Art. – Proposta di Regolamento e-Privacy
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea, in particolare gli articoli 16 e 114,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo 18,
visto il parere del Comitato delle regioni 19,
visto il parere del Garante europeo della protezione dei dati 20,
deliberando secondo la procedura legislativa ordinaria,
considerando quanto segue:
1)L’articolo 7 della Carta dei diritti fondamentali dell’Unione europea (“Carta”) tutela il diritto fondamentale di ogni persona al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni. Il rispetto della riservatezza delle comunicazioni rappresenta una dimensione essenziale di tale diritto. La riservatezza delle comunicazioni elettroniche garantisce che le informazioni scambiate fra le parti e gli elementi esterni di tale comunicazione, compresi il momento, l’origine dell’invio e il destinatario, non siano rivelate a nessun’altra parte che non sia coinvolta nella comunicazione. Il principio di riservatezza dovrebbe applicarsi agli attuali e ai futuri mezzi di comunicazione, ivi compresi le chiamate, l’accesso a internet, le applicazioni di messaggistica istantanea, la posta elettronica, le chiamate telefoniche via internet e la messaggistica personale attraverso le piattaforme sociali.
2)Il contenuto delle comunicazioni elettroniche può rivelare informazioni altamente sensibili in merito alle persone fisiche coinvolte nella comunicazione, dalle esperienze personali e le emozioni alle condizioni mediche, le preferenze sessuali e le opinioni politiche, la divulgazione delle quali potrebbe tradursi in un danno personale e sociale, in una perdita economica o nell’imbarazzo. Analogamente, i metadati derivati dalle comunicazioni elettroniche possono anch’essi rivelare informazioni estremamente sensibili e personali. Tali metadati includono i numeri chiamati, i siti web visitati, la geolocalizzazione, l’ora, la data e la durata di una chiamata effettuata, ecc., consentendo di trarre conclusioni precise relativamente alla vita privata delle persone coinvolte nella comunicazione elettronica, come le loro relazioni sociali, le loro abitudini e attività quotidiane, i loro interessi, gusti, ecc.
3)I dati delle comunicazioni elettroniche possono altresì rivelare informazioni relative a entità giuridiche, come secreti aziendali o altre informazioni sensibili aventi valore economico. Pertanto le disposizioni del presente regolamento dovrebbero applicarsi sia alle persone fisiche, sia alle persone giuridiche. Il presente regolamento dovrebbe inoltre garantire che le disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 21 si applichino anche agli utenti finali aventi natura di persone giuridiche. Questo include la definizione di consenso contenuta nel regolamento (UE) 2016/679. Qualora si faccia riferimento al consenso di un utente finale, comprese le persone giuridiche, si dovrebbe applicare tale definizione. Le persone giuridiche dovrebbero inoltre godere degli stessi diritti degli utenti finali aventi natura di persone fisiche per quanto attiene alle autorità di controllo; inoltre, le autorità di controllo ai sensi del presente regolamento dovrebbero essere responsabili anche del monitoraggio dell’applicazione del presente regolamento nei confronti delle persone giuridiche.
4)Ai sensi dell’articolo 8, paragrafo 1, della Carta e dell’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea, ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Il regolamento (UE) 2016/679 stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché norme relative alla libera circolazione di tali dati. I dati delle comunicazioni elettroniche possono includere i dati personali ai sensi del regolamento (UE) 2016/679.
5)Le disposizioni del presente regolamento precisano e integrano le norme generali sulla protezione dei dai personali stabilite dal regolamento (UE) 2016/679 per quanto riguarda i dati afferenti alle comunicazioni elettroniche aventi carattere di dati personali. Il presente regolamento non abbassa pertanto il livello di tutela delle persone fisiche previsto dal regolamento (UE) 2016/679. Il trattamento dei dati delle comunicazioni elettroniche da parte dei fornitori di servizi di comunicazioni elettroniche dovrebbe essere consentito solo in conformità al presente regolamento.
6)Se da un lato i principi e le disposizioni principali della direttiva 2002/58/CE del Parlamento europeo e del Consiglio 22 restano generalmente validi, dall’altro tuttavia la direttiva non è stata interamente al passo con l’evoluzione della realtà tecnologica e di mercato, il che si è tradotto in una tutela incoerente o non abbastanza efficace della vita privata e della riservatezza delle comunicazioni elettroniche. Tali sviluppi comprendono l’entrata sul mercato dei servizi di comunicazione elettronica che dal punto di vista del consumatore sono in grado di sostituire i servizi tradizionali ma che non sono soggetti al medesimo insieme di norme. Un ulteriore sviluppo riguarda le nuove tecniche che consentono di tracciare il comportamento in linea degli utenti finali, questione non disciplinata dalla direttiva 2002/58/CE. La direttiva 2002/58/CEE dovrebbe pertanto essere abrogata e sostituita dal presente regolamento.
7)Entro i limiti consentiti dal presente regolamento, agli Stati membri dovrebbe essere consentito mantenere o introdurre disposizioni nazionali per precisare ulteriormente e chiarire l’applicazione delle norme del presente regolamento al fine di garantire un’applicazione effettiva nonché l’interpretazione di tali norme. Pertanto il margine di discrezionalità degli Stati membri dovrebbe mantenere un equilibrio fra la tutela della vita privata e dei dati personali e la libera circolazione dei dati delle comunicazioni elettroniche.
8)Il presente regolamento dovrebbe applicarsi ai fornitori di servizi di comunicazioni elettroniche, ai fornitori di elenchi pubblici e ai fornitori di programmi che consentono le comunicazioni elettroniche, compresi il recupero e la presentazione delle informazioni in rete. Il presente regolamento dovrebbe inoltre applicarsi alle persone fisiche e giuridiche che fruiscono di servizi di comunicazioni elettroniche per inviare comunicazioni commerciali a fini di commercializzazione diretta o per raccogliere informazioni connesse alle apparecchiature terminali degli utenti finali o conservate nelle stesse.
9)Il presente regolamento dovrebbe applicarsi anche ai dati delle comunicazioni elettroniche elaborati in relazione alla fornitura e alla fruizione dei servizi di comunicazione elettronica nell’Unione, indipendentemente dal fatto che il trattamento avvenga nell’Unione o no. Inoltre, al fine di non privare gli utenti finali di una tutela efficace, il presente regolamento dovrebbe applicarsi anche ai dati delle comunicazioni elettroniche elaborati in relazione alla fornitura di servizi di comunicazione elettronica erogati al di fuori dell’Unione a utenti finali ubicati nell’Unione.
10)Le apparecchiature radio e il relativo software commercializzati nel mercato interno dell’Unione devono essere conformi alla direttiva 2014/53/UE del Parlamento europeo e del Consiglio 23 . Il presente regolamento non dovrebbe incidere sull’applicabilità dei requisiti della direttiva 2014/53/UE né sui poteri della Commissione di adottare atti delegati a norma della medesima direttiva, imponendo che categorie specifiche o classi di apparecchiature radio siano munite di salvaguardie volte a garantire la tutela dei dati personali e la vita privata degli utenti finali.
11)I servizi fruiti a fini di comunicazione e i pertinenti mezzi tecnici di erogazione hanno avuto un’importante evoluzione. Gli utenti finali sostituiscono sempre più la telefonia tradizionale, i messaggi di testo (SMS) e i servizi di trasmissione di posta elettronica con servizi in linea equivalenti, quali il voice-over-IP, i servizi di messaggistica e i servizi di posta elettronica basati sul web. Al fine di garantire una protezione efficace ed equa degli utenti finali quando fruiscono di servizi equivalenti sotto il profilo funzionale, il presente regolamento si avvale della definizione di servizi di comunicazione elettronica stabilita nella [direttiva del Parlamento europeo e del Consiglio che istituisce il codice europeo delle comunicazioni elettroniche 24 ]. Tale definizione comprende non solo i servizi di accesso a internet e i servizi che consistono interamente o parzialmente nella trasmissione di segnali ma anche i servizi di comunicazione interpersonale che possono anche essere basati sul numero, quali per es. il voice-over-IP, i servizi di messaggistica e i servizi di posta elettronica basati sul web. La tutela della riservatezza delle comunicazioni è fondamentale anche per quanto riguarda i servizi di comunicazione interpersonale accessori di altri servizi; pertanto dovrebbero essere disciplinati dal presente regolamento tali tipi di servizi aventi anche una funzionalità di comunicazione.
12)I dispositivi e le macchine connessi comunicano sempre più fra loro per mezzo di reti di comunicazione elettroniche (internet delle cose). La trasmissione di comunicazioni da macchina a macchina prevede la trasmissione di segnali attraverso una rete e quindi costituisce un servizio di comunicazione elettronica. Al fine di garantire la piena tutela della vita privata e della riservatezza delle comunicazioni, nonché promuovere un internet delle cose affidabile e sicuro nel mercato unico digitale, è necessario chiarire che il presente regolamento dovrebbe applicarsi alla trasmissione di comunicazioni da macchina a macchina. Pertanto il principio di riservatezza sancito dal presente regolamento dovrebbe applicarsi anche alla trasmissione di comunicazioni da macchina a macchina. Si potrebbero altresì adottare salvaguardie specifiche nell’ambito della legislazione settoriale, quale per esempio la direttiva 2014/53/UE.
13)Lo sviluppo di tecnologie senza filo veloci ed efficienti ha promosso una maggior disponibilità di accessi pubblici alla rete grazie alle reti senza fili accessibili in spazi pubblici e semi-privati, come gli “hotspot” ubicati in diversi luoghi nelle città, nei grandi magazzini, nei centri commerciali e negli ospedali. Nella misura in cui tali reti di comunicazione sono accessibili a un gruppo indefinito di utenti finali,, dovrebbe essere tutelata la riservatezza delle comunicazioni trasmesse attraverso tali reti. Il fatto che i servizi di comunicazione elettronica senza fili possano essere accessori di altri servizi non dovrebbe ostacolare la garanzia della tutela della riservatezza dei dati delle comunicazioni e dell’applicazione del presente regolamento. Il presente regolamento dovrebbe pertanto applicarsi ai dati delle comunicazioni elettroniche che si avvalgono dei servizi di comunicazione elettronica e delle reti di comunicazione pubbliche. Il presente regolamento non dovrebbe tuttavia applicarsi a gruppi chiusi di utenti finali, quali le reti aziendali, il cui accesso è limitato ai membri dell’impresa.
