Autori: Avv. Andrea Baldrati, Gabriele Ientile
Lo scorso 10 febbraio la Commissione Europea ha pubblicato quella che potrebbe essere la prima versione del tanto atteso Regolamento e-privacy. Il documento è stato il frutto di un lavoro che è andato avanti per ben quattro anni ed è la somma di numerosi compromessi. Il testo dovrà essere ora sottoposto all’ulteriore iter legislativo che prevede il passaggio dal Parlamento Europeo, ed è molto probabile che vedremo ulteriori modifiche
Lo scopo del Regolamento è quello di disciplinare e riordinare la materia che era già stata oggetto dell’omonima direttiva: le comunicazioni elettroniche. Si tratta, in altri termini, di disciplinare le informazioni generate durante lo scambio di comunicazioni elettroniche (con riferimento anche al contenuto delle comunicazioni e ai relativi metadati), nonché i cookies e gli altri strumenti che utilizzano la potenza computazionale delle macchine degli utenti
Per sua stessa ammissione, il Regolamento e-privacy costituisce una specificazione del GDPR (Reg. UE n. 679/16) e si impegna a non modificare in peius le disposizioni in esso contenute.
Abbiamo letto il Regolamento provando ad evidenziarne gli aspetti più controversi, cercando di fornire ogni volta una proposta di modifica.
Ma ora andiamo nel dettaglio.
1. UN REGOLAMENTO TROPPO COMPLESSO
Purtroppo dobbiamo esordire dicendo che il testo pubblicato è fin troppo articolato: la lettura risulta difficoltosa in virtù del cospicuo numero di eccezioni, di rimandi e di chiarimenti a cui il Legislatore Comunitario ha fatto abbondantemente ricorso.
Ne sono chiari esempi i Considerando, spesso lunghi e complessi: nel tentativo di delineare il perimetro di una tutela generale spesso si traducono in una serie di esempi non del tutto calzanti che purtroppo hanno l’effetto di generare ulteriore confusione ad un quadro normativo già poco chiaro.
Ancora, la scelta di regolare le condizioni di liceità per l’utilizzo dei dati delle comunicazioni elettroniche, del loro contenuto e dei relativi metadati attraverso 3 differenti articoli, tutti rubricati sotto il n. 6 (rispettivamente 6, 6a e 6b) rende poco agevole la lettura del testo.
Questa generale confusione è evidentemente il frutto degli anni passati a rimaneggiare e modificare le disposizioni dell’attuale Regolamento; il che ha condotto in maniera inevitabile ad una maggiore complessità della norma. La speranza è che i futuri passaggi legislativi siano utili a semplificare il testo.
Va rammentato, comunque, che i cittadini hanno sempre il diritto a norme di facile lettura e interpretazione. Questo vale a maggior ragione in ambito privacy; una materia che tocca, per motivi ed interessi diversi, tutti gli attori del mondo digitale.
2. LICEITÀ’ DEL TRATTAMENTO: DISPOSIZIONI TROPPO GENERICHE? (art. 6(1)(a))
All’art. 6(1)(a) il Regolamento annovera tra le situazioni sufficienti a legittimare il trattamento dei dati delle comunicazioni elettroniche (sia del loro contenuto che dei metadati), l’ipotesi in cui questo sia “necessario per fornire un servizio di comunicazione elettronica”.
Questa disposizione suscita alcune perplessità: il concetto di necessità di fornire un servizio potrebbe essere inteso in senso fin troppo ampio ed estendersi fino a trattamenti che eccedano gli scopi meramente tecnici. Ad esempio, i dati raccolti per fornire un servizio richiesto dell’utente potrebbero essere utilizzati per addestrare IA o per altre finalità legate al servizio ma non strettamente necessarie all’erogazione del servizio stesso.
Ad esempio, le attività che richiedono la profilazione degli utenti dovrebbero certamente rimanere escluse da queste ipotesi, in forza delle disposizioni del GDPR.
Nonostante ciò riteniamo che questa formulazione possa dare spazio ad abusi nei confronti dei diritti degli interessati: i provider di servizi potrebbero sfruttare questa disposizione per effettuare trattamenti ulteriori rispetto a quelli che l’interessato intende ricevere.
Ad esempio, potrebbe essere utilizzato per giustificare trattamenti legati alla personalizzazione e all’ottimizzazione dei prodotti, che alcuni social network effettuano sulla base del legittimo interesse .
Le nostre preoccupazioni, per il vero, sono dettate dalle ultime modifiche alla disposizione, che nella sua precedente versione, si riferiva espressamente ai “trattamenti necessari per ottenere la trasmissione della comunicazioni, per il tempo necessario a questo scopo”. Questa formulazione appariva più in linea con i principi di minimizzazione del GDPR, oltre ad essere più chiara nel definire il perimetro di azione dei provider di servizi.
