Regolamento ePrivacy: cosa cambierà rispetto al GDPR
Ebbene sì, ci siamo: dopo quattro anni dalla prima proposta della Commissione, finalmente il Consiglio dell’Unione europea ha approvato la bozza del Regolamento ePrivacy.
Cosa significa questo?
Che l’ambizioso progetto di creare regole uniformi nel mercato unico digitale, ed un livello di tutela elevato per tutti gli utenti dell’UE, parrebbe esse giunto allo step finale.
Tuttavia il condizionale è d’obbligo, in quanto molte criticità rimangono in piedi.
Ad ogni modo non v’è dubbio che il testo approvato il 10 febbraio scorso consente di valutare quali saranno le “regole del gioco” nel trattamento dei dati relativi alle comunicazioni elettroniche.
E come adeguarsi per essere compliant nell’imminente futuro.
Indice
1 – La Direttiva ePrivacy (2002/58/CE) e il suo campo di applicazione
2 – Dalla Direttiva al Regolamento: una trattativa durata quattro anni
3 – La bozza di Regolamento da ultimo approvata: contenuti principali
4 – Conclusioni: come “attrezzarsi” in vista del futuro
1 – La Direttiva ePrivacy (2002/58/CE)
Partiamo da una breve analisi della Direttiva ePrivacy.
Ma come, la Direttiva ePrivacy non sta per essere sostituita dal Regolamento? Perché parlarne?
Chiariamo subito due punti essenziali:
- la Direttiva 2002/58/CE è tutt’ora in vigore. È dunque opportuno essere consapevoli che la Direttiva si applica, ad esempio, al contenuto che state leggendo in questo momento, ai cookie eventualmente installati sui dispositivi degli utenti che navigano sul vostro sito, e via dicendo;
- dal momento in cui il Regolamento verrà approvato, pur entrando immediatamente in vigore – trascorsi i 20 giorni dalla sua pubblicazione – non sarà attuato prima di due anni, secondo lo stesso meccanismo che ha interessato il GDPR (ricordate? Entrata in vigore il 24 maggio 2016, attuazione a partire dal 25 maggio 2018).
Ciò detto, vediamo cosa prevede la Direttiva ePrivacy.
La Direttiva 2002/58/CE (nota come “ePrivacy”) disciplina il trattamento dei dati personali e la tutela della vita privata nello specifico settore delle comunicazioni elettroniche, e in tutti gli ambiti ad esse connessi.
In particolare, si applica a tutte le comunicazioni elettroniche su servizi e reti disponibili al pubblico da parte delle persone nell’Unione europea (quindi sms, e-mail, messaggi su social network, messaggistica istantanea e qualsiasi altro servizio di comunicazione elettronica).
ATTENZIONE: quando parliamo di “persone” intendiamo sia le persone fisiche che quelle giuridiche, spesso definite genericamente “utenti”. Si tratta di una precisazione importante, in quanto il GDPR si applica solamente ai dati delle persone fisiche. L’estensione della disciplina ePrivacy alle persone giuridiche rimane ferma anche nella bozza di Regolamento, come vedremo.
La Direttiva ePrivacy è stata poi modificata nel 2009 dalla Direttiva 2009/136/CE (nota come “cookie law”) e dalla Direttiva 2009/140/CE.
Per i più tecnici, tali direttive sono state puntualmente recepite in Italia tramite alcune modifiche del Codice Privacy, in particolare nel Titolo X del Codice.
Ma soprattutto, nel 2016 è entrato in vigore il GDPR, che oltre ad essere un Regolamento (dunque un atto direttamente applicabile e vincolante per tutti gli Stati membri, a differenza della direttiva) contiene principi e norme che impattano molto su concetti rilevanti per le comunicazioni elettroniche, come il consenso e la trasparenza.
E quindi, come interagiscono tra loro questi due atti?
Come faccio a capire quando si applica l’uno e quando l’altro?
Risposta: la Direttiva ePrivacy è una legge speciale, che quindi integra e sostituisce il GDPR in materia di comunicazioni elettroniche.
