Normativa sulla e-privacy: Cosa vi sta venendo in mente?

8 Min.
Regolamento sulla e-privacy: questo è il tuo futuro
Ultimo aggiornamento su

Sebbene il "Regolamento sulla privacy e le comunicazioni elettroniche" (regolamento e-Privacy) non dovrebbe essere adottato fino a più tardi nel 2020, sta già gettando la sua ombra. In questo articolo vorrei fornirvi una panoramica su ciò che riguarda il regolamento sulla e-Privacy, sull'attuale situazione giuridica per l'utilizzo degli strumenti di tracciamento e su come potrebbe cambiare sotto l'EPVO. Alla fine spiegherò brevemente perché il nuovo regolamento è importante a mio avviso. Ma non fatevi prendere dal panico: Così come il mondo, contrariamente a tutte le previsioni, non è soddisfatto della validità di RGPD il 25.05.2018, ciò non è previsto anche per la validità del regolamento sulla e-Privacy.

I. Il regolamento sulla e-privacy

1. Cos'è la normativa sulla e-privacy?

Il regolamento sulla privacy elettronica (EPVO) è un regolamento attualmente in discussione a livello europeo. Progetto di regolamento della Commissione Europeache si basa sulla direttiva e-Privacy (Direttiva 2002/58/CEmodificato da ultimo dal Direttiva 2009/136/CEDirettiva e-Privacy) e adattarli allo stato dell'arte attuale (ad es. i cosiddetti servizi "over-the-top", ovvero i servizi di comunicazione basati su IP, non sono attualmente coperti dalla Direttiva e-Privacy).

In quanto regolamento europeo, l'EPVO sarà direttamente e immediatamente applicabile in tutta l'Unione Europea. A differenza della direttiva e-privacy, essa non dipenderà dal recepimento nel diritto nazionale da parte dei singoli Stati membri. Questo recepimento della direttiva sulla e-privacy nel diritto nazionale non ha mai avuto luogo in Germania per quanto riguarda la parte relativa alla protezione dei dati rilevanti per i gestori di siti web.

2. Qual è lo scopo del regolamento sulla e-Privacy?

Il Regolamento e-Privacy mira a proteggere la riservatezza delle comunicazioni e la riservatezza e l'integrità delle apparecchiature terminali degli utenti.

In parole povere, gli utenti dovrebbero essere protetti dall'essere spiati a loro insaputa quando visitano un sito web o utilizzano un servizio di posta elettronica o di messaggistica.

A differenza delle RGPD, non solo le persone fisiche (persone) sono protette, ma anche le persone giuridiche (aziende e associazioni). Il regolamento e-Privacy specifica e integra la protezione dei dati personali in relazione RGPD ai dati di comunicazione elettronica, che sono dati personali.

3. Cosa regola il regolamento sulla e-Privacy?

L'ordinanza sulla e-privacy disciplina non solo la comunicazione tramite la telefonia vocale (classica), i messaggi di testo (SMS) e la posta elettronica, ma anche la comunicazione tramite la telefonia VoIP, i servizi di messaggistica e i servizi di posta elettronica basati sul web. Ciò vale anche per la sempre più importante comunicazione da macchina a macchina (parola chiave "Internet delle cose").

EPVO presta particolare attenzione al modo in cui le informazioni vengono memorizzate o inviate, richieste o elaborate dagli apparecchi terminali degli utenti (ad es. PC e smartphone). Questo perché su questi apparecchi terminali vengono praticamente sempre memorizzati dati personali sensibili (ad es. e-mail e messaggi, immagini, dati di contatto e di localizzazione). Gli utenti finali dei dispositivi dovrebbero quindi essere protetti dall'uso di strumenti di tracciamento per osservare segretamente le loro attività a loro insaputa (ad es. cookies, rilevamento delle impronte digitali del browser e tecnologie simili per il tracciamento del comportamento dell'utente).

4. quando entrerà in vigore il regolamento sulla e-privacy?

