Il Regolamento ePrivacy e le sue ombre: cosa c’è da sapere?
L’Unione Europea sta cercando da anni di creare regole uniformi nel mercato unico digitale per proteggere meglio i consumatori e i titolari dei diritti. Il Regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche, chiamato più comunemente Regolamento ePrivacy, è ancora in discussione in questo contesto. In questo modo l’Unione Europea desidera formulare in maniera vincolante le leggi sulla protezione dei dati, così che valgano in tutta l’UE. Oltre a questo regolamento, da maggio 2018 è in vigore il Regolamento generale sulla protezione dei dati dell’Unione Europea (RGPD). A oggi non è ancora stato deciso quando il Regolamento ePrivacy entrerà in vigore e quali requisiti concreti saranno imposti alle imprese che operano in campo digitale.
Il Regolamento ePrivacy è qualcosa di ben distinto dal Regolamento generale sulla protezione dei dati. Se volete informarvi al riguardo, potete leggere il nostro articolo dettagliato sul Regolamento generale sulla protezione dei dati (GDPR).
Di che cosa tratta il Regolamento ePrivacy?
Con il Regolamento ePrivacy (ufficialmente: Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC), l’Unione Europea intende rafforzare la sfera privata dei cittadini nella comunicazione online e regolare più intensivamente la protezione dei dati all’interno dell’Unione Europea. Alla base vi è inoltre l’idea di far sì che le persone tornino nuovamente a dare fiducia alle vie di comunicazioni digitali. Il Regolamento ePrivacy, non ancora entrato in vigore, è la terza e presumibilmente ultima misura di un’iniziativa pensata per norme e regolamenti vincolanti sulla protezione dei dati europei, dopo la prima direttiva sulla protezione dei dati (direttiva 95/46/CE) e la direttiva ePrivacy (2002/58/CE). In breve, la prevista ePrivacy dell’UE dovrebbe significare che la privacy e la protezione dei dati non saranno più limitate dai confini nazionali (almeno all’interno dell’UE).
Con questa iniziativa l’UE intraprende un percorso assolutamente necessario: è infatti risaputo che Internet non conosce limiti. Ma qual è il vero obiettivo delle autorità europee con il Regolamento ePrivacy? Innanzitutto, è importante mettere in chiaro che il Regolamento ePrivacy interesserà più aziende di quante non abbia mai fatto alcun’altra legge precedente sulla tutela dei dati. Le proposte che dovrebbero entrare in vigore si rivolgono concretamente ai gestori dei siti web e ai produttori di programmi software, come ad esempio Meta (ex Facebook), Google e Zoom, e quindi in linea di massima all’intero settore online.
Un cambiamento importante sarà fatto soprattutto per quanto riguarda l’utilizzo dei cookie: il rifiuto di cookie non necessari dovrebbe essere infatti reso più facile per i visitatori dei siti web ed essere controllato, ad esempio, tramite le impostazioni del browser. I gestori di siti web possono usufruire dei cookie solamente previo espresso consenso dell’utente o nel caso in cui si tratti di “cookie tecnicamente necessari”, che permettono il funzionamento corretto di un sito web (ad esempio i cookie di login). Se l’utente decidesse di non acconsentire al loro utilizzo, in futuro dovrebbe comunque essere in grado di poter accedere ai contenuti della pagina. Invece di un opt-out sarebbe perciò necessario introdurre un procedimento double opt-in.
Per renderlo realtà è però necessario che anche gli sviluppatori dei vari browser facciano la loro parte: secondo la bozza attuale, in futuro i browser dovrebbero offrire agli utenti la possibilità di regolare il proprio tracking. Qualcuno può attivare i cookie per seguire la mia navigazione? E se sì, costui dev’essere direttamente il provider del sito o può essere anche una terza parte? A essere in discussione è anche il come dovrebbe apparire la preimpostazione, ovvero se debba essere l’utente a dover attivarsi per la protezione della propria sfera privata o meno.