In poche parole: se parliamo di comunicazioni elettroniche, sicurezza dei dispositivi digitali e protezione dei dati personali nel mondo online, la Direttiva ePrivacy prevale sul GDPR (e un domani prevarrà a sua volta il Regolamento ePrivacy).
E questo ce lo dice sia il GDPR (cfr. il cons. 173 e l’art. 95) che l’European Data Protection Board (cfr. il Parere 5/2019 del 12 marzo 2019).
Detto questo, non vi è dubbio che l’entrata in vigore del GDPR abbia cambiato in modo sostanziale quanto accade online(ne abbiamo già parlato in altri articoli del blog).
Ma soprattutto è indiscutibile che la Direttiva, risalendo al 2002, disciplinava una realtà completamente diversa da quella che vediamo oggi. Per non parlare del fatto che, dovendo essere recepita a livello nazionale, abbia generato regole differenti nei singoli Stati membri.
E così arriviamo al Regolamento ePrivacy.
2 – Dalla Direttiva al Regolamento: una trattativa durata 4 anni
Per far fronte a tutti gli evidenti limiti della Direttiva ePrivacy, il legislatore europeo si era prefisso l’obiettivo di «fornire un elevato livello di tutela della vita privata per gli utenti dei servizi di comunicazione elettronica e condizioni di parità per tutti gli operatori del mercato» (così nella relazione alla prima bozza), tramite l’adozione di un regolamento.
Dunque, un atto che garantisse lo stesso livello di tutela per gli utenti italiani come quelli portoghesi o francesi, senza distinzioni dovute alle singole leggi nazionali di recepimento.
Pertanto il progetto iniziale prevedeva l’introduzione di un sistema uniforme e coerente tramite l’adozione contestuale di due regolamenti:
- il Regolamento Generale sulla protezione dei Dati Personali (RGPD – o GDPR), avente appunto portata “generale”;
- il Regolamento ePrivacy, contenente la legislazione speciale relativa alle comunicazioni elettroniche.
Tuttavia tale, ambizioso progetto è naufragato miseramente, scontrandosi con l’incapacità degli Stati membri di addivenire ad un accordo. E così, il GDPR è entrato in vigore, il Regolamento ePrivacy ha intrapreso un lungo e travagliato percorso.
Ma come mai è stato così difficile trovare un punto d’incontro?
Perché il Regolamento ePrivacy deve conciliare due prospettive differenti – e talvolta opposte: da un lato quelle delle imprese, che puntano al loro sviluppo economico, dall’altro quello della tutela dei diritti delle persone, in particolare dei consumatori.
Tenendo anche conto dei rapidi sviluppi tecnologici che interessano questo ambito.
Insomma, un bel problema.
Un “problema” che non ha trovato soluzione per quattro anni, secondo le tappe di seguito brevemente indicate:
- 2017 – la Commissione europea ha presentato una bozza di Regolamento ePrivacy.
- 2018/2019 – La proposta di Regolamento ePrivacy è stata letteralmente “rimpallata” tra la Commissione, il Parlamento e il Consiglio.
- 2020 – Si è creato un vero e proprio impasse: la bozza non ha ottenuto mai il consenso della maggioranza del Consiglio, attraversando diverse Presidenze che sono intervenute in vario modo sul testo.
- 2021 – Il 10 febbraio, finalmente, il Consiglio ha raggiunto un accordo, formalizzando un testo finale, e affidando il mandato alla presidenza portoghese di avviare i negoziati con il Parlamento e la Commissione.
Quindi, mentre leggete questo articolo, il Consiglio sta discutendo con il Parlamento europeo il testo finale.
E la discussione non può che essere accesa, in quanto il testo definito dal Consiglio costituisce una sorta di “passo indietro” rispetto alla bozza del 2017.
Vediamo perché.
3 – La bozza di Regolamento da ultimo approvata: contenuti principali
Leggendo il testo da ultimo approvato salta subito all’occhio come sia il frutto di anni di compromessi: è estremamente complesso, confusionario e a tratti quasi contraddittorio.
Ecco in estrema sintesi i contenuti principali del Regolamento:
- dal punto di vista territoriale, vi è una grande novità: la sua applicabilità non sarà più vincolata al criterio della sede o dell’origine dell’obbligazione, ma sarà invece estesa a tutti gli utenti situati all’interno dell’Unione europea, e ciò anche nel caso in cui il fornitore dei servizi si trovi al di fuori dall’UE e/o il trattamento avvenga al di fuori dell’UE (in modo conforme al GDPR);
- si applica alle comunicazioni elettroniche su servizi e reti disponibili al pubblico, in continuità con la Direttiva ePrivacy: quindi marketing online, e-commerce, call center, pubblicità online, cookie.
A questa lista si aggiungono: i servizi dei c.d. OTT (Over-The-Top, come Google e Facebook), le trasmissioni di dati da macchina a macchina, come gli IoT (Internet of Things), i metadati (come la posizione, il momento e i dati sui destinatari) e i sistemi di messaggistica basati su protocolli web (es. WhatsApp, Telegram, ecc.)
- in linea di principio statuisce la tutela dellariservatezza delle comunicazioni elettroniche e il principio in base al quale è possibile elaborare, ascoltare, monitorare o raccogliere altrimenti i dati sulle comunicazioni elettroniche solamente previo consenso degli utenti finali (ma, come vedremo, in modo deteriore rispetto alle bozze precedenti);
- come anticipato, impone di ottenere il consenso esplicito degli utenti finali per l’installazione di cookie, tracker o qualsiasi altra tecnologia che memorizzi dati personali sulle apparecchiature terminali degli utenti, introducendo inoltre l’obbligo della verifica periodica di tale consenso;
- prevede poi la possibilità (ma non l’obbligo) a carico dei browser di consentire la creazione una white-list di fornitori di cookie nelle impostazioni del browser, così da porre fine alla nota “cookie fatigue” che perseguita qualsiasi utente che navighi online;
- del tutto contraddittoriamente ammette il ricorso ai c.d. i cookie wall, e quindi al blocco del contenuto del sito a meno che non si accettino i cookie, a condizione che (e qui “casca l’asino”) non ci sia uno squilibrio tra l’utente e il fornitore del servizio, ossia è necessario che all’utente venga offerta un’alternativa equivalente che non implichi la prestazione del consenso ai cookie e ad altre tecnologie traccianti;
- inaspettatamente, estende il c.d. soft spam dalle e-mail a qualsiasi tipologia di strumento automatizzato (es. gli SMS) e all’uso di qualsiasi informazione di contatto (quindi non solo all’indirizzo e-mail, ma anche alle utenze telefoniche); inoltre si ammette la possibilità che il destinatario della comunicazione a fini marketing sia un utente coinvolto in una qualsiasi precedente transazione (e non un cliente).
Ebbene, ci sono molte osservazioni da fare.
Innanzitutto, nella bozza si nota una contraddizione di fondo.
Da un lato si afferma il divieto generale di trattare i dati, intesi sia come dati di contenuto (es. immagini e testi), sia dati di traffico (i c.d. metadati, quali il numero di telefono, la durata della chiamata, la geolocalizzazone, il sito web visitato), in assenza del consenso validamente prestato da parte dell’utente.
Dall’altro si prevedono innumerevoli eccezioni alla regola.
Alcune condivisibili (come la garanzia dell’integrità dei servizi di comunicazione, il controllo della presenza di malware o virus, per la fatturazione o a fini antifrode), altre meno condivisibili, più che altro perché poco o male definite (come quando si ammette la possibilità di elaborare i metadati per uno scopo diverso da quello per cui sono stati raccolti, anche quando ciò non è basato sul consenso dell’utente, a talune condizioni non sufficientemente chiare).
Una sentita preoccupazione sul punto è stata peraltro manifestata dall’European Data Protection Board, che con uno Statement del 9 marzo scorso ha ribadito come il nuovo Regolamento non possa in nessun caso abbassare il livello di protezione offerto dall’attuale Direttiva ePrivacy.
Cosa non è piaciuto all’EDPB?
Innanzitutto che le eccezioni alla regola del consenso riguardino tipologie di trattamento molto ampie, le quali dovrebbero piuttosto ristrette a scopi specifici e ben determinati.
Ma soprattutto, ha ribadito come il consenso debba essere autentico ed espresso liberamente, criticando quindi la possibilità di ricorrere a dark pattern – come i cookie wall – e all’indiscriminato tracciamento online degli utenti.
Infine, ha insistito sulla necessità di definire puntualmente l’uso secondario dei dati – quello che tecnicamente si chiama “ulteriore trattamento”, ossia per finalità diverse da quelle per cui i dati sono stati raccolti – non essendo ammissibile che la valutazione circa “compatibilità” delle finalità di trattamento sia rimesso ai fornitori di servizi.
A queste critiche se ne sono poi aggiunte molte altre, soprattutto da parte delle autorità garanti tedesche – promotrici della c.d. “linea dura” – ma non solo.
In particolare si è aspramente stigmatizzato la possibilità di ricorrere ai cookie walls laddove l’utente disponga di servizi alternativi e il fornitore sia in un monopolista, dunque in una posizione dominante sul mercato.
Quando sarebbero ammessi, quindi? Difficile a dirsi.
Sicuramente non possono essere previsti nel caso in cui manchino servizi “fungibili”, come ad esempio nel caso di siti della P.A.
Ma in quali altri casi? Non è così cristallino.
Per non parlare poi della disposizione che ammette i cookie senza necessità di consenso preventivo non solo nel caso di finalità compatibili con quelle originarie, ma anche quando essi siano necessari per eseguire un contratto richiesto dall’utente.
In contrasto quindi con il consenso come codificato nel GDPR, che lo tiene sempre necessariamente distinto dalla conclusione di un contratto/prestazione di un servizio.
Certo è che, date tutte queste criticità, quella che sembrava la “puntata finale” di uno sceneggiato pieno di colpi di scena potrebbe ancora riservarci qualche sorpresa.
4 – Conclusioni: come “attrezzarsi” in vista del futuro
E quindi, che fare?
Sicuramente tutti coloro che hanno un business online debbono tenere in forte considerazione il contenuto della bozza del Regolamento.
Infatti, per quanto l’entrata in vigore del Regolamento ePrivacy sia ancora distante, è ormai sempre più chiaro quali caratteristiche dovranno avere i prodotti/progetti/siti del futuro.
Partiamo dai dati certi e che ci interessano maggiormente.
Cookie e altri sistemi di tracciamento online: per utilizzarli è necessario il consenso esplicito degli utenti.
Questo lo avevamo visto anche prima dell’accordo sulla bozza attuale, ma è bene ribadirlo.
Attenzione: non risulta possibile ricorrere alla base giuridica del legittimo interesse, che era presente in alcune delle bozze precedenti, ma in quest’ultima è invece del tutto scomparsa.
Laddove decideste di utilizzare i cookie, ricordate: oltre a dover tenere traccia del consenso raccolto (regola già operante) dovete implementare un meccanismo che ricordi agli utenti la possibilità di ritirare il consenso almeno ogni 12 mesi(salvo non sia l’utente stesso a chiedere di non ricevere alcun reminder).
E i cookie wall? In teoria possiamo installarli, ma su di noi grava in ogni caso la verifica che l’utente finale abbia un’alternativa effettiva al servizio che offriamo. E non si possono fare scivoloni sul punto.
In ogni caso, occorre redigere un’informativa trasparente ed esaustiva relativa al trattamento posto in essere.
In conclusione, i nostri consigli rimangono fermi: è giunto il momento di mettere da parte i celeberrimi biscotti e studiare valide alternative che consentano di non perdere gli introiti derivanti dalla pubblicità online, come d’altronde stanno ormai da tempo facendo le Big Tech.
Per maggiori informazioni sul sistema DATI360 Legal Suite, oppure per ricevere una consulenza dal nostro team di legali, contattaci ora.