IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16, paragrafo 2, in combinato disposto con l'articolo 114, paragrafo 1,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo (1),

deliberando secondo la procedura legislativa ordinaria (2),

considerando quanto segue:

1) La direttiva 2002/58/CE del Parlamento europeo e del Consiglio (3) stabilisce regole che garantiscono il diritto alla vita privata e alla riservatezza in relazione al trattamento dei dati personali negli scambi di dati nel settore delle comunicazioni elettroniche. Tale direttiva precisa e integra il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (4).

2) La direttiva 2002/58/CE si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico. Fino al 21 dicembre 2020 si applicava la definizione di servizio di comunicazione elettronica di cui all'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio (5). In tale data la direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio (6) ha abrogato la direttiva 2002/21/CE. La definizione di «servizio di comunicazione elettronica» di cui all'articolo 2, punto 4, della direttiva (UE) 2018/1972 comprende i servizi di comunicazione interpersonale indipendenti dal numero quali definiti all'articolo 2, punto 7, di tale direttiva. I servizi di comunicazione interpersonale indipendenti dal numero, che comprendono per esempio il Voice over Internet Protocol, i servizi di messaggistica e i servizi di posta elettronica basati sul web, sono pertanto rientrati nell'ambito di applicazione della direttiva 2002/58/CE il 21 dicembre 2020.

3) A norma dell'articolo 6, paragrafo 1, del trattato sull'Unione europea (TUE), l'Unione riconosce i diritti, le libertà e i principi sanciti nella Carta dei diritti fondamentali dell'Unione europea («Carta»). L'articolo 7 della Carta tutela il diritto fondamentale di ogni persona al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni, diritto che comprende la riservatezza delle comunicazioni. L'articolo 8 della Carta sancisce il diritto alla protezione dei dati personali.

4) L'articolo 3, paragrafo 1, della convenzione delle Nazioni Unite sui diritti del fanciullo del 1989 (UNCRC) e l'articolo 24, paragrafo 2, della Carta stabiliscono che in tutti gli atti relativi ai minori, siano essi compiuti da autorità pubbliche o da istituzioni private, l'interesse superiore del minore deve essere considerato preminente. L'articolo 3, paragrafo 2, UNCRC e l'articolo 24, paragrafo 1, della Carta evocano inoltre il diritto dei minori a tale protezione e alle cure necessarie per il loro benessere.

5) La protezione dei minori, sia offline che online, è una delle priorità dell'Unione. L'abuso e lo sfruttamento sessuale dei minori costituiscono gravi violazioni dei diritti umani e dei diritti fondamentali, in particolare dei diritti dei minori a essere protetti da ogni forma di violenza, abuso e abbandono, maltrattamento o sfruttamento, compreso l'abuso sessuale, come stabilito dall'UNCRC e dalla Carta. La digitalizzazione ha apportato alla società e all'economia molti vantaggi, ma ha apportato anche sfide, tra cui un aumento degli abusi sessuali online sui minori. Il 24 luglio 2020 la Commissione ha adottato una comunicazione dal titolo «Strategia dell'UE per una lotta più efficace contro gli abusi sessuali sui minori» («strategia»). La strategia mira a fornire una risposta efficace a livello di Unione al reato di abuso sessuale sui minori.

6) In linea con la direttiva 2011/93/UE del Parlamento europeo e del Consiglio (7), il presente regolamento non intende disciplinare le politiche degli Stati membri in ordine agli atti sessuali consensuali che possono compiere i minori e che possono essere considerati la normale scoperta della sessualità legata allo sviluppo della persona, tenendo conto delle diverse tradizioni culturali e giuridiche e delle nuove forme con cui bambini e adolescenti stabiliscono e mantengono rapporti tra di loro, anche a mezzo di tecnologie dell'informazione e della comunicazione.