14)I dati delle comunicazioni elettroniche dovrebbero essere definiti in modo sufficientemente ampio e tecnologicamente neutro da ricomprendere tutte le informazioni relative al contenuto trasmesso o scambiato (contenuto delle comunicazioni elettroniche) nonché le informazioni relative a un utente finale di servizi di comunicazione elettronica trattati al fine di trasmettere, distribuire o consentire lo scambio di contenuto delle comunicazioni elettroniche, compresi i dati atti a tracciare e identificare la fonte e la destinazione di una comunicazione, l’ubicazione geografica nonché la data, l’ora, la durata e il tipo di comunicazione. Che i segnali siano trasmessi via filo, onde radio, mezzi ottici o elettromagnetici, comprese le reti satellitari, le reti cablate, le reti terrestri fisse (a commutazione di circuito e a commutazione di pacchetto, compreso internet) e mobili, i sistemi di cavi elettrici, i dati relativi a tali segnali dovrebbero essere considerati metadati di comunicazioni elettroniche e quindi soggetti alle disposizioni del presente regolamento. I metadati delle comunicazioni elettroniche possono includere informazioni che costituiscono parte dell’abbonamento al servizio nel momento in cui tali informazioni sono elaborate ai fini di trasmissione, distribuzione o scambio di contenuto di comunicazioni elettroniche.
15)I dati delle comunicazioni elettroniche dovrebbero essere trattati in modo riservato. Questo significa che, senza il consenso di tutte le parti coinvolte, dovrebbe essere proibita qualsiasi interferenza con la trasmissione dei dati delle comunicazioni elettroniche, sia direttamente con intervento umano o attraverso l’elaborazione automatizzata con macchine. Il divieto di intercettazione dei dati delle comunicazioni dovrebbe applicarsi durante la loro trasmissione, ossia fino alla ricezione del contenuto della comunicazione elettronica da parte del destinatario previsto. L’intercettazione dei dati delle comunicazioni elettroniche potrebbe avvenire, per esempio, quando una parte diversa dalle parti coinvolte nella comunicazione ascolta le chiamate, effettua la scansione o conserva il contenuto delle comunicazioni elettroniche o i metadati associati a fini diversi dallo scambio di comunicazioni. L’intercettazione avviene altresì quando terzi monitorano i siti web visitati, la tempistica delle visite, l’interazione con altri, ecc. senza il consenso dell’utente finale interessato. Mano a mano che la tecnologia evolve, aumentano anche le modalità tecniche di effettuare l’intercettazione. Queste modalità spaziano dall’installazione di attrezzature che raccolgono i dati da un’apparecchiatura terminale in zone mirate, quali i cosiddetti numeri IMSI (International Mobile Subscriber Identity) a programmi e tecniche che, per esempio, monitorano surrettiziamente le abitudini di navigazione al fine di creare profili di utenti finali. Fra gli altri esempi di intercettazione si annoverano la cattura dei dati del carico o i dati del contenuto da reti senza filo non cifrate, comprese le abitudini di navigazione, senza il consenso degli utenti finali.
16)Il divieto di memorizzare comunicazioni non è inteso a vietare eventuali memorizzazioni automatiche, intermedie e temporanee di tali informazioni fintanto che ciò viene fatto unicamente a scopo di trasmissione nella rete di comunicazione elettronica. Non dovrebbe proibire neppure il trattamento dei dati delle comunicazioni elettroniche atto a garantire la sicurezza e la continuità dei servizi di comunicazione elettronica, fra cui il controllo delle minacce alla sicurezza come la presenza di software maligni o il trattamento dei metadati per garantire i requisiti necessari di qualità del servizio, quali la latenza, il jitter, ecc.
17)Il trattamento dei dati delle comunicazioni elettroniche può essere utile per le imprese, i consumatori e la società nel suo complesso. Rispetto alla direttiva 2002/58/CE il presente regolamento amplia le possibilità per i fornitori di servizi di comunicazione elettronica di trattare i metadati delle comunicazioni elettroniche, previo consenso degli utenti finali. Gli utenti finali attribuiscono tuttavia grande importanza alla riservatezza delle loro comunicazioni, comprese le loro attività in linea e al fatto di voler controllare l’uso dei dati afferenti alle comunicazioni elettroniche a fini diversi dalla trasmissione della comunicazione. Il presente regolamento dovrebbe quindi imporre ai fornitori di servizi di comunicazione elettronica di ottenere il consenso degli utenti finali al trattamento dei metadati delle comunicazioni elettroniche, che dovrebbe includere i dati sull’ubicazione del dispositivo generati al fine di ottenere e mantenere l’accesso e la connessione al servizio. I dati relativi alla localizzazione generati diversi da quelli connessi all’ambito della fornitura di servizi di comunicazione elettronica non dovrebbero essere considerati metadati. Fra gli esempi di usi commerciali dei metadati delle comunicazioni elettroniche da parte dei fornitori di servizi di comunicazione elettronica si può annoverare la fornitura di mappe di calore, ossia una rappresentazione grafica dei dati per mezzo di colori che indicano la presenza di persone. Per mostrare i movimenti del traffico in alcune direzioni durante un determinato intervallo, è necessario un identificativo per collegare la posizione delle persone nei diversi intervalli. Tale identificativo mancherebbe se si usassero dati anonimi e il movimento non potrebbe essere visualizzato. Un siffatto uso dei metadati delle comunicazioni elettroniche potrebbe per esempio avvantaggiare le autorità pubbliche e gli operatori dei trasporti pubblici per definire gli sviluppi delle nuove infrastrutture in base all’uso e alla pressione sulle strutture esistenti. Laddove un tipo di trattamento dei metadati delle comunicazioni elettroniche, in particolare se ciò avviene per mezzo delle nuove tecnologie e tenuto contro della natura, dell’ambito di applicazione, del contesto e dei fini del trattamento, è suscettibile di comportare un elevato rischio per i diritti e le libertà delle persone fisiche, si dovrebbe effettuare una valutazione d’impatto sulla protezione dei dati ed eventualmente consultare l’autorità di controllo, prima del trattamento, a norma degli articoli 35 e 36 del regolamento (UE) 2016/679.
