Per renderlo realtà è però necessario che anche gli sviluppatori dei vari browser facciano la loro parte: secondo la bozza attuale, in futuro i browser dovrebbero offrire agli utenti la possibilità di regolare il proprio tracking. Qualcuno può attivare i cookie per seguire la mia navigazione? E se sì, costui dev’essere direttamente il provider del sito o può essere anche una terza parte? A essere in discussione è anche il come dovrebbe apparire la preimpostazione, ovvero se debba essere l’utente a dover attivarsi per la protezione della propria sfera privata o meno.
Il RGPD si basa quantomeno sul principio di “Privacy by Default”: le impostazioni sulla tutela dei propri dati dovrebbero essere tanto stringenti quanto lo si desidera una volta installato il browser, così come poter essere successivamente alleggerite dall’utente. Generalmente gli unici servizi di tracking che non dovrebbero necessitare del consenso esplicito da parte degli utenti sono quelli la cui finalità è puramente statistica.
Nella bozza del regolamento è stata presa perciò in considerazione anche la comunicazione da macchina a macchina. In questo modo l’UE ha reagito alle sfide che porta con sé l’Internet delle cose. Quanto detto finora vale anche per questo tipo di trasmissione dati, così come per tutte quelle in cui sono coinvolti direttamente gli utenti. Il tutto è stato pianificato in modo che i dispositivi comunichino i dati personali solo una volta aver ottenuto l’OK da parte degli utenti. Questo potrebbe interessare ad esempio anche i dati GPS degli smartphone.
Generalmente l’utente dovrebbe essere informato su quali dati a lui relativi vengono raccolti e a quale scopo. Perciò il consenso non dovrebbe essere nascosto tra le condizioni generali o essere associato ad altri servizi. Questo è permesso se ad esempio dovete trasferire dei dati durante una sessione di online shopping, cosa che avviene sempre. Non lo è invece se questi dati vengono utilizzati a scopi pubblicitari. In tal caso sarà necessario un ulteriore, specifico consenso.
Il regolamento sull’ePrivacy, tuttavia, non dovrebbe limitarsi ad arginare la raccolta di dati da parte delle aziende. Infatti anche i siti dello Stato dovrebbero essere molto più regolati tramite di esso. Per questo motivo dovrebbe diventare obbligatoria anche una crittografia end-to-end: ogni trasmissione dati dovrebbe avvenire in maniera completamente crittografata e non accessibile neanche da parte dei governi. L’impostazione delle cosiddette backdoor dovrebbe essere obbligatoriamente vietata: tali “porte di servizio” per l’accesso ai dati da parte dei governi, spesso create dagli sviluppatori, sarebbero perciò illegali.
Ma l’ePrivacy non riguarda solo e unicamente Internet, bensì interessa anche il marketing diretto. Mentre per l’e-mail marketing non cambia praticamente nulla, il regolamento regolamenta in maniera più decisa il marketing per telefono: la proposta recita che le chiamate telefoniche a scopi pubblicitari sono accettate solo quando colui che chiama rivela il proprio numero telefonico o utilizza un codice univoco, al fine di segnalare che si tratta di una chiamata pubblicitaria.