7) Alcuni fornitori di determinati servizi di comunicazione interpersonale indipendenti dal numero («fornitori»), come i servizi di messaggistica e di posta elettronica, utilizzano già su base volontaria tecnologie specifiche per individuare gli abusi sessuali online sui minori sui propri servizi e per segnalarli alle autorità di contrasto e alle organizzazioni che agiscono nell'interesse pubblico contro gli abusi sessuali sui minori, attraverso la scansione del contenuto, per esempio immagini e testo, o dei dati sul traffico delle comunicazioni, utilizzando in alcuni casi dati storici. La tecnologia utilizzata per tali attività potrebbe consistere nella tecnologia hashing per le immagini e i video e nei classificatori e nell'intelligenza artificiale per l'analisi del testo o di dati sul traffico. Nell'utilizzo della tecnologia hashing, il materiale pedopornografico online è segnalato quando si ottiene un riscontro positivo, ovvero una corrispondenza derivante da un confronto tra un'immagine o un video e una firma digitale unica e non riconvertibile («hash») proveniente da una banca dati detenuta da un'organizzazione che agisce nell'interesse pubblico contro gli abusi sessuali sui minori che contiene materiale pedopornografico online verificato. Tali fornitori si rivolgono alle linee nazionali di pronto intervento per la segnalazione di materiale pedopornografico online e alle organizzazioni, sia all'interno dell'Unione che nei paesi terzi, che si prefiggono di identificare i minori, ridurre lo sfruttamento sessuale dei minori e gli abusi sessuali sui minori e prevenire la vittimizzazione dei minori. Tali organizzazioni potrebbero non rientrare nell'ambito di applicazione del regolamento (UE) 2016/679. A livello collettivo tali attività effettuate su base volontaria sono fondamentali in quanto consentono di identificare e soccorrere le vittime, i cui diritti fondamentali alla dignità umana e all'integrità fisica e mentale sono gravemente violati. Tali attività effettuate su base volontaria sono inoltre importanti in quanto riducono l'ulteriore diffusione di materiale pedopornografico online e contribuiscono all'identificazione degli autori dei reati e alle indagini su questi ultimi nonché alla prevenzione, all'accertamento, all'indagine e al perseguimento dei reati di abuso sessuale sui minori.

8) Nonostante il loro obiettivo legittimo, le attività su base volontaria da parte dei fornitori per individuare gli abusi sessuali online sui minori sui propri servizi e per segnalarli, costituiscono un'interferenza nei diritti fondamentali al rispetto della vita privata e familiare e alla protezione dei dati personali di tutti gli utenti di servizi di comunicazione interpersonale indipendenti dal numero («utenti»). Qualsiasi limitazione all'esercizio del diritto fondamentale al rispetto della vita privata e familiare, inclusa la riservatezza delle comunicazioni, non può essere meramente giustificata dal fatto che i fornitori utilizzavano già talune tecnologie quando i servizi di comunicazione interpersonale indipendenti dal numero non rientravano nella definizione di «servizi di comunicazione elettronica». Tali limitazioni sono possibili solo a determinate condizioni. A norma dell'articolo 52, paragrafo 1, della Carta, tali limitazioni devono essere previste dalla legge e devono rispettare il contenuto essenziale dei diritti alla vita privata e familiare e alla protezione dei dati personali e, nel rispetto del principio di proporzionalità, devono essere necessarie e rispondere effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui. Quando implicano in modo permanente il monitoraggio e l'analisi generalizzati e indifferenziati delle comunicazioni di tutti gli utenti, tali limitazioni interferiscono con il diritto alla riservatezza delle comunicazioni.

9) Fino al 20 dicembre 2020 il trattamento dei dati personali da parte dei fornitori mediante misure volontarie al fine di individuare gli abusi sessuali online sui minori sui propri servizi e segnalarli e rimuovere il materiale pedopornografico online dai propri servizi era disciplinato unicamente dal regolamento (UE) 2016/679. La direttiva (UE) 2018/1972, che doveva essere recepita entro il 20 dicembre 2020, ha incluso i fornitori nell'ambito di applicazione della direttiva 2002/58/CE. Per continuare ad adottare tali misure volontarie dopo il 20 dicembre 2020, i fornitori dovrebbero soddisfare le condizioni previste dal presente regolamento. Il regolamento (UE) 2016/679 continuerà ad applicarsi al trattamento dei dati personali effettuato mediante tali misure volontarie.

10) La direttiva 2002/58/CE non contempla disposizioni specifiche relative al trattamento dei dati personali da parte dei fornitori in relazione alla fornitura di servizi di comunicazione elettronica al fine di individuare gli abusi sessuali online sui minori sui propri servizi e segnalarli e rimuovere il materiale pedopornografico online dai propri servizi. Tuttavia, a norma dell'articolo 15, paragrafo 1, della direttiva 2002/58/CE, gli Stati membri possono adottare misure legislative intese a limitare la portata dei diritti e degli obblighi di cui, tra l'altro, agli articoli 5 e 6 di tale direttiva, che riguardano la riservatezza delle comunicazioni e dei dati relativi al traffico, a fini di prevenzione, accertamento, indagine e perseguimento dei reati connessi agli abusi sessuali sui minori. In assenza di tali misure legislative nazionali e in attesa dell'adozione di un quadro giuridico a più lungo termine per contrastare gli abusi sessuali sui minori a livello di Unione, i fornitori non possono più basarsi sul regolamento (UE) 2016/679 per continuare ad applicare misure su base volontaria per individuare gli abusi sessuali online sui minori sui propri servizi e segnalarli e rimuovere il materiale pedopornografico online dai loro servizi oltre il 21 dicembre 2020. Il presente regolamento non fornisce una base giuridica per il trattamento di dati personali da parte dei fornitori al solo scopo di individuare gli abusi sessuali online sui minori sui propri servizi e segnalarli e di rimuovere il materiale pedopornografico dai loro servizi, ma stabilisce una deroga a talune disposizioni della direttiva 2002/58/CE. Il presente regolamento predispone garanzie supplementari che i fornitori devono rispettare se intendono avvalersene.

11) Il trattamento dei dati ai fini del presente regolamento potrebbe comportare il trattamento di categorie particolari di dati personali di cui al regolamento (UE) 2016/679. Il trattamento di immagini e video da parte di strumenti tecnici specifici che consentono l'identificazione o l'autenticazione univoca di una persona fisica è considerato un trattamento di categorie particolari di dati personali.

12) Il presente regolamento prevede una deroga temporanea all'articolo 5, paragrafo 1, e all'articolo 6, paragrafo 1, della direttiva 2002/58/CE, che tutelano la riservatezza delle comunicazioni e dei dati relativi al traffico. L'uso volontario da parte dei fornitori di tecnologie per il trattamento di dati personali e di altro tipo nella misura necessaria a individuare gli abusi sessuali online sui minori sui propri servizi e segnalarli e a rimuovere materiale pedopornografico online dai propri servizi rientra nell'ambito di applicazione della deroga prevista dal presente regolamento, purché tale uso soddisfi le condizioni stabilite nel presente regolamento e sia di conseguenza soggetto alle garanzie e alle condizioni stabilite nel regolamento (UE) 2016/679.

13) La direttiva 2002/58/CE è stata adottata sulla base dell'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE). Inoltre non tutti gli Stati membri hanno adottato misure legislative a norma della direttiva 2002/58/CE per limitare la portata dei diritti e degli obblighi relativi alla riservatezza delle comunicazioni e dei dati sul traffico stabiliti in tale direttiva, e l'adozione di tali misure comporta un rischio significativo di frammentazione che potrebbe incidere negativamente sul mercato interno. Pertanto, il presente regolamento dovrebbe basarsi sull'articolo 114 TFUE.

14) Poiché i dati relativi alle comunicazioni elettroniche riguardanti persone fisiche sono solitamente considerati rientranti nella categoria dei dati personali, il presente regolamento dovrebbe altresì basarsi sull'articolo 16 TFUE, che costituisce una base giuridica specifica per l'adozione di norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell'Unione e degli Stati membri nello svolgimento di attività che rientrano nell'ambito di applicazione del diritto dell'Unione, nonché di norme relative alla libera circolazione di tali dati.

15) Il regolamento (UE) 2016/679 si applica al trattamento dei dati personali in relazione alla fornitura di servizi di comunicazione elettronica mediante servizi di fornitori al solo scopo di individuare gli abusi sessuali online sui minori sui propri servizi e di segnalarli e rimuovere il materiale pedopornografico online dai propri servizi nella misura in cui tale trattamento rientra nell'ambito di applicazione della deroga prevista dal presente regolamento.

16) I tipi di tecnologie utilizzati ai fini del presente regolamento dovrebbero essere quelli meno invasivi della vita privata in conformità allo stato dell'arte del settore. Tali tecnologie non dovrebbero essere utilizzate per filtrare e scansionare in modo sistematico il testo contenuto nelle comunicazioni per scopi diversi dall'unica finalità di rilevare gli schemi ricorrenti che evidenziano possibili motivi concreti di sospettare di abusi sessuali sui minori, e non dovrebbero essere in grado di dedurre la sostanza del contenuto delle comunicazioni. Nel caso della tecnologia utilizzata per identificare l'adescamento di minori, tali motivi concreti di sospetto dovrebbero basarsi su fattori di rischio oggettivamente identificati, quali la differenza di età e il probabile coinvolgimento di un minore nella comunicazione sottoposta alla scansione.

