L'Unione Europea sta cercando da anni di creare regole uniformi nel mercato unico digitale per proteggere meglio i consumatori e i titolari dei diritti. Il regolamento sulla ePrivacy è ancora in discussione in questo contesto. In questo modo l’Unione Europea desidera formulare in maniera vincolante le leggi sulla protezione dei dati, così che esse abbiano valenza in tutta l’UE. Oltre a questo regolamento da maggio 2018 è in vigore il Regolamento generale sulla protezione dei dati dell’Unione Europea (RGPD). In questo modo, considerando anche tutte le leggi nazionali già in essere, si favorisce ulteriore confusione, visto che non è stato ancora stabilito quando entrerà in vigore il regolamento sull’ePrivacy e quali requisiti saranno imposti alle imprese che operano in campo digitale.
Ci sono molte questioni ancora poco chiare. Per fare in modo che possiate farvi un’idea di quello che vi aspetta, in questo articolo vi informiamo su quello che si sa fino a questo momento.
Il regolamento sull’ePrivacy è qualcosa di ben distinto dal Regolamento generale sulla protezione dei dati. Se volete informarvi riguardo al RGPD, vincolante a partire da fine maggio 2018, potete leggervi il nostro dettagliato articolo a riguardo.
Con il Regolamento sulla vita privata e le comunicazioni elettroniche, l’Unione Europea intende rafforzare la sfera privata dei cittadinionline e regolare più intensivamente la protezione dei dati. Alla base vi è inoltre l’idea di far sì che le persone inizino nuovamente a dar fiducia alle vie di comunicazioni digitali. Almeno ufficialmente l’ePrivacy dovrebbe portare con sé un rafforzamento del mercato digitale interno. Si tratta infatti della terza e probabilmente ultima misura di un’iniziativa relativa al campo digitale europeo, le quali si spera possano portare dei regolamenti unitari a livello europeo che garantiscano la transnazionalità delle aziende (quantomeno all’interno dell’Unione Europea).
Con questa iniziativa l’UE intraprende un percorso assolutamente necessario: è infatti risaputo che Internet non conosce limiti. Ma qual è il vero obiettivo delle autorità europee con l’ePrivacy Regulation? Innanzitutto è importante mettere in chiaro che il Regolamento ePrivacy interesserà più aziende di quante non abbia mai fatto alcun’altra legge precedente sulla tutela dei dati. Le proposte che vengono fatte attualmente si rivolgono concretamente ai provider di programmi software, come ad esempio i provider di app come WhatsApp o Skype, e quindi in linea di massima all’intero settore online.
Un cambiamento importante sarà fatto soprattutto per quanto riguarda l’utilizzo dei cookie: il rifiuto di cookie non necessari dovrebbe essere infatti reso più facile per i visitatori dei siti web ed essere controllato, ad esempio, tramite le impostazioni del browser. I gestori di siti web possono usufruire dei cookies solamente previo espresso consenso dell’utente. Se l’utente decidesse di non acconsentire al loro utilizzo, in futuro dovrebbe comunque essere in grado di poter accedere ai contenuti della pagina. Invece di un opt-out sarebbe perciò necessario introdurre un opt-in.
Finora, ancora più che il RGPD, è principalmente la direttiva ePrivacy a occuparsi di regolare in che modo gli operatori dei siti web possono impostare i cookie per i consumatori ed è per questo nota anche come direttiva dell’Unione Europea sui cookie.
Per renderlo realtà è però necessario che anche gli sviluppatori dei vari browser facciano la loro parte: secondo la bozza attuale, in futuro i browser dovrebbero offrire agli utenti la possibilità di regolare il proprio tracking. Qualcuno può attivare i cookie per seguire la mia navigazione? E se sì, costui dev’essere direttamente il provider del sito o può essere anche una terza parte? A essere in discussione è anche il come dovrebbe apparire la preimpostazione, ovvero se debba essere l’utente a dover attivarsi per la protezione della propria sfera privata o meno.
Il RGPD si basa quantomeno sul principio di “Privacy by Default”: le impostazioni sulla tutela dei propri dati dovrebbero essere tanto stringenti quanto lo si desidera una volta installato il browser, così come poter essere successivamente alleggerite dall’utente. Generalmente gli unici servizi di tracking che non dovrebbero necessitare del consenso esplicito da parte degli utenti sono quelli la cui finalità è puramente statistica.
