Art. 3
Ambito di applicazione della deroga
In vigore dal 14 lug 2021
Ambito di applicazione della deroga
1. L’, paragrafo 1, e l’, paragrafo 1, della direttiva 2002/58/CE non si applicano alla riservatezza delle comunicazioni che implicano il trattamento da parte di fornitori dei dati personali e di altro tipo connesso alla fornitura di servizi di comunicazione interpersonale indipendenti dal numero a condizione che:
a)
il trattamento sia:
i)
strettamente necessario per l’uso della tecnologia specifica al solo scopo di individuare e rimuovere materiale pedopornografico online e di segnalarlo alle autorità di contrasto e alle organizzazioni che agiscono nell’interesse pubblico contro gli abusi sessuali sui minori e di individuare l’adescamento di minori e segnalarlo alle autorità di contrasto o alle organizzazioni che agiscono nell’interesse pubblico contro gli abusi sessuali sui minori;
ii)
proporzionato e limitato alle tecnologie utilizzate dai fornitori al fine di cui al punto i);
iii)
limitato ai dati sul contenuto e ai relativi dati sul traffico strettamente necessari al fine di cui al punto i);
iv)
limitato a quanto strettamente necessario al fine di cui al punto i);
b)
le tecnologie utilizzate al fine di cui alla lettera a), punto i), del presente paragrafo siano conformi allo stato dell’arte del settore e le meno invasive della vita privata, anche per quanto riguarda il principio della protezione dei dati fin dalla progettazione e per impostazione predefinita di cui all’articolo 25 del regolamento (UE) 2016/679 e, nella misura in cui siano utilizzate per scansionare testo contenuto in comunicazioni, non siano in grado di dedurre la sostanza del contenuto delle comunicazioni, ma siano in grado unicamente di rilevare gli schemi ricorrenti che evidenziano possibili abusi sessuali online su minori;
c)
in relazione a qualsiasi tecnologia specifica utilizzata al fine di cui alla lettera a), punto i), del presente paragrafo siano state eseguite una valutazione d’impatto preventiva sulla protezione dei dati a norma dell’articolo 35 del regolamento (UE) 2016/679 e una procedura di consultazione preventiva di cui all’articolo 36 di tale regolamento;
d)
in relazione alle nuove tecnologie, vale a dire la tecnologia utilizzata ai fini dell’accertamento di materiale pedopornografico online che non è stata utilizzata da alcun fornitore in relazione a servizi forniti agli utenti di servizi di comunicazione interpersonale indipendenti dal numero («utenti») nell’Unione prima del 2 agosto 2021, e in relazione alla tecnologia utilizzata per individuare eventuali casi di adescamento di minori, il fornitore riferisca all’autorità competente in merito alle misure adottate per dimostrare la conformità al parere scritto emesso a norma dell’articolo 36, paragrafo 2, del regolamento (UE) 2016/679 dall’autorità di controllo competente designata a norma del capo VI, sezione 1, di tale regolamento («autorità di controllo») nel corso della procedura di consultazione preventiva;
e)
le tecnologie utilizzate siano sufficientemente affidabili in quanto limitano il più possibile il tasso di errori relativi all’accertamento di contenuti che rappresentano abusi sessuali online sui minori e, qualora si verifichino tali errori occasionali, le loro conseguenze siano corrette senza indugio;
f)
le tecnologie utilizzate per individuare schemi ricorrenti di possibile adescamento di minori siano limitate all’uso di indicatori chiave pertinenti e fattori di rischio oggettivamente identificati, quali la differenza di età e il probabile coinvolgimento di un minore nella comunicazione sottoposta a scansione, fatto salvo il diritto alla verifica umana;
g)
i fornitori:
i)
abbiano istituito procedure interne per prevenire abusi, accesso non autorizzato e trasferimenti non autorizzati di dati personali e di altri dati;
ii)
garantiscano il controllo e, ove necessario, l’intervento umani nel quadro del trattamento dei dati personali e di altri dati che utilizza tecnologie che rientrano nell’ambito di applicazione del presente regolamento;
iii)
garantiscano che il materiale che non sia stato precedentemente identificato come materiale pedopornografico online o adescamento di minori non sia segnalato alle autorità di contrasto o alle organizzazioni che agiscono nell’interesse pubblico contro gli abusi sessuali sui minori senza previa conferma umana;
iv)
abbiano stabilito procedure e meccanismi di ricorso adeguati per garantire che gli utenti possano presentare loro reclami entro un periodo di tempo ragionevole per presentare osservazioni;
v)
informino gli utenti in modo chiaro, visibile e comprensibile del fatto che si sono avvalsi, conformemente al presente regolamento, della deroga dall’, paragrafo 1, e dall’, paragrafo 1, della direttiva 2002/58/CE concernenti la riservatezza delle comunicazioni degli utenti, al solo scopo di cui alla lettera a), punto i), del presente paragrafo, la logica alla base delle misure che hanno intrapreso nell’ambito della deroga e l’impatto sulla riservatezza delle comunicazioni degli utenti, compresa la possibilità che i dati personali siano condivisi con le autorità di contrasto e le organizzazioni che agiscono nell’interesse pubblico contro l’abuso sessuale sui minori;