18)Gli utenti finali possono acconsentire al trattamento dei loro metadati per ricevere servizi specifici quali i servizi di protezione da attività fraudolente (mediante analisi dei dati di utilizzo, della localizzazione e del conto cliente in tempo reale). Nell’economia digitale i servizi sono spesso erogati dietro corrispettivo non monetario, per esempio esponendo gli utenti finali a messaggi pubblicitari. Ai fini del presente regolamento il consenso dell’utente o dell’abbonato, senza considerare se quest’ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato del consenso della persona interessata a norma del regolamento 2016/679. I servizi di accesso a internet a banda larga e di comunicazione vocale vanno considerati servizi essenziali per le persone affinché possano comunicare e partecipare ai vantaggi dell’economia digitale. Il consenso al trattamento dei dati provenienti dall’utilizzo di internet o delle comunicazioni vocali non sarà valido se il titolare dei dati non dispone di una vera scelta libera o se non può rifiutare o revocare il consenso senza conseguenze negative.
19)Il contenuto delle comunicazioni elettroniche afferisce all’essenza del diritto fondamentale al rispetto della vita privata e familiare, del domicilio e delle comunicazioni tutelato dall’articolo 7 della Carta. Eventuali interferenze con il contenuto delle comunicazioni elettroniche dovrebbero essere ammesse solo in condizioni definite molto chiaramente, per fini specifici e subordinatamente ad adeguate salvaguardie contro gli abusi. Il presente regolamento stabilisce la possibilità che i fornitori di servizi di comunicazione elettronica trattino i dati delle comunicazioni elettroniche in transito con il consenso informato di tutti gli utenti finali interessati. A titolo di esempio, i fornitori possono offrire servizi che comportano la scansione dei messaggi di posta elettronica per rimuovere un dato materiale predeterminato. Considerata la sensibilità del contenuto delle comunicazioni, il presente regolamento parte dal presupposto che il trattamento di tali dati relativi al contenuto comporti rischi elevati per i diritti e le libertà delle persone fisiche. Quando effettua il trattamento di tali tipi di dati, il fornitore del servizio di comunicazione elettronica dovrebbe sempre consultare l’autorità di controllo prima del trattamento. Tale consultazione dovrebbe avvenire a norma dell’articolo 36, paragrafi 2 e 3, del regolamento (UE) 2016/679. Tale presunzione non dovrebbe comprendere il trattamento dei dati relativi al contenuto utili all’erogazione di un servizio richiesto dall’utente finale se questi ha acconsentito a detto trattamento ed esso è effettuato ai fini e per la durata strettamente necessari e proporzionati per il servizio in questione. Dopo la trasmissione del contenuto delle comunicazioni elettroniche da parte dell’utente finale e il ricevimento da parte del o degli utenti finali previsti, tale contenuto può essere registrato o conservato dal o dagli utenti finali oppure da terzi, abilitati a registrare o conservare tali dati. Il trattamento di tali dati deve essere conforme al regolamento (UE) 2016/679.
20)Le apparecchiature terminali degli utenti finali delle reti di comunicazione elettronica e qualsiasi informazione connessa all’uso di tali apparecchiature, in particolare conservata in tali apparecchiature o da esse emessa o richiesta o trattata per consentire il collegamento a un’altra apparecchiatura e/o ad apparecchiature di rete, rientrano nella sfera privata degli utenti finali per i quali si richiede la tutela ai sensi della Carta dei diritti fondamentali dell’Unione europea e della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Considerato che tali apparecchiature contengono o trattano informazioni suscettibili di rivelare dettagli relativi alle complessità emotive, politiche, sociali di una persona, compreso il contenuto delle comunicazioni, immagini, l’ubicazione delle persone mediante l’accesso alle capacità GPS del dispositivo, gli elenchi di contatti e altre informazioni in esso già conservate, le informazioni connesse a tale apparecchiatura necessitano di una tutela rafforzata della vita privata. Inoltre, i cosiddetti programmi spia, i bachi invisibili (“web bugs”), gli identificatori occulti e altri dispositivi analoghi possono introdursi nell’apparecchiatura terminale dell’utente finale a sua insaputa al fine di avere accesso ad informazioni, archiviare informazioni occulte o seguire le attività dell’utente. Le informazioni relative al dispositivo dell’utente finale possono anche essere raccolte in remoto a fini di identificazione e tracciabilità, mediante il ricorso a tecniche quali le impronte digitali per accedere al dispositivo, spesso senza la consapevolezza dell’utente finale e possono seriamente compromettere la vita privata di tali utenti finali. Le tecniche che monitorano surrettiziamente le azioni degli utenti finali, per esempio tracciandone le attività in linea o l’ubicazione della loro apparecchiatura terminale o che compromettono il funzionamento di tale apparecchiatura costituiscono una grave minaccia per la vita privata degli utenti finali. Pertanto qualsiasi interferenza con l’apparecchiatura terminale dell’utente finale dovrebbe essere consentita solo con il consenso dell’utente finale e a fini specifici e trasparenti.
