Regolamento E-privacy: cosa ti aspetta?

Mario Steinberg Ultimo aggiornamento 21.10.2020
8 Min.
Regolamento E-privacy: cosa ti aspetta?
Ultimo aggiornamento 21.10.2020

Anche se il regolamento sulla privacy e le comunicazioni elettroniche (regolamento ePrivacy) non dovrebbe essere adottato fino alla fine del 2020, sta già gettando la sua ombra. In questo articolo, voglio darvi una panoramica di ciò che è il regolamento E-Privacy, qual è la situazione legale attuale per l'uso di strumenti di tracciamento, e come potrebbe cambiare sotto l'EPVO. Alla fine, vi spiegherò brevemente perché penso che il nuovo regolamento sia importante. Ma non fatevi prendere dal panico: Così come il mondo, contrariamente a tutte le previsioni, cambierà con l'entrata in vigore della RGPD 25.05.2018 non si è conclusa, lo stesso non è da aspettarsi per la validità del regolamento e-privacy.

I. Il regolamento e-Privacy

1. Cos'è il regolamento e-Privacy?

Il regolamento E-Privacy (EPVO) è un progetto di regolamento attualmente in discussione a livello europeo da parte della Commissione europea. progetto di regolamento della Commissione europeache sostituisce la direttiva E-Privacy (Direttiva 2002/58/CEmodificato da Direttiva 2009/136/CELa direttiva E-Privacy), che è in vigore dal 2002, e per adattarla allo stato attuale della tecnologia (ad esempio, i cosiddetti servizi over-the-top, cioè i servizi di comunicazione basati su IP, non sono attualmente coperti dalla direttiva E-Privacy).

Essendo un regolamento europeo, il regolamento ePrivacy si applicherà direttamente e immediatamente in tutta l'Unione europea. A differenza della direttiva E-Privacy, non dipenderà dall'implementazione nel diritto nazionale da parte dei singoli stati membri. Per inciso, questa trasposizione della direttiva E-Privacy nel diritto nazionale non ha mai avuto luogo in Germania per quanto riguarda la parte della protezione dei dati rilevante per gli operatori di siti web.

2. Qual è l'obiettivo del regolamento e-privacy?

Il regolamento E-Privacy mira a proteggere la riservatezza delle comunicazioni così come la riservatezza e l'integrità delle apparecchiature terminali degli utenti.

In termini più semplici, gli utenti dovrebbero essere protetti dall'essere spiati a loro insaputa quando visitano un sito web o utilizzano un servizio di posta elettronica o di messaggeria.

A differenza del RGPD, non solo le persone fisiche (individui) ma anche le persone giuridiche (società e associazioni) sono protette. Il regolamento e-Privacy chiarisce e completa il RGPD per quanto riguarda i dati delle comunicazioni elettroniche, che sono dati personali.

3. Cosa regola il regolamento e-Privacy?

Il regolamento E-Privacy regola non solo la comunicazione tramite la telefonia vocale (classica), i messaggi di testo (SMS) e la posta elettronica, ma anche la comunicazione tramite la telefonia VoIP, i servizi di messaggeria e i servizi di posta elettronica sul web. Si applica anche alla sempre più importante comunicazione da macchina a macchina (parola chiave "Internet delle cose").

L'EPVO presta particolare attenzione al modo in cui le informazioni vengono memorizzate o inviate, richieste o elaborate dai dispositivi terminali degli utenti (ad esempio, PC e smartphone). Questo perché i dati personali sensibili sono praticamente sempre memorizzati su questi dispositivi finali (ad esempio, e-mail e messaggi, immagini, dati di contatto e di localizzazione). Pertanto, i dispositivi degli utenti finali dovrebbero essere protetti contro gli strumenti di tracciamento utilizzati per osservare segretamente le loro attività a loro insaputa (ad esempio cookie, fingerprinting del browser e tecnologie simili per tracciare il comportamento degli utenti).

4. quando arriva il regolamento e-privacy?