vi)
comunichino agli utenti quanto segue, qualora il loro contenuto sia stato rimosso, il loro conto sia stato bloccato o un servizio che era stato loro offerto sia stato sospeso:
1)
le modalità con cui presentare un ricorso;
2)
la possibilità di presentare un reclamo all’autorità di controllo; e
3)
il diritto a un ricorso giurisdizionale;
vii)
entro il 3 febbraio 2022 e successivamente entro il 31 gennaio di ogni anno, pubblichino e presentino una relazione all’autorità di controllo competente e alla Commissione sul trattamento dei dati personali ai sensi del presente regolamento, indicando:
1)
il tipo e il volume dei dati trattati;
2)
il motivo specifico alla base del trattamento a norma del regolamento (UE) 2016/679;
3)
i motivi su cui si basano i trasferimenti di dati personali al di fuori dell’Unione a norma del capo V del regolamento (UE) 2016/679, ove applicabile;
4)
il numero di casi identificati di abusi sessuali online sui minori con la distinzione fra materiale pedopornografico online e adescamento di minori;
5)
il numero di casi in cui un utente ha presentato un reclamo attraverso il meccanismo interno di ricorso o rivolgendosi a un’autorità giudiziaria e l’esito di tali reclami;
6)
il numero e il tasso di errori (falsi positivi) delle diverse tecnologie utilizzate;
7)
le misure applicate per limitare il tasso di errore e il relativo risultato conseguito;
8)
la politica di conservazione dei dati e le garanzie applicate in materia di protezione dei dati a norma del regolamento (UE) 2016/679;
9)
i nomi delle organizzazioni che agiscono nell’interesse pubblico contro gli abusi sessuali sui minori con le quali sono stati condivisi dati a norma del presente regolamento;
h)
qualora sia stato individuato un presunto abuso sessuale online di minori, i dati sul contenuto e i relativi dati sul traffico trattati per la finalità di cui alla lettera a), punto i), e i dati personali generati mediante tale trattamento siano conservati in modo sicuro unicamente per le finalità di:
i)
segnalare senza indugio il presunto abuso sessuale online sui minori alle competenti autorità di contrasto e giudiziarie o alle organizzazioni che agiscono nell’interesse pubblico contro l’abuso sessuale sui minori;
ii)
bloccare il conto dell’utente interessato o sospendere o porre fine a un servizio offertogli;
iii)
creare una firma digitale unica e non riconvertibile («hash») di dati identificati in modo affidabile come materiale pedopornografico online;
iv)
consentire all’utente interessato di presentare ricorso presso il fornitore o chiedere l’avvio di un riesame amministrativo o di ricorsi giurisdizionali su questioni relative al presunto abuso sessuale online sui minori; oppure
v)
rispondere alle richieste delle autorità giudiziarie e di contrasto competenti in conformità del diritto applicabile di fornire loro i dati necessari per la prevenzione, l’accertamento, l’indagine o il perseguimento di reati di cui alla direttiva 2011/93/UE;
i)
i dati siano conservati per un arco di tempo non superiore a quanto strettamente necessario per lo scopo pertinente di cui alla lettera h) e, in ogni caso, non oltre 12 mesi dalla data di identificazione del presunto abuso sessuale sui minori online;
j)
ogni caso di sospetto ragionevole e verificato di abuso sessuale online sui minori sia segnalato senza indugio alle autorità di contrasto nazionali competenti o alle organizzazioni che agiscono nell’interesse pubblico contro gli abusi sessuali sui minori.
2. La condizione di cui al paragrafo 1, lettera c), non si applica fino al 3 aprile 2022 ai fornitori che:
a)
utilizzavano una tecnologia specifica prima del 2 agosto 2021 ai fini indicati al paragrafo 1, lettera a), punto i), senza aver precedentemente completato una procedura di consultazione preventiva in relazione a tale tecnologia;
b)
avviano tale procedura di consultazione preventiva prima del 3 settembre 2021; e
c)
cooperano debitamente con l’autorità di controllo competente in relazione alla procedura di consultazione preventiva di cui alla lettera b).
3. La condizione di cui al paragrafo 1, lettera d), non si applica fino al 3 aprile 2022 ai fornitori che:
a)
utilizzavano una tecnologia di cui al paragrafo 1, lettera d), prima del 2 agosto 2021 senza aver precedentemente completato una procedura di consultazione preventiva in relazione a tale tecnologia;
b)
avviano una procedura di cui al paragrafo 1, lettera d), prima del 3 settembre 2021; e
c)
cooperano debitamente con l’autorità di controllo competente in relazione alla procedura di cui al paragrafo 1, lettera d).
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg:2021:1232:oj#art-3