21)Le eccezioni all’obbligo di ottenere il consenso per avvalersi delle capacità di trattamento e conservazione dell’apparecchiatura terminale o per accedere alle informazioni in essa conservate dovrebbero essere limitate alle situazioni che comportano un’intrusione nella vita privata scarsa o nulla. Nella fattispecie, il consenso non dovrebbe essere richiesto per autorizzare la conservazione tecnica o l’accesso strettamente necessario e proporzionato per l’uso legittimo di consentire l’uso di un servizio specifico espressamente richiesto dall’utente finale. Vi si può includere la conservazione dei marcatori per la durata di un’unica sessione stabilita su un sito web per tenere traccia di quanto inserito dall’utente finale in moduli in linea su diverse pagine. I marcatori possono anche costituire uno strumento legittimo e utile, per esempio per misurare il traffico in un sito. L’attività di controllo di configurazione da parte dei fornitori di servizi della società dell’informazione per erogare il servizio conformemente alle impostazioni dell’utente finale e la semplice registrazione del fatto che il dispositivo dell’utente finale non sia abilitato a ricevere il contenuto richiesto dall’utente finale non dovrebbero configurare un accesso a detto dispositivo o un uso delle capacità di elaborazione del dispositivo.
22)I metodi usati per fornire le informazioni e ottenere il consenso dell’utente finale dovrebbero essere il più possibile intuitivi. Considerata la diffusione dei marcatori e di altre tecniche di tracciatura, gli utenti finali ricevono sempre più richieste di consenso per conservare tali marcatori di tracciatura nelle apparecchiature terminali. Di conseguenza gli utenti finali sono subissati di richieste di consenso. L’uso di mezzi tecnici per dare il consenso, per esempio mediante impostazioni trasparenti e intuitive, può contribuire a risolvere il problema. Il presente regolamento dovrebbe pertanto contemplare la possibilità di esprimere il consenso mediante le apposite impostazioni di un navigatore o di un’altra applicazione. Le scelte degli utenti finali nelle impostazioni relative alla vita privata di un navigatore o di un’altra applicazione dovrebbero essere vincolanti e applicabili nei confronti di terzi. I navigatori di rete sono un tipo di programma applicativo che consente di recuperare e presentare informazioni presenti sulla rete. Altri tipi di applicazioni, quali quelle che consentono di chiamare e scambiare messaggi o fornire indicazioni stradali, dispongono delle stesse capacità. I navigatori fungono da intermediario fra quanto avviene presso l’utente finale e il sito web. Da questa prospettiva si trovano in una posizione privilegiata per ricoprire un ruolo attivo nell’aiutare l’utente finale a controllare il flusso di informazioni da e verso l’apparecchiatura terminale. Più particolarmente, i navigatori web possono essere usati come controlli all’accesso, aiutando così gli utenti finali ad evitare che le informazioni relative alla loro apparecchiatura terminale (per es. cellulare, tablet o computer) siano consultate o conservate.
23)I principi della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita sono disciplinati all’articolo 25 del regolamento (UE) 2016/679. Attualmente le impostazioni predefinite per i marcatori nella maggior parte dei navigatori sono del tipo “accetta tutti i marcatori”. I fornitori di programmi che consentono il recupero e la presentazione di informazioni presenti in rete dovrebbero quindi essere obbligati a configurare il programma affinché esso preveda l’opzione volta a impedire che terzi conservino informazioni sull’apparecchiatura terminale, spesso presentata come “rifiuta tutti i marcatori di terzi”. Gli utenti finali dovrebbero avere a disposizione un insieme di opzioni di impostazione della vita privata comprese fra la più restrittiva (per es. “non accettare mai marcatori”) e la meno restrittiva (per es. “accetta sempre i marcatori”) e una posizione intermedia (per es. “rifiuta i marcatori di terzi” o “accetta solo i marcatori di prima parte”). Tali impostazioni della vita privata dovrebbero essere presentate in modo facilmente visibile e intelligibile.
24)Affinché i navigatori possano ottenere il consenso degli utenti finali ai sensi del regolamento (UE) 2016/679, per esempio, per conservare i marcatori di terzi, essi dovrebbero fra l’altro, richiedere un’azione chiara e affermativa da parte dell’utente finale dell’apparecchiatura terminale a significare il libero accordo, specificamente informato e univoco, alla conservazione e accessorio di tali marcatori da e verso l’apparecchiatura terminale. Tale azione può essere considerata affermativa per esempio se gli utenti finali sono tenuti a selezionare attivamente l’opzione “accetta marcatori di terzi” per confermare il loro accordo, ricevendo informazioni sufficienti per effettuare la scelta. A tal fine è necessario che i fornitori di programmi che consentono l’accesso a internet, al momento dell’installazione informino gli utenti finali della possibilità di scegliere le impostazioni relative alla vita privata fra le diverse opzioni, chiedendo loro di effettuare una selezione. Le informazioni comunicate non dovrebbero dissuadere gli utenti finali dal selezionare le impostazioni di vita privata più restrittive e dovrebbero includere informazioni pertinenti in merito ai rischi associati al consenso a conservare i marcatori di terzi nel computer, compresa la compilazione di registri di lungo periodo contenenti la cronologia di navigazione sul lungo periodo degli utenti e l’uso di tali dati per presentare pubblicità mirata. I navigatori sono invitati a dotarsi di modi semplici per modificare le impostazioni di vita privata in qualsiasi momento durante l’uso e consentire all’utente di consentire eccezioni (elenco positivo) per taluni siti web o specificare quali marcatori di siti web (terzi) si accettano o si rifiutano.