Originariamente, era previsto che il regolamento e-privacy entrasse in vigore contemporaneamente al RGPD . La Commissione europea aveva già pubblicato la sua bozza del regolamento ePrivacy all'inizio di gennaio 2017. Tuttavia, poiché anche il Parlamento europeo e il Consiglio dell'Unione europea devono essere coinvolti nel processo legislativo, numerose disposizioni del regolamento e-privacy sono attualmente ancora in discussione politica. A causa della complessità del processo legislativo, non si prevede che il regolamento E-Privacy entri in vigore prima della fine del 2019. Inoltre, ci sarà probabilmente un periodo di transizione, simile a RGPD , fino a quando il regolamento ePrivacy sarà effettivamente applicato.

II. Situazione legale per l'uso di strumenti di tracciamento

1. Cosa sono gli strumenti di tracciamento?

Gli strumenti di tracciamento hanno lo scopo di rendere comprensibile il comportamento degli utenti di Internet: Quanto spesso un sito web viene visitato da un utente specifico o un servizio di messaggeria utilizzato (se il comportamento di un utente specifico viene "analizzato", non è più un puro strumento di analisi e statistica, ma uno strumento di monitoraggio)? Qual è il contenuto dei messaggi inviati? Quali articoli vengono cercati e ordinati in un negozio web? A quali account di social media sono collegate le persone? Un articolo collegato viene cliccato e comprato (marketing di affiliazione)?

I dati non vengono raccolti solo quando si visita il sito web o si utilizza il servizio, ma spesso anche molto tempo dopo. Questo perché i cookie, i pixel di conteggio, ecc. impostati sul dispositivo finale di solito non vengono cancellati quando il servizio viene terminato. Spesso rimangono sul dispositivo dell'utente per diversi mesi e continuano a inviare dati senza che l'utente ne sia consapevole.

In molti casi, i dati raccolti in questo modo non sono solo raccolti ed elaborati dal fornitore di servizi stesso, ma spesso sono anche trasmessi a terzi.

Di conseguenza, un gran numero di profili utente vengono creati senza che l'utente ne sia consapevole.

2. Dove è attualmente regolato l'uso di strumenti di tracciamento?

Nota preliminare: questa parte è necessariamente formulata un po' legalmente. Se non siete interessati a queste sottigliezze, potete continuare a leggere al 3. senza problemi.

In Germania, i requisiti per i servizi elettronici d'informazione e comunicazione sono stabiliti nella Legge sui telemedia (TMG) regolato. Il Telemedia Act è entrato in vigore nel 2007 ed è stato modificato l'ultima volta nel settembre 2017. Tuttavia, la direttiva E-Privacy, modificata nel 2009, che nel suo articolo 5 (3) regola la conservazione e l'accesso alle informazioni memorizzate nell'apparecchiatura terminale dell'utente, non è stata formalmente recepita nel diritto tedesco. L'antefatto è che il governo federale non l'ha considerato necessario a causa dei regolamenti già contenuti nella sezione 15 (3) TMG. Anche le disposizioni sulla protezione dei dati della legge sui telemedia (sezione 4; sezioni 11 e seguenti TMG), che regolano gli obblighi dei fornitori di servizi, non sono state adattate a RGPD .

La conseguenza è che la regola di conflitto dell'art. 95 RGPD, che regola la relazione tra RGPD e la direttiva e-Privacy, non è applicabile. Poiché un'applicazione diretta della direttiva ePrivacy è anche fuori questione (a differenza dei regolamenti europei, le direttive europee non si applicano direttamente e immediatamente), il primato dell'applicazione del RGPD.

Ciò significa che dalla validità di RGPD, ossia dal 25 maggio 2018, la base giuridica per il trattamento dei dati personali da parte dei fornitori di servizi è esclusivamente l'articolo 6 (1) RGPD ; le corrispondenti disposizioni della legge sui telemedia non sono più applicabili da allora.

Questo dovrebbe cambiare solo con l'entrata in vigore del regolamento ePrivacy: Allo stato attuale, i regolamenti dell'EPVO avranno la precedenza sui regolamenti corrispondenti di RGPD , a condizione che perseguano lo stesso obiettivo.

