L’Unione Europea sta cercando da anni di creare regole uniformi nel mercato unico digitale per pro­teg­ge­re meglio i con­su­ma­to­ri e i titolari dei diritti. Il Re­go­la­men­to relativo al rispetto della vita privata e alla tutela dei dati personali nelle co­mu­ni­ca­zio­ni elet­tro­ni­che, chiamato più co­mu­ne­men­te Re­go­la­men­to ePrivacy, è ancora in di­scus­sio­ne in questo contesto. In questo modo l’Unione Europea desidera formulare in maniera vin­co­lan­te le leggi sulla pro­te­zio­ne dei dati, così che valgano in tutta l’UE. Oltre a questo re­go­la­men­to, da maggio 2018 è in vigore il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati dell’Unione Europea (RGPD). A oggi non è ancora stato deciso quando il Re­go­la­men­to ePrivacy entrerà in vigore e quali requisiti concreti saranno imposti alle imprese che operano in campo digitale.

Consiglio

Il Re­go­la­men­to ePrivacy è qualcosa di ben distinto dal Re­go­la­men­to generale sulla pro­te­zio­ne dei dati. Se volete in­for­mar­vi al riguardo, potete leggere il nostro  articolo det­ta­glia­to sul Re­go­la­men­to generale sulla pro­te­zio­ne dei dati (GDPR).

Di che cosa tratta il Re­go­la­men­to ePrivacy?

Con il Re­go­la­men­to ePrivacy (uf­fi­cial­men­te: Re­gu­la­tion of the European Par­lia­ment and of the Council con­cer­ning the respect for private life and the pro­tec­tion of personal data in elec­tro­nic com­mu­ni­ca­tions and repealing Directive 2002/58/EC), l’Unione Europea intende raf­for­za­re la sfera privata dei cittadini nella co­mu­ni­ca­zio­ne online e regolare più in­ten­si­va­men­te la pro­te­zio­ne dei dati all’interno dell’Unione Europea. Alla base vi è inoltre l’idea di far sì che le persone tornino nuo­va­men­te a dare fiducia alle vie di co­mu­ni­ca­zio­ni digitali. Il Re­go­la­men­to ePrivacy, non ancora entrato in vigore, è la terza e pre­su­mi­bil­men­te ultima misura di un’ini­zia­ti­va pensata per norme e re­go­la­men­ti vin­co­lan­ti sulla pro­te­zio­ne dei dati europei, dopo la prima direttiva sulla pro­te­zio­ne dei dati (direttiva 95/46/CE) e la direttiva ePrivacy (2002/58/CE). In breve, la prevista ePrivacy dell’UE dovrebbe si­gni­fi­ca­re che la privacy e la pro­te­zio­ne dei dati non saranno più limitate dai confini nazionali (almeno all’interno dell’UE).

Con questa ini­zia­ti­va l’UE in­tra­pren­de un percorso as­so­lu­ta­men­te ne­ces­sa­rio: è infatti risaputo che Internet non conosce limiti. Ma qual è il vero obiettivo delle autorità europee con il Re­go­la­men­to ePrivacy? In­nan­zi­tut­to, è im­por­tan­te mettere in chiaro che il Re­go­la­men­to ePrivacy in­te­res­se­rà più aziende di quante non abbia mai fatto alcun’altra legge pre­ce­den­te sulla tutela dei dati. Le proposte che do­vreb­be­ro entrare in vigore si rivolgono con­cre­ta­men­te ai gestori dei siti web e ai pro­dut­to­ri di programmi software, come ad esempio Meta (ex Facebook), Google e Zoom, e quindi in linea di massima all’intero settore online.

Un cam­bia­men­to im­por­tan­te sarà fatto so­prat­tut­to per quanto riguarda l’utilizzo dei cookie: il rifiuto di cookie non necessari dovrebbe essere infatti reso più facile per i vi­si­ta­to­ri dei siti web ed essere con­trol­la­to, ad esempio, tramite le im­po­sta­zio­ni del browser. I gestori di siti web possono usufruire dei cookie solamente previo espresso consenso dell’utente o nel caso in cui si tratti di “cookie tec­ni­ca­men­te necessari”, che per­met­to­no il fun­zio­na­men­to corretto di un sito web (ad esempio i cookie di login). Se l’utente decidesse di non ac­con­sen­ti­re al loro utilizzo, in futuro dovrebbe comunque essere in grado di poter accedere ai contenuti della pagina. Invece di un opt-out sarebbe perciò ne­ces­sa­rio in­tro­dur­re un pro­ce­di­men­to double opt-in.

