Dopo un travaglio durato oltre quattro anni, il Regolamento ePrivacy è giunto a un punto di svolta decisivo. Il Consiglio dell’Unione Europa ha raggiunto un accordo sulla versione finale del testo approvando così un mandato negoziale per la revisione definitiva delle norme in materia di tutela della vita privata e della riservatezza nell’uso di servizi di comunicazione elettronica.
Le norme aggiornate in materia di “e-privacy” sostituiranno la vigente Direttiva e-Privacy del 2002 introducendo importanti cambiamenti nei settori fondamentali dell’economia digitale, dall’IoT all’online advertising e al direct marketing, con impatti su tutte le organizzazioni attive nel settore digital, dalle web company, alle società di telecomunicazioni, social network, sviluppatori di software e app. Vediamo i contenuti principali del nuovo testo e cosa aspettarci adesso.
Cosa cambierà con il Regolamento ePrivacy
Il Regolamento ePrivacy mira a garantire la riservatezza nelle comunicazioni elettroniche, e definirà i casi in cui i fornitori di servizi sono autorizzati a trattare i dati delle comunicazioni elettroniche o ad avere accesso ai dati conservati sui dispositivi degli utenti finali, completando il quadro della regolamentazione sulla protezione dei dati previsto dal GDPR.
La scelta dello strumento legislativo, un Regolamento in sostituzione di una Direttiva, mira ad armonizzare il quadro giuridico applicabile a livello europeo e sottolinea l’esigenza di superare i particolarismi applicativi e le inconsistenze venutesi a creare nel corso dell’applicazione nazionale della Direttiva ePrivacy.
Cosa dice il nuovo testo
Il testo approvato sotto la Presidenza Portoghese, riprende alcuni punti chiave della bozza pubblicata dalla Presidenza tedesca, e introduce alcune modifiche di compromesso che hanno consentito di raggiungere un accordo tra i vari Stati membri. Si percepisce una certa diplomatica tensione alla flessibilità in alcuni passaggi del testo, che si prestano potenzialmente ad interpretazioni non del tutto univoche, ma la “scolarizzazione” avvenuta (seppur solo in parte) con l’introduzione del principio dell’accountability potrebbe venire in soccorso.
Sarà necessario un atteggiamento responsabile da parte degli operatori. Per il resto dove non arriva la legge arriveranno le autorità di controllo (non ci dimentichiamo che il nostro Garante è uno dei più attivi e proattivi a livello europeo) e i reclami degli interessati: il livello di privacy awareness è in crescita costante e gli operatori virtuosi (che ci tengono alla propria reputation) sanno bene che il rispetto della privacy, la trasparenza e la tutela della riservatezza sono un valore aggiunto che fidelizza ed attrae – sempre di più – gli utenti. Ancora di più quando si parla di riservatezza nelle comunicazioni elettroniche. In ogni caso, è bene ricordarlo, resta da vedere che tenore avranno le negoziazioni con il Parlamento EU che porteranno al testo definitivo.
Impostazioni privacy di default
Per combattere la c.d. cookie banner fatigue i fornitori di software sono incoraggiati (ma non obbligati) a includere di default impostazioni che consentano agli utenti finali, in maniera agevole e trasparente, di gestire il consenso ai cookie, effettuando scelte precise in merito all’archiviazione e all’accesso ai dati memorizzati nelle loro apparecchiature terminali, impostando e modificando facilmente delle whitelist per la categorie di cookie accettate o meno, in modo da avere un controllo facilmente esercitabile del consenso. Del resto, lo ha detto anche Elon, che ultimamente pare essere più influente del solito.
Cookie walls e adtech
Si mantiene la possibilità di condizionare l’accesso ai siti web alla prestazione del consenso all’installazione dei cookie da parte dell’utente, a condizione che “non privi l’utente di una facoltà di scelta effettiva”; tale condizione si ritiene verificata se se l’utente finale viene posto in grado di scegliere – consapevolmente – tra un’offerta di servizio che include il consenso all’uso dei cookie per finalità aggiuntive, da un lato, e un’offerta equivalente dello stesso fornitore che non comporta il consenso all’uso dei dati per finalità aggiuntive; tale squilibrio potrebbe esistere ad esempio quando l’utente finale ha solo poche o nessuna alternativa al servizio, e quindi non ha alcuna scelta reale per quanto riguarda l’utilizzo dei cookie, ad esempio nel caso di fornitori di servizi che rivestono un posizione dominante; rispetto al tema della consapevolezza, come già previsto dal GDPR l’informativa dovrà essere chiara, esaustiva e user-friendly (a conferma che il legal design non sarà solo un hashtag trendy nei prossimi mesi).
Consenso sì, ma con reminder
Per gli utenti finali che hanno prestato il proprio consenso al trattamento dei dati delle comunicazioni elettroniche deve essere ricordata la possibilità di ritirare il consenso a intervalli periodici di non più di 12 mesi, finché il trattamento continua, a meno che l’utente finale non chieda di non ricevere tali reminder.
Soft spam esteso
Viene mantenuta la possibilità di inviare comunicazioni di marketing in base alla cosiddetta eccezione soft spam, mantenendo anche le stesse regole quanto a informativa e opt-out, ma si estende la definizione di messaggio elettronico: non solo email ma anche qualsiasi messaggio contenente informazioni quali testo, voce, video, suono o immagine inviato su una rete di comunicazione elettronica che può essere memorizzato nella rete o in strutture informatiche correlate, o nell’apparecchiatura terminale del suo destinatario, compresi SMS, MMS e applicazioni e tecniche funzionalmente equivalenti.
Cookie: addio interesse legittimo
Il testo sembra orientato verso un approccio conservativo, escludendo la possibilità di fare affidamento sull’interesse legittimo per il trattamento dei dati basati sui cookie (comparsa in precedenti bozze), prevedendo la necessità del consenso da parte dell’utente finale, con alcune eccezioni tassative, ad esempio per misurazione dell’audience, prevenzione frodi, installazione aggiornamenti software, in caso di emergenza e per finalità compatibili (a determinate condizioni e a seguito di una precisa valutazione).
Trattamento “ulteriore” dei metadati, in che termini è consentito
Più controversa resta la possibilità di elaborare i metadati per finalità compatibili con quelle per cui sono stati originariamente raccolti (anche qui necessaria valutazione e specifiche misure di sicurezza come encryption o pseudonimizzazione). Si prevede la possibilità di trattare però i metadati, oltre che in base al consenso, se tale trattamento è necessario ai fini della gestione della rete o dell’ottimizzazione della rete, o per soddisfare i requisiti tecnici di qualità del servizio, o per l’esecuzione di un contratto di servizio di comunicazione elettronica di cui l’utente finale è parte, o se necessario per la fatturazione, il calcolo dei pagamenti di interconnessione, l’individuazione o la cessazione dell’uso fraudolento o abusivo dei servizi di comunicazione elettronica o dell’abbonamento a tali servizi.
Perché le negoziazioni sono andate a rilento
Il nuovo testo di legge troverà applicazione non solo con riferimento ai fornitori di servizi di comunicazione elettronica tradizionali, come gli operatori di telefonia mobile e fissa, ma introdurrà importanti cambiamenti nei settori fondamentali dell’economia digitale, come l’ Internet of Things, l’online advertising, e le telecomunicazioni online. L’estesa portata di questo nuovo Regolamento ha reso complicate le negoziazioni in seno agli organi dell’UE.
La bozza di Regolamento presentato dalla Commissione europea all’inizio del 2017, ha da subito destato l’interesse delle lobby del settore dei servizi di telecomunicazione, pubblicità e media, ed ha subìto numerose modifiche per via dell’influsso degli interessi – in parte contrapposti – delle imprese e dei consumatori. Ci sono infatti volute ben 8 Presidenze diverse del Consiglio dell’Unione Europea per arrivare ad un accordo su un testo condiviso, che è stato finalmente raggiunto il 10 febbraio sotto la Presidenza Portoghese.
Regolamento e-Privacy, lo scenario futuro
Come riportato nella nota ufficiale, il Regolamento entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE e inizierà ad applicarsi due anni dopo. Dal punto di vista procedurale, è stato approvato dagli ambasciatori riuniti in sede di Comitato dei rappresentanti permanenti (Coreper) del Consiglio il mandato per dare avvio alle negoziazioni con il Parlamento europeo, con cui verranno discussi i termini del testo definitivo. Personalmente, mi sono divertito a tenere traccia dei singoli cambiamenti nelle decine di bozze che si sono susseguite in questi anni, ma auspico che si possa addivenire ad un testo finale in tempi rapidi, per fornire un impianto normativo finalmente al passo coi tempi e le nuove tecnologie.
Nel frattempo, è utile prendere atto che – una volta approvato ed in vigore – il nuovo Regolamento ePrivacy armonizzerà le norme a livello europeo, ed è necessario che le organizzazioni prendano in considerazione gli impatti che l’impostazione del nuovo testo può avere sul loro business. Ad esempio, già al momento di concepire qualsiasi prodotto o progetto di medio-lungo termine, prima di spendere tempo e risorse economiche in ricerca e sviluppo, potrebbe essere opportuno tener conto dei requisiti di segretezza delle comunicazioni elettroniche, per evitare di dover interrompere o rivoluzionare i progetti nel giro di un anno o due. Qualsiasi organizzazione che intenda creare un nuovo sito web o un’applicazione di punta, potrebbe anche riconsiderare l’uso diffuso dei tag piuttosto che dei cookie, optando per identificatori e strumenti di monitoraggio alternativi, al fine di prevenire e fronteggiare le perdite che l’industria della pubblicità online potrebbe subire a causa della progressiva eliminazione dei cookie terze parti, preannunciata ormai dai principali browser, che sono già al lavoro sulle soluzioni alternative ai cookie.