3. Qual è la situazione legale attuale per l'uso di strumenti di tracciamento?

Derzeitige Rechtsgrundlage für den Einsatz von Tracking-Tools ist Art. 6 Abs. 1 DSGVO. Das bedeutet, dass Tracking-Tools in der Regel nur dann eingesetzt werden dürfen, wenn entweder

  • il trattamento è necessario per proteggere interessi legittimi del responsabile del trattamento o di un terzo, tranne quando su tali interessi prevalgono gli interessi o i diritti e le libertà fondamentali della persona interessata che richiedono la protezione dei dati personali, in particolare se la persona interessata è un minore (articolo 6, paragrafo 1, primo comma, lettera f) RGPD)

o

  • l'interessato dà il suo consenso al trattamento dei dati personali che lo riguardano per una o più finalità specifiche (articolo 6, paragrafo 1, primo comma, lettera a) RGPD).

>> Dettagli degli interessi legittimi del fornitore di servizi

Se un fornitore di servizi ha interessi legittimi prevalenti per l'uso di strumenti di tracciamento, il consenso dell'utente non è richiesto.

Su un sito web, per esempio, una casella di controllo sarebbe allora superflua. L'operatore del sito web dovrebbe solo informare sugli strumenti di tracciamento utilizzati nella politica sulla privacy.

Gli interessi legittimi del fornitore di servizi possono essere reali, economici e non materiali.

Spesso, naturalmente, sarà interessi economici sono coinvolti. Questi possono, per esempio, consistere nel salvare il carrello della spesa del cliente in un negozio online o nell'integrazione di caratteri web, servizi di mappe e social mediaPlugins in un sito web. Ma anche l'analisi web e gli strumenti di statistica sui visitatori della pagina o l'uso di tracker pubblicitari sono considerati interessi legittimi.

Se il rispettivo trattamento dei dati è necessario per salvaguardare questi interessi legittimi, questi devono essere pesati contro gli interessi o i diritti e le libertà fondamentali dell'utente. Questi includono la protezione contro gli svantaggi economici, il diritto al rispetto della vita privata e delle comunicazioni secondo l'art. 7 della Carta dei diritti fondamentali dell'Unione europea (CFR)il diritto fondamentale alla protezione dei dati secondo l'articolo 8 della CFR e il diritto all'autodeterminazione informativa.

Nel soppesare i rispettivi interessi, gli effetti del trattamento dei dati previsto e la sua suscettibilità di abuso sono di primaria importanza. Inoltre, si deve tener conto, tra le altre cose, quali ragionevoli aspettative l'utente ha nei confronti del servizio e se può ragionevolmente prevedere che il trattamento dei dati previsto possa avere luogo.

Se prevalgono gli interessi legittimi del fornitore di servizi (o di una terza parte) o gli interessi dell'utente è talvolta difficile da decidere nei singoli casi.

Va notato che il fornitore di servizi deve dimostrare che i suoi interessi legittimi prevalgono. Se questa prova non può essere fornita in caso di controversia, la raccolta dei dati era illegale e il fornitore di servizi deve aspettarsi una multa.

Il bilanciamento degli interessi dovrebbe quindi essere comprensibile per i supervisori comprensibile e ben documentato essere ben documentato.

>> Dettagli del consenso dell'utente

Se il fornitore di servizi non può basare l'integrazione di uno strumento di tracciamento su un interesse legittimo, il consenso dell'utente è obbligatorio.

Le condizioni per un consenso effettivo sono stabilite nell'art. 7 RGPD . Questi sono:

  • Forma comprensibile;
  • linguaggio chiaro e semplice;
  • Distinzione da altri fatti;
  • riferimento preventivo al diritto di recesso in qualsiasi momento;
  • rispetto al divieto di abbinamento (cioè che un servizio non deve essere subordinato alla concessione del consenso al trattamento di dati personali che non sono collegati al servizio).

Il consenso può anche essere dato implicitamente, cioè tramite un'azione conclusiva. Tuttavia, il consenso esplicito è sempre richiesto quando vengono trattate categorie speciali di dati personali (cfr. art. 9(2)(a) RGPD).

