Il regolamento ePrivacy e l’emergenza sanitaria: un’occasione persa

Lo stato dell’arte della privacy nelle comunicazioni

Qualche mese fa ci siamo occupati del regolamento ePrivacy[1] raccontando, forse con troppo ottimismo, come questa norma avrebbe potuto (e dovuto) integrare il quadro della protezione dei dati personali spingendosi nell’oceano di informazioni che vengono trattate dai soggetti che operano nel campo delle comunicazioni elettroniche.

L’ottimismo, e quindi l’urgenza di completare il quadro normativo, era giustificato da una frase contenuta nella relazione accompagnatoria della proposta (rimasta tale) di regolamento[2]:

“I consumatori e le imprese si sono affidati sempre più ai nuovi servizi basati su internet intesi a consentire le comunicazioni interpersonali, quali il voice-over-IP, la messaggistica istantanea e i servizi di posta elettronica basati sulla rete anziché fruire dei servizi di comunicazione tradizionali. Questi servizi di comunicazione over-the-top (“OTT”) non sono di norma soggetti all’attuale quadro di riferimento dell’Unione per le comunicazioni elettroniche, compresa la direttiva sulla vita privata elettronica. Ne consegue che la direttiva non è al passo con gli sviluppi tecnologici, il che si traduce in una lacuna nella tutela delle comunicazioni effettuate mediante i nuovi servizi.”

La Commissione Europea, dunque, sembrava abbastanza consapevole che andassero regolati alcuni aspetti essenziali riguardanti:

  • l’accesso ai nuovi servizi (per la verità non più tanto “nuovi”) offerti dalla websfera e le rispettive modalità di conferimento di dati personali;
  • la facilità con la quale i nuovi servizi sono resi disponibili attraverso dispositivi alla portata di chiunque (smartphone, tablet, assistenti vocali, ecc.);
  • i dati personali di contenuto delle comunicazioni elettroniche (ormai non più solo testuali ma multimediali);
  • i dati personali di supporto alle comunicazioni elettroniche (data, luogo, durata, ecc. denominati metadati).

Per comprendere esattamente la portata di questi elementi critici, la cui disciplina sembrava essere affidata al regolamento ePrivacy, occorre far riferimento alle definizioni contenute nella Direttiva EU 2018/1972 che istituisce il Codice Europeo delle Comunicazioni Elettroniche[3] e riprese, appunto, dalla proposta – non ancora definitiva – del regolamento ePrivacy:

  • servizio di comunicazione interpersonale: un servizio di norma a pagamento che consente lo scambio diretto interpersonale e interattivo di informazioni tramite reti di comunicazione elettronica tra un numero limitato di persone, mediante il quale le persone che avviano la comunicazione o che vi partecipano ne stabiliscono il destinatario o i destinatari e non comprende i servizi che consentono le comunicazioni interpersonali e interattive esclusivamente come elemento accessorio meno importante e intrinsecamente collegato a un altro servizio;
  • servizio di comunicazione interpersonale basato sul numero: un servizio di comunicazione interpersonale che si connette a risorse di numerazione assegnate pubblicamente — ossia uno o più numeri che figurano in un piano di numerazione nazionale o internazionale — o consente la comunicazione con uno o più numeri che figurano in un piano di numerazione nazionale o internazionale;
  • servizio di comunicazione interpersonale indipendente dal numero: un servizio di comunicazione interpersonale che non si connette a risorse di numerazione assegnate pubblicamente — ossia uno o più numeri che figurano in un piano di numerazione nazionale o internazionale — o che non consente la comunicazione con uno o più numeri che figurano in un piano di numerazione nazionale o internazionale;

Queste definizioni rivestono una particolare importanza perché includono tutti i servizi forniti dagli Over the Top (ma anche da altri soggetti); sono i servizi che si traducono in forme di comunicazione che vanno oltre il classico formato audio (le telefonate) o testuale (la posta elettronica), includendo i formati più vari (p.e. foto e video) e che, potenzialmente, contengono molti più dati personali provenienti da più mittenti.

