Questa proposta di Regolamento aggiorna la normativa attualmente in vigore, favorendo una maggiore tutela della riservatezza nelle comunicazioni elettroniche – anche mediante l’allineamento della relativa disciplina all’alto standard delle norme tecniche previste dal recentissimo Regolamento Generale sulla protezione dei dati personali (GDPR) – e di conseguenza contribuendo a istituire strumenti utili al rafforzamento degli scambi internazionali di dati nell’economia digitale, e pertanto allo sviluppo del mercato unico digitale.
LE PRINCIPALI NOVITA’:
1. Ambito di applicazione
Le attuali norme si applicano unicamente al trattamento effettuato da operatori di telecomunicazioni cosiddetti “tradizionali”: “(…) trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione” (cfr. art. 121 del D.Lgs. 196/2003). La proposta di Regolamento invece estende l’ambito di applicazione della disciplina anche alle comunicazioni elettroniche effettuate in relazione “alla fornitura e all’uso di servizi di comunicazione elettronica e alle informazioni relative alle apparecchiature terminali degli utenti finali“ ( art. 2, comma 1, proposta Regolamento) , ossia ai trattamenti legati allo scambio di e-mail e messaggi online, e dunque anche ai nuovi servizi di comunicazione elettronica (ad esempio, WhatsApp, Facebook Messenger, Skype, Gmail, Viber).
2. Armonizzazione della normativa
La scelta dello strumento del Regolamento (direttamente applicabile in tutti gli Stati membri dell’UE) risponde all’esigenza di ottenere una uniformità normativa a livello europeo, eliminando l’attuale frammentazione applicativa dovuta alle diverse leggi nazionali di recepimento della Direttiva ePrivacy.
3. Nuove tutele e semplificazioni
Secondo le norme proposte, sia il contenuto delle comunicazioni sia i metadati (siti web visitati, numeri chiamati, l’ora e la data della telefonata etc) dovranno essere anonimizzati o eliminati in caso di mancato consenso degli utenti, a meno che non siano necessari per specifiche finalità (cfr. art. 6 della proposta del Nuovo Regolamento).
Sono previste, inoltre:
- una semplificazione delle regole relative alla manifestazione di “consenso” per l’utilizzo dei cookies ed altri identificatori quando non sono intrusivi ma finalizzati al miglioramento della navigazione dell’utente
- una maggiore tutela contro lo spamming: la proposta di Regolamento vieta, in assenza di consenso da parte dell’utente, ogni tipo di comunicazione elettronica indesiderata, e ciò a prescindere dal mezzo utilizzato per l’invio di tale comunicazione, ivi compreso il diritto riconosciuto agli utenti di opporsi alle telefonate a scopo commerciale cosiddette “indesiderate”.
4. Competenza
Competente per la violazione delle norme sulle comunicazioni elettroniche saranno le Autorità nazionali per la protezione dei dati personali.
5. Sanzioni
Viene introdotto un apparato sanzionatorio simile, nella struttura e nella filosofia, a quello del GDPR: le sanzioni per la violazione delle nuove norme – individuate nell’ottica di essere effettive, proporzionate e dissuasive – sono le seguenti:
- fino ad Euro 10.000.000 o al 2% del fatturato annuo a livello mondiale totale, se superiore, in caso di violazione delle norme relative all’informativa e consenso (art. 8, proposta Regolamento), alle impostazioni privacy di default (art. 10, proposta Regolamento), agli obblighi dei gestori di registri di pubblica accessibilità agli archivi pubblici (art. 15, proposta Regolamento) e alle comunicazioni indesiderate (art. 16, proposta Regolamento), oppure
- fino ad Euro 20.000.000 o al 4% del fatturato annuo a livello mondiale totale, se superiore, in caso di violazione delle norme in materia di riservatezza delle comunicazioni elettroniche (art. 5, proposta Regolamento), di condizioni di legittimità del trattamento dei dati di comunicazione elettronica (art. 6, proposta Regolamento) e in caso di violazione dei termini di conservazione e cancellazione dei dati (art 7, proposta Regolamento).
Merita, infine porre in rilievo la volontà della Commissione Europea di giungere all’adozione del Nuovo Regolamento entro il 25 maggio 2018, ossia in concomitanza con la data di applicazione del Regolamento Generale sulla protezione dei dati personali in modo che, entro tale data, possa aversi un quadro giuridico completo in materia di protezione dei dati personali in ambito europeo.
Per maggiori informazioni, si vedano le FAQ prodotte dalla Commissione:
http://europa.eu/rapid/press-release_MEMO-17-17_en.htm