The New EU proposal for an E-privacy regulation

[Newsletter n. 13]

On the 10th January 2017 the European Commission presented a proposal of regulation in relation to the processing of personal data and the protection of privacy in electronic communications, intended to supersede directive 2002/58/EC. This proposal of regulation aims at updating the current legislation to contribute to the development of the digital single market, favouring greater protection of privacy in electronic communications.

The current legislation only applies to the processing of personal data by “traditional” telecommunication operators, while the proposal of regulation will extend the scope of application of the discipline to the processing of personal data including exchange of e-mail and online messages, to new players such us WhatsApp, Facebook Messanger and Skype.
The proposed regulation will be by its nature directly applicable in each EU member state, without internal implementation by legislative act.

With the entry into force of the new regulation, a more stringent protection will be reserved to the content of communications and to metadata (i.e. traffic data). Such data should be anonymised or erased unless specific consent is sought by users or unless such data are necessary for specific purposes. The providers of communication services should supply users with special tools for blocking “no caller ID” calls and other forms of unwanted or fraudolent communications.

More protection will be afforded against spamming (currently not regulated by GDPR), and there will be simplified requirements for the expression of consent to the use of cookies when they are finalized to improve the user’s navigation.

In relation to e-Marketing, prior consent (opt-in) is to be sought, unless the data have been collected pursuant to contractual terms and conditions, in which case an “opt-out” mechanism for the user consent will meet the minimum requirements.

In case of breach of electronic communications regulation, national DPAs will have authority to apply fines. The sanction regime is similar to that provided by the GDPR: sanctions can get to 10.000.000 euro or to 2% of the company total annual worldwide turnover, if higher, in case of breach of privacy policy and consent, default privacy settings, provision of public access to registers, archives and the obligation in relation to unsolicited communications. In the event of breach of privacy requirements in electronic communications, legitimacy of data processing and breach of terms of storage or disposal of data, the sanctions can get to 20.000.000 euro or to 4 % of the total annual worldwide turnover, if higher.

The European Data Protection Supervisor (EDPS), welcomed the proposal, showing appreciation for the attempt of the European Commission to balance the various interests, but pointed out the following concerns: electronic communications consist of metadata, data relating to the consent and data issued by terminal equipment, each of which need to afford a different level of confidentiality and will be subject to different exceptions: such a complexity and diversification of level of protection may lead to gaps in the protection of data as a whole, therefor there is a need to introduce targeted legal provisions to provide a more effective safeguard in the near future.

EDPS further underlines that the e-privacy regulation shall guarantee the same level of protection of GDPR. For example the users’ consent should be authentic and offer an effective freedom of choice, in accordance with GDPR. There will be no “tracking barriers”, i.e. the practice of subjecting service access to the release of consent by users. It’s yet to be determined how the maintenance of information, interests, positions, preferences of users should be regulated to avoid unsolicited tracking by the providers of services.
Finally, it’s worth considering the application of GDPR, or the regulation e-privacy when both will be in force; the answer is that there is no overlap between the two: the e-regulation is based on the GDPR framework. It is a sort of lex specialis, focused specifically on the protection of personal data in electronic communications, whereas the GDPR operates as lex generalis, setting the overall general framework FOR the protection of personal data.

Please do not hesitate to contact us should you need any further clarification on the above and any related matters.

La Nuova Proposta di Regolamento sull’E-Privacy

[Newsletter n. 13]

Il 10/01/17 la Commissione europea ha presentato una proposta di regolamento avente ad oggetto il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche, destinato ad abrogare la Direttiva 2002/58/EC. Tale proposta di regolamento mira ad aggiornare la normativa vigente, ponendosi tra i vari obiettivi quello di contribuire allo sviluppo del mercato unico digitale, favorendo una maggiore tutela della riservatezza nelle comunicazioni elettroniche. Le attuali norme si applicano unicamente al trattamento effettuato da operatori di telecomunicazioni “tradizionali”, mentre la proposta di regolamento estenderebbe l’ambito di applicazione della disciplina anche ai trattamenti legati allo scambio di e-mail e messaggi online. Il regolamento sarà per sua natura direttamente applicabile in tutti gli Stati membri dell’UE, senza bisogno di un atto legislativo di recepimento interno.