2a. LA NOSTRA PROPOSTA
Come PN riteniamo invece che la nuova formulazione sia alquanto pericolosa. Quando gli utenti richiedono un servizio si aspettano che i loro dati vengano trattati al solo scopo di effettuare le operazioni richieste e non per finalità ulteriori.
Riteniamo, pertanto, che la formulazione attuale debba essere modificata e sostituita con una differente, che identifichi la causa di liceità nella mera esecuzione delle operazioni tecniche indispensabili a fornire il servizio.
Quantomeno chiediamo che venga riproposta la versione precedente a quella odierna, che in questo senso appare certamente peggiorativa.
3. LE AMBIGUITÀ RIGUARDANTI L’UTILIZZO DEI METADATI (cons. 17, art. 6b)
Il Considerando 17 è tra i più contraddittori, frutto di un compromesso mal riuscito sulla questione dell’utilizzo dei metadati
Che siano i metadati e non i dati ad essere il vero valore dei dati è noto a tutti. Le imprese come Google guadagnano grazie ai metadati. Ed è sempre grazie ai metadati che riescono ad alimentare i loro algoritmi per offrire prodotti e servizi sempre più personalizzati. L’intenzione è quella di non porre veti nei confronti dei metadati, ma allo stesso tempo il legislatore ricorda che l’utente si aspetta confidenzialità anche rispetto ad essi.
E allora come se ne esce?
Purtroppo con la pubblicazione di un Considerando che è un pasticcio, come lo è d’altronde l’art. 6b, lett b) a cui esso fa riferimento.
Restando al considerando si precisa dapprima che il trattamento dei metadati riguardanti le comunicazioni elettroniche è autorizzato solo previo consenso dell’utente finale. I problemi interpretativi però nascono dalla frase successiva. Si legge testualmente che: “Inoltre, tali fornitori dovrebbero essere autorizzati a trattare i metadati delle comunicazioni elettroniche di un utente finale laddove sia necessario per la fornitura di un servizio di comunicazione elettronica sulla base di un contratto con tale utente finale e per la fatturazione relativa a tale contratto”.
La domanda che ci poniamo è la seguente: se il trattamento dei metadati è necessario per la fornitura del servizio di comunicazione elettronica allora il consenso è ancora la base giuridica o, a questo punto, dovremo appunto basarci sulla relazione contrattuale tra fornitore e utente?
Il tenore di questo considerando sembrerebbe favorire quest’ultima opzione, come lo stesso art. 6b. Può sembrare un dettaglio, un mera questione legata alla base giuridica ma non lo è.
Lasciare aperta l’ipotesi dell’utilizzo dei metadati per ragioni di servizio apre ad uno scenario di facili abusi: le aziende potrebbero redigere termini di servizio così ampi da farvi rientrare qualsiasi trattamento di metadati.
In breve, la base giuridica del contratto (inteso come fornitura del servizio) probabilmente rappresenterà la via privilegiata per arginare l’ipotesi del consenso, cioè la base giuridica più “temuta” da quelle aziende che cercano di fuggire dal concetto di trasparenza informativa. Il consenso, infatti, richiede un’azione positiva dell’utente, e ancora prima obbliga le aziende a creare una relazione di fiducia con l’utente stesso, per ottenerne appunto il consenso.
3a. LA NOSTRA PROPOSTA
La scelta deve essere netta: riteniamo che si debba eliminare qualsiasi riferimento al trattamento dei metadati per finalità di erogazione del servizio. Il consenso deve coprire anche questa ipotesi, per evitare che l’ipotesi del contratto diventi il cavallo di Troia per trattamenti di metadati invasivi all’insaputa dell’utente. Diversamente, si tornerebbe al punto di partenza, ed ogni sforzo teso ad un maggior controllo dell’utente sul fronte dei metadati sarebbe certamente vano. In questo cavillo, che cavillo non è, perchè cambia la sostanza della norma, potrebbero infatti rientrarci numerose ipotesi di trattamento, legittimate da condizioni o termini contrattuali oscuri o comunque facilmente “piegabili” all’interpretazione di chi li redige.
Questo circolo vizioso è troppo pericoloso e va eliminato alla radice.
C’è però un altro passaggio del Considerando 17 che ci lascia perplessi. Si legge che “per visualizzare i movimenti del traffico in determinate direzioni durante un determinato periodo di tempo, è necessario un identificatore per collegare le posizioni delle persone a determinati intervalli di tempo. Questo identificatore mancherebbe se si utilizzassero dati anonimi e tale movimento non potesse essere visualizzato. Tale utilizzo dei metadati delle comunicazioni elettroniche potrebbe, ad esempio, avvantaggiare le autorità pubbliche e gli operatori del trasporto pubblico per definire dove sviluppare la nuova infrastruttura, sulla base dell’uso e della pressione sulla struttura esistente”.