Anche il World Wide Web Consortium (W3C) si è dato da fare per la protezione della sfera privata. Il risultato che ne consegue è il Do not track HTTP Header che supporta già molti dei browser più utilizzati. Attraverso di esso gli utenti possono impostare nel browser il fatto che non desiderano alcun tracking. È poi l’HTTP Header a occuparsi di inoltrare queste informazioni al sito web. Attualmente i gestori di siti web non sono tuttavia costretti ad adeguarsi a una tale richiesta. Con il nuovo Regolamento sull’ePrivacy dell’Unione Europea potrebbe esserci una svolta. Inoltre esso si spinge anche oltre: assieme al browser infatti, anche tutti i processi di trasmissione dati dovrebbero essere interessati dalla protezione dati.
Nella bozza del regolamento è stata presa perciò in considerazione anche la comunicazione da macchina a macchina. In questo modo l’UE ha reagito alle sfide che porta con sé l’Internet delle cose. Quanto detto finora vale anche per questo tipo di trasmissione dati, così come per tutte quelle in cui sono coinvolti direttamente gli utenti. Il tutto è stato pianificato in modo che i dispositivi comunichino i dati personali solo una volta aver ottenuto l’OK da parte degli utenti. Questo potrebbe interessare ad esempio anche i dati GPS degli smartphone.
Generalmente l’utente dovrebbe essere informato su quali dati a lui relativi vengono raccolti e a quale scopo. Perciò il consenso non dovrebbe essere nascosto tra le condizioni generali o essere associato ad altri servizi. Questo è permesso se ad esempio dovete trasferire dei dati durante una sessione di online shopping, cosa che avviene sempre. Non lo è invece se questi dati vengono utilizzati a scopi pubblicitari. In tal caso sarà necessario un ulteriore, specifico consenso.
Il regolamento sull’ePrivacy tuttavia non dovrebbe limitarsi ad arginare la raccolta di dati da parte delle aziende. Infatti anche i siti dello stato dovrebbero essere molto più regolati tramite di esso. Per questo motivo dovrebbe diventare obbligatoria anche una crittografia end-to-end: ogni trasmissione dati dovrebbe avvenire in maniera completamente crittografata e non accessibile neanche da parte dei governi. L’impostazione delle cosiddette Backdoor dovrebbe essere obbligatoriamente vietata: tali “porte di servizio” per l’accesso ai dati da parte dei governi, spesso create dagli sviluppatori, sarebbero perciò illegali.
Ma l’ePrivacy non riguarda solo e unicamente Internet, bensì interessa anche il Direct Marketing: mentre per l’E-Mail Marketing non cambia praticamente nulla, il regolamento regolamenta in maniera più decisa il marketing per telefono: la proposta recita che le chiamate telefoniche a scopi pubblicitari sono accettate solo quando colui che chiama rivela il proprio numero telefonico o utilizza un codice univoco, al fine di segnalare che si tratta di una chiamata pubblicitaria.
Il Regolamento sull’ePrivacy ha come scopo quello di sostituire le ormai arretrate linee guida sulla ePrivacy e di affiancare e quindi sostenere il Regolamento generale dell’Unione Europea. Il vecchio regolamento esiste dal 2002 ed è stato ampliato nel 2009. Le linee guida della Comunità europea non sono però un diritto con efficacia immediata e vincolante, ma piuttosto una direttiva che deve successivamente essere adottata nelle leggi nazionali. Per fare ciò, ai singoli Stati Membri viene dato una scadenza a lungo termine.
Ma nel caso di un regolamento la questione è completamente diversa: infatti con il regolamento dell’ePrivacy, così come per il RGPD, si tratta di un diritto che si espande a tutta l’Unione Europea, che entra in vigore immediatamente e che è valido e vincolante per tutti i paesi dell’Unione. La legge può avere tuttavia un periodo di transizione, come ad esempio è successo per il Regolamento generale sulla protezione dei dati dell’Unione Europea, entrato in vigore il 25 maggio 2018 per tutti i cittadini dell’UE.
