivacy all'inizio di gennaio 2017. Tuttavia, poiché anche il Parlamento europeo e il Consiglio dell'Unione europea devono essere coinvolti nel processo legislativo, numerose disposizioni del regolamento e-privacy sono attualmente ancora in discussione politica. A causa della complessità del processo legislativo, non si prevede che il regolamento E-Privacy entri in vigore prima della fine del 2019. Inoltre, ci sarà probabilmente un periodo di transizione, simile a RGPD , fino a quando il regolamento ePrivacy sarà effettivamente applicato.

II. Situazione legale per l'utilizzo degli strumenti di tracciamento

1. Cosa sono gli strumenti di tracciamento?

Gli strumenti di tracciamento hanno lo scopo di rendere comprensibile il comportamento degli utenti di Internet: Quanto spesso un sito web viene visitato da un utente specifico o un servizio di messaggeria utilizzato (se il comportamento di un utente specifico viene "analizzato", non è più un puro strumento di analisi e statistica, ma uno strumento di monitoraggio)? Qual è il contenuto dei messaggi inviati? Quali articoli vengono cercati e ordinati in un negozio web? A quali account di social media sono collegate le persone? Un articolo collegato viene cliccato e comprato (marketing di affiliazione)?

I dati non vengono raccolti solo quando si visita il sito web o si utilizza il servizio, ma spesso anche molto tempo dopo. Questo perché i cookie, i pixel di conteggio, ecc. impostati sul dispositivo finale di solito non vengono cancellati quando il servizio viene terminato. Spesso rimangono sul dispositivo dell'utente per diversi mesi e continuano a inviare dati senza che l'utente se ne accorga.

In molti casi, i dati raccolti in questo modo non sono solo raccolti ed elaborati dal fornitore di servizi stesso, ma spesso sono anche trasmessi a terzi.

Di conseguenza, un gran numero di profili utente vengono creati senza che l'utente ne sia consapevole.

2. Dove è attualmente regolamentato l'uso degli strumenti di tracciamento?

Nota preliminare: questa parte è necessariamente formulata un po' legalmente. Se non sei interessati a queste sottigliezze, potete continuare a leggere al 3. senza problemi.

In Germania, i requisiti per i servizi elettronici d'informazione e comunicazione sono stabiliti nella Legge sui telemedia (TMG) regolato. Il Telemedia Act è entrato in vigore nel 2007 ed è stato modificato l'ultima volta nel settembre 2017. Tuttavia, la direttiva E-Privacy, modificata nel 2009, che nel tuo articolo 5 (3) regola la conservazione e l'accesso alle informazioni memorizzate nell'apparecchiatura terminale dell'utente, non è stata formalmente recepita nel diritto tedesco. L'antefatto è che il governo federale non l'ha considerato necessario a causa dei regolamenti già contenuti nella sezione 15 (3) TMG. Anche le disposizioni sulla privacy della legge sui telemedia (sezione 4; sezioni 11 e seguenti TMG), che regolano gli obblighi dei fornitori di servizi, non sono state adattate a RGPD .

La conseguenza è che la regola di conflitto dell'art. 95 RGPD, che regola la relazione tra RGPD e la direttiva e-Privacy, non è applicabile. Poiché un'applicazione diretta della direttiva ePrivacy è anche fuori questione (a differenza dei regolamenti europei, le direttive europee non si applicano direttamente e immediatamente), il primato dell'applicazione del RGPD.

Ciò significa che dalla validità di RGPD, ossia dal 25 maggio 2018, la base giuridica per il trattamento dei dati personali da parte dei fornitori di servizi è esclusivamente l'articolo 6 (1) RGPD ; le corrispondenti disposizioni della legge sui telemedia non sono più applicabili da allora.

Questo dovrebbe cambiare solo con l'entrata in vigore del regolamento ePrivacy: Allo stato attuale, i regolamenti dell'EPVO avranno la precedenza sui regolamenti corrispondenti di RGPD , a condizione che perseguano lo stesso obiettivo.