La differenza con la pregressa normativa è notevole. Infatti, la Direttiva 2002/21/CE (direttiva quadro per le comunicazioni elettroniche superata dalla Direttiva EU 2018/1972) che ha fornito la base definitoria alla Direttiva 2002/58/CE (ancora in vigore) trasposta in Italia nel Dlgs. 196/2003 (il Codice privacy, in particolare nel Titolo X – Comunicazioni elettroniche, articoli dal 121 al 132‑quater) espone solo la seguente definizione:

  • servizio di comunicazione elettronica: i servizi forniti di norma a pagamento consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, ma ad esclusione dei servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti; sono inoltre esclusi i servizi della società dell’informazione di cui all’articolo 1 della direttiva 98/34/CE non consistenti interamente o prevalentemente nella trasmissione di segnali su reti di comunicazione elettronica,

che, mutuata integralmente nell’ambito del Codice privacy, non fa alcun cenno a un’interazione tra più persone.

Il regolamento ePrivacy, quindi, avrebbe dovuto:

  • allineare concetti più aderenti agli strumenti moderni, che la normativa europea sulle comunicazioni elettroniche ha già introdotto, alla disciplina della protezione dei dati personali;
  • garantire, a causa della pervasività di tali strumenti, una regolamentazione più stringente rispetto al trattamento dei dati personali (comunicazione ad altri soggetti, periodi di conservazione, ecc.);

integrando opportunamente il Regolamento UE 2016/679 (GDPR).

Sembra, invece, che l’arrivo del COVID‑19, oltre a creare immensi danni alla salute delle persone, stia penetrando anche nelle larghe maglie normative dell’ePrivacy con rischi molto elevati per i diritti e le libertà delle persone. Per questo appare opportuno, sempre considerando lo stato di emergenza che stiamo vivendo, riflettere su alcune scelte che coinvolgono molti soggetti titolari del trattamento, pubblici e privati, e molti fornitori di servizi di comunicazione interpersonale.

Le scuole

Le scuole italiane non erano pronte a fronteggiare una chiusura così lunga e, quindi, ad utilizzare sistemi alternativi (tipicamente telematici) per garantire l’attività didattica. Così molti istituti hanno dovuto improvvisare soluzioni basate su servizi apparentemente gratuiti forniti dagli Over the Top; per esempio, sono state massicciamente impiegate le piattaforme messe a disposizione da Google: Google Classroom e Google Meet.

Secondo il GDPR, l’unica (debole per questo ambito) fonte normativa attualmente disponibile insieme al Codice privacy, le scuole, in qualità di titolari del trattamento dati (immagini dei docenti, elaborati degli studenti, ecc.) avrebbero dovuto designare Google quale responsabile del trattamento conformemente all’art. 28 oltre a fornirgli adeguate istruzioni; avrebbero dovuto, solo per citare uno degli elementi più significativi, fornire adeguate istruzioni sulla durata della conservazione del contenuto delle comunicazioni (per esempio, della lezione effettuata dal docente in diretta con gli alunni). Quanti istituti scolastici l’hanno fatto? Se fosse entrato in vigore il regolamento ePrivacy non sarebbe stato necessario dare questa istruzione, giacché l’art. 7 della proposta prevede che:
Fatto salvo quanto disposto all’articolo 6, paragrafo 1, lettera b) e all’articolo 6, paragrafo 3, lettere a) e b), il fornitore del servizio di comunicazioni elettroniche cancella il contenuto delle comunicazioni elettroniche o anonimizza tali dati dopo che il o i destinatari previsti hanno ricevuto il contenuto della comunicazione elettronica. Tali dati possono essere registrati o conservati dagli utenti finali o da un terzo da essi incaricato di registrare, conservare o trattare altrimenti tali dati, a norma del regolamento (UE) 2016/679″.