Il RGPD si basa quantomeno sul principio di “Privacy by Default”: le impostazioni sulla tutela dei propri dati dovrebbero essere tanto stringenti quanto lo si desidera una volta installato il browser, così come poter essere successivamente alleggerite dall’utente. Generalmente gli unici servizi di tracking che non dovrebbero necessitare del consenso esplicito da parte degli utenti sono quelli la cui finalità è puramente statistica.
Con questa iniziativa l’UE intraprende un percorso assolutamente necessario: è infatti risaputo che Internet non conosce limiti. Ma qual è il vero obiettivo delle autorità europee con il Regolamento ePrivacy? Innanzitutto, è importante mettere in chiaro che il Regolamento ePrivacy interesserà più aziende di quante non abbia mai fatto alcun’altra legge precedente sulla tutela dei dati. Le proposte che dovrebbero entrare in vigore si rivolgono concretamente ai gestori dei siti web e ai produttori di programmi software, come ad esempio Meta (ex Facebook), Google e Zoom, e quindi in linea di massima all’intero settore online.
Un cambiamento importante sarà fatto soprattutto per quanto riguarda l’utilizzo dei cookie: il rifiuto di cookie non necessari dovrebbe essere infatti reso più facile per i visitatori dei siti web ed essere controllato, ad esempio, tramite le impostazioni del browser. I gestori di siti web possono usufruire dei cookie solamente previo espresso consenso dell’utente o nel caso in cui si tratti di “cookie tecnicamente necessari”, che permettono il funzionamento corretto di un sito web (ad esempio i cookie di login). Se l’utente decidesse di non acconsentire al loro utilizzo, in futuro dovrebbe comunque essere in grado di poter accedere ai contenuti della pagina. Invece di un opt-out sarebbe perciò necessario introdurre un procedimento double opt-in.
Per renderlo realtà è però necessario che anche gli sviluppatori dei vari browser facciano la loro parte: secondo la bozza attuale, in futuro i browser dovrebbero offrire agli utenti la possibilità di regolare il proprio tracking. Qualcuno può attivare i cookie per seguire la mia navigazione? E se sì, costui dev’essere direttamente il provider del sito o può essere anche una terza parte? A essere in discussione è anche il come dovrebbe apparire la preimpostazione, ovvero se debba essere l’utente a dover attivarsi per la protezione della propria sfera privata o meno.
Il RGPD si basa quantomeno sul principio di “Privacy by Default”: le impostazioni sulla tutela dei propri dati dovrebbero essere tanto stringenti quanto lo si desidera una volta installato il browser, così come poter essere successivamente alleggerite dall’utente. Generalmente gli unici servizi di tracking che non dovrebbero necessitare del consenso esplicito da parte degli utenti sono quelli la cui finalità è puramente statistica.
Ancora più che il RGPD, è principalmente la direttiva ePrivacy a regolare la raccolta e l’uso dei cookie da parte dei gestori dei siti web, nota anche come direttiva europea sui cookie, volta a tutelare i consumatori.
Nella bozza del regolamento è stata presa perciò in considerazione anche la comunicazione da macchina a macchina. In questo modo l’UE ha reagito alle sfide che porta con sé l’Internet delle cose. Quanto detto finora vale anche per questo tipo di trasmissione dati, così come per tutte quelle in cui sono coinvolti direttamente gli utenti. Il tutto è stato pianificato in modo che i dispositivi comunichino i dati personali solo una volta aver ottenuto il consenso da parte degli utenti. Questo potrebbe interessare ad esempio anche i dati GPS degli smartphone.
Generalmente l’utente dovrebbe essere informato su quali dati a lui relativi vengono raccolti e a quale scopo. Perciò il consenso non dovrebbe essere nascosto tra le condizioni generali o essere associato ad altri servizi. Questo è permesso se ad esempio dovete trasferire dei dati durante una sessione di online shopping, cosa che avviene sempre. Non lo è invece se questi dati vengono utilizzati a scopi pubblicitari. In tal caso sarà necessario un ulteriore, specifico consenso.