Per renderlo realtà è però ne­ces­sa­rio che anche gli svi­lup­pa­to­ri dei vari browser facciano la loro parte: secondo la bozza attuale, in futuro i browser do­vreb­be­ro offrire agli utenti la pos­si­bi­li­tà di regolare il proprio tracking. Qualcuno può attivare i cookie per seguire la mia na­vi­ga­zio­ne? E se sì, costui dev’essere di­ret­ta­men­te il provider del sito o può essere anche una terza parte? A essere in di­scus­sio­ne è anche il come dovrebbe apparire la pre­im­po­sta­zio­ne, ovvero se debba essere l’utente a dover attivarsi per la pro­te­zio­ne della propria sfera privata o meno.

Il RGPD si basa quan­to­me­no sul principio di “Privacy by Default”: le im­po­sta­zio­ni sulla tutela dei propri dati do­vreb­be­ro essere tanto strin­gen­ti quanto lo si desidera una volta in­stal­la­to il browser, così come poter essere suc­ces­si­va­men­te al­leg­ge­ri­te dall’utente. Ge­ne­ral­men­te gli unici servizi di tracking che non do­vreb­be­ro ne­ces­si­ta­re del consenso esplicito da parte degli utenti sono quelli la cui finalità è puramente sta­ti­sti­ca.

N.B.

Ancora più che il RGPD, è prin­ci­pal­men­te la direttiva ePrivacy a regolare la raccolta e l’uso dei cookie da parte dei gestori dei siti web, nota anche come direttiva europea sui cookie, volta a tutelare i con­su­ma­to­ri.

Nella bozza del re­go­la­men­to è stata presa perciò in con­si­de­ra­zio­ne anche la co­mu­ni­ca­zio­ne da macchina a macchina. In questo modo l’UE ha reagito alle sfide che porta con sé l’Internet delle cose. Quanto detto finora vale anche per questo tipo di tra­smis­sio­ne dati, così come per tutte quelle in cui sono coinvolti di­ret­ta­men­te gli utenti. Il tutto è stato pia­ni­fi­ca­to in modo che i di­spo­si­ti­vi co­mu­ni­chi­no i dati personali solo una volta aver ottenuto il consenso da parte degli utenti. Questo potrebbe in­te­res­sa­re ad esempio anche i dati GPS degli smart­pho­ne.

Ge­ne­ral­men­te l’utente dovrebbe essere informato su quali dati a lui relativi vengono raccolti e a quale scopo. Perciò il consenso non dovrebbe essere nascosto tra le con­di­zio­ni generali o essere associato ad altri servizi. Questo è permesso se ad esempio dovete tra­sfe­ri­re dei dati durante una sessione di online shopping, cosa che avviene sempre. Non lo è invece se questi dati vengono uti­liz­za­ti a scopi pub­bli­ci­ta­ri. In tal caso sarà ne­ces­sa­rio un ulteriore, specifico consenso.

Il re­go­la­men­to ePrivacy, tuttavia, non dovrebbe limitarsi ad arginare la raccolta di dati da parte delle aziende. Infatti, anche i siti dello Stato do­vreb­be­ro essere molto più regolati tramite di esso. Per questo motivo dovrebbe diventare ob­bli­ga­to­ria anche una crit­to­gra­fia end-to-end: ogni tra­smis­sio­ne dati dovrebbe avvenire in maniera com­ple­ta­men­te crit­to­gra­fa­ta e non ac­ces­si­bi­le neanche da parte dei governi. L’im­po­sta­zio­ne delle co­sid­det­te backdoor dovrebbe essere ob­bli­ga­to­ria­men­te vietata: tali “porte di servizio” per l’accesso ai dati da parte dei governi, spesso create dagli svi­lup­pa­to­ri, sarebbero perciò illegali.

Ma l’ePrivacy non riguarda solo e uni­ca­men­te Internet, bensì interessa anche il marketing diretto. Mentre per l’e-mail marketing non cambia pra­ti­ca­men­te nulla, il re­go­la­men­to re­go­la­men­ta in maniera più decisa il marketing per telefono: la proposta recita che le chiamate te­le­fo­ni­che a scopi pub­bli­ci­ta­ri sono accettate solo quando colui che chiama rivela il proprio numero te­le­fo­ni­co o utilizza un codice univoco, al fine di segnalare che si tratta di una chiamata pub­bli­ci­ta­ria.

Re­go­la­men­to ePrivacy vs linee guida sull’ePrivacy vs Re­go­la­men­to generale sulla pro­te­zio­ne dei dati

Il Re­go­la­men­to ePrivacy ha come scopo quello di so­sti­tui­re le ormai arretrate linee guida sulla ePrivacy e di af­fian­ca­re e quindi sostenere il Re­go­la­men­to generale dell’Unione Europea. Il vecchio re­go­la­men­to esiste dal 2002 ed è stato ampliato nel 2009. Le linee guida della Comunità europea non sono però un diritto con efficacia immediata e vin­co­lan­te, ma piuttosto una direttiva che deve suc­ces­si­va­men­te essere adottata nelle leggi nazionali. Per fare ciò, ai singoli Stati Membri viene dato una scadenza a lungo termine.

Ma nel caso di un re­go­la­men­to la questione è com­ple­ta­men­te diversa: infatti con il Re­go­la­men­to ePrivacy, così come per il RGPD, si tratta di un diritto che si espande a tutta l’Unione Europea, che entra in vigore im­me­dia­ta­men­te e che è valido e vin­co­lan­te per tutti i paesi dell’Unione Europea. La legge può avere tuttavia un periodo di tran­si­zio­ne, come ad esempio è successo per il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati dell’Unione Europea, entrato in vigore il 25 maggio 2018 per tutti i cittadini dell’UE.

L’in­tro­du­zio­ne del RGPD ha creato tuttavia ulteriore con­fu­sio­ne. Domande come: a che cosa mi devo attenere? Una volta che entrambi saranno entrati in vigore, la risposta sarà: a entrambi! L’idea è quella che le norme per la ePrivacy con­cre­tiz­zi­no il RGPD. Il Re­go­la­men­to ePrivacy è una sorta di lex specialis, il che significa che ha la pre­ce­den­za sul Re­go­la­men­to generale, che vale invece come lex generalis. In poche parole, il RGPD è la base sulla quale il Re­go­la­men­to ePrivacy in­ter­vie­ne, con il compito di rendere più chiari alcuni specifici punti con delle leggi più precise. Infatti, il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati dell’Unione europea non è stato pensato uni­ca­men­te per Internet, mentre quello sull’ePrivacy sì.

Inoltre, il Re­go­la­men­to ePrivacy contiene clausole di apertura, così da lasciare un po’ di margine per delle eventuali norme locali che vanno a in­fluen­za­re l’ap­pli­ca­zio­ne di alcuni punti dei re­go­la­men­ti. Cio­no­no­stan­te, le norme che con­trad­di­co­no quanto stabilito dalle leggi europee devono essere mo­di­fi­ca­te e adattate dalle autorità nazionali.

Quando entrerà in vigore il Re­go­la­men­to ePrivacy?

Il Re­go­la­men­to ePrivacy è in di­scus­sio­ne dall’aprile del 2016, ma non si è ancora arrivati a un risultato adeguato. A gennaio 2017 la Com­mis­sio­ne europea ha pub­bli­ca­to una prima bozza, contro la quale si sono però espressi diversi comitati, il che ha portato alla stesura di una seconda bozza da parte del Par­la­men­to europeo a ottobre 2017 (con il RGPD già approvato). Dopo quasi un mese il Comitato di pre­si­den­za dell’Unione europea ha pub­bli­ca­to un rapporto spe­cia­li­sti­co, all’interno del quale veniva riassunto lo stato attuale delle cose. Da allora la si­tua­zio­ne non è cambiata. Il prossimo passo spetta al Consiglio europeo che deve decidere il da farsi riguardo alla bozza.

Ori­gi­na­ria­men­te era pia­ni­fi­ca­to che il Re­go­la­men­to ePrivacy e il RGPD en­tras­se­ro in vigore si­mul­ta­nea­men­te. Da questa in­ten­zio­ne ci si è poi di­stac­ca­ti: per anni gli Stati membri dell’UE non sono stati in grado di con­cor­da­re una linea comune. Ma si comincia a in­tra­ve­de­re un primo raggio di sole alla fine del tunnel: nel febbraio 2021, il Consiglio dei ministri dell’UE è riuscito a con­cor­da­re una versione comune, che ha dato avvio al trilogo. Ciò significa che gli attuali rap­pre­sen­tan­ti dei tre organi coinvolti nel processo le­gi­sla­ti­vo dell’UE, cioè la Com­mis­sio­ne UE, il Par­la­men­to e il Consiglio dei ministri, stanno ne­go­zian­do.

Anche con il Re­go­la­men­to ePrivacy sarà previsto un periodo tran­si­to­rio della durata di due anni, non è quindi ne­ces­sa­rio attivarsi im­me­dia­ta­men­te per adeguarsi alle norme contenute nella bozza attuale. Nel 2022, è la Francia a eser­ci­ta­re la pre­si­den­za del Consiglio, suc­ce­den­do a Por­to­gal­lo e Germania, che finora hanno fallito con le loro proposte.

Critiche nei confronti del progetto

Il cam­bia­men­to apportato dal Re­go­la­men­to ePrivacy, così com’è al momento, coinvolge so­prat­tut­to i gestori di offerte online e l’intera branca dell’online marketing; oltre chia­ra­men­te ai cittadini, i quali vedranno la propria sfera privata più protetta. Perciò è meno sor­pren­den­te che questi due settori siano quelli più avversi alla riforma. In modo par­ti­co­la­re il settore pub­bli­ci­ta­rio lamenta quelle che sono le in­ten­zio­ni dell’Unione Europea:

  • Maggiori sforzi da parte degli utenti: l’intero settore pro­no­sti­ca che in futuro gli utenti saranno so­praf­fat­ti dal numero di consensi previsti dal Re­go­la­men­to ePrivacy. Si stima che per ogni tra­smis­sio­ne di dati sarà ne­ces­sa­rio con­fer­ma­re (o meno) il proprio consenso.
  • A rischio il fi­nan­zia­men­to dei media online: il punto mag­gior­men­te criticato è che i media online fi­nan­zia­ti dalla pub­bli­ci­tà sarebbero a rischio. At­tual­men­te, infatti, la so­prav­vi­ven­za di alcuni blog, pagine online di giornali e altri media dipende da un modello economico basato sull’in­se­ri­men­to della pub­bli­ci­tà. Gli utenti non con­tri­bui­sco­no eco­no­mi­ca­men­te ma at­tra­ver­so il loro consumo pub­bli­ci­ta­rio. L’in­te­gra­zio­ne di pub­bli­ci­tà si basa in primis sui dati raccolti dagli operatori pub­bli­ci­ta­ri at­tra­ver­so il tracking. Se il re­go­la­men­to dovesse entrare in vigore nella sua forma attuale, tale pub­bli­ci­tà sarebbe possibile solo at­tra­ver­so il consenso esplicito da parte degli utenti, i quali però po­treb­be­ro ri­fiu­tar­si. Una parte del settore dell’online marketing teme che in questo modo sarebbe impedita la di­spo­ni­bi­li­tà gratuita di in­for­ma­zio­ni su Internet, così come la co­no­scia­mo.
  • Mancanza di coerenza con RGPD: ci sarebbero alcuni punti con­tra­stan­ti con il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati dell’Unione Europea. I comitati com­pe­ten­ti prevedono così che il nuovo re­go­la­men­to, di­ver­sa­men­te da quanto pro­no­sti­ca­to dalla Com­mis­sio­ne dell’Unione Europea, non porterà maggiore chiarezza in materia di pro­te­zio­ne dei dati nella co­mu­ni­ca­zio­ne online, ma semmai maggiore caos da un punto di vista giuridico. Si teme infatti che già dopo breve tempo sarà ne­ces­sa­rio apportare delle modifiche ai cam­bia­men­ti previsti dal Re­go­la­men­to ePrivacy e che sono stati pensati per il RGPD.

Vi preghiamo di osservare la nota legale relativa a questo articolo.

Vai al menu prin­ci­pa­le