Tempo di lettura stimato: 7'
Siamo tutti "utenti". E in quanto utenti, la privacy online - compresa quella che riguarda le e-mail - è una cosa che dovrebbe preoccuparci tutti. Bene.
Perché è anche su questo tema che si sta lavorando in Europa.
L'UE sta lavorando al Regolamento sull'E-Privacy. Una norma che affianca il GDPR e che punta a disciplinare tutti gli aspetti legati alla comunicazione online.
In questo articolo, tratto da un intervento al PRIVACYLAB DAY 2021 dell’Avvocato Diego Fulco, Direttore scientifico dell’Istituto Italiano per la Privacy, vediamo una panoramica della situazione attuale italiana per quanto riguarda le telecomunicazioni e gli aspetti legati al nuovo regolamento.
Regolamento E-Privacy: un po’ di storia
Torniamo indietro al 10 gennaio 2017: in questa data viene presentata all’Unione Europea una proposta di Regolamento sulla privacy nelle comunicazioni elettroniche, un atto normativo che andrebbe ad abrogare e sostituire la direttiva sulla privacy 2002/58/CE. Ricordiamo che il GDPR è già in vigore ma non ancora applicabile (lo diventerà il 25 maggio 2018).
Passare da una direttiva a un regolamento è una scelta di coerenza da parte dell’Unione Europea, che vuole portare avanti un percorso di omogeneità. Il percorso, però, è a ostacoli e la proposta si arena, perché il confronto riguarda temi politici, tocca gli interessi di molti player e a volte anche gli equilibri tra i diversi Stati.
Il 10 febbraio 2021 c’è un colpo di coda inaspettato: il Consiglio Europeo approva un testo sull’E-Privacy che sarà oggetto di confronto con il Parlamento.
Cosa succederà quando entrerà in vigore?
Dal momento in cui il Regolamento E-Privacy entrerà in vigore, dovranno passare due anni perché diventi applicabile. Vuol dire che se l’ok del Parlamento Europeo dovesse arrivare entro la fine del 2021, la normativa sarà operativa non prima del 2023.
C’è poi un altro aspetto da considerare: quale potrebbe essere il rapporto tra il Regolamento E-Privacy e il Regolamento Generale sulla Protezione dei Dati.
E-Privacy e GDPR in che rapporto saranno?
Tra i due Regolamenti ci sarà uno stretto legame, perché quello sull’E-Privacy, dopo la sua approvazione, andrà a precisare e integrare il GDPR, a tradurne i principi in regole specifiche. Introdurrà inoltre delle norme relative a materie che non rientrano nell’ambito di applicazione del GDPR - che riguarda solo gli individui, le persone fisiche - perché l’E-Privacy tutelerà anche le persone giuridiche.
L’applicabilità territoriale del Regolamento sarà la stessa del GDPR, quindi varrà non solo per le imprese europee, ma anche al di fuori dei confini dell’Unione. Questo è un punto fondamentale, che riprenderemo di nuovo più sotto, ma per adesso, è importante sapere che l’E-Privacy regolamenterà alcuni grandi player internazionali, che per ora sono rimasti fuori dai giochi (leggi Amazon e Facebook, per esempio).
Il quadro normativo di oggi: facciamo un breve riepilogo della situazione
Prima di approfondire alcuni aspetti importanti del nuovo Regolamento sull’E-Privacy, facciamo un quadro della situazione attuale. Il cosiddetto Pacchetto Telecomunicazioni è quello che oggi, in Italia, disciplina le comunicazioni online e che comprende:
- La direttiva 2002/20/CE, “Direttiva autorizzazioni”, che ci dice a che titolo possono essere erogati i servizi di comunicazione elettronica da determinati player.
- La direttiva 2002/19/CE o “Direttiva accesso”.
- La direttiva 2002/22/CE o “Direttiva servizio universale”. Definisce cosa deve essere messo a disposizione di tutti, nell’ambito delle telecomunicazioni.
- La direttiva 2002/58/CE o “Direttiva relativa alla vita privata e alle comunicazioni elettroniche”. Comprende tutto ciò che riguarda l’e-privacy.
Le prime tre direttive sono confluite nel Codice delle Comunicazioni Elettroniche, mentre l’ultima nel Codice della Privacy.
Cosa possiamo notare dalle date delle direttive?
Una cosa importante, proprio perché stiamo parlando di telecomunicazioni - e quindi una App lanciata l’anno scorso è già vecchia, per intendersi - e cioè che dalla loro approvazione sono passati vent’anni! E in vent’anni, quando si parla di comunicazione, c’è un abisso tra il prima e il dopo.
Serve una nuova regolamentazione?
Sì, perché da 2002 a oggi il mondo è cambiato. Il boom del digitale ha trasformato il modo in cui comunichiamo e i mezzi con cui comunichiamo: prima c’erano gli SMS, adesso ci sono i messaggini di WhatsApp, solo per fare un esempio. Sono passate ere geologiche e l’impatto sui dati è enormemente diverso.
Poi ci sono l’Internet of the Things (IoT) e i sistemi Machine to Machine, che si basano sulla rete e su un certo tipo di trasmissione tecnologica e che hanno particolari implicazioni che riguardano la trasmissione dei dati. Il wireless e la combinazione tra wireless e reti chiuse domestica o aziendale, che hanno bisogno di regole.