Il regolamento ePrivacy, tuttavia, non dovrebbe limitarsi ad arginare la raccolta di dati da parte delle aziende. Infatti, anche i siti dello Stato dovrebbero essere molto più regolati tramite di esso. Per questo motivo dovrebbe diventare obbligatoria anche una crittografia end-to-end: ogni trasmissione dati dovrebbe avvenire in maniera completamente crittografata e non accessibile neanche da parte dei governi. L’impostazione delle cosiddette backdoor dovrebbe essere obbligatoriamente vietata: tali “porte di servizio” per l’accesso ai dati da parte dei governi, spesso create dagli sviluppatori, sarebbero perciò illegali.
Ma l’ePrivacy non riguarda solo e unicamente Internet, bensì interessa anche il marketing diretto. Mentre per l’e-mail marketing non cambia praticamente nulla, il regolamento regolamenta in maniera più decisa il marketing per telefono: la proposta recita che le chiamate telefoniche a scopi pubblicitari sono accettate solo quando colui che chiama rivela il proprio numero telefonico o utilizza un codice univoco, al fine di segnalare che si tratta di una chiamata pubblicitaria.
Generalmente l’utente dovrebbe essere informato su quali dati a lui relativi vengono raccolti e a quale scopo. Perciò il consenso non dovrebbe essere nascosto tra le condizioni generali o essere associato ad altri servizi. Questo è permesso se ad esempio dovete trasferire dei dati durante una sessione di online shopping, cosa che avviene sempre. Non lo è invece se questi dati vengono utilizzati a scopi pubblicitari. In tal caso sarà necessario un ulteriore, specifico consenso.
Il regolamento ePrivacy, tuttavia, non dovrebbe limitarsi ad arginare la raccolta di dati da parte delle aziende. Infatti, anche i siti dello Stato dovrebbero essere molto più regolati tramite di esso. Per questo motivo dovrebbe diventare obbligatoria anche una crittografia end-to-end: ogni trasmissione dati dovrebbe avvenire in maniera completamente crittografata e non accessibile neanche da parte dei governi. L’impostazione delle cosiddette backdoor dovrebbe essere obbligatoriamente vietata: tali “porte di servizio” per l’accesso ai dati da parte dei governi, spesso create dagli sviluppatori, sarebbero perciò illegali.
Ma l’ePrivacy non riguarda solo e unicamente Internet, bensì interessa anche il marketing diretto. Mentre per l’e-mail marketing non cambia praticamente nulla, il regolamento regolamenta in maniera più decisa il marketing per telefono: la proposta recita che le chiamate telefoniche a scopi pubblicitari sono accettate solo quando colui che chiama rivela il proprio numero telefonico o utilizza un codice univoco, al fine di segnalare che si tratta di una chiamata pubblicitaria.
Regolamento ePrivacy vs linee guida sull’ePrivacy vs Regolamento generale sulla protezione dei dati
Il Regolamento ePrivacy ha come scopo quello di sostituire le ormai arretrate linee guida sulla ePrivacy e di affiancare e quindi sostenere il Regolamento generale dell’Unione Europea. Il vecchio regolamento esiste dal 2002 ed è stato ampliato nel 2009. Le linee guida della Comunità europea non sono però un diritto con efficacia immediata e vincolante, ma piuttosto una direttiva che deve successivamente essere adottata nelle leggi nazionali. Per fare ciò, ai singoli Stati Membri viene dato una scadenza a lungo termine.
Ma nel caso di un regolamento la questione è completamente diversa: infatti con il Regolamento ePrivacy, così come per il RGPD, si tratta di un diritto che si espande a tutta l’Unione Europea, che entra in vigore immediatamente e che è valido e vincolante per tutti i paesi dell’Unione Europea. La legge può avere tuttavia un periodo di transizione, come ad esempio è successo per il Regolamento generale sulla protezione dei dati dell’Unione Europea, entrato in vigore il 25 maggio 2018 per tutti i cittadini dell’UE.