25)L’accesso alle reti di comunicazione elettronica esige l’emissione regolare di alcuni pacchetti di dati al fine di aprire o mantenere una connessione con la rete o con altri dispositivi della rete. I dispositivi devono inoltre disporre di un indirizzo unico assegnato onde essere identificabili su tale rete. Gli standard senza filo e cellulari contemplano analoghe emissioni di segnali attivi contenenti identificativi unici, quali un indirizzo MAC, i codici IMEI (International Mobile Station Equipment Identity), IMSI, ecc. Un’unica stazione di base senza filo (ossia un’emittente e una ricevente), come un punto d’accesso senza filo, ha un intervallo specifico entro il quale tali informazioni possono essere catturate. Esistono fornitori di servizi che offrono servizi di tracciamento sulla base della scansione delle informazioni connesse all’apparecchiatura con diverse funzionalità, compreso il conteggio delle persone, la comunicazione di dati relativi al numero di persone in attesa??, la determinazione del numero di persone presenti in una data zona, ecc. Tali informazioni possono essere usate a fini più intrusivi, come l’invio di messaggi commerciali agli utenti finali, per esempio al momento in cui entrano nei negozi, con offerte personalizzate. Anche se alcune di queste funzionalità non comportano rischi elevati per la vita privata, altre possono essere lesive, come per esempio quelle che tracciano le persone nel tempo, anche in merito a visite ripetute di luoghi specifici. I fornitori che seguono queste pratiche dovrebbero affiggere avvisi ben visibili al limitare della zona coperta con i quali si informano gli utenti finali che entrano nella zona delimitata che la tecnologia è operativa entro un dato perimetro, la finalità del tracciamento, il nominativo del responsabile e l’esistenza di eventuali misure a disposizione dell’utente finale per minimizzare o bloccare la raccolta. Qualora siano raccolti dati personali a norma dell’articolo 13 del regolamento (UE) 2016/679 si dovrebbero comunicare informazioni supplementari.
26)Laddove il trattamento dei dati delle comunicazioni elettroniche da parte dei fornitori di servizi di comunicazione elettronica rientra nell’ambito di applicazione del presente regolamento, questo dovrebbe prevedere la possibilità che l’Unione o gli Stati membri, a determinate condizioni, possano limitare i diritti e gli obblighi, qualora tale restrizione costituisca una misura necessaria e proporzionata all’interno di una società democratica per la salvaguardia di specifici interessi pubblici, compresa la sicurezza nazionale, la difesa, la sicurezza pubblica nonché la prevenzione, la ricerca, l’accertamento o il perseguimento dei reati o l’esecuzione di sanzioni penali, compresa la salvaguardia e la prevenzione delle minacce alla sicurezza pubblica e ad altri obiettivi di rilievo di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un interesse economico o finanziario importante dell’Unione o di uno Stato membro, o un monitoraggio, un’ispezione o una funzione regolatrice connessa all’esercizio dell’autorità ufficiale competente per tali interessi. Il presente regolamento non pregiudica quindi la facoltà degli Stati membri di effettuare intercettazioni legali di comunicazioni elettroniche o di adottare altre misure, se necessario e proporzionato, a salvaguardia degli interessi pubblici suddetti, conformemente alla Carta dei diritti fondamentali dell’Unione europea e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, nell’interpretazione della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. I fornitori di servizi di comunicazione elettronica dovrebbero prevedere procedure apposite per agevolare le richieste legittime delle autorità competenti, se pertinente, anche tenendo conto del ruolo del rappresentante designato a norma dell’articolo 3, paragrafo 3.
27)Con riguardo all’identificazione della linea chiamante è necessario tutelare il diritto dell’autore della chiamata di impedire che sia indicata la linea dalla quale si effettua la chiamata, nonché il diritto del chiamato di respingere chiamate da linee non identificate. Alcuni utenti finali, in particolare le linee di assistenza e servizi analoghi, hanno interesse a garantire l’anonimato dei loro chiamanti. Con riferimento all’identificazione della linea collegata, è necessario tutelare il diritto e il legittimo interesse del chiamato a sopprimere la presentazione della linea alla quale il chiamante è realmente collegato.
28)In casi specifici esistono giustificati motivi per disattivare la soppressione della presentazione della linea chiamante. Il diritto alla vita privata degli utenti finali riguardo all’identificazione della linea chiamante dovrebbe essere limitato allorché ciò sia necessario per identificare le chiamate importune e, riguardo all’identificazione della linea chiamante e ai dati relativi all’ubicazione, se necessario per consentire ai servizi di emergenza (come eCall) di svolgere il loro compito nel modo più efficace possibile.
29)Esiste una tecnologia che consente ai fornitori di servizi di comunicazione elettronica di limitare in diversi modi il ricevimento di chiamate indesiderate da parte degli utenti finali, bloccando le chiamate silenziose e altre chiamate fraudolente e importune. I fornitori di servizi di comunicazione interpersonale basata sul numero accessibili al pubblico dovrebbero dotarsi di tale tecnologia e tutelare a titolo gratuito gli utenti finali dalle chiamate importune. I fornitori dovrebbero garantire che gli utenti finali siano consapevoli dell’esistenza di tali funzionalità, per esempio pubblicizzandole sul loro sito web.
30)Gli elenchi pubblici di utenti finali di servizi di comunicazione elettronica sono ampiamente disponibili. Per elenco pubblico si intende qualsiasi elenco o servizio che contiene informazioni relative agli utenti finali, quali il numero di telefono (anche cellulare), i recapiti di posta elettronica e i servizi di consultazione elenchi. Il diritto alla vita privata e alla tutela dei dati personali di una persona fisica prevede di richiedere il consenso agli utenti finali aventi natura di persone fisiche prima di inserire tali dati in un elenco. Il legittimo interesse delle persone giuridiche prevede che gli utenti finali aventi natura di persone giuridiche abbiano il diritto di contestare che i dati a esse relativi siano inseriti in un elenco.
31)Se gli utenti finali aventi natura di persone fisiche acconsentono all’inserimento dei loro dati in tali elenchi, essi dovrebbero poter determinare su base consensuale quali categorie di dati personali siano incluse nell’elenco (per es. nome, indirizzo di posta elettronica, nome utente, numero di telefono). I fornitori di elenchi pubblici dovrebbero inoltre informare gli utenti finali delle finalità di tale elenco e delle funzioni di ricerca prima di inserirli in detto elenco. Gli utenti finali dovrebbero poter determinare mediante consenso sulla base di quali categorie di dati personali è possibile effettuare una ricerca nei recapiti. Le categorie di dati personali inseriti nell’elenco e le categorie di dati personali in base alle quali possono essere ricercati i recapiti dell’utente finale non devono essere necessariamente le stesse.
32)Nel presente regolamento per commercializzazione diretta si intende qualsiasi forma di pubblicità mediante la quale una persona fisica o giuridica invia comunicazioni di commercializzazione diretta direttamente a uno o più utenti finali identificati o identificabili, per mezzo di servizi di comunicazione elettronica. Oltre all’offerta di prodotti e servizi a fini commerciali, si dovrebbero altresì includere i messaggi inviati da partiti politici che contattano le persone fisiche attraverso servizi di comunicazione elettronica al fine di promuovere il loro partito. Analogamente, dovrebbe essere così per i messaggi inviati da organizzazioni senza fini di lucro a sostegno delle finalità dell’organizzazione.
33)Si dovrebbero prevedere salvaguardie a tutela degli utenti finali contro le comunicazioni indesiderate a fini di commercializzazione diretta che costituiscono un’intrusione nella vita privata degli utenti finali. Il grado di intrusione nella vita privata e di disturbo è considerato abbastanza simile indipendentemente dall’ampia gamma di tecnologie e canali usati per trasmettere tali comunicazioni elettroniche, siano essi sistemi automatici di chiamata e comunicazione, applicazioni di messaggistica istantanea, posta elettronica, SMS, MMS, Bluetooth, ecc. Si giustifica pertanto la richiesta di consenso all’utente finale prima di inviare comunicazioni elettroniche commerciali a fini di commercializzazione diretta al fine di tutelare le persone dall’intrusione nella loro vita privata nonché il loro interesse legittimo. La certezza del diritto e la necessità di garantire che le norme che tutelano dalle comunicazioni elettroniche indesiderate siano “a prova di futuro” giustificano l’esigenza di definire un unico insieme di norme che non varino a seconda della tecnologia usata per trasmettere tali comunicazioni non richieste, garantendo nel contempo un livello di tutela equivalente per tutti i cittadini in tutta l’Unione. È tuttavia ragionevole consentire l’uso dei recapiti di posta elettronica nell’ambito di una relazione commerciale esistente finalizzato alla proposta di prodotti o servizi analoghi. Tale possibilità dovrebbe applicarsi alla stessa impresa che ha ottenuto i recapiti elettronici a norma del regolamento (UE) 2016/679.
34)Se gli utenti finali hanno espresso il loro consenso a ricevere comunicazioni indesiderate a fini di commercializzazione diretta, essi dovrebbero poter avere ancora la facoltà di revocare agevolmente tale consenso in qualsiasi momento. Al fine di facilitare l’attuazione efficace delle norme dell’Unione in materia di messaggi indesiderati a scopi di commercializzazione diretta, è necessario proibire l’occultamento dell’identità, gli indirizzi o i numeri di risposta falsi allorché sono inviati messaggi commerciali indesiderati a scopi di commercializzazione diretta. Le comunicazioni di commercializzazione diretta indesiderate dovrebbero pertanto essere chiaramente riconoscibili come tali e dovrebbero indicare l’identità della persona fisica o giuridica che trasmette la comunicazione o per conto della quale tale comunicazione è trasmessa, nonché fornire informazioni ai destinatari affinché possano esercitare il loro diritto di opporsi a ricevere ulteriori messaggi commerciali scritti e/o orali.
35)Onde consentire di revocare agevolmente il consenso, le persone fisiche o giuridiche che inviano comunicazioni di commercializzazione diretta dovrebbero visualizzare un collegamento o un indirizzo di posta elettronica valido di facile fruizione affinché gli utenti finali possano revocare il loro consenso. Le persone fisiche o giuridiche che inviano comunicazioni di commercializzazione diretta mediante chiamate vocali e chiamate effettuate da sistemi automatici di chiamata e comunicazione dovrebbero visualizzare il loro identificativo di linea al quale l’impresa può essere contattata o presentare un codice specifico che identifichi il fatto che la chiamata ha carattere commerciale.