In origine era previsto che il regolamento sulla e-Privacy entrasse in vigore contemporaneamente al RGPD regolamento. Pertanto, la Commissione europea aveva già pubblicato il suo progetto EPVO all'inizio di gennaio 2017. Tuttavia, poiché anche il Parlamento europeo e il Consiglio dell'Unione europea devono essere coinvolti nel processo legislativo, molte delle disposizioni del regolamento sulla e-Privacy sono ancora oggetto di discussione politica. A causa della complessità della procedura legislativa, non si prevede che il regolamento sulla e-Privacy entri in vigore prima della fine del 2019. Inoltre, ci sarà probabilmente un periodo di transizione simile a quello RGPD ancora in vigore fino all'effettiva entrata in vigore del regolamento sulla e-privacy.

Caselle di posta elettronica RAIDBOXES

II. situazione giuridica per l'utilizzo di strumenti di tracciamento

1. Cosa sono gli strumenti di tracciamento?

Gli strumenti di tracciamento sono utilizzati per tracciare il comportamento degli utenti di Internet: Con quale frequenza viene utilizzato un sito web visitato da un determinato utente o un servizio di messaggistica (se il comportamento di un determinato utente viene "analizzato", non si tratta più di un puro strumento di analisi e statistica, ma di uno strumento di tracciamento)? Che contenuto hanno i messaggi inviati? Quali articoli vengono ricercati e ordinati in un negozio online? A quali account di social media è connesso? Un articolo collegato viene cliccato e acquistato (marketing affiliato)?

I dati non vengono raccolti solo quando si visita il sito web o si utilizza il servizio, ma spesso anche molto tempo dopo. Questo perché i cookie, i pixel di conteggio ecc. impostati sul terminale non vengono di solito cancellati al termine del servizio. Spesso rimangono sul dispositivo finale dell'utente per diversi mesi e continuano ad inviare dati senza che l'utente ne sia consapevole.

In molti casi i dati raccolti in questo modo non vengono solo raccolti ed elaborati dal fornitore di servizi stesso, ma spesso anche trasmessi a terzi.

La conseguenza è che viene creato un gran numero di profili utente senza che l'utente ne sia consapevole.

2. Dove è attualmente regolamentato l'uso di strumenti di tracciamento?

Osservazione preliminare: questa parte è necessariamente formulata in qualche modo in modo legale. Se non siete interessati a queste sottigliezze, potete continuare a leggere senza problemi al 3.

In Germania, i requisiti per i servizi di informazione e comunicazione elettronica in Legge tedesca sui telemedia (TMG) è regolamentato. La legge sui media telematici è entrata in vigore nel 2007 ed è stata modificata da ultimo nel settembre 2017. Tuttavia, la direttiva sulla privacy elettronica, modificata nel 2009 e il cui art. 5 cpv. 3 disciplina l'archiviazione e l'accesso alle informazioni memorizzate nell'apparecchio terminale dell'utente, non è stata formalmente recepita nel diritto tedesco. Il motivo è che il governo federale non lo ha ritenuto necessario a causa delle disposizioni già contenute nella sezione 15 (3) della legge tedesca sui media telematici. Né sono state RGPD adeguate a ciò le disposizioni sulla protezione dei dati della legge tedesca sui media telematici (§ 4; §§ 11 e segg. TMG), che regolano gli obblighi dei fornitori di servizi.

Di conseguenza, la norma di conflitto dell'articolo 95RGPD, che disciplina il rapporto tra la direttiva RGPD ePrivacy e la direttiva ePrivacy, non è applicabile. Poiché anche l'applicazione diretta della direttiva ePrivacy è fuori questione (le direttive europee, a differenza dei regolamenti europei, non si applicano direttamente e immediatamente), la il primato del RGPD.

Ciò significa che dall'entrata in vigore della legge sui RGPDmedia telematici, ovvero dal 25 maggio 2018, la base giuridica per il trattamento dei dati personali da parte dei fornitori di servizi è esclusivamente l'articolo 6 (1RGPD ); le corrispondenti disposizioni della legge sui media telematici non sono più applicabili da allora.

È probabile che la situazione cambierà solo con l'entrata in vigore del regolamento sulla e-Privacy: Allo stato attuale, le disposizioni dell'EPVO RGPD prevarranno sulle corrispondenti disposizioni del regolamento sulla e-privacy se perseguono lo stesso obiettivo.

3. Qual è la situazione giuridica attuale per quanto riguarda l'uso degli strumenti di tracciamento?

L'attuale base giuridica per l'utilizzo degli strumenti di tracciamento è l'articolo 6, paragrafo 1RGPD. Ciò significa che gli strumenti di tracciamento possono essere normalmente utilizzati solo se

  • il trattamento ai fini della conservazione interessi legittimi del responsabile del trattamento o di un terzo, a meno che non vengano superati gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore [articolo 6, paragrafo 1, primo comma, lettera fRGPD)].

oppure

  • l'interessato deve dare il suo Consenso al trattamento dei dati personali che lo riguardano per una o più finalità specifiche (articolo 6, paragrafo 1, primo comma, lettera aRGPD))

>> Dettagli sugli interessi legittimi del fornitore di servizi

Se un fornitore di servizi interessi legittimi predominanti per l'utilizzo di strumenti di tracciamento non è necessario il consenso dell'utente.

Su un sito web, ad esempio, una casella di controllo sarebbe quindi superflua. Il gestore del sito web dovrebbe solo informare sugli strumenti di tracciamento utilizzati nella dichiarazione di protezione dei dati.

Gli interessi legittimi del fornitore di servizi possono essere reali, economici e non materiali.

Spesso, naturalmente, sarà interessi commerciali commercio. Queste possono consistere, ad esempio, nell'immagazzinare il carrello della spesa del cliente in un negozio online o nell'integrare i font web, i servizi di carte e i social mediaPlugins su un sito web. Ma anche l'analisi web e gli strumenti statistici sui visitatori del sito o l'uso di tracker pubblicitari sono da considerarsi interessi legittimi.

Se il rispettivo trattamento dei dati è necessario per la salvaguardia di questi legittimi interessi, questi devono essere ponderati con gli interessi o i diritti e le libertà fondamentali dell'utente. Tra questi vi sono la protezione contro gli svantaggi economici, il diritto al rispetto della vita privata e la comunicazione ai sensi dell'art. 7 del Trattato CE. Carta dei diritti fondamentali dell'Unione europea (CRCh)il diritto fondamentale alla protezione dei dati ai sensi dell'art. 8 GRCh e il diritto all'autodeterminazione informativa.

Nel ponderare i rispettivi interessi, sono particolarmente importanti gli effetti dell'elaborazione dei dati prevista e la sua suscettibilità ad un uso improprio. Altri fattori che devono essere presi in considerazione sono quali sono le ragionevoli aspettative dell'utente sul servizio e se può ragionevolmente prevedere che il trattamento dei dati previsto possa avere luogo.

Se prevalgano gli interessi legittimi del fornitore di servizi (o di un terzo) o gli interessi dell'utente è talvolta difficile decidere in singoli casi.

Va notato che il fornitore di servizi deve dimostrare che i suoi legittimi interessi superano i costi. Se questa prova non ha successo in una controversia, la raccolta dei dati è illegale e il fornitore del servizio deve aspettarsi una multa.

La ponderazione degli interessi dovrebbe quindi essere di competenza delle autorità di vigilanza tracciabile essere e ben documentato sarà.

RAIDBOXES  FREE-DEV programma

>> Dettagli del consenso dell'utente

Se il fornitore di servizi non può basare l'integrazione di uno strumento di tracciamento su un interesse legittimo, il consenso dell'utente è obbligatorio.

Le condizioni per l'effettivo consenso sono RGPD regolate dall'art. 7. Questi sono:

  • Forma comprensibile;
  • un linguaggio chiaro e semplice;
  • Distinzione da altre situazioni;
  • la comunicazione preventiva del diritto di recesso in qualsiasi momento;
  • il rispetto del divieto di abbinamento (ovvero un servizio non deve essere subordinato alla concessione del consenso per il trattamento di dati personali non collegati al servizio).

Il consenso può anche essere dato per implicazione, cioè per azione conclusiva. Tuttavia, il consenso esplicito è sempre richiesto quando vengono trattate particolari categorie di dati personali (cfr. articolo 9, paragrafo 2, lettera aRGPD)).

Si noti inoltre che il consenso può essere revocato in qualsiasi momento. Pertanto, il trattamento dei dati deve cessare dal momento in cui l'interessato ha ritirato il proprio consenso.