E potremmo andare avanti ancora.
L’aumento esponenziale di canali e possibilità ha il suo lato oscuro - lo sappiamo bene - ci sono molte più situazioni in cui i comportamenti e le comunicazioni vengono tracciati.
La telefonia classica non esiste più. È diventata un’altra cosa: uno tra i vari strumenti che possiamo usare.
Il mondo è cambiato e si è portato dietro un bel po’ di rischi in più per la riservatezza: è questo lo scenario in cui si è visto che serviva una normativa per regolare le cose.
A questo proposito potrebbero interessarti i nostri articoli sul Social Engineering (cos’è e come riconoscerlo) e le tecniche di phishing (quali sono e come riconoscerle).
Neutralità tecnologica e comunicazioni elettroniche
Che cosa rientrerà sotto la disciplina del Regolamento E-Privacy? Per rispondere, dobbiamo prima richiamare un concetto: la neutralità tecnologica.
Cosa vuol dire? Vuol dire che, se è vero che negli ultimi 20 anni le evoluzioni della comunicazione sono state moltissime, è plausibilissimo che ciò continuerà ad accadere anche in futuro. Quindi? Quindi avrebbe poco senso elencare nel Regolamento gli strumenti che vi rientreranno.
Invece, è molto meglio ragionare su cosa caratterizza la comunicazione elettronica, parlando in generale di “mezzi di comunicazione attuali e futuri”. Così, se un giorno dovessero inventare un sistema per far viaggiare nel web il profumo di una torta appena sfornata, sarebbe già regolato dalla legge.
Oggi, per come stanno le cose, ci riferiamo alle comunicazioni elettroniche quando parliamo di chiamate, applicazioni di messaggistica istantanea, accesso a internet, posta elettronica, telefonate via internet, messaggi personali forniti attraverso i social media.
Regolamentare gli Over the Top (leggi Google, Amazon, Facebook e compagnia)
C’è un’esigenza: estendere le norme anche agli Over the Top - gli OTT sono Google, Amazon, Facebook... - aziende che forniscono contenuti e servizi attraverso la rete e che non rientravano sotto la direttiva 2002/58/CE.
Con l’E-Privacy le norme si applicheranno anche a OTT, all’IoT (Internet of Things) e al mondo M2M (Machine to Machine).
Dati sensibili e metadati nelle comunicazioni elettroniche
Ogni comunicazione elettronica ha un contenuto che viene trasmesso e che può rivelare informazioni molto molto “sensibili” sulle persone fisiche coinvolte: cosa piace ad Antonio, quali sono le esperienze che ha fatto, le sue emozioni, se è in salute oppure no, quali sono le sue preferenze sessuali e le sue opinioni politiche e così via.
Un contenuto, inoltre, può avere a che fare con i rapporti tra cittadino e Stato: è il caso delle intercettazioni telefoniche, per esempio.
Il bisogno di riservatezza delle comunicazioni elettroniche copre sia le informazioni scambiate che i dati esterni, ovvero i metadati: dove si trova l’utente (le celle), il giorno, la lingua, il destinatario, l’ora, la durata, gli allegati, eccetera. Raccoglierli e trattarli ha una finalità statistica, ma soprattutto dà una serie di opportunità (per chi pubblicizza un prodotto o un servizio, ad esempio).
E qui si gioca la battaglia sul consenso: il consenso per il trattamento dei metadati, che è il grande tema di questi anni. Il compromesso, all’interno del Regolamento E-Privacy, potrà essere la compatibilità di scopo: i metadati potranno essere usati, senza bisogno di consenso, in alcuni casi che saranno meglio definiti quando il regolamento verrà approvato.
La nuova disciplina dei cookies
Non solo metadati, c’è un’altra questione che è al centro del dibattito sul Regolamento dell’E-Privacy: i cookies. Perché da un lato c’è l’utente, che non sa quanto è tracciato; dall’altro, c’è l'importanza che le informazioni acquisite con il tracciamento hanno per fare pubblicità.
L’orientamento del Comitato Europeo e delle Autorità garanti nazionali spinge verso una richiesta di consenso vero, indiscutibile e meno equivoco di un banner come vediamo oggi sui siti web. L’industria della pubblicità online - che è dall’altra parte della barricata - spinge perché avvenga l’esatto opposto.
Una soluzione potrebbe esserci: sono le cookies whitelists: delle liste in cui, attraverso caselle da spuntare, l’utente possa scegliere cosa abilitare e cosa rifiutare.
La riservatezza nella comunicazione interpersonale
Una società regolata, protetta nelle libertà individuali deve dare grande importanza alla riservatezza delle comunicazioni interpersonali. Questo aspetto va tutelato a tutti i livelli, indipendentemente dai canali utilizzati.
Quando una comunicazione viene intercettata e i suoi contenuti divulgati - succede più spesso di quanto ci piaccia credere - oltre all’imbarazzo, ai danni personali e sociali possono esserci anche perdite economiche. Trattare dati e metadati che derivano da questi servizi necessita di attenzione e, soprattutto, del consenso da entrambe le parti.
Vuoi saperne di più?
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
