E-COMMERCE: in arrivo la nuova regolamentazione per il trattamento dei dati per i siti internet e non solo!

Proposta di un Regolamento relativo al “Rispetto delle vita privata e la protezione dei dati personali nell’ambito delle comunicazioni elettroniche” che abroga la direttiva 2002/58 / CE Procedura COM (2017) 10 def 2017/0003 (COD)

Il 10 gennaio la Commissione europea ha pubblicato una proposta di regolamento con cui intende disciplinare, o meglio aggiornare, la disciplina delle comunicazioni elettroniche che garantirà una maggiore tutela della vita privata delle persone e aprirà nuove opportunità commerciali.

Le misure aggiornano le attuali, cercando di eliminare qualche problematica applicativa creatasi (es. per i cookie) ed eliminando qualche vuoto dell’attuale disciplina.

Ma vediamo con ordine di cosa si tratta.

Per prima cosa la norma andrà a disciplinare la privacy per lo specifico settore delle comunicazioni commerciali, diventando una sorta di “sottoinsieme normativo” del Regolamento generale privacy 679/2016. L’obiettivo della Commissione, infatti, è che il processo legislativo termini entro il 25 maggio 2018, così da assicurare a cittadini e imprese una disciplina organica e completa in materia di tutela della vita privata e protezione dei dati in Europa.

L’obiettivo è quello di rafforzare la fiducia e la sicurezza nel mercato unico digitale creando un giusto equilibrio tra elevata protezione dei consumatori e possibilità di innovazione per le imprese. La proposta inoltre prevede che il trattamento dei dati personali ad opera delle istituzioni e degli organismi dell’UE garantisca lo stesso livello di tutela della riservatezza previsto negli Stati membri, così come disposto dal regolamento generale sulla protezione dei dati, e definisce un approccio strategico alle questioni concernenti i trasferimenti internazionali dei dati personali.

LE PRINCIPALI NOVITA’

1.              Ambito di applicazione

La proposta di Regolamento estende l’ambito di applicazione, oltre che ad operatori di telecomunicazioni cosiddetti “tradizionali”, alle comunicazioni elettroniche effettuate in relazione "alla fornitura e all’uso di servizi di comunicazione elettronica e alle informazioni relative alle apparecchiature terminali degli utenti finali" (art. 2, comma 1, proposta Regolamento).

Anche a operatori che forniscono servizi di comunicazione elettronica non tradizionali ora dovranno sottostare alla disciplina, si pensi a: WhatsApp, Facebook, Messenger, Skype, Gmail, iMessage, Viber.

2.              Armonizzazione delle discipline

La scelta dello strumento del Regolamento, analogamente alla disciplina generale sulla privacy (direttamente applicabile in tutti gli Stati membri dell’UE), risponde all’esigenza di ottenere un’uniformità normativa a livello europeo, eliminando l’attuale frammentazione applicativa dovuta alle diverse leggi nazionali di recepimento della Direttiva Privacy.

3.              Nuove tutele

Secondo le norme proposte, sia il contenuto delle comunicazioni sia i metadati (siti web visitati, numeri chiamati, l’ora e la data della telefonata, ecc.) dovranno essere anonimizzati o eliminati in caso di mancato consenso degli utenti, a meno che non siano necessari per specifiche finalità (cfr. art. 6 della proposta del Nuovo Regolamento).

4.              Semplificazione per i cookie

È prevista la semplificazione della cosiddetta “legge sui cookie”, che ha causato una proliferazione di richieste di consenso per gli utenti. La proposta chiarisce che il consenso non è necessario per i cookie non intrusivi che migliorano l’esperienza degli utenti (ad esempio, quelli che permettono di ricordare la cronologia del carrello degli acquisti) e nemmeno per i cookie che contano il numero di utenti che visitano un sito web.

5.              Spamming

Una maggiore tutela contro lo spamming: la proposta di Regolamento vieta, in assenza di consenso da parte dell’utente, ogni tipo di comunicazione elettronica indesiderata, e ciò a prescindere dal mezzo utilizzato per l’invio di tale comunicazione, ivi compreso il diritto riconosciuto agli utenti di opporsi alle telefonate a scopo commerciale cosiddette “indesiderate”.

6.              Miglioramento dei trasferimenti internazionali di dati

La comunicazione proposta definisce un approccio strategico ai trasferimenti internazionali di dati personali che agevolerà gli scambi commerciali e promuoverà una migliore cooperazione fra le autorità di contrasto.  La Commissione intende avvalersi dei meccanismi alternativi previsti dalle norme del regolamento generale sulla protezione dei dati e dalla direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia al fine di agevolare lo scambio di dati personali con i paesi terzi con i quali non sia possibile giungere a decisioni di adeguatezza.

7.              Sanzioni

Viene introdotto un apparato sanzionatorio simile, nella struttura e nella filosofia, a quello del GDPR: le sanzioni per la violazione delle nuove norme – individuate nell’ottica di essere effettive, proporzionate e dissuasive – sono le seguenti:

·      fino ad Euro 10.000.000 o al 2% del fatturato annuo a livello mondiale totale, se superiore, in caso di violazione delle norme relative all’informativa e consenso (art. 8, proposta Regolamento), alle impostazioni privacy di default (art. 10, proposta Regolamento), agli obblighi dei gestori di registri di pubblica accessibilità agli archivi pubblici (art. 15, proposta Regolamento) e alle comunicazioni indesiderate (art. 16, proposta Regolamento), oppure

·      fino ad Euro 20.000.000 o al 4% del fatturato annuo a livello mondiale totale, se superiore, in caso di violazione delle norme in materia di riservatezza delle comunicazioni elettroniche (art. 5, proposta Regolamento), di condizioni di legittimità del trattamento dei dati di comunicazione elettronica (art. 6, proposta Regolamento) e in caso di violazione dei termini di conservazione e cancellazione dei dati (art. 7, proposta Regolamento).