36)Le chiamate vocali di commercializzazione diretta che non comportano l’uso di sistemi automatici di chiamata e comunicazione hanno un costo maggiore per l’emittente senza imporre oneri finanziari agli utenti finali. Gli Stati membri dovrebbero quindi essere in grado di istituire o mantenere sistemi nazionali che autorizzano tali chiamate unicamente destinate agli utenti che non hanno obiettato.
37)I fornitori di servizi che offrono servizi di comunicazione elettronica dovrebbero informare gli utenti finali delle misure a loro disposizione per proteggere la sicurezza delle loro comunicazioni, ad esempio attraverso l’uso di particolari tipi di programmi o tecniche di cifratura. L’obbligo di informare gli utenti finali su particolari rischi relativi alla sicurezza non esonera il fornitore di servizi dall’obbligo di prendere, a sue proprie spese, provvedimenti adeguati ed immediati per rimediare a tutti i nuovi rischi imprevisti relativi alla sicurezza e ristabilire il normale livello di sicurezza del servizio. La fornitura all’abbonato di informazioni sui rischi relativi alla sicurezza dovrebbe essere gratuita. La sicurezza è valutata alla luce dell’articolo 32 del regolamento (UE) 2016/679.
38)Onde garantire la piena coerenza con il regolamento (UE) 2016/679 l’applicazione delle disposizioni del presente regolamento dovrebbe essere affidata alle stesse autorità responsabili dell’applicazione delle disposizioni di detto regolamento; il presente regolamento è fondato sul meccanismo di coerenza del regolamento (UE) 2016/679. Gli Stati membri dovrebbero poter disporre di più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa. Le autorità di controllo dovrebbero anche essere responsabili del monitoraggio dell’applicazione del presente regolamento per quanto riguarda i dati delle comunicazioni elettroniche per le entità giuridiche. Tali compiti supplementari non dovrebbero mettere a repentaglio la capacità delle autorità di controllo di espletare le proprie mansioni in merito alla tutela dei dati personali a norma del regolamento (UE) 2016/679 e del presente regolamento. Ogni autorità di controllo dovrebbe essere dotata delle risorse finanziarie e umane aggiuntive nonché delle strutture e delle infrastrutture necessarie all’esecuzione efficace delle sue mansioni nell’ambito del presente regolamento.
39)Ogni autorità di controllo dovrebbe avere la competenza, nel territorio del proprio Stato membro, a esercitare i poteri e ad assolvere i compiti a essa stabiliti dal presente regolamento. Al fine di garantire un monitoraggio e un’applicazione coerenti del presente regolamento in tutta l’Unione, le autorità di controllo dovrebbero avere gli stessi compiti e poteri effettivi in ciascuno Stato membro, fatti salvi i poteri delle autorità preposte all’esercizio dell’azione penale ai sensi del diritto degli Stati membri, il potere di intentare un’azione e di agire in sede giudiziale o stragiudiziale in caso di violazione del presente regolamento. Nell’applicare il presente regolamento gli Stati membri e le rispettive autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese.
40)Per rafforzare il rispetto delle norme del presente regolamento, ogni autorità di controllo dovrebbe avere il potere di imporre sanzioni anche amministrative pecuniarie in caso di violazione del regolamento, in aggiunta o in sostituzione di misure appropriate imposte dall’autorità di controllo ai sensi del presente regolamento. Il presente regolamento dovrebbe specificare le violazioni, indicare il limite massimo e i criteri per prevedere le relative sanzioni amministrative pecuniarie, che dovrebbero essere stabilite dall’autorità di controllo competente per ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e durata dell’infrazione e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione. Per stabilire una sanzione amministrativa a norma del presente regolamento, un’impresa dovrebbe essere conforme a quanto disposto agli articoli 101 e 102 del trattato.
41)Al fine di conseguire gli obiettivi del regolamento, segnatamente tutelare i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e garantire la libera circolazione di tali dati nell’Unione, è opportuno delegare alla Commissione il potere di adottare atti conformemente all’articolo 290 del trattato onde integrare il presente regolamento. In particolare, gli atti delegati dovrebbero essere adottati in merito alle informazioni da comunicare, anche per mezzo di icone normalizzate che diano una panoramica facilmente visibile e intelligibile della raccolta delle informazioni emesse dall’apparecchiatura terminale, la finalità, il responsabile e ogni eventuale misura pertinenti cui l’utente finale può ricorrere per minimizzare la raccolta. Gli atti delegati sono altresì necessari per precisare un codice identificativo delle chiamate a fini di commercializzazione diretta, comprese quelle effettuate per mezzo di sistemi automatici di chiamata e comunicazione. È di particolare importanza che la Commissione svolga adeguate consultazioni, nel rispetto dei principi stabiliti nell’accordo interistituzionale “Legiferare meglio” del 13 aprile 2016 25 . In particolare, al fine di garantire una partecipazione paritaria alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio dovrebbero ricevere tutti i documenti contestualmente agli esperti degli Stati membri, e i loro esperti dovrebbero avere sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione degli atti delegati. Al fine inoltre di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione ove previsto dal presente regolamento. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011.
42)Poiché l’obiettivo del presente regolamento, vale a dire garantire un livello equivalente di tutela delle persone fisiche e giuridiche nonché la libera circolazione delle comunicazioni elettroniche nell’Unione, non può essere conseguito in misura sufficiente dagli Stati membri ma, a motivo della portata e degli effetti dell’azione in questione, può essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
43)È opportuno abrogare la direttiva 2002/58/CE,
HANNO ADOTTATO IL PRESENTE REGOLAMENTO
