Con il Regolamento ePrivacy (ufficialmente: Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communicationsand repealing Directive 2002/58/EC), l’Unione Europea intende rafforzare la sfera privata dei cittadininellacomunicazione online e regolare più intensivamente la protezione dei dati all’interno dell’Unione Europea. Alla base vi è inoltre l’idea di far sì che le persone tornino nuovamente a dare fiducia alle vie di comunicazioni digitali. Il Regolamento ePrivacy, non ancora entrato in vigore, è la terza e presumibilmente ultima misura di un’iniziativa pensata per norme e regolamenti vincolanti sulla protezione dei dati europei, dopo la prima direttiva sulla protezione dei dati (direttiva 95/46/CE) e la direttiva ePrivacy (2002/58/CE). In breve, la prevista ePrivacy dell’UE dovrebbe significare che la privacy e la protezione dei dati non saranno più limitate dai confini nazionali (almeno all’interno dell’UE).
Con questa iniziativa l’UE intraprende un percorso assolutamente necessario: è infatti risaputo che Internet non conosce limiti. Ma qual è il vero obiettivo delle autorità europee con il Regolamento ePrivacy? Innanzitutto, è importante mettere in chiaro che il Regolamento ePrivacy interesserà più aziende di quante non abbia mai fatto alcun’altra legge precedente sulla tutela dei dati. Le proposte che dovrebbero entrare in vigore si rivolgono concretamente ai gestori dei siti web e ai produttori di programmi software, come ad esempio Meta (ex Facebook), Google e Zoom, e quindi in linea di massima all’intero settore online.
Un cambiamento importante sarà fatto soprattutto per quanto riguarda l’utilizzo dei cookie: il rifiuto di cookie non necessari dovrebbe essere infatti reso più facile per i visitatori dei siti web ed essere controllato, ad esempio, tramite le impostazioni del browser. I gestori di siti web possono usufruire dei cookie solamente previo espresso consenso dell’utente o nel caso in cui si tratti di “cookie tecnicamente necessari”, che permettono il funzionamento corretto di un sito web (ad esempio i cookie di login). Se l’utente decidesse di non acconsentire al loro utilizzo, in futuro dovrebbe comunque essere in grado di poter accedere ai contenuti della pagina. Invece di un opt-out sarebbe perciò necessario introdurre un procedimento double opt-in.
Per renderlo realtà è però necessario che anche gli sviluppatori dei vari browser facciano la loro parte: secondo la bozza attuale, in futuro i browser dovrebbero offrire agli utenti la possibilità di regolare il proprio tracking. Qualcuno può attivare i cookie per seguire la mia navigazione? E se sì, costui dev’essere direttamente il provider del sito o può essere anche una terza parte? A essere in discussione è anche il come dovrebbe apparire la preimpostazione, ovvero se debba essere l’utente a dover attivarsi per la protezione della propria sfera privata o meno.
Il RGPD si basa quantomeno sul principio di “Privacy by Default”: le impostazioni sulla tutela dei propri dati dovrebbero essere tanto stringenti quanto lo si desidera una volta installato il browser, così come poter essere successivamente alleggerite dall’utente. Generalmente gli unici servizi di tracking che non dovrebbero necessitare del consenso esplicito da parte degli utenti sono quelli la cui finalità è puramente statistica.