Quindi, per sviluppare una nuova infrastruttura o per monitorare i movimenti del traffico servono metadati “in chiaro”? Come può, questa impostazione di fondo, essere compatibile con il principio di minimizzazione del GDPR? Come può dirsi, un trattamento del genere, proporzionale e necessario rispetto alle finalità di cui sopra?
Peraltro, i metadati di localizzazione (i c.d. location metadata) costituiscono una concentrazione di conoscenza ineguagliabile nelle mani delle aziende private che oggi, come nel recente passato, riescono a generare inferenze sulle nostre abitudini proprio grazie a questa tipologia di dati, perfino quando sono resi anonimi. E qui, addirittura, si permette un loro trattamento in chiaro?
Come è possibile che tali finalità non si possano raggiungere con metadati anonimizzati?
Inoltre, il Considerando sembra riferirsi soltanto a titolari del trattamento appartenenti al mondo della Pubblica Amministrazione, escludendo dunque i privati. Ma anche qui, sarebbe più opportuno prevedere un divieto esplicito di trattamento di metadati – per tali finalità – in capo ai privati.
4. IL CONSENSO AI COOKIE DI PROFILAZIONE È ANCORA LIBERO? (cons. 20aaaa)
Partiamo con un dato che è sintomo della complessità di questo considerando: la prima frase è lunga 10 righe. Un susseguirsi di subordinate che ci fa rimpiangere – eccome – la linearità del GDPR.
Purtroppo, però, le cattive notizie non si limitano soltanto alla forma, ma riguardano anche la sostanza.
Il Considerando 20 aaaa), in totale spregio del principio di libertà del consenso previsto dal GDPR, apre all’ipotesi di un consenso cookie quale condizione per l’accessibilità al contenuto di un sito web.
In altri termini, sarebbe valido -salvo eccezioni di cui parleremo- condizionare l’accesso al contenuto di un sito web al previo consenso dei cookie (presumiamo, analitici o di profilazione, anche se manca una specificazione sul punto).
Pertanto i titolari potrebbero vincolare l’accesso ad un contenuto, come la newsletter di un sito web, all’attivazione dei cookie tramite consenso dell’utente, quale condizione necessaria per l’accesso al contenuto stesso.
Ma come può, un tale consenso, essere considerato alla stregua di un consenso libero e genuino, se all’utente non viene concessa l’ipotesi alternativa di accedere al servizio principale (la newsletter) senza prestarlo, e quindi senza attivare servizi secondari (quali le attività di advertising connesse ai cookie analitici e/o di profilazione)?
Incredibilmente, il Regolamento e-privacy sembra fare propria una teoria già espressa dalla nostra Cassazione con sentenza n. 17278/2018, alludendo all’ipotesi di servizi fungibili.
Semplificando, si ritiene valido un consenso ai cookie, quale condizione all’accesso di un contenuto digitale, se quel contenuto è fungibile, inteso come contenuto non esclusivo, quindi intercambiabile con altri contenuti analoghi.
Seguendo questo ragionamento, dunque, il consenso sarebbe libero perchè all’utente verrebbe comunque concessa una seconda scelta: quella di rivolgersi ad un altro titolare che offre contenuti simili.
La regola generale, però, non vale in caso di siti web della pubblica amministrazione e il motivo appare chiaro: se, ad esempio, un cittadino deve procedere con l’adempimento di oneri comunali accedendo allo sportello digitale, non potrà che farlo attraverso lo sportello del comune in cui risiede. Quindi il Regolamento ritiene ex ante qualsiasi servizio delle Pa come servizio infungibile.
Un’altra eccezione è quella legata alla definizione di servizio erogato da un fornitore che si trova in una posizione dominante, detenendo quote elevate di un determinato mercato. Il riferimento è chiaramente alle big del tech e ad altre grandi aziende che offrono servizi o prodotti digitali unici nel loro genere o di una qualità o convenienza tale da non essere ugualmente reperibili presso altri operatori. In questo senso, un servizio vincolato al consenso-cookie configurerebbe un abuso di posizione dominante.
Infine, come terza eccezione, si menziona l’ipotesi in cui l’utente abbia poche o nessuna alternative al servizio. Ma cosa si intende per poche? Due, tre o dieci alternative? Un parametro di questo tipo lascia spazio ad interpretazioni di qualsiasi tipo con inevitabili ricadute sulla sua effettiva applicazione
Questa ipotesi è la rappresentazione plastica di un considerando ambiguo che si fonda su definizioni interpretabili a partire dalla definizione di servizio e/o contenuto fungibile e infungibile.