Con l’entrata in vigore del regolamento, una tutela più stringente sarà riservata al contenuto delle comunicazioni e ai metadati (termine quest’ultimo che sostituisce la precedente definizione dei dati di traffico), i quali dovranno essere anonimizzati o eliminati in caso di mancato consenso degli utenti, a meno che non siano necessari per specifiche finalità. I fornitori di servizi di comunicazione dovranno predisporre appositi strumenti per il blocco delle chiamate da numero riservato e altre forme di comunicazioni indesiderate o fraudolente. Maggiori tutele saranno poi adottate contro lo spamming, materia non regolamentata dal GDPR, mentre è prevista una semplificazione delle regole relative alla manifestazione del consenso per l’utilizzo dei cookies quando sono finalizzati al miglioramento della navigazione dell’utente. Quanto all’ e-Marketing sarà richiesto un consenso preventivo (opt-in), a meno che i dati siano stati raccolti a seguito di un contratto tra le parti, nel qual caso occorrerà solo consentire la revoca del consenso (opt-out).

In caso di violazione delle norme sulle comunicazioni elettroniche, la competenza spetterà alle Autorità nazionali per la protezione dei dati personali. Quanto al regime sanzionatorio, è previsto un apparato simile a quello del GDPR, con sanzioni fino a 10.000.000 euro o al 2% del fatturato annuo a livello mondiale totale, se superiore, in caso di violazione delle norme relative all’informativa e consenso, alle impostazioni privacy di default, alle comunicazioni indesiderate, oppure fino a 20.000.000 euro o al 4% del fatturato annuo della società responsabile della violazione a livello mondiale, se superiore, in caso di violazione delle norme in materia di riservatezza delle comunicazioni elettroniche, di condizioni di legittimità del trattamento dei dati di comunicazione elettronica e in caso di violazione dei termini di conservazione e cancellazione dei dati.

Il Garante Europeo per la protezione dati (GEPD ), autorità di vigilanza indipendente ed organo consultivo, da un lato ha accolto con favore la proposta di un regolamento aggiornato in materia di protezione dati nelle comunicazioni elettroniche, dimostrando di apprezzare il tentativo della Commissione europea di bilanciare i vari interessi in gioco, dall’altro nel suo parere pubblicato in Gazzetta ufficiale dell’Unione Europea il 20/07/17, ha indicato una serie di punti sui quali si dovrebbe intervenire per migliorare ulteriormente la proposta. Le comunicazioni elettroniche vengono scomposte in metadati, dati relativi ai contenuti e dati emessi dalle apparecchiature terminali, ciascuna delle quali garantirà un diverso livello di riservatezza e sarà soggetta ad eccezioni diverse: una tale complessità e diversificazione delle garanzie di riservatezza su un’unica comunicazione rischia di provocare lacune nella protezione dei dati, e da tale rischio nasce la necessità di introdurre disposizioni giuridiche mirate per fornire una protezione più efficace nel prossimo futuro.

Il Garante ha poi sottolineato che le norme in materia di e-privacy dovranno garantire un livello di protezione non inferiore a quello sancito dal GDPR. Per esempio, il consenso dovrebbe essere autentico ed offrire un’effettiva libertà di scelta agli utenti, conformemente a quanto richiesto dal GDPR. Non ci dovranno essere più “barriere di tracciamento”, consistenti nella pratica per cui l’accesso ad un sito web o ad un servizio viene condizionato, al consenso ad essere “tracciati” durante la navigazione. Rimane in ogni caso aperto il problema della facile rilevabilità di informazioni, interessi, posizione, preferenze e quant’altro che potrebbero essere trasmessi e fatti circolare nella consapevolezza degli interessati.

Merita infine un accenno la questione attinente l’applicazione del GDPR in relazione al nuovo regolamento e-privacy, quando entrambi saranno entrati in vigore; la risposta è che ci si dovrà attenere ad entrambi, perché il GDPR è la base sulla quale il Regolamento e-privacy interverrà, dal momento che quest’ultimo è da ritenersi una sorta di lex specialis, pensato unicamente per internet, a differenza del primo che opera invece come lex generalis.

Qualora voleste entrare in contatto con noi per approfondimenti su questo articolo o argomenti correlati, troverete i nostri riferimenti qui sotto:

Contacts:

Marina Mirabella
Partner

Chiara Zema
Associate
c.zema@legaliastudio.it

Camillo Campli
Associate
c.campli@legaliastudio.it

Recent Tweets

Categories

Archives

Subscribe to our mailing list: