La presidenza finlandese del Consiglio dell’Unione europea ha presentato lo scorso 26 luglio una nuova bozza del Regolamento ePrivacy agli Stati membri. La proposta di legge che doveva entrare in vigore con il GDPR mira a regolamentare il settore del digitale e delle comunicazioni elettroniche (dall’ IoT ai cookie) ed introdurrà importanti cambiamenti che avranno un impatto finanche sugli OTT. Data la sua importanza (regola infatti anche i dati non personali) la proposta negli ultimi due anni ha subito numerose modifiche che riflettono l’influsso degli interessi – in parte contrapposti – delle imprese e dei consumatori.
Le ultime modifiche proposte dalla presidenza finlandese si concentrano sull’aggiornamento degli articoli da 5 a 7, con cambiamenti importanti dell’articolo 6 che viene diviso in quattro articoli per semplificare le regole relative alle condizioni ed ai trattamenti consentiti di dati, metadati e contenuto delle comunicazioni elettroniche.
Le proposte fanno seguito alla pubblicazione da parte della Germania di un documento di 77 pagine in cui dichiara di non poter accettare il Regolamento nella sua forma attuale a causa della mancanza di protezione della riservatezza delle comunicazioni, di cui all’articolo 6.
Le modifiche alla disciplina del trattamento dei dati
La proposta presentata dalla Presidenza finlandese del Consiglio dell’Ue lo scorso luglio ha introdotto un numero limitato di modifiche, tuttavia in relazione ad alcuni degli articoli fondamentali del testo.
La modifica più rilevante è stata introdotta in relazione all’articolo che disciplina il trattamento dei dati delle comunicazioni elettroniche da parte degli operatori di telecomunicazioni, l’articolo 6. Tale articolo viene suddiviso in quattro disposizioni distinte che disciplinano a loro volta il trattamento di un tipo specifico di dati: al fine di chiarire il rispettivo campo di applicazione e le condizioni alle quali possono essere trattate le diverse informazioni relative alle comunicazioni elettroniche.
Mutuando inoltre una impostazione del GDPR, viene introdotto un altro notevole cambiamento con la previsione di una regola generale secondo cui i dati delle comunicazioni elettroniche possono essere trattati solo per il tempo necessario al perseguimento delle finalità consentite e soltanto se tali finalità non possono essere realizzate attraverso il trattamento di dati resi anonimi.
Come cambia il direct marketing
Come nell’attuale quadro normativo (direttiva e-Privacy), le comunicazioni commerciali indesiderate con mezzi elettronici (“spam“) sono vietate, a meno che il destinatario non abbia dato il proprio consenso. In via eccezionale, non è necessario il consenso per l’invio di email di marketing a clienti già esistenti per pubblicizzare prodotti simili (in linea con la disciplina del soft-spam già presente in Italia, a condizione che ogni comunicazione preveda la possibilità di effettuare l’opt-out). Tuttavia il campo di applicazione di queste regole sembra essere ancora oggetto di discussione, in particolare la loro applicabilità alla pubblicità online. Nell’ultima bozza sono state apportate alcune modifiche di rilievo al considerando 32 e all’articolo 16, riguardanti il campo di applicazione delle norme sulle comunicazioni di direct marketing.
Mentre nella versione precedente era chiaro che la pubblicità mostrata “al pubblico in generale” era esclusa dal campo di applicazione di tali norme (suggerendo che la pubblicità mirata era invece coperta), le nuove modifiche si prestano ad una interpretazione secondo cui anche alcune ipotesi di pubblicità mirata potrebbero non essere soggette ai requisiti del direct marketing (ad esempio viene soppresso il riferimento alla “presentazione di pubblicità” e si prevede al contempo che le comunicazioni debbano essere inviate “per essere ricevute dallo specifico utente finale al proprio indirizzo, numero o altro contatto“).
La “ri-evoluzione” dei cookie
Uno dei punti maggiormente discussi della proposta di Regolamento, è la disciplina dei cookie, e il consenso al loro utilizzo.
Il progetto attuale mira a semplificare le regole dei cookie e a razionalizzare le modalità di manifestazione del consenso, ampliando notevolmente la normativa vigente rispetto alla vecchia direttiva e-Privacy. Il campo di applicazione si estende ora a qualsiasi uso delle capacità di memorizzazione o trattamento del dispositivo (e non solo alla memorizzazione o al recupero di informazioni). In altre parole, i cookie e le informazioni memorizzate rimangono coperti, ma lo sono anche alcuni script e tag (che oggi non rientrano in gran parte nell’ambito di applicazione delle attuali norme sui cookie). Quanto al consenso, nelle ultime settimane, le autorità garanti del Regno Unito e della Francia si sono pronunciate sulla validità ai sensi del GDPR del “consenso implicito” al trattamento dei dati degli utenti che visitano un sito web in cui è semplicemente mostrato un messaggio in cui si dichiara che i cookie vengono scaricati continuando ad utilizzare il sito.
L’uso dei cookie (e di file/tags simili) richiede un consenso in linea di massima. Tuttavia, il regolamento ePrivacy prevede numerose eccezioni, alcune già note (cookie necessari per motivi tecnici o di comunicazione) alcune nuove quali alcune forme di analisi, finalità di sicurezza (compresa la prevenzione delle frodi) ed aggiornamenti software.
Nell’ultima bozza, vengono confermate le posizioni più recenti secondo cui è consentito subordinare l’accesso ad un sito web gratuito alla prestazione del consenso ai cookie, a condizione che l’utente possa scegliere tra il consenso ai cookie e un’offerta equivalente che non comporta il consenso ai cookie.
Ma nel caso di siti web che offrono servizi che non possono essere trovati altrove, come quelli delle autorità pubbliche, l’accesso non può essere condizionato al consenso ai cookie.
Gli impatti per le organizzazioni
Come è già successo per l’iter di approvazione del GDPR, il testo finale del Regolamento sarà il frutto del compromesso tra le tre istituzioni comunitarie, fortemente pressate dalle rappresentanze di imprese e consumatori, e non è detto che la generale apertura impressa dalle ultime Presidenze del Consiglio trovi spazio nella versione finale. In ogni caso, anche se il testo non è definitivo, è utile che le organizzazioni lo prendano già in considerazione nel predisporre qualsiasi prodotto o progetto a lungo termine. Per esempio qualsiasi società che intenda lanciare un nuovo sito web o applicazione potrebbe opportunamente riconsiderare l’uso diffuso dei tag piuttosto che dei cookie e più in generale, può essere utile individuare i principali settori di attività che saranno influenzati dal regolamento ePrivacy, in modo da essere preparati quando arriverà il testo finale.
