La proposta di riforma della Direttiva ePrivacy è finita su un binario morto
Con l’entrata l’applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR) nel 2018 si è reso necessario che il legislatore europeo aggiorni questo testo.
La Commissione Europea ha pubblicato una proposta in tal senso sin dal 10 gennaio 2017.
Il nuovo testo affronta un panorama tecnologico in rapida evoluzione, affrontando questioni come la riservatezza nella comunicazione tra macchine (IoT) o la riservatezza delle comunicazioni individuali su reti accessibili al pubblico (come il Wi-Fi pubblico).
Ma quale differenza c’è fra GDPR e E Directive?
La differenza sostanziale è che Il GDPR stabilisce le norme fondamentali per la protezione dei dati personali nell’UE e la direttiva ePrivacy riguarda le comunicazioni elettroniche e l’uso di cookie e delle profilazione degli utenti; applicandosi sia a persone fisiche che a persone giuridiche (contraenti – utenti).
Infatti, la direttiva 2002/58/CE, attualmente in vigore, è relativa al trattamento dei dati personali e alla protezione della privacy nel settore delle comunicazioni elettroniche (direttiva sulla privacy e le comunicazioni elettroniche.
La Direttiva ePrivacy è collegata al GDPR in alcuni punti:
L’articolo 95 del GDPR specifica che non saranno richiesti obblighi aggiuntivi alle persone o entità che gestiscono comunicazioni elettroniche pubbliche, rispetto a quelli già stabiliti dalla direttiva ePrivacy;
L’articolo 21 del GDPR permette agli individui di rifiutare l’uso dei loro dati in servizi di informazione online, nonostante l’esistenza della E-Directive
Infine, l’ultimo considerando del GDPR (173) sottolinea che il GDPR copre tutte le questioni legate alla protezione dei dati personali non già disciplinate dalla direttiva ePrivacy, enfatizzando la necessità di aggiornare la direttiva per assicurarne la coerenza con il GDPR e un quadro normativo uniforme in tutta l’UE.
Un iter complicato per la riforma della Direttiva ePrivacy in Regolamento
- Nel 2017, la Commissione europea ha proposto un nuovo regolamento ePrivacy, destinato a sostituire la direttiva del 2002;
- L’EDPB ha rilasciato il Parere 6/2017, esprimendo preoccupazioni e raccomandazioni riguardo al consenso dell’utente finale e alla protezione dei dati;
- Nel 2017 e 2018, il Parlamento europeo e le presidenze bulgara e austriaca hanno elaborato bozze del regolamento;
- L’EDPB ha sottolineato la necessità di una protezione specifica per le comunicazioni elettroniche, oltre al GDPR;
- Durante il 2018 e il 2019, diverse presidenze dell’UE hanno pubblicato bozze aggiornate, dimostrando la complessità del processo legislativo;
- L’EDPB ha continuato a enfatizzare l’importanza del consenso per i cookie e tecnologie simili e il ruolo delle autorità di vigilanza;
- Nel 2021, la presidenza portoghese ha proposto una bozza significativa, seguita da negoziati tra le istituzioni dell’UE;
- L’EDPB ha rilasciato la Dichiarazione 03/2021, insistendo su una protezione forte per tutte le forme di comunicazione elettronica;
- Trilogo: i negoziati tra la Commissione europea, il Parlamento europeo e il Consiglio dell’UE hanno preso il via a maggio 2021;
- Verso la fine del 2021, ulteriori bozze sono state pubblicate e discusse, indicando che il processo di definizione del regolamento ePrivacy è ancora in corso;
- Nel 2023 EDPB è intervenuto con linee guida sulle tecniche di tracciamento coperte dall’art.5 della direttiva ePrivacy, per chiarire quali sono da considerarsi “operazioni tecniche” nuove ed emergenti e fornire una maggiore certezza giuridica dell’intero impianto in questione
- Ad oggi la proposta di legge è finita sotto altri fascicoli ed è stata superata dall’approvazione di Regolamenti come AI Act (in emissione) – DSA Digital Service Act e DGA Digital Governance Act
2024: Situazione attuale alla fine del mandato legislativo
Recentemente per la giornata europea della Privacy, ho preso parte ad un evento intitolato “What is the future of communication? What to achieve? What to avoid?” presso la sede della rappresentanza polacca presso l’Unione Europea a Bruxelles.
Tra i relatori c’erano rappresentanti dell’EDPS e della Commissione Europea.
Durante l’incontro, è stata espressa chiaramente la situazione attuale riguardo al progetto di legge: il processo legislativo si è arenato e non ci sono prospettive che venga approvato entro la fine della legislatura in quanto permangono distanze fra l’altro per temi collegati a sicurezza nazionale delle telecomunicazioni, conservazione dei dati, sanzioni.
Di conseguenza, sembra inevitabile che il testo debba essere completamente riscritto.
Quali sono le principali divergenze?
Recentemente, si sono intensificate le discussioni durante il trilogo fra gli Stati su un punto cruciale: la decisione relativa alla forma dello strumento legislativo.
Il dibattito si concentra sulla scelta tra una direttiva, che richiederebbe poi a ciascuno Stato membro l’adozione di leggi nazionali per la sua implementazione, e un regolamento direttamente applicabile e self executing.
Ad oggi una cosa è certa: la proposta di legge riguardante la E – Regulation è finita su un binario morto; sarà oggetto di discussione nella prossima legislatura europea.
Nel frattempo, in particolare le piccole e medie imprese (PMI) europee, si troveranno ad operare in un mercato disomogeneo, affrontando disparità normative fra i vari stati membri in ambiti cruciali come la gestione dei cookie, la conservazione delle comunicazioni, le mailing list commerciali e i cookies e le loro basi giuridiche per il trattamento dei dati, che variano da Stato a Stato (ad esempio con un rimpallo tra consenso e legittimo interesse).