Inoltre, c’è da chiedersi: come sono state attivate le utenze su piattaforme pubbliche come quelle offerte da Google (ma non solo)? Bisogna tener conto che molti alunni, nelle scuole, sono minori e che molti di loro hanno un’età inferiore a 14 anni. Quindi, nel delicato momento di creazione dell’utenza (per esempio, su Google Meet), quanta attenzione c’è stata alla verifica del soggetto che ha fornito i diversi consensi al trattamento (ricordiamo che le app per smartphone chiedono consensi ad accedere e trattare vari dati personali contenuti nel dispositivo)?

Anche in questo caso sarebbe stato utile l’art. 9 della proposta del regolamento ePrivacy che prevede, al terzo paragrafo, che:
Gli utenti finali che hanno acconsentito al trattamento dei dati delle comunicazioni elettroniche a norma dell’articolo 6, paragrafo 2, lettera c), e dell’articolo 6, paragrafo 3, lettere a) e b), dispongono della facoltà di revocare tale consenso in qualsiasi momento, conformemente a quanto disposto all’articolo 7, paragrafo 3, del regolamento (UE) 2016/679, e ogni sei mesi viene loro rammentata tale possibilità, finché prosegue il trattamento”.

Le riunioni di lavoro

Anche i datori di lavoro sono stati presi alla sprovvista e, senza voler considerare la superficialità con la quale hanno avviato lo smart‑working da un giorno all’altro affidandosi a piattaforme più o meno sicure, è opportuno riflettere sulle riunioni basate su strumenti molto utili per le comunicazioni personali tra due soggetti privati ma poco idonei a garantire i dati personali dei lavoratori. Per esempio, l’utilizzo esteso di Skype, con l’impiego di account o di numeri di telefono personali del lavoratore, può risultare molto invasivo della privacy dei dipendenti oltre che, in qualche caso, potenzialmente in contrasto con l’art. 4 dello Statuto dei Lavoratori (L. 300/1970).

Anche il questo caso, avrebbe potuto aiutare l’art. 7 della proposta del regolamento ePrivacy.

La psicoterapia

Un’altra fattispecie significativa si è diffusa nelle pratiche di terapia psicologica, sia da parte di strutture pubbliche sia di professionisti privati. La terapia psicologica ha due caratteristiche fondamentali:

  • non può essere interrotta improvvisamente se non al prezzo di gravi danni per il paziente;
  • richiede la fitta interazione tra il paziente e lo psicoterapeuta, che avviene tramite comunicazione verbale e non verbale.

Purtroppo, gli obblighi di isolamento imposti dalle autorità in questo periodo di emergenza sanitaria rischiano di incidere su entrambe le caratteristiche della psicoterapia. Quindi, per non interrompere il contatto con i pazienti, molti psicologi hanno fatto ricorso alle sedute telematiche basate su strumenti gratuiti (da Whatsapp a Skype) che, purtroppo, con la normativa attuale, possono presentare rischi elevati per i diritti e le libertà degli interessati. Non dimentichiamo, infatti, che la conversazione su Whatsapp tra paziente e psicoterapeuta ha, come contenuto, dati appartenenti alle particolari categorie di dati personali (i dati sulla salute): un’eventuale Man In The Middle malintenzionato potrebbe violare la riservatezza della comunicazione.

Siamo, quindi, di fronte ad un altro caso in cui l’introduzione del regolamento ePrivacy avrebbe aiutato a rafforzare le garanzie per gli interessati.

Conclusioni

Il legislatore europeo ha temporeggiato a lungo – forse consapevole degli enormi interessi in gioco – per regolare la privacy nell’immenso mondo dei servizi di comunicazione elettronica. Le recenti circostanze emergenziali, tuttavia, hanno messo a nudo questi vuoti normativi che, come emerge dagli esempi riportati, rischiano di incidere sui soggetti considerati, per consolidato orientamento, tra quelli meritevoli delle più elevate garanzie.

Note

[1] https://www.ictsecuritymagazine.com/articoli/eprivacy-lintegrazione-del-gdpr/

[2] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017PC0010&from=IT

[3] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32018L1972&from=EN

 

Articolo a cura di Francesco Maldera

Profilo Autore

Francesco Maldera è Data Protection Officer e Data Scientist.
Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.
Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it

Condividi sui Social Network:

Articoli simili