17) Occorre predisporre procedure e meccanismi di ricorso adeguati al fine di garantire che una persona possa presentare un reclamo ai fornitori. Tali procedure e meccanismi acquistano particolare rilievo nel caso in cui contenuti che non costituiscono abusi sessuali online sui minori siano stati rimossi o segnalati alle autorità di contrasto o a un'organizzazione che agisce nell'interesse pubblico contro gli abusi sessuali sui minori.

18) Al fine di garantire la massima accuratezza e affidabilità possibili, la tecnologia utilizzata ai fini del presente regolamento dovrebbe, conformemente allo stato dell'arte del settore, limitare il più possibile il numero e il tasso di errori («falsi positivi») e, se necessario, dovrebbe rettificare senza indugio eventuali errori di questo tipo che potrebbero comunque verificarsi.

19) I dati relativi al contenuto e al traffico trattati e i dati personali generati nello svolgimento delle attività oggetto del presente regolamento, e il periodo durante il quale i dati sono successivamente conservati in caso di identificazione di presunti abusi sessuali online sui minori, dovrebbero rimanere limitati a quanto strettamente necessario per lo svolgimento di tali attività. Tutti i dati dovrebbero essere cancellati immediatamente e permanentemente non appena non siano più strettamente necessari per uno degli scopi specificati nel presente regolamento, compreso il caso in cui non sia individuato alcun presunto abuso sessuale online sui minori, e in ogni caso non oltre 12 mesi dalla data in cui sono stati scoperti presunti abusi sessuali online sui minori. Quanto sopra dovrebbe lasciare impregiudicata la possibilità di conservare i dati pertinenti relativi al contenuto e al traffico conformemente alla direttiva 2002/58/CE. Il presente regolamento non incide sull'applicazione di eventuali obblighi giuridici, previsti dal diritto dell'Unione o dal diritto nazionale, di conservazione dei dati che si applicano ai fornitori.

20) Il presente regolamento non impedisce a un fornitore che ha segnalato abusi sessuali online su minori alle autorità di contrasto di richiedere a tali autorità una conferma della ricezione della segnalazione.

21) Al fine di garantire la trasparenza e la responsabilizzazione per quanto riguarda le attività intraprese a norma della deroga di cui al presente regolamento, i fornitori dovrebbero, entro il 3 febbraio 2022 e successivamente entro il 31 gennaio di ogni anno, pubblicare e presentare delle relazioni all'autorità di controllo competente designata ai sensi del regolamento (UE) 2016/679 («autorità di controllo») e alla Commissione. Tali relazioni dovrebbero riguardare il trattamento che rientra nell'ambito di applicazione del presente regolamento, indicando il tipo e il volume dei dati trattati, il motivo specifico alla base del trattamento di dati personali a norma del regolamento (UE) 2016/679, i motivi alla base dei trasferimenti di dati personali al di fuori dell'Unione a norma del capo V del regolamento (UE) 2016/679, ove applicabile, il numero di casi di abusi sessuali online sui minori individuati, con la distinzione fra materiale pedopornografico e adescamento di minori online, il numero di casi in cui un utente ha presentato un reclamo attraverso il meccanismo interno di ricorso o ha esperito un ricorso giurisdizionale e l'esito di tali reclami e procedimenti giurisdizionali, il numero e il tasso di errori (falsi positivi) delle diverse tecnologie utilizzate, le misure applicate per limitare il tasso di errore e il relativo risultato conseguito, la politica di conservazione dei dati e le garanzie applicate in materia di protezione dei dati a norma del regolamento (UE) 2016/679 e i nomi delle organizzazioni che agiscono nell'interesse pubblico contro gli abusi sessuali sui minori e con le quali sono stati condivisi i dati a norma del presente regolamento.

22) Al fine di sostenere le autorità di controllo nello svolgimento dei loro compiti, la Commissione dovrebbe chiedere al comitato europeo per la protezione dei dati di formulare orientamenti sulla conformità dei trattamenti che rientrano nell'ambito di applicazione della deroga di cui al presente regolamento con il regolamento (UE) 2016/679. Quando le autorità di controllo valutano se una tecnologia da utilizzare, consolidata o nuova, sia conforme allo stato dell'arte del settore, sia la meno invasiva della vita privata e abbia una base giuridica adeguata a norma del regolamento (UE) 2016/679, tali orientamenti dovrebbero in particolare aiutare le autorità di controllo a fornire consulenza nell'ambito della procedura di consultazione preventiva prevista da tale regolamento.

23) Il presente regolamento limita il diritto alla tutela della riservatezza delle comunicazioni e costituisce una deroga alla decisione adottata ai sensi della direttiva (UE) 2018/1972 di assoggettare i servizi di comunicazione interpersonale indipendenti dal numero alle stesse norme che si applicano a tutti gli altri servizi di comunicazione elettronica per quanto riguarda la vita privata, al solo scopo di individuare abusi sessuali online sui minori in tali servizi e segnalarli alle autorità di contrasto e alle organizzazioni che agiscono nell'interesse pubblico contro gli abusi sessuali sui minori e di rimuovere materiale pedopornografico online da tali servizi. Il periodo di applicazione del presente regolamento dovrebbe pertanto essere limitato a tre anni dalla sua data di applicazione, in modo da prevedere un periodo necessario per l'adozione di un nuovo quadro giuridico a lungo termine. Laddove il quadro giuridico a lungo termine sia adottato ed entri in vigore prima di tale data, detto quadro giuridico a lungo termine dovrebbe abrogare il presente regolamento.

24) Per quanto riguarda tutte le altre attività che rientrano nell'ambito di applicazione della direttiva 2002/58/CE, i fornitori dovrebbero essere soggetti agli obblighi specifici stabiliti in tale direttiva e, di conseguenza, ai poteri di controllo e indagine delle autorità competenti designate a norma di tale direttiva.

25) La cifratura da punto a punto è uno strumento importante per garantire la sicurezza e la riservatezza delle comunicazioni degli utenti, comprese quelle dei minori. Qualsiasi indebolimento della cifratura potrebbe potenzialmente essere sfruttato da terzi con intenzioni malevole. Nessun elemento del presente regolamento dovrebbe pertanto essere interpretato come inteso a vietare o indebolire la crittografia end to end.

26) Il diritto al rispetto della vita privata e familiare, inclusa la riservatezza delle comunicazioni, è un diritto fondamentale garantito dall'articolo 7 della Carta. Costituisce inoltre un prerequisito per la sicurezza delle comunicazioni tra le vittime di abusi sessuali sui minori e un adulto fidato od organizzazioni attive nella lotta contro gli abusi sessuali sui minori e per le comunicazioni tra le vittime e i loro avvocati.

27) Il presente regolamento dovrebbe lasciare impregiudicate le norme in materia di segreto professionale previste dal diritto nazionale, quali le norme sulla protezione delle comunicazioni professionali, tra i medici e i pazienti, tra i giornalisti e le loro fonti o tra gli avvocati e i loro clienti, in particolare poiché la riservatezza delle comunicazioni tra gli avvocati e i loro clienti è fondamentale per garantire l'effettivo esercizio dei diritti della difesa quale componente essenziale del diritto a un equo processo. Il presente regolamento dovrebbe inoltre lasciare impregiudicate le norme nazionali sui registri delle autorità pubbliche o delle organizzazioni che offrono consulenza alle persone in difficoltà.

28) I fornitori dovrebbero comunicare alla Commissione i nomi delle organizzazioni che agiscono nell'interesse pubblico contro gli abusi sessuali sui minori cui segnalano potenziali abusi sessuali online sui minori ai sensi del presente regolamento. Sebbene sia responsabilità esclusiva dei fornitori che agiscono in qualità di titolari del trattamento valutare con quali terzi possono condividere dati personali a norma del regolamento (UE) 2016/679, la Commissione dovrebbe garantire la trasparenza per quanto riguarda il trasferimento di potenziali casi di abuso sessuale online sui minori pubblicando sul suo sito web un elenco delle organizzazioni che agiscono nell'interesse pubblico contro gli abusi sessuali sui minori che le sono comunicate. Tale elenco pubblico dovrebbe essere facilmente accessibile. Inoltre, i fornitori dovrebbero poter utilizzare l'elenco per identificare organizzazioni pertinenti nella lotta globale contro l'abuso sessuale online sui minori. Tale elenco dovrebbe lasciare impregiudicati gli obblighi dei fornitori che agiscono in qualità di titolari del trattamento a norma del regolamento (UE) 2016/679, anche per quanto riguarda l'obbligo di effettuare il trasferimento di dati personali al di fuori dell'Unione a norma del capo V di tale regolamento e di adempiere a tutti gli obblighi di cui al capo IV di tale regolamento.