3. Qual è la situazione legale attuale per l'utilizzo degli strumenti di tracciamento?

L'attuale base giuridica per l'uso di strumenti di tracciamento è l'art. 6 (1) RGPD. Questo significa che gli strumenti di tracciamento possono generalmente essere utilizzati solo se

  • il trattamento è necessario per proteggere interessi legittimi del responsabile del trattamento o di un terzo, tranne quando su tali interessi prevalgono gli interessi o i diritti e le libertà fondamentali della persona interessata che richiedono la privacy personali, in particolare se la persona interessata è un minore (articolo 6, paragrafo 1, primo comma, lettera f) RGPD)

o

  • l'interessato dà il tuo consenso al trattamento dei dati personali che lo riguardano per una o più finalità specifiche (articolo 6, paragrafo 1, primo comma, lettera a) RGPD).

>> Dettagli degli interessi legittimi del fornitore di servizi

Se un fornitore di servizi ha interessi legittimi prevalenti per l'utilizzo di strumenti di tracciamento non è necessario il consenso dell'utente.

In un sito web, ad esempio, una casella di controllo sarebbe superflua. L'operatore del sito web dovrebbe solo informare sugli strumenti di tracciamento utilizzati nell'informativa sulla privacy.

Gli interessi legittimi del fornitore di servizi possono essere effettivi, economici e non materiali.

Spesso, naturalmente, sarà interessi economici sono coinvolti. Questi possono, per esempio, consistere nel salvare il carrello della spesa del cliente in un negozio online o nell'integrazione di caratteri web, servizi di mappe e social mediaplugin in un sito web. Ma anche l'analisi web e gli strumenti di statistica sui visitatori della pagina o l'uso di tracker pubblicitari sono considerati interessi legittimi.

Se il trattamento dei dati è necessario per salvaguardare questi interessi legittimi, questi devono essere soppesati con gli interessi o i diritti e le libertà fondamentali dell'utente. Questi includono la protezione contro gli svantaggi economici, il diritto al rispetto della vita privata e delle comunicazioni in conformità con l'art. 7 della Convenzione di Ginevra. Carta dei diritti fondamentali dell'Unione Europea (CFR)il diritto fondamentale alla protezione dei dati ai sensi dell'articolo 8 della CFR e il diritto all'autodeterminazione informativa.

Nel soppesare i rispettivi interessi, gli effetti del trattamento dei dati previsto e la sua suscettibilità all'abuso sono di primaria importanza. Inoltre, è necessario tenere conto, tra le altre cose, dei seguenti aspetti, quali sono le ragionevoli aspettative dell'utente nei confronti del servizio e se può ragionevolmente prevedere che il trattamento dei dati previsto possa avvenire.

A volte è difficile decidere se prevalgono gli interessi legittimi del fornitore del servizio (o di una terza parte) o gli interessi dell'utente nei singoli casi.

Va notato che il fornitore di servizi deve dimostrare che i tuoi interessi legittimi prevalgono. Se questa prova non può essere fornita in caso di controversia, la raccolta dei dati era illegale e il fornitore di servizi deve aspettarsi una multa.

Il bilanciamento degli interessi dovrebbe quindi essere comprensibile per i supervisori comprensibile e ben documentato essere ben documentato.

>> Dettagli del consenso dell'utente

Se il fornitore di servizi non può basare l'integrazione di uno strumento di tracciamento su un interesse legittimo, il consenso dell'utente è obbligatorio.

Le condizioni per un consenso effettivo sono stabilite nell'art. 7 RGPD . Questi sono:

  • Forma comprensibile;
  • un linguaggio chiaro e semplice;
  • Distinzione da altri fatti;
  • riferimento al diritto di recesso in qualsiasi momento;
  • rispetto al divieto di abbinamento (cioè che un servizio non deve essere subordinato alla concessione del consenso al trattamento di dati personali che non sono collegati al servizio).

Il consenso può anche essere dato implicitamente, cioè tramite un'azione conclusiva. Tuttavia, il consenso esplicito è sempre richiesto quando vengono trattate categorie speciali di dati personali (cfr. art. 9(2)(a) RGPD).

Va anche notato che il consenso può essere ritirato in qualsiasi momento. Pertanto, il trattamento dei dati deve cessare dal momento in cui l'interessato ha ritirato il tuo consenso.