E infatti, quando un contenuto web o un servizio può dirsi fungibile nel mondo digitale, consentendo al titolare di vincolarne l’accesso al consenso dei cookie da parte dell’utente? Il contenuto di una rubrica giornalistica, ad esempio, è fungibile? In prima battuta, potremo essere portati a rispondere affermativamente: sono tante le rubriche giornalistiche esistenti sul mercato digitale, Ma se l’utente fosse invece affezionato alla rubrica di uno specifico giornalista, ritenendo il suo punto di vista un bene per lui infungibile – quindi non intercambiabile con quello di altri -chi e come potrebbe obiettare a questa tesi?
Insomma, il Considerando rischia di introdurre un parametro assolutamente interpretabile su un tema troppo importante (quello dei cookie e del consenso) che invece richiede certezza giuridica.
4a. LA NOSTRA PROPOSTA
Anche in questo caso non può esserci un’altra soluzione se non quella di modificare il considerando in questione, ristabilendo i canoni generali del GDPR che prevede, in qualsiasi ipotesi, e senza eccezione, la libertà e genuinità del consenso come requisito fondamentale di liceità del consenso stesso.
Peraltro, l’ipotesi introdotta dal Considerando è in palese violazione con l’art. 7 pgf 4 del GDPR, laddove si stabilisce che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”
Se interpretiamo il considerando alla luce di questa norma, Il consenso ai cookie analitici o di profilazione è di per sé un trattamento di dati personali ulteriore e non necessario all’erogazione del contenuto web a cui l’utente vuole accedere. E dunque, stando alla lettera del GDPR, vincolare l’accesso ad un contenuto web alla circostanza che l’utente presti il consenso ai cookie è un indice di come lo stesso non sia stato liberamente prestato. Questa è la tesi che accogliamo e che, speriamo, non venga “inquinata” dalle nuove previsioni del Regolamento e-privacy, sicuramente meno tutelanti per gli utenti e i consumatori.
5. LA CRITTOGRAFIA E2EE È ANCORA POSSIBILE? (cons. 26)
Il considerando 26 afferma che il Regolamento non dovrebbe minare la capacità degli Stati Membri di svolgere intercettazioni; questi ultimi, inoltre, dovrebbero essere in grado di richiedere assistenza ai provider di servizi per svolgere intercettazioni o prendere altre misure utili a fini d’indagine, purché coerenti con i principi dell’ordinamento comunitario.
Questa affermazione non può che suscitare alcune perplessità: ci si chiede, infatti, se i poteri concessi dagli Stati tramite questa disposizione siano tali da permettere il divieto di utilizzare la crittografia E2EE.
L’osservazione nasce dalle recenti notizie che vedono, all’interno degli organi decisionali comunitari, una fazione intenzionata a limitare l’uso della crittografia E2EE allo scopo di facilitare le indagini svolte delle diverse autorità giudiziarie. Questa tecnologia, infatti, rende impossibile, anche al provider stesso, accedere al contenuto di una comunicazione tra due soggetti. Le comunicazioni trasmesse tramite questo tipo di crittografia possono essere lette solo dal dispositivo di uno degli utenti che vi hanno preso parte.
Questa disposizione – aggiunta in occasione di una delle ultime versioni – pare pericolosa proprio in quest’ottica. Uno Stato potrebbe avvalersene allo scopo di vietare la crittografia E2EE e mantenere salda la propria capacità di accedere alla comunicazioni dei cittadini.
Certo, il processo rimarrebbe avviabile solo dietro ordine dell’autorità giudiziaria, ma, come abbiamo già avuto modo di discutere durante gli eventi di Privacy Network, siamo in grado di conoscere (e fidarci) del governante di oggi, ma nulla sappiamo di quello di domani. La segretezza delle comunicazioni rimane un elemento fondamentale per una società democratica. Non è un caso, infatti, che questo tipo di tecnologia venga messa al bando in ogni regime dittatoriale.
5a. La NOSTRA PROPOSTA
Come PN riteniamo che il considerando 26 vada integrato, specificando che va sempre fatto salvo il diritto dei provider di fornire servizi di crittografia E2EE.
6. CONCLUSIONI
partire dalla forma, il Regolamento appare davvero complesso e intricato, certamente non di facile lettura o fruizione.
Ma è nella sostanza che risiedono le più gravi criticità: dal consenso obbligatorio ai cookie analitici e di profilazione per l’accesso ad alcuni contenuti web, alla confusione sulla disciplina dei metadati; dalle basi giuridiche del trattamento che non delineano in maniera sempre esatta il perimetro entro cui agire legittimamente, fino alle miriadi di eccezioni che complicano esponenzialmente l’interpretazione (e, quindi, l’applicazione) del Regolamento.
Come Privacy Network abbiamo deciso di attivarci in tutte le sedi possibili per ottenere un miglioramento di quelle disposizioni che potrebbero costituire una minaccia per i diritti degli utenti nonché un problema operativo per le aziende nella implementazione di un percorso di compliance legale e tecnico alla nuova normativa.