Dopo un lungo iter legislativo, lo scorso 10 febbraio il Consiglio dell’UE ha raggiunto l’accordo sul testo normativo che costituirà il nuovo regolamento E-privacy e sarà oggetto di negoziati con il Parlamento Europeo nei prossimi mesi.
In linea con la direttiva 2002/58/CE che verrà sostituita da questo regolamento, la bozza in esame si pone l’obiettivo di uniformare la normativa nei vari stati membri europei con riguardo al trattamento di dati attraverso comunicazioni elettroniche, regolando altresì particolari fattispecie con riguardo all’utilizzo dei metadata, delle comunicazioni di marketing diretto, dei cookie e dei dati di localizzazione degli utenti.
In generale, la bozza presentata dal Consiglio dell’UE stabilisce nuovamente il principio secondo cui i dati delle comunicazioni elettroniche debbano ritenersi come strettamente confidenziali tra le parti, salvo per i casi espressamente previsti dal nuovo Regolamento, tra cui il consenso dell’utente e la necessità di garantire l’integrità dei servizi di comunicazione.
Relativamente al tema dei cookie, il testo prescrive che l’utilizzo di tale tecnologia sia ammessa solo qualora l’utente abbia prestato un consenso a tale installazione all’interno dei propri browser. Nel dettaglio, il testo prevede come, laddove tecnicamente possibile, un utente finale potrà fornire il proprio consenso – attraverso appositi software – ad un fornitore specifico per uno o più scopi determinati, ribadendo pertanto un principio già sancito dal GDPR, ovvero quello della granularità del consenso.
Importanti novità anche a riguardo dei cd. metadata, ovvero tutte le informazioni che descrivono il contenuto e la struttura dei dati in una comunicazione elettronica; sul punto, il testo stabilisce come tali tipi di dati potranno essere oggetto di trattamento in determinate fattispecie, tra cui l’utilizzo di tali dati per proteggere gli interessi vitali degli utenti, come nel monitoraggio della diffusione delle epidemie. Ciò si renderà utile per le app di contact tracing che potranno allargare il loro perimetro di trattamento.
In considerazione delle comunicazioni marketing, il testo ribadisce la sua applicazione anche nei confronti delle persone giuridiche, stabilendo le medesime tutele per gli utenti già previste dalla direttiva e-privacy.
Inoltre, la bozza di regolamento stabilisce il medesimo impianto sanzionatorio del GDPR, ovvero, a seconda delle violazioni, fino a 10 milioni di euro o il 2% del fatturato e fino a 20 milioni o il 4% del fatturato nel caso di gruppi imprenditoriali.
In ultimo, si sottolinea come l’iter che porterà alla definizione del testo del nuovo regolamento sarà costituito dai consueti negoziati tra il Consiglio e il Parlamento Europeo al fine di addivenire ad un testo condiviso tra le due istituzioni europee. Il Regolamento sarà poi applicabile dopo un periodo di transizione di due anni dal momento della pubblicazione finale nella gazzetta ufficiale dell’UE.
Il testo completo della bozza di regolamento è disponibile in lingua inglese al seguente link: https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf