Come sarà regolato, da parte dei colossi del web come Google, Amazon e Facebook, il trattamento dei dati personali degli utenti europei? Nei giorni che vedono al centro delle cronache un caso dalla portata globale come quello che coinvolge il social network fondato da Mark Zuckerberg e la società di data mining Cambridge Analytica, l’Istituto Italiano Privacy (Iip) ha presentato un nuovo report che analizza gli aspetti più critici dei principi giuridici e degli impatti sull’economia digitale della Proposta Regolamento e-Privacy, destinato ad essere applicato anche ai cosiddetti ‘Over The Top’ (Ott), cioè i fornitori di nuovi servizi digitali, dagli ormai ben noti motori di ricerca a tanti operatori di settori innovativi 4.0.
GLI AUTORI E LA PRESENTAZIONE
Realizzato dal presidente dell’istituto, Luca Bolognini, da Camilla Bistolfi e da Giovanni Crea, lo studio è stato presentato ieri a Bruxelles.
LO SCENARIO
Il tema, come detto, è di grande rilevanza. Il 10 gennaio 2017, la Commissione europea ha pubblicato la Proposta di regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche – il Regolamento ePrivacy, appunto – che, una volta approvata, abrogherà e sostituirà l’attuale direttiva 2002/58/CE (la ‘Direttiva e-privacy’).
I CAMBIAMENTI IN VISTA
Uno dei principali cambiamenti introdotti dalla proposta, rileva lo studio, “è l’estensione del campo di applicazione della Direttiva e-privacy ai fornitori di servizi Ott”. E, “considerata l’evoluzione dei servizi di comunicazione digitale, infatti, la Commissione vuole armonizzare la regolamentazione di questi servizi estendendo agli Ott la normativa inizialmente riservata ai servizi di comunicazione tradizionali”.
I SERVIZI DI COMUNICAZIONE ELETTRONICA
La prima parte dello studio prende in considerazione l’articolo 2(4) della proposta di Codice europeo delle comunicazioni elettroniche (Eecc) che include una definizione di “servizi di comunicazione elettronica” identificandoli come “servizi forniti di norma a pagamento su reti di comunicazioni elettroniche, che comprendono il “servizio di accesso a Internet” o il “servizio di comunicazione interpersonale” e/o i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali come i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina (M2M) e per la diffusione circolare radiotelevisiva, ma esclusi i servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti. Gli Ott, invece, offrono servizi di comunicazione basati sull’uso di Internet, ma senza proprietà delle infrastrutture di comunicazione, poiché il loro obiettivo è quello di fornire applicazioni e contenuti direttamente agli utenti finali utilizzando i cosiddetti protocolli Internet e la connessione fornita dagli operatori tradizionali di comunicazione. Di conseguenza, si evidenzia, questi ultimi forniscono sempre più i mezzi di trasmissione (la rete) e sempre meno i servizi di comunicazione elettronica, mentre gli Ott offrono il servizio finale direttamente all’utente e possono eventualmente archiviare i dati nel cloud per rendere più facile la fornitura il servizio anche quando la connessione alla rete cambia.
FORMULAZIONE NON EFFICACE
A fronte dell’attività di ricerca riassunta nelle 28 pagine dello studio, il rapporto giunge alla conclusione che “l’attuale formulazione della proposta non identifica e non risolve efficacemente le complessità derivanti dalla natura dei servizi Ott, che finiscono per essere soggetti a regole non coerenti con le disposizioni e gli obiettivi del Gdpr (il nuovo Regolamento generale sulla protezione dei dati dell’Ue, la cui piena applicazione è prevista dal 25 maggio 2018, ndr) e assimilati a servizi di comunicazione elettronica la cui definizione è ormai obsoleta alla luce delle innovazioni introdotte dai servizi basati su Internet”.
Non solo. La proposta, proseguono gli autori “sembra sovrapporsi al quadro giuridico introdotto dal GDPR, dando vita ad alcune differenze ingiustificate che generano strati multipli nella regolamentazione della tutela dei dati personali”.
GLI EFFETTI SULL’ECONOMIA DIGITALE
Invece, nella seconda parte dello studio, si propone di evidenziare la centralità dei servizi di comunicazione elettronica nell’economia e nella società digitale e nel più ampio processo di innovazione digitale in relazione ai dati ad essi associati (contenuti e metadati).
In tal senso, evidenzia il report “la fornitura di servizi digitali è sempre più caratterizzata dal trattamento di dati di cui la comunicazione (elettronica) è solo un esempio. Ciò potrebbe sollevare, tra le altre questioni, la domanda sul possibile interesse legittimo del responsabile del trattamento come legittima base di trattamento”. Sembra dunque opportuno, a parere degli autori, “tenere conto delle esigenze di sopravvivenza dei fornitori di servizi digitali senza innescare rischi per gli utenti interessati. In realtà, in un’economia in cui i servizi digitali sono basati sulla disponibilità di dati, comprese le informazioni personali, la stipula di un meccanismo di consenso preventivo per l’elaborazione di tali dati (opt-in) sembra essere sempre meno rilevante e suscettibile di introdurre un elemento di alterazione del normale funzionamento del mercato, che richiede invece una nuova visione del bilanciamento degli interessi che possa tenere conto delle esigenze di stabilità finanziaria per i fornitori di servizi digitali, elevandoli al grado di interesse legittimo”.
L’ASPETTO DA NON SOTTOVALUTARE
Così, concludono Bolognini, Bistolfi e Crea “sebbene l’obiettivo della proposta di tutelare la riservatezza delle comunicazioni elettroniche resti auspicabile e necessario, appare problematico il fatto che la base giuridica per il trattamento dei dati delle comunicazioni elettroniche sia basata solo (salvo rare eccezioni) sul consenso dell’utente a cui viene fornito il servizio. In questo senso, qualora l’estensione del regolamento ePrivacy agli Ott venisse mantenuta, sarebbe consigliabile considerare un ampliamento delle basi giuridiche per il trattamento dei dati delle comunicazioni elettroniche da parte di questi e altri fornitori, come già previsto da alcuni articoli del Gdpr”.
LA RIFLESSIONE DA COMPIERE
Ad esempio, si rileva infine, “la richiesta di servizio da parte di un utente dovrebbe portare a considerare il suo consenso al trattamento dei dati come implicito, se questo costituisce una componente inseparabile di tale servizio. Da questo punto di vista, le dinamiche dell’economia digitale (mercati multi-parte e retribuzione dei fornitori, funzionalità di elaborazione per le attività principali delle società) portano a una riflessione sul bilanciamento dei mercati e sulla protezione dei dati. In caso contrario, il rischio sarebbe quello di una riduzione dei servizi Internet o dell’introduzione di soluzioni a pagamento per gli utenti”.