Gli aggiornamenti della direttiva sulla protezione dei dati personali
Vai alla BANCA DATI SULLA PROTEZIONE DEI DATI PERSONALI
Come i lettori ormai ben sanno, le direttive devono essere recepite nella legislazione nazionale di ogni paese, tramite un testo legislativo nazionale; in Italia, in particolare, un decreto legislativo.
In Italia la direttiva 2002/58/CE del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), già inserita in banca dati, è stata recepita nella versione aggiornata del decreto legislativo 196/2003 nel titolo X, dall’articolo 121 all’articolo 134, anche esso già inserito in banca dati.
Parliamo ora della modifica di una direttiva afferente a reti e servizi di comunicazione, di grande importanza per tutti gli utenti.
Direttiva 2009/136/CE del Parlamento Europeo e del Consiglio del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.
Concentro la mia attenzione in particolare su questa prima direttiva 2009/136/CE, che vuole creare più trasparenza e sicurezza degli utenti, soprattutto quelli che navigano in Internet.
Tale direttiva è composta da 72 considerando e sei articoli.
Essa prevede numerose modifiche della precedente direttiva e richiamo l’attenzione dei lettori in particolare sullo
Articolo 3 Modifica al regolamento (CE) n. 2006/2004
Nell’allegato del regolamento (CE) n. 2006/2004 (il regolamento sulla cooperazione per la tutela dei consumatori) è aggiunto il seguente punto:
La nuova direttiva sull’e-privacy, concepita per rispettare le esigenze delle tecnologie digitali, completa la direttiva europea sulla protezione dei dati e comprende tutte le tematiche che interessano la sfera privata nell’ambito della comunicazione elettronica. Il suo scopo è migliorare la trasparenza e la sicurezza per gli utenti.
Tra le novità, la principale concerne l’impiego di «cookie» che permettono di memorizzare login, password e preferiti. Questa funzionalità è molto pratica per gli utenti, tuttavia può essere impiegata anche per tracciare il comportamento di navigazione di una persona nella rete, consentendo così agli inserzionisti on-line, tramite i cookie distribuiti sui diversi siti, di allestire profili degli utenti e di personalizzare la pubblicità ai consumatori. Questa procedura è nota con il nome di Online Behavioural Advertising (OBA).
La soluzione Opt-out (opzione di esclusione) impiegata finora è stata sostituita da una soluzione detta «Informed-Consent» (consenso informato), ossia un Opt-in (opzione di inclusione) dell’utente secondo informazioni dettagliate sul tipo e sullo scopo del trattamento dei dati. Sono escluse le procedure il cui solo scopo è effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica per mettere a disposizione un servizio espressamente richiesto (cosiddetti «Session-Cookies», p. es. per l’autenticazione a un servizio specifico).
Le modalità per chiedere il consenso degli utenti all’impostazione di cookie sono illustrate nei “considerando” della direttiva, che raccomando sempre di leggere attentamente.
Tali “considerando” sottolineano il fatto che la comunicazione delle informazioni e l’offerta del diritto al rifiuto «dovrebbero essere il più possibile chiare e comprensibili». Se tecnicamente fattibile ed efficace, il consenso dell’utente «può essere espresso mediante l’uso delle opportune impostazioni di un browser o di un’altra applicazione». Le conseguenze e il significato di queste spiegazioni sono controversi. Probabilmente questa impostazione implica che l’utente possa dare il suo consenso o il suo rifiuto al trattamento dei dati, selezionando le impostazioni del browser, in relazione alla scelta dei cookie. In quest’ottica, il consenso esplicito dell’utente è richiesto soltanto nel caso di file del browser che memorizzano i dati dell’utente mediante il programma multimediale Flash e per i tentativi di manipolazione con spyware, che accedono a livelli più profondi della struttura del PC.
È interessante rilevare come, almeno in linea di massima, il settore della pubblicità on-line è favorevole all’autoregolamentazione del settore. Al fine di prevenire un possibile inasprimento della legislazione negli Stati membri dell’UE, lʼEuropean Advertising Standards Alliance (EASA) e la IAB Europe hanno redatto un Codice di condotta (Code of Conduct) per i loro membri. Questo Codice di condotta serve a migliorare la trasparenza e a conferire all’utente maggior controllo. Cliccando su un’icona che appare all’utente quando si attiva la pubblicità on line mirata, l’utente può sapere chi si cela dietro la pubblicità e cosa succede ai suoi dati. Ha pertanto la possibilità di dichiarare il suo Opt-out e di bloccare le ditte che utilizzano simili cookie.
Tuttavia un’attenta analisi di questo codice, da parte dell’ormai impagabile articolo 29 Working party, ha nuovamente constatato in un documento del dicembre 2011 che le misure di autoregolamentazione proposte non soddisfano le esigenze delle direttive.
In particolare, andrebbero migliorate l’informazione e la trasparenza degli strumenti per la pubblicità on line mirata. Inoltre, il meccanismo Opt-out contro la ricezione di pubblicità sarebbe incompatibile con la disposizione di Opt-in della direttiva europea.
Leggi qui la versione integraledel documento del gruppo di lavoro «articolo 29», purtroppo solo in inglese.
A questa direttiva ha fatto seguito, a breve distanza, una altra direttiva di grande importanza.
Direttiva 2009/140/CE del Parlamento Europeo e del Consiglio del 25 novembre 2009 recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all’accesso alle reti di comunicazione elettronica e alle risorse correlate, e all’interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica.
Come i lettori già sanno, tali direttive devono essere recepite in Italia con un decreto legislativo. Ecco la ragione per la quale con i decreti legislativi del 28 maggio 2012, numeri 69 e 70 esse sono state successivamente recepite in Italia, aggiornando l’ormai famoso decreto legislativo 196/2003.
Con tali decreti – entrambi pubblicati sulla G.U. n. 126 del 30.05.2012 – l’Italia si è adeguata al mutato contesto normativo comunitario, dando esecuzione alla delega contenuta nella legge n. 217 del 15 dicembre 2011 – G.U. n. 1 del 2 gennaio 2012 , per il cui ritardato recepimento ben 20 Paesi – tra i quali l’Italia stessa– erano stati diffidati di avvio della relativa procedura di infrazione.
Adalberto Biasiotti
Vai alla BANCA DATI SULLA PROTEZIONE DEI DATI PERSONALI
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.
Pubblica un commento
Rispondi Autore: ALESSANDRO COSTA - likes: 0 | 10/05/2018 (11:53:26) |
Quindi la cookie law del 2015 non viene modificata dal nuovo regolamento? Leggendo l'articolo sembrerebbe di capire che gli unici cookie che possono essere oggetto del GDPR siano i flash cookie (ormai quasi obsoleti). Per tutti gli altri rimane valida l'informativa breve già in vigore dal 2015. Lo chiedo anche perchè su questo stesso sito l'informativa presenta delle caselle di spunta per selezionare i vari cookie da utilizzare. |