L’introduzione del RGPD ha creato tuttavia ulteriore confusione. Domande come: a che cosa mi devo attenere? Una volta che entrambi saranno entrati in vigore, la risposta sarà: a entrambi! L’idea è quella che le norme per la ePrivacy concretizzino il RGPD. Il Regolamento ePrivacy è una sorta di lex specialis, il che significa che ha la precedenza sul Regolamento generale, che vale invece come lex generalis. In poche parole, il RGPD è la base sulla quale il Regolamento ePrivacy interviene, con il compito di rendere più chiari alcuni specifici punti con delle leggi più precise. Infatti, il Regolamento generale sulla protezione dei dati dell’Unione europea non è stato pensato unicamente per Internet, mentre quello sull’ePrivacy sì.
Inoltre, il Regolamento ePrivacy contiene clausole di apertura, così da lasciare un po’ di margine per delle eventuali norme locali che vanno a influenzare l’applicazione di alcuni punti dei regolamenti. Ciononostante, le norme che contraddicono quanto stabilito dalle leggi europee devono essere modificate e adattate dalle autorità nazionali.
Ma nel caso di un regolamento la questione è completamente diversa: infatti con il Regolamento ePrivacy, così come per il RGPD, si tratta di un diritto che si espande a tutta l’Unione Europea, che entra in vigore immediatamente e che è valido e vincolante per tutti i paesi dell’Unione Europea. La legge può avere tuttavia un periodo di transizione, come ad esempio è successo per il Regolamento generale sulla protezione dei dati dell’Unione Europea, entrato in vigore il 25 maggio 2018 per tutti i cittadini dell’UE.
L’introduzione del RGPD ha creato tuttavia ulteriore confusione. Domande come: a che cosa mi devo attenere? Una volta che entrambi saranno entrati in vigore, la risposta sarà: a entrambi! L’idea è quella che le norme per la ePrivacy concretizzino il RGPD. Il Regolamento ePrivacy è una sorta di lex specialis, il che significa che ha la precedenza sul Regolamento generale, che vale invece come lex generalis. In poche parole, il RGPD è la base sulla quale il Regolamento ePrivacy interviene, con il compito di rendere più chiari alcuni specifici punti con delle leggi più precise. Infatti, il Regolamento generale sulla protezione dei dati dell’Unione europea non è stato pensato unicamente per Internet, mentre quello sull’ePrivacy sì.
Inoltre, il Regolamento ePrivacy contiene clausole di apertura, così da lasciare un po’ di margine per delle eventuali norme locali che vanno a influenzare l’applicazione di alcuni punti dei regolamenti. Ciononostante, le norme che contraddicono quanto stabilito dalle leggi europee devono essere modificate e adattate dalle autorità nazionali.
Quando entrerà in vigore il Regolamento ePrivacy?
Il Regolamento ePrivacy è in discussione dall’aprile del 2016, ma non si è ancora arrivati a un risultato adeguato. A gennaio 2017 la Commissione europea ha pubblicato una prima bozza, contro la quale si sono però espressi diversi comitati, il che ha portato alla stesura di una seconda bozza da parte del Parlamento europeo a ottobre 2017 (con il RGPD già approvato). Dopo quasi un mese il Comitato di presidenza dell’Unione europea ha pubblicato un rapporto specialistico, all’interno del quale veniva riassunto lo stato attuale delle cose. Da allora la situazione non è cambiata. Il prossimo passo spetta al Consiglio europeo che deve decidere il da farsi riguardo alla bozza.
Originariamente era pianificato che il Regolamento ePrivacy e il RGPD entrassero in vigore simultaneamente. Da questa intenzione ci si è poi distaccati: per anni gli Stati membri dell’UE non sono stati in grado di concordare una linea comune. Ma si comincia a intravedere un primo raggio di sole alla fine del tunnel: nel febbraio 2021, il Consiglio dei ministri dell’UE è riuscito a concordare una versione comune, che ha dato avvio al trilogo. Ciò significa che gli attuali rappresentanti dei tre organi coinvolti nel processo legislativo dell’UE, cioè la Commissione UE, il Parlamento e il Consiglio dei ministri, stanno negoziando.
Anche con il Regolamento ePrivacy sarà previsto un periodo transitorio della durata di due anni, non è quindi necessario attivarsi immediatamente per adeguarsi alle norme contenute nella bozza attuale. Nel 2022, è la Francia a esercitare la presidenza del Consiglio, succedendo a Portogallo e Germania, che finora hanno fallito con le loro proposte.
Originariamente era pianificato che il Regolamento ePrivacy e il RGPD entrassero in vigore simultaneamente. Da questa intenzione ci si è poi distaccati: per anni gli Stati membri dell’UE non sono stati in grado di concordare una linea comune. Ma si comincia a intravedere un primo raggio di sole alla fine del tunnel: nel febbraio 2021, il Consiglio dei ministri dell’UE è riuscito a concordare una versione comune, che ha dato avvio al trilogo. Ciò significa che gli attuali rappresentanti dei tre organi coinvolti nel processo legislativo dell’UE, cioè la Commissione UE, il Parlamento e il Consiglio dei ministri, stanno negoziando.
Anche con il Regolamento ePrivacy sarà previsto un periodo transitorio della durata di due anni, non è quindi necessario attivarsi immediatamente per adeguarsi alle norme contenute nella bozza attuale. Nel 2022, è la Francia a esercitare la presidenza del Consiglio, succedendo a Portogallo e Germania, che finora hanno fallito con le loro proposte.
Critiche nei confronti del progetto
Il cambiamento apportato dal Regolamento ePrivacy, così com’è al momento, coinvolge soprattutto i gestori di offerte online e l’intera branca dell’online marketing; oltre chiaramente ai cittadini, i quali vedranno la propria sfera privata più protetta. Perciò è meno sorprendente che questi due settori siano quelli più avversi alla riforma. In modo particolare il settore pubblicitario lamenta quelle che sono le intenzioni dell’Unione Europea:
- Maggiori sforzi da parte degli utenti: l’intero settore pronostica che in futuro gli utenti saranno sopraffatti dal numero di consensi previsti dal Regolamento ePrivacy. Si stima che per ogni trasmissione di dati sarà necessario confermare (o meno) il proprio consenso.
- A rischio il finanziamento dei media online: il punto maggiormente criticato è che i media online finanziati dalla pubblicità sarebbero a rischio. Attualmente, infatti, la sopravvivenza di alcuni blog, pagine online di giornali e altri media dipende da un modello economico basato sull’inserimento della pubblicità. Gli utenti non contribuiscono economicamente ma attraverso il loro consumo pubblicitario. L’integrazione di pubblicità si basa in primis sui dati raccolti dagli operatori pubblicitari attraverso il tracking. Se il regolamento dovesse entrare in vigore nella sua forma attuale, tale pubblicità sarebbe possibile solo attraverso il consenso esplicito da parte degli utenti, i quali però potrebbero rifiutarsi. Una parte del settore dell’online marketing teme che in questo modo sarebbe impedita la disponibilità gratuita di informazioni su Internet, così come la conosciamo.
- Mancanza di coerenza con RGPD: ci sarebbero alcuni punti contrastanti con il Regolamento generale sulla protezione dei dati dell’Unione Europea. I comitati competenti prevedono così che il nuovo regolamento, diversamente da quanto pronosticato dalla Commissione dell’Unione Europea, non porterà maggiore chiarezza in materia di protezione dei dati nella comunicazione online, ma semmai maggiore caos da un punto di vista giuridico. Si teme infatti che già dopo breve tempo sarà necessario apportare delle modifiche ai cambiamenti previsti dal Regolamento ePrivacy e che sono stati pensati per il RGPD.
Vi preghiamo di osservare la nota legale relativa a questo articolo.