Attualmente, il consenso per l'impostazione di cookie e tecnologie simili sui siti web è solitamente ottenuto per mezzo di una cosiddetta "casella di controllo", dove l'utente deve spuntare attivamente una casella (opt-in).

A condizione che non solo tecnicamente necessario cookie sono impostati, un riferimento lapidario in un cosiddetto "Cookie banner", che è confermato poi solo con il clic su un pulsante "OK", è, non sufficiente.

In ogni caso, gli utenti devono essere informati sugli strumenti di tracciamento utilizzati nell'informativa sulla privacy.

4. Qual è la probabile situazione legale per l'utilizzo degli strumenti di tracciamento?

La bozza di regolamento e-privacy pubblicata dalla Commissione Europea all'inizio di gennaio 2017 progetto di regolamento e-privacy è attualmente ancora oggetto di discussione politica. Ci sono pareri in merito, tra gli altri, da parte di Comitato europeo per la protezione dei dati e il Garante europeo della protezione dei datiemendamenti del Parlamento Europeo e documenti di discussione del Consiglio dell'Unione Europea.

Non è quindi chiaro quale sarà la formulazione esatta del regolamento e-privacy.

Tuttavia, alla luce dei continui "scandali dei dati" degli ultimi tempi, i protezionisti dei dati in particolare stanno facendo sempre più pressione affinché l'EPVO non sia inferiore all'attuale livello di protezione fornito dalla direttiva e-Privacy e da RGPD .

Per esempio, il Comitato europeo per la privacy in un documento pubblicato nel maggio 2018 il Comitato europeo per la privacy ha sostenuto che la riservatezza delle comunicazioni elettroniche richiede una protezione speciale, che deve andare oltre RGPD . Pertanto, gli interessi legittimi del fornitore di servizi non dovrebbero più essere una base giuridica per il trattamento del contenuto e dei metadati delle comunicazioni elettroniche in futuro.

Se questa opinione dovesse prevalere, gli strumenti di tracciamento potrebbero essere utilizzati solo con il consenso preventivo dell'utente (ad esempio tramite una casella di controllo).

III. perché il regolamento e-privacy è una buona cosa

Contrariamente a tutte le profezie di sventura, l'EPVO è un regolamento sensato e atteso da tempo. Dopo tutto, il monitoraggio completo del comportamento dei nostri utenti, che ora è tecnicamente possibile, non dovrebbe essere semplicemente accettato.

È quindi una buona cosa se i gestori di siti web e i fornitori di servizi devono fornire informazioni chiare e trasparenti in anticipo su quali dati vengono raccolti quando si visita un sito web o si utilizza un servizio e a chi vengono trasmessi e per quali scopi. Solo in questo modo i visitatori e gli utenti del sito possono decidere se vale davvero la pena divulgare i loro dati visitando il sito o utilizzando il servizio.

Tuttavia, come operatore di un sito web, non devi nascondere la testa sotto la sabbia. Come misura immediata, dovreste controllare se potete basare tutti i servizi integrati nel vostro sito web su un interesse legittimo o sul consenso dell'utente. In caso contrario, è necessario ottenere i consensi degli utenti mancanti. Inoltre, dovresti soprattutto spiegare in modo trasparente le tue attività di tracciamento nella politica sulla privacy.

Non appena si conosce il testo finale del regolamento e-privacy, si dovrebbe verificare se e, in caso affermativo, da quando si devono ottenere ulteriori consensi. Per assicurarsi di poter implementare questo e tutto il resto richiesto a proprio piacimento, vale la pena di stare al passo con il regolamento sull'e-privacy.

Immagine contribuita: Scott Webb [Pexels]

Ti è piaciuto l'articolo?

Con la tua valutazione ci aiuti a migliorare ancora di più i nostri contenuti. Grazie!

Mario Steinberg

Mario Steinberg è un avvocato e specialista in diritto amministrativo presso lo studio legale commerciale LIEB.Rechtsanwälte. Il tuo lavoro si concentra sul diritto della privacy, sulla sicurezza informatica e sul diritto informatico.

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *.