Regolamento e-Privacy e EDPB 3/2021: OTT ancora troppe scappatoie

Ancora troppe scappatoie” per gli OTT nella bozza di Regolamento e-Privacy secondo la dichiarazione 3/2021 dell’EDPB. Data retention generale ed indiscriminata. Riservatezza eccezioni da perimetrare specificamente. Manca il divieto esplicito sui cookies wall”. Eliminato il sistema di vigilanza secondo il meccanismo di cooperazione e coerenza.

L’EDPB teme che il Regolamento e-Privacy venga utilizzato per modificare de facto il GDPR e consentire agli OTT di sfuggire alla logica stringente dell’opt-in grazie alle eccezioni a maglie larghe introdotte dal Consiglio. Il braccio di ferro tra la data economy degli OTT e la lotta per il riscatto della sovranità digitale dei Garanti UE ci porterà verso un nuovo modello socioeconomico condiviso o verso un sistema autarchico della piattaforma? Data Retention L’ultima bozza di Regolamento ePrivacy desta qualche preoccupazione per l’EDPB in punto di data retention in quanto parrebbe che non fossero stati rispettati i canoni restrittivi della consolidata giurisprudenza della CGUE consentendo invece una conservazione generale ed indiscriminata dei tabulati telematici sul traffico e sulla posizione del dispositivo dell’utente. Il filone pretorio europeo prende le mosse dalla sentenza Digital Rights” dell’8 aprile 2014 cause riunite C-293/12 e C-594/12, illegittimità della direttiva Frattini”-2006/24/CE per mancato rispetto principio di proporzionalità tra protezione dati e pubblica sicurezza . Poi arriva la pronunzia Tele2 Sverige 21.12.16 cause riunite C 203/15 e C 698/15 ove si stabilisce l’incompatibilità con la direttiva 2002/58 di ogni normativa interna di contrasto alla criminalità che si spinga a tollerare una conservazione generale ed indiscriminata dei dati di traffico e di posizione senza una necessaria selezione di tale conservazione in base al tipo di dato, al mezzo di comunicazione, alla durata della ritenzione, alle persone coinvolte, ai criteri geografici e ammetta l’accesso a tali informazioni senza la preventiva autorizzazione di un terzo giudice o autorità di controllo salvo i casi di crimini particolarmente gravi. Consolida tale orientamento la CGUE 2 marzo 2021 C-746/18 H.K. /Prokuratuur che addirittura fa assurgere la richiesta dei tabulati telematici file log alla disciplina di richiesta delle intercettazioni entrambe necessitanti dell’autorizzazione dell’unico vero terzo giudiziario ovvero del giudice. Il Pubblico Ministero infatti non è terzo ma una parte a cui, nonostante la relativa natura non neutrale, il nostro sistema interno come quello estone giudicato dalla CGUE riconosce il potere di richiedere presso gli operatori telco i tracciati elettronici con proprio decreto. Alla luce di tale giurisprudenza UE, il nostro ordinamento inquadrerebbe la questione in modo sbagliato e l’emanando Regolamento e-Privacy - se accogliesse i moniti dell’EDPB - spazzerebbe via i commi 3, 4- ter , 4- quater , 4- quinquies dell’art. 132 dell’attuale Codice Privacy. Riservatezza, segretezza delle comunicazioni, divieto di interferenza La riservatezza viene definita dall’art. 5 della proposta di Regolamento e-Privacy come l’ assenza di interferenze da parte di terzi. Interferenze quali ascolto, registrazione, conservazione, monitoraggio, scansione o altri tipi di intercettazione, sorveglianza o trattamento dati delle comunicazioni elettroniche da parte di soggetti che siano diversi dagli utenti finali, salvo ove consentito dal Regolamento stesso . Riservatezza come l’ inviolabilità del segreto epistolare, come divieto di interferenza, come garanzia di cyber security antivirus contro malware, ransomware, keylogger . L’EDPB teme che le eccezioni [in particolare l'art. 6, paragrafo 1, lett. c , l'art. 6- ter , paragrafo 1, lett. e , l’art. 6- ter , paragrafo 1, lett. f , l'art. 6- quater ] introdotte dal Consiglio siano troppo generiche e consentano quindi tipi di trattamento molto ampi. Si invita pertanto il legislatore a perimetrare specificatamente tali eccezioni, indicandone gli scopi definiti in modo chiaro e raccogliendole in un elenco al fine