29) Le statistiche che devono essere fornite dagli Stati membri ai sensi del presente regolamento sono indicatori importanti per la valutazione delle politiche, comprese le misure legislative. E' inoltre importante riconoscere le ripercussioni della vittimizzazione secondaria inerente alla condivisione di immagini e video delle vittime di abusi sessuali su minori che potrebbero circolare per anni, ripercussioni che non sono pienamente rispecchiate in tali statistiche.

30) In linea con i requisiti stabiliti dal regolamento (UE) 2016/679, in particolare l'obbligo per gli Stati membri di garantire che le autorità di controllo dispongano delle necessarie risorse umane, tecniche e finanziarie per l'efficace svolgimento dei loro compiti e per l'esercizio dei loro poteri, gli Stati membri dovrebbero garantire che le autorità di controllo dispongano di tali risorse in misura sufficiente per l'efficace svolgimento dei loro compiti e per l'esercizio dei loro poteri ai sensi del presente regolamento.

31) Qualora un fornitore abbia eseguito una valutazione d'impatto sulla protezione dei dati e abbia consultato le autorità di controllo in relazione a una tecnologia in conformità del regolamento (UE) 2016/679 prima dell'entrata in vigore del presente regolamento, tale fornitore non dovrebbe essere obbligato a norma del presente regolamento a procedere a un'ulteriore valutazione di impatto sulla protezione dei dati o consultazione, a condizione che le autorità di controllo abbiano indicato che il trattamento dei dati da parte di tale tecnologia non comporterebbe un rischio elevato per i diritti e le libertà delle persone fisiche o che siano state adottate misure da parte del titolare per attenuare tale rischio.

32) Gli utenti dovrebbero avere il diritto a un ricorso giurisdizionale effettivo qualora i loro diritti siano stati violati in seguito al trattamento di dati personali e di altro tipo al fine di individuare abusi sessuali online sui minori su servizi di comunicazione interpersonale indipendenti dal numero e segnalarli e di rimuovere materiale pedopornografico online da tali servizi, per esempio nei casi in cui il contenuto o l'identità di un utente siano stati segnalati a un'organizzazione che agisce nell'interesse pubblico contro gli abusi sessuali sui minori o alle autorità di contrasto o qualora il contenuto di un utente sia stato rimosso o il conto di un utente sia stato bloccato o il servizio offerto a un utente sia stato sospeso.

33) In linea con la direttiva 2002/58/CE e con il principio della minimizzazione dei dati, il trattamento dei dati personali dovrebbe essere limitato ai dati sul contenuto e relativi dati sul traffico, nella misura strettamente necessaria per conseguire le finalità del presente regolamento.

34) La deroga prevista dal presente regolamento dovrebbe estendersi alle categorie di dati di cui agli articoli 5, paragrafo 1, e 6, paragrafo 1, della direttiva 2002/58/CE, che si applicano al trattamento di dati personali e non personali trattati nell'ambito della fornitura di un servizio di comunicazione interpersonale indipendente dal numero.

35) L'obiettivo del presente regolamento è introdurre una deroga temporanea a talune disposizioni della direttiva 2002/58/CE senza creare frammentazione nel mercato interno. E' inoltre improbabile che tutti gli Stati membri possano adottare misure legislative nazionali in tempo. Poiché l'obiettivo del presente regolamento non può essere conseguito in misura sufficiente dagli Stati membri ma può essere conseguito meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 TUE. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo. Esso introduce una deroga temporanea e rigorosamente limitata all'applicabilità dell'articolo 5, paragrafo 1, e dell'articolo 6, paragrafo 1, della direttiva 2002/58/CE, con una serie di garanzie per assicurare che non vada oltre quanto necessario per il conseguimento dell'obiettivo fissato.

36) Il Garante europeo della protezione dei dati è stato consultato conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (8) e ha espresso il suo parere il 10 novembre 2020,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO: