Il Regolamento ePrivacy e le sue ombre: cosa c’è da sapere?

L’Unione Europea sta cercando da anni di creare regole uniformi nel mercato unico digitale per proteggere meglio i consumatori e i titolari dei diritti. Il regolamento sulla ePrivacy è ancora in discussione in questo contesto. In questo modo l’Unione Europea desidera formulare in maniera vincolante le leggi sulla protezione dei dati, così che esse abbiano valenza in tutta l’UE. Oltre a questo regolamento da maggio 2018 è in vigore il Regolamento generale sulla protezione dei dati dell’Unione Europea (RGPD). In questo modo, considerando anche tutte le leggi nazionali già in essere, si favorisce ulteriore confusione, visto che non è stato ancora stabilito quando entrerà in vigore il regolamento sull’ePrivacy e quali requisiti saranno imposti alle imprese che operano in campo digitale.

Ci sono molte questioni ancora poco chiare. Per fare in modo che possiate farvi un’idea di quello che vi aspetta, in questo articolo vi informiamo su quello che si sa fino a questo momento.

Con il Regolamento sulla vita privata e le comunicazioni elettroniche, l’Unione Europea intende rafforzare la sfera privata dei cittadinionline e regolare più intensivamente la protezione dei dati. Alla base vi è inoltre l’idea di far sì che le persone inizino nuovamente a dar fiducia alle vie di comunicazioni digitali. Almeno ufficialmente l’ePrivacy dovrebbe portare con sé un rafforzamento del mercato digitale interno. Si tratta infatti della terza e probabilmente ultima misura di un’iniziativa relativa al campo digitale europeo, le quali si spera possano portare dei regolamenti unitari a livello europeo che garantiscano la transnazionalità delle aziende (quantomeno all’interno dell’Unione Europea).

Con questa iniziativa l’UE intraprende un percorso assolutamente necessario: è infatti risaputo che Internet non conosce limiti. Ma qual è il vero obiettivo delle autorità europee con l’ePrivacy Regulation? Innanzitutto è importante mettere in chiaro che il Regolamento ePrivacy interesserà più aziende di quante non abbia mai fatto alcun’altra legge precedente sulla tutela dei dati. Le proposte che vengono fatte attualmente si rivolgono concretamente ai provider di programmi software, come ad esempio i provider di app come WhatsApp o Skype, e quindi in linea di massima all’intero settore online.

Un cambiamento importante sarà fatto soprattutto per quanto riguarda l’utilizzo dei cookie: il rifiuto di cookie non necessari dovrebbe essere infatti reso più facile per i visitatori dei siti web ed essere controllato, ad esempio, tramite le impostazioni del browser. I gestori di siti web possono usufruire dei cookie solamente previo espresso consenso dell’utente. Se l’utente decidesse di non acconsentire al loro utilizzo, in futuro dovrebbe comunque essere in grado di poter accedere ai contenuti della pagina. Invece di un opt-out sarebbe perciò necessario introdurre un opt-in.

Per renderlo realtà è però necessario che anche gli sviluppatori dei vari browser facciano la loro parte: secondo la bozza attuale, in futuro i browser dovrebbero offrire agli utenti la possibilità di regolare il proprio tracking. Qualcuno può attivare i cookie per seguire la mia navigazione? E se sì, costui dev’essere direttamente il provider del sito o può essere anche una terza parte? A essere in discussione è anche il come dovrebbe apparire la preimpostazione, ovvero se debba essere l’utente a dover attivarsi per la protezione della propria sfera privata o meno.

Il RGPD si basa quantomeno sul principio di “Privacy by Default”: le impostazioni sulla tutela dei propri dati dovrebbero essere tanto stringenti quanto lo si desidera una volta installato il browser, così come poter essere successivamente alleggerite dall’utente. Generalmente gli unici servizi di tracking che non dovrebbero necessitare del consenso esplicito da parte degli utenti sono quelli la cui finalità è puramente statistica.

Nella bozza del regolamento è stata presa perciò in considerazione anche la comunicazione da macchina a macchina. In questo modo l’UE ha reagito alle sfide che porta con sé l’Internet delle cose. Quanto detto finora vale anche per questo tipo di trasmissione dati, così come per tutte quelle in cui sono coinvolti direttamente gli utenti. Il tutto è stato pianificato in modo che i dispositivi comunichino i dati personali solo una volta aver ottenuto l’OK da parte degli utenti. Questo potrebbe interessare ad esempio anche i dati GPS degli smartphone.

Generalmente l’utente dovrebbe essere informato su quali dati a lui relativi vengono raccolti e a quale scopo. Perciò il consenso non dovrebbe essere nascosto tra le condizioni generali o essere associato ad altri servizi. Questo è permesso se ad esempio dovete trasferire dei dati durante una sessione di online shopping, cosa che avviene sempre. Non lo è invece se questi dati vengono utilizzati a scopi pubblicitari. In tal caso sarà necessario un ulteriore, specifico consenso.

Il regolamento sull’ePrivacy, tuttavia, non dovrebbe limitarsi ad arginare la raccolta di dati da parte delle aziende. Infatti anche i siti dello Stato dovrebbero essere molto più regolati tramite di esso. Per questo motivo dovrebbe diventare obbligatoria anche una crittografia end-to-end: ogni trasmissione dati dovrebbe avvenire in maniera completamente crittografata e non accessibile neanche da parte dei governi. L’impostazione delle cosiddette backdoor dovrebbe essere obbligatoriamente vietata: tali “porte di servizio” per l’accesso ai dati da parte dei governi, spesso create dagli sviluppatori, sarebbero perciò illegali.

Ma l’ePrivacy non riguarda solo e unicamente Internet, bensì interessa anche il marketing diretto. Mentre per l’e-mail marketing non cambia praticamente nulla, il regolamento regolamenta in maniera più decisa il marketing per telefono: la proposta recita che le chiamate telefoniche a scopi pubblicitari sono accettate solo quando colui che chiama rivela il proprio numero telefonico o utilizza un codice univoco, al fine di segnalare che si tratta di una chiamata pubblicitaria.

Il Regolamento sull’ePrivacy ha come scopo quello di sostituire le ormai arretrate linee guida sulla ePrivacy e di affiancare e quindi sostenere il Regolamento generale dell’Unione Europea. Il vecchio regolamento esiste dal 2002 ed è stato ampliato nel 2009. Le linee guida della Comunità europea non sono però un diritto con efficacia immediata e vincolante, ma piuttosto una direttiva che deve successivamente essere adottata nelle leggi nazionali. Per fare ciò, ai singoli Stati Membri viene dato una scadenza a lungo termine.

Ma nel caso di un regolamento la questione è completamente diversa: infatti con il regolamento dell’ePrivacy, così come per il RGPD, si tratta di un diritto che si espande a tutta l’Unione Europea, che entra in vigore immediatamente e che è valido e vincolante per tutti i paesi dell’Unione. La legge può avere tuttavia un periodo di transizione, come ad esempio è successo per il Regolamento generale sulla protezione dei dati dell’Unione Europea, entrato in vigore il 25 maggio 2018 per tutti i cittadini dell’UE.

L’introduzione del RGPD ha creato tuttavia ulteriore confusione. Domande come: a che cosa mi devo attenere? Una volta che entrambi saranno entrati in vigore, la risposta sarà: a entrambi! L’idea è quella che le norme per la ePrivacy concretizzino il RGPD. Il Regolamento ePrivacy è una sorta di lex specialis, il che significa che ha la precedenza sul Regolamento generale, che vale invece come lex generalis. In poche parole, il RGPD è la base sulla quale il regolamento sull’ePrivacy interviene, con il compito di rendere più chiari alcuni specifici punti con delle leggi più precise. Infatti il Regolamento generale sulla protezione dei dati dell’Unione europea non è stato pensato unicamente per Internet, mentre quello sull’ePrivacy sì.

