Con il passaggio di testimone della presidenza del Consiglio UE tra Germania e Portogallo, è stata diffusa la proposta della presidenza portoghese della versione del Consiglio sul Regolamento ePrivacy. Nonostante sia l’ennesima versione e non è detto che sia l’ultima, riteniamo sia utile esaminarla perchè ci fornisce una panoramica delle discussioni in atto sul livello di protezione da assicurare a dati interni ed esterni delle comunicazioni elettroniche e sul livello di tutela prevedibile quanto al marketing digitale.

Modifiche della proposta portoghese

La proposta della presidenza portoghese (doc. 5008/21) – diversamente dalla precedente proposta tedesca e dalla direttiva 2002/58/CE – si discosta dal principio della centralità del consenso come base giuridica di legittimità nell’ambito delle comunicazioni elettroniche. Essa introduce una disciplina variegata, in cui la legittimità dell’uso dei dati può derivare anche da ulteriori basi giuridiche, prendendo spunto dall’articolo 6 del GDPR. 

Trattamenti compatibili – L’emendamento più importante è la possibilità di trattare i metadati delle comunicazioni elettroniche (articolo 6 quater e considerando 17 bis bis) e di utilizzare cookie (articolo 8, paragrafo 1, lettera g)) per ulteriore trattamento per finalità compatibile, facendo riferimento agli articoli 5(1)(b) e 6(4) del GDPR (ulteriore trattamento compatibile).

Deroghe al consenso – In aggiunta ai trattamenti per finalità compatibili, sono previste ulteriori deroghe al consenso obbligatorio. Nell’intento di creare un parallelismo col GDPR, in sostanza equiparando i dati delle comunicazioni elettroniche alla categoria di dati personali comuni, sono ammesse come basi giuridiche di legittimità: 

  • la necessità di eseguire un contratto (analogamente all’art. 6.1(b) GDPR) per l’utilizzo di tali dati e dei metadati, 
  • la necessità di soddisfare un obbligo di legge (come art. 6.1(c) GDPR) per i soli dati delle comunicazioni elettroniche.

Il consenso, inoltre, non è richiesto per i trattamenti a fini statistici, inclusivo dei conteggi statistici o di misurazione dei visitatori.  

Soft opt-in – Il soft opt-in – oggi previsto solo per email marketing – è esteso a qualsiasi tipologia di strumento automatizzato (es. SMS) e all’uso di qualsiasi informazione di contatto (i.e. non solo indirizzo e-mail ma anche utenze telefoniche); inoltre il destinatario può essere l’utente coinvolto in una precedente transazione e non necessariamente un cliente. 

Cookie – I cookie walls sono ammessi se l’utente può disporre di servizi alternativi e il fornitore non si trova in posizione di monopolio. I cookie sono ammessi senza necessità di consenso preventivo, oltre che per finalità compatibili con quelle originarie, anche quando sono necessari per eseguire un contratto richiesto dall’utente, per motivi di sicurezza, per aggiornamento software a determinate condizioni e in casi di emergenza.

Configurazione del software – Viene precisato che il consenso rilasciato individualmente al titolare prevale su una diversa scelta di configurazione del software di navigazione mentre nulla viene detto dell’ipotesi inversa di maggior tutela per l’individuo (cioè se l’utente abbia espresso un diniego o revocato il consenso direttamente al titolare, in contrasto con la diversa configurazione del software) (Considerando 20a).

Autorità di supervisione – La scelta delle autorità nazionali competenti (indipendenti ma non necessariamente coincidenti con le autorità GDPR) è rimessa agli Stati membri; queste dovranno cooperare tra di loro, con le autorità GDPR e con l’EDPB al quale sono assegnati compiti interpretativi e di guida in ambito ePrivacy.

Rappresentante UE – La nomina del rappresentante per i titolari non insediati nella UE deve essere comunicata all’autorità ePrivacy entro 1 mese dall’inizio delle attività.

Tempistica – Secondo la proposta, 

  • 1 anno – il regolamento diviene pienamente applicabile dopo un anno dalla sua entrata in vigore (20 giorni dopo la pubblicazione in gazzetta)
  • 1/8/2022 – data di abrogazione della direttiva 2002/58/CE, lasciando intendere che la presidenza portoghese ritenga possibile che il regolamento entri in vigore nell’agosto 2021 (ma ciò non appare fondato su alcuna argomentazione attendibile)
  • 1/8/2024 – data entro cui la Commissione dovrà redigere un programma per il monitoraggio dell’effettività del regolamento (anche questa data sembra solo indicativa)
  • entro 3 anni – dalla piena applicazione del regolamento, e ogni tre anni a seguire, la Commissione effettuerà una valutazione riguardo al regolamento.