di garantire la certezza del diritto e il più alto grado di protezione possibile. A tale riguardo, si raccomanda una crittografia forte e affidabile quale regola imprescindibile del trattamento dei flussi elettronici in transito, a riposo, in lavorazione. Tuttavia, come ci insegna la CGUE Schrems 2 , la crittografia non è sufficiente quando i nostri dati circolano in Paesi Extra UE dove il Governo può ordinare al gestore di aprire una backdoor per spiare i patrimoni informativi europei. In questi casi, ancor prima di verificare la crittografia è indispensabile appurare che i nostri dati restino in server europei. Cookies wall”, indici di gradimento, fatica del consenso”, finalità compatibili” I cookies wall” attengono ai sistemi prendere o lasciare” dove l’accesso al servizio è condizionato al consenso estorto per tutti i tipi di cookies indistintamente. Chiaramente si tratta di condizioni illecite che violano l’autodeterminazione informativa dell’utente che invece deve essere lasciato libero di scegliere i cookies da autorizzare. Pertanto risulta indispensabile introdurre un banner con tante caselle non preventivamente spuntate quanti sono i tipi di cookies collegati al servizio. L’EDPB sottolinea la necessità di includere una disposizione esplicita nel regolamento ePrivacy per sancire il divieto del cookies wall”, al fine di consentire agli utenti di accettare o rifiutare la profilazione. Il Consiglio crea una nuova eccezione per la misurazione dell'audience che però agli occhi dell’EDPB risulta formulata in modo troppo ampio e potrebbe portare a un'interpretazione eccessivamente estesa di ciò che potrebbe rientrare nella portata della deroga e di conseguenza abbassare il livello di protezione dei terminali degli utenti finali. Pertanto, l'EDPB sottolinea che la deroga per la misurazione dell'audience dovrebbe essere limitata soltanto ai cookies analitici necessari per l'esame delle prestazioni del servizio richiesto dall'utente e dovrebbe limitarsi esclusivamente a fornire statistiche all'operatore del servizio, unico titolare con i propri responsabili esterni di tali informazioni in quanto devono essere banditi i cookies-terze parti in modo da evitare qualsiasi possibilità di profilazione dell’utente. In definitiva, si va verso uno scenario senza cookies-terze parti in quanto bloccati dai browsers che per privacy by design forniranno all’utente i mezzi per scegliere quali cookies mettere in white list o in blacklist. Così - una volta operata la scelta - l’interessato non dovrà più fare la fatica del consenso” flaggare ogni volta che accede a un sito o servizio diverso perchè le condizioni di navigazione preferite si attiveranno di default ogni volta che avvierà il browser. Conseguenze? Probabilmente questo rinverdirà i giardini delle piattaforme entro i quali il visitatore resterà più a lungo, non rapito dai richiami dei pop up terze-parti. L'ulteriore trattamento per finalità compatibili” - e quindi a prescindere dal consenso - comporta il rischio di indebolimento della tutela offerta dalla normativa ePrivacy, soprattutto per i trattamenti elettronici dei metadati delle comunicazioni, consentendone il trattamento per qualsiasi finalità giudicata dal provider compatibile . Al fine di scongiurare il rischio derivante dai trattamenti per finalità compatibili”, l'EDPB sottolinea che i dati possono essere ulteriormente elaborati senza consenso solo dopo che siano stati anonimizzati. Regolamento e-Privacy e vigilanza L'EDPB, in merito ai soggetti competenti per la vigilanza sull’applicazione del Regolamento e-Privacy, rileva che a differenza della proposta iniziale della Commissione europea tutti i riferimenti al meccanismo di cooperazione e coerenza previsto dal Capitolo VII del GDPR sono stati rimossi dal Consiglio. A tal riguardo, l'EDPB ribadisce che solo il perfetto allineamento con il quadro di cooperazione e coerenza del GDPR consentirebbe al Regolamento e-Privacy di raggiungere i suoi obiettivi, evitare la frammentazione nell'applicazione, nonché ridurre l'onere per i gestori OTT che altrimenti dovrebbero affrontare oltre 27 autorità di vigilanza.