Ad ogni modo entrambi i regolamenti renderanno obsolete le leggi attualmente in vigore. Tuttavia, sia il RGPD che il regolamento sull’ePrivacy lasciano spazio di manovra, il che significa che al loro interno sono state previste delle clausole di apertura, così da lasciare un po’ di margine per delle eventuali norme locali che vanno a influenzare l’applicazione di alcuni punti dei regolamenti. Ciononostante le norme che contraddicono quanto stabilito dalle leggi europee devono essere modificate e adattate dalle autorità nazionali.

Il Regolamento sull’ePrivacy è in discussione dall’aprile del 2016, ma non si è ancora arrivati a un risultato adeguato. A gennaio 2017 la Commissione europea ha pubblicato una prima bozza, contro la quale si sono però espressi diversi comitati; il che ha portato alla stesura di una seconda bozza da parte del Parlamento europeo a ottobre 2017 (con il RGPD già approvato). Dopo quasi un mese il Comitato di presidenza dell’Unione europea ha pubblicato un rapporto specialistico, all’interno del quale veniva riassunto lo stato attuale delle cose. Da allora la situazione non è cambiata. Il prossimo passo spetta al Consiglio europeo che deve decidere il da farsi riguardo alla bozza.

Originariamente era pianificato che l’ePrivacy e il RGPD entrassero in vigore simultaneamente. Da questa intenzione ci si è poi distaccati: per anni gli Stati membri dell’UE non sono stati in grado di concordare una linea comune e hanno respinto un’altra proposta di compromesso nel novembre 2020. Alcuni membri del Consiglio vogliono addirittura una revisione completa del regolamento. Considerando poi che anche con il Regolamento sull’ePrivacy sarà previsto un periodo transitorio della durata di due anni, non è necessario attivarsi immediatamente per adeguarsi alle norme contenute nella bozza attuale. Nel 2021, è il Portogallo a esercitare la presidenza del Consiglio, succedendo a Germania e Croazia, che hanno fallito con le loro proposte nel 2020.

Il cambiamento apportato dal Regolamento sull’ePrivacy, così com’è al momento, coinvolge soprattutto i gestori di offerte online e l’intera branca dell’online marketing; oltre chiaramente ai cittadini, i quali vedranno la propria sfera privata più protetta. Perciò è meno sorprendente che questi due settori siano quelli più avversi alla riforma. In modo particolare il settore pubblicitario lamenta quelle che sono le intenzioni dell’Unione Europea:

• Maggiori sforzi da parte degli utenti: l’intero settore pronostica che in futuro gli utenti saranno sopraffatti dal numero di consensi previsti dal regolamento sull’ePrivacy. Si stima che per ogni trasmissione di dati sarà necessario confermare (o meno) il proprio consenso.
   
• A rischio il finanziamento dei media online: il punto maggiormente criticato è che i media online finanziati dalla pubblicità sarebbero a rischio. Attualmente, infatti, la sopravvivenza di alcuni blog, pagine online di giornali e altri media dipende da un modello economico basato sull’inserimento della pubblicità. Gli utenti non contribuiscono economicamente ma attraverso il loro consumo pubblicitario. L’integrazione di pubblicità si basa in primis sui dati raccolti dagli operatori pubblicitari attraverso il tracking. Se il regolamento dovesse entrare in vigore nella sua forma attuale, tale pubblicità sarebbe possibile solo attraverso il consenso esplicito da parte degli utenti, i quali però potrebbero rifiutarsi. Una parte del settore dell’online marketing teme che in questo modo sarebbe impedita la disponibilità gratuita di informazioni su Internet, così come la conosciamo.

• Mancanza di coerenza con RGPD: ci sarebbero alcuni punti contrastanti con il Regolamento generale sulla protezione dei dati dell’Unione Europea. I comitati competenti prevedono così che il nuovo regolamento, diversamente da quanto pronosticato dalla Commissione dell’Unione Europea, non porterà maggiore chiarezza in materia di protezione dei dati nella comunicazione online, ma semmai maggiore caos da un punto di vista giuridico. Si teme infatti che già dopo breve tempo sarà necessario apportare delle modifiche ai cambiamenti previsti dal Regolamento sull’ePrivacy e che sono stati pensati per il RGPD.

Vi preghiamo di osservare la nota legale relativa a questo articolo.