Privacy internet, dalla Ue protezione anche sui metadati

Bizzarra la concomitanza delle notizie sul maggiore scandalo italiano per presunto cyberspionaggio, con quelle delle proposte Ue volte a garantire un elevato livello di tutela proprio nelle comunicazioni elettroniche, al fine di rafforzare fiducia e sicurezza nel mercato unico digitale. L’entrata in vigore della riforma europea sulla privacy (regolamento 2016/679 e direttiva sul trattamento di dati personali a fini di giustizia) aveva preannunciato l’imminente intervento emendativo della direttiva ePrivacy che disciplina l’uso dei dati personali in Internet; operazione resasi necessaria proprio per adeguare le precedenti norme alla riforma. La Commissione Ue propone ora di cambiare “vestito giuridico” utilizzando lo strumento del regolamento anziché quello della direttiva: il regolamento è legge di per sé, non richiede norme di recepimento da parte degli Stati, evitando il rischio di discipline nazionali non uniformi. D’altronde, se la “privacy reale” è disciplinata con lo strumento del regolamento, va da sé che altrettanto sarebbe capitato per rispondere alle preoccupate istanze di protezione delle proprie email e comunicazioni online di quel 92% di europei (fonte Eurobarometro).

Il futuro regolamento ePrivacy si estenderà a nuovi soggetti: dovranno tenerne conto sia gli operatori di telecomunicazioni tradizionali sia gli over-the-top, quali WhatsApp, Facebook, Messenger, Skype.

Sarà protetto anche l’uso dei metadati (i cosiddetti dati di traffico “esterni”, come l’ora della chiamata o il luogo) che richiederà il consenso degli utenti. Una volta “consensati”, questi dati renderanno possibile la fornitura di servizi aggiuntivi, come l’elaborazione di mappe di calore indicative dell’afflusso di persone per la progettazione di infrastrutture (ad esempio per i trasporti pubblici).

Si semplifica poi la gestione dei cookie mitigando l’attuale banalizzazione dei “banner cookie” che hanno inondato internet: non occorrerà più consenso per i cookie che migliorano la user experience (ad esempio quelli per la cronologia del carrello e-commerce), a fronte di un maggiore controllo delle impostazioni tecniche che permettono all’utente di selezionare quali cookie accettare e quali no.

La seconda novità riguarda la proposta di regolamento in merito al trattamento dei dati personali da parte delle istituzioni Ue, aggiornando il precedente del 2001, superato dalle disposizioni della riforma.

Infine, la comunicazione della Commissione a Parlamento e Consiglio Ue sui trasferimenti di dati personali oltre i confini europei: per non vanificare il sistema di protezione di Bruxelles occorre che i Paesi importatori di dati dispongano di analoghe salvaguardie, attestate dalla Commissione. Nel 2017 si darà priorità a confronti con Giappone e Sud-Korea per il riscontro di adeguatezza, senza tralasciare di considerare gli sviluppi in atto sul data protection in India e nei territori del Mercosur (mercato comune dell'America meridionale). I due regolamenti proposti dovranno ora seguire l’iter legislativo che prevede l’approvazione da parte di Consiglio e Parlamento e la fase finale del “trilogo”, in cui le istituzioni Ue e gli Stati membri, rappresentati in Consiglio, negozieranno la versione finale. La previsione della Commissione è che si possa giungere a conclusione prima della piena applicazione del regolamento generale, il 25 maggio 2018.