Attualmente, il consenso per l'impostazione dei cookie e di tecnologie simili sui siti web viene solitamente ottenuto tramite una cosiddetta "checkbox", in cui l'utente deve selezionare attivamente una casella (opt-in).

Se non vengono impostati solo i cookie tecnicamente necessari, in un cosiddetto "banner dei cookie" è presente un breve suggerimento, che viene poi confermato solo cliccando su un pulsante "OK", non abbastanza.

In ogni caso, gli utenti devono essere informati nell'informativa sulla privacy sugli strumenti di tracciamento utilizzati.

4. Qual è la probabile situazione legale per l'utilizzo degli strumenti di tracciamento?

La Commissione Europea ha pubblicato il Progetto di regolamento sulla e-Privacy è attualmente ancora oggetto di discussione politica. Tra le altre cose, ci sono dichiarazioni su di esso da parte del Comitato europeo per la protezione dei dati e di Garante europeo della protezione dei datiGli emendamenti del Parlamento europeo e i documenti di discussione del Consiglio dell'Unione Europea.

Non è quindi chiaro quale sarà la formulazione esatta del regolamento sulla e-Privacy.

Alla luce dei continui "scandali sui dati" degli ultimi tempi, tuttavia, i protettori dei dati, in particolare i protettori dei dati, si stanno adoperando sempre più per garantire che l'EPVO non sia al di sotto dell'attuale livello di protezione previsto dalla direttiva ePrivacy e dalla direttiva RGPD ePrivacy.

Il Comitato europeo per la protezione dei dati ha in un articolo del maggio 2018 ha espresso il parere che la riservatezza delle comunicazioni elettroniche richiede una protezione speciale, che deve andare oltre RGPD Pertanto, gli interessi legittimi del fornitore di servizi non dovrebbero più costituire la base giuridica per l'elaborazione dei contenuti e dei metadati delle comunicazioni elettroniche in futuro.

Se questa visione dovesse prevalere, gli strumenti di tracciamento dovrebbero essere utilizzati solo dopo che l'utente ha dato il suo previo consenso (ad es. tramite una casella di controllo).

III Perché il regolamento sulla e-Privacy è una buona cosa

Contrariamente a tutte le profezie di sventura, l'EPVO è un regolamento sensato e da tempo atteso. Dopo tutto, il monitoraggio completo del nostro comportamento degli utenti, che è ora tecnicamente possibile, non dovrebbe essere accettato in questo modo.

È quindi opportuno che i gestori dei siti web e i fornitori di servizi forniscano in anticipo informazioni chiare e trasparenti su quali dati vengono raccolti quando un sito web viene visitato o un servizio viene utilizzato e a chi viene trasmesso e per quali scopi. Solo in questo modo i visitatori e gli utenti possono decidere se vale davvero la pena di visitare il sito web o di utilizzare il servizio divulgando i loro dati.

Tuttavia, come operatore del sito web non è necessario nascondere la testa sotto la sabbia. Come misura immediata, è meglio verificare se è possibile basare tutti i servizi inclusi nel proprio sito web su un interesse legittimo o sul consenso degli utenti. In caso contrario, è necessario ottenere il consenso mancante degli utenti. Inoltre, dovreste soprattutto spiegare in modo trasparente le vostre attività di tracciamento nell'informativa sulla privacy.

Non appena si conoscerà il testo definitivo del regolamento sulla e-Privacy, si dovrebbe soprattutto verificare se e, in caso affermativo, a partire da quando si dovrà ottenere un ulteriore consenso. Per poter attuare questo e tutto ciò che è necessario in tutta tranquillità, vale la pena di tenere d'occhio la normativa sulla e-privacy.

Immagine: Scott Webb [Pexels]

Mario Steinberg è avvocato e specialista in diritto amministrativo presso LIEB.Rechtsanwälte. Una delle sue principali aree di competenza è la consulenza in materia di diritto della protezione dei dati e di sicurezza informatica. È anche co-fondatore della rete di consulenti "modellare la vostra organizzazione"che fornisce consulenza alle aziende nei settori dell'IT aziendale, della conformità e della progettazione legale.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con * marcato.