Va anche notato che il consenso può essere ritirato in qualsiasi momento. Pertanto, il trattamento dei dati deve cessare dal momento in cui l'interessato ha ritirato il suo consenso.

Attualmente, il consenso per l'impostazione di cookie e tecnologie simili sui siti web è solitamente ottenuto per mezzo di una cosiddetta "casella di controllo", dove l'utente deve spuntare attivamente una casella (opt-in).

A condizione che non solo tecnicamente necessario cookie sono impostati, un riferimento lapidario in un cosiddetto "Cookie banner", che è confermato poi solo con il clic su un pulsante "OK", è, non sufficiente.

In ogni caso, gli utenti devono essere informati sugli strumenti di tracciamento utilizzati nella politica sulla privacy.

4. Qual è la probabile situazione legale per l'uso di strumenti di tracciamento?

Il progetto di regolamento e-privacy pubblicato dalla Commissione europea all'inizio di gennaio 2017 progetto di regolamento e-privacy è attualmente ancora in discussione politica. Ci sono opinioni su di esso, tra gli altri, dal Comitato europeo per la protezione dei dati e il Garante europeo della protezione dei datiemendamenti del Parlamento europeo e documenti di discussione del Consiglio dell'Unione europea.

È quindi aperto quale sarà la formulazione esatta del regolamento e-privacy.

Tuttavia, alla luce dei continui "scandali dei dati" degli ultimi tempi, i protezionisti dei dati in particolare stanno facendo sempre più pressione affinché l'EPVO non sia inferiore all'attuale livello di protezione fornito dalla direttiva e-Privacy e da RGPD .

Per esempio, il Comitato europeo per la protezione dei dati in un documento pubblicato nel maggio 2018 il Comitato europeo per la protezione dei dati ha sostenuto che la riservatezza delle comunicazioni elettroniche richiede una protezione speciale, che deve andare oltre RGPD . Pertanto, gli interessi legittimi del fornitore di servizi non dovrebbero più essere una base giuridica per il trattamento del contenuto e dei metadati delle comunicazioni elettroniche in futuro.

Se questo punto di vista dovesse prevalere, gli strumenti di tracciamento potrebbero essere utilizzati solo con il consenso preventivo dell'utente (ad esempio tramite una casella di controllo).

III. perché il regolamento e-privacy è una buona cosa

Contrariamente a tutte le profezie di sventura, l'EPVO è un regolamento sensato e atteso da tempo. Dopo tutto, il monitoraggio completo del comportamento dei nostri utenti, che ora è tecnicamente possibile, non dovrebbe essere semplicemente accettato.

È quindi una buona cosa se i gestori di siti web e i fornitori di servizi devono fornire informazioni chiare e trasparenti in anticipo su quali dati vengono raccolti quando si visita un sito web o si utilizza un servizio e a chi vengono trasmessi e per quali scopi. Solo in questo modo i visitatori e gli utenti del sito possono decidere se vale davvero la pena divulgare i loro dati visitando il sito o utilizzando il servizio.

Tuttavia, come operatore di un sito web, non devi nascondere la testa sotto la sabbia. Come misura immediata, dovreste controllare se potete basare tutti i servizi integrati nel vostro sito web su un interesse legittimo o sul consenso dell'utente. In caso contrario, è necessario ottenere i consensi degli utenti mancanti. Inoltre, dovresti soprattutto spiegare in modo trasparente le tue attività di tracciamento nella politica sulla privacy.

Non appena si conosce il testo finale del regolamento e-privacy, si dovrebbe verificare se e, in caso affermativo, da quando si devono ottenere ulteriori consensi. Per assicurarsi di poter implementare questo e tutto il resto richiesto a proprio piacimento, vale la pena di stare al passo con il regolamento sull'e-privacy.

Immagine contribuita: Scott Webb [Pexels]

Mario Steinberg è un avvocato e specialista in diritto amministrativo presso lo studio legale commerciale LIEB.Rechtsanwälte. Il suo lavoro si concentra sul diritto della protezione dei dati, sulla sicurezza informatica e sul diritto informatico.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.