L’introduzione del RGPD ha creato tuttavia ulteriore confusione. Domande come: a che cosa mi devo attenere? Una volta che entrambi saranno entrati in vigore, la risposta sarà: a entrambi! L’idea è quella che le norme per la ePrivacy concretizzino il RGPD. Il Regolamento ePrivacy è una sorta di lex specialis, il che significa che ha la precedenza sul Regolamento generale, che vale invece come lex generalis. In poche parole il RGPD è la base sulla quale il regolamento sull’ePrivacy interviene, con il compito di rendere più chiari alcuni specifici punti con delle leggi più precise. Infatti il Regolamento generale sulla protezione dei dati dell’Unione europea non è stato pensato unicamente per Internet, mentre quello sull’ePrivacy sì.
Ad ogni modo entrambi i regolamenti renderanno obsolete le leggi attualmente in vigore. Tuttavia sia il RGPD che il regolamento sull’ePrivacy lasciano spazio di manovra, il che significa che al loro interno sono state previste delle clausole di apertura, così da lasciare un po’ di margine per delle eventuali norme locali che vanno a influenzare l’applicazione di alcuni punti dei regolamenti. Ciononostante le norme che contraddicono quanto stabilito dalle leggi europee devono essere modificate e adattate dalle autorità nazionali.
Il Regolamento sull’ePrivacy è in discussione dall’aprile del 2016, ma non si è ancora arrivati a un risultato adeguato. A gennaio 2017 la Commissione europea ha pubblicato una prima bozza, contro la quale si sono però espressi diversi comitati; il che ha portato alla stesura di una seconda bozza da parte del Parlamento europeo a ottobre 2017 (con il RGPD già approvato). Dopo quasi un mese il Comitato di presidenza dell’Unione europea ha pubblicato un rapporto specialistico, all’interno del quale veniva riassunto lo stato attuale delle cose. Da allora la situazione non è cambiata. Il prossimo passo spetta al Consiglio europeo che deve decidere il da farsi riguardo alla bozza.
Originalmente era pianificato che l’ePrivacy e il RGPD entrassero in vigore simultaneamente. Da questa intenzione ci si è poi distaccati: per anni gli Stati membri dell'UE non sono stati in grado di concordare una linea comune e recentemente hanno respinto una proposta di compromesso nel novembre 2019. Alcuni membri del Consiglio vogliono addirittura una revisione completa del regolamento. Considerando poi che anche con il Regolamento sull’ePrivacy sarà previsto un periodo transitorio della durata di un anno, non è necessario attuarsi immediatamente per adeguarsi alle norme contenute nella bozza attuale. Quanto poi la bozza sarà soggetta a modifiche fino a quel momento, non è attualmente prevedibile. Ma che quella corrente non sarà la versione finale è più che probabile.
Il cambiamento apportato dal Regolamento sull’ePrivacy, così com’è al momento, coinvolge soprattutto i gestori di offerte online e l’intera branca dell’online marketing; oltre chiaramente ai cittadini, i quali vedranno la propria sfera privata più protetta. Perciò è meno sorprendente che questi due settori siano quelli più avversi alla riforma. In modo particolare il settore pubblicitario lamenta quelle che sono le intenzioni dell’Unione Europea:
Vi preghiamo di osservare la nota legale relativa a questo articolo.
I cookie possono essere molto pratici, ma a volte pericolosi per la protezione dei dati. Perciò l’Unione Europea ha approntato delle linee guida per i cookie volte alla tutela degli utenti, i quali dovranno dare il proprio consenso ogni singola volta, dato che la procedura opt-in è diventata obbligatoria. A cosa bisogna prestare attenzione se si ha un sito?
Dal 25 maggio 2018 è entrata in vigore la nuova legge europea in materia di protezione dei dati. Vi riassumiamo tutte le informazioni più importanti del nuovo RGPD. Quali leggi sono state cambiate? Quali misure è necessario adottare per mantenere una gestione dei dati conforme alla legge? E che cosa pensano gli esperti delle nuove regole?
Con la crescente importanza della privacy è sempre più frequente imbattersi in norme a tutela di questo importante diritto dei cittadini: da gennaio anche la California ha una propria normativa grazie al California Consumer Privacy Act (CCPA). Ma di che cosa si tratta nello specifico? E quali saranno gli effetti sui siti statunitensi e su quelli europei? Vi forniamo le informazioni principali al...
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Dominio gratis Certificato SSL Wildcard incluso Assistenza clienti 24/7