L’Unione europea (UE) dispone di alcune tra le leggi sulla privacy dei dati più severe al mondo, il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy, che sono già in vigore. Tuttavia, la proposta di Regolamento ePrivacy comporterà alcune modifiche alla protezione dei dati e al consenso ai cookie e amplierà la portata delle organizzazioni interessate.
Andiamo a vedere quali sono i requisiti dell’ePrivacy e cosa significano questi cambiamenti per la protezione dei dati.
1. Che cos’è l’ePrivacy?
La dicitura “ePrivacy” comprende sia la Direttiva ePrivacy (Direttiva 2002/58/CE) sia la proposta di Regolamento ePrivacy, che mirano a garantire la privacy e la protezione nelle comunicazioni elettroniche nell’ambito dell’UE. È progettata per integrarsi con il GDPR.
2. Che cos’è la Direttiva ePrivacy?
La Direttiva ePrivacy dell’UE (nota anche come “legge sui cookie”), promulgata nel 2002 e aggiornata nel 2009, tratta le questioni relative alla privacy nelle comunicazioni elettroniche. Impone la riservatezza delle comunicazioni sulle reti pubbliche, richiede il consenso dell’utente per i cookie, definisce le linee guida per la sicurezza dei servizi di comunicazione elettronica e regola le pratiche di direct marketing. I banner di consenso per i cookie hanno acquisito maggiore importanza dopo l’entrata in vigore della Direttiva ePrivacy, in quanto rappresentano un modo pratico per raccogliere il consenso esplicito degli utenti.
Questa direttiva deve essere incorporata nelle leggi nazionali degli Stati membri dell’UE, e di conseguenza viene applicata in modo diverso in tutta l’Unione europea.
A novembre 2023, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato nuove linee guida che ampliano l’ambito delle tecnologie coperte dalla direttiva.
3. Quali sono le modifiche proposte alla Direttiva ePrivacy?
L’articolo 5, paragrafo 3, della Direttiva ePrivacy stabilisce che prima che un’azienda o un sito web possa archiviare o ricevere informazioni dal dispositivo di un utente (come un computer o uno smartphone), deve ottenerne il consenso preventivo.
Con le Linee guida 2/2023 sull’ambito tecnico dell’articolo 5, paragrafo 3, della Direttiva ePrivacy, l’EDPB estende l’applicazione della direttiva all’archiviazione o all’accesso alle informazioni sul dispositivo dell’utente. L’EDPB adotta una lettura ampia di ciò che costituisce un’apparecchiatura terminale e della natura delle informazioni, suggerendo che molti metodi di tracciamento digitale richiederanno un consenso preventivo esplicito, a meno che non siano necessari per fornire un servizio richiesto.
Le linee guida riguardano specificamente l’uso di diverse tecnologie di tracciamento moderne, che sono diventate prevalenti nel marketing digitale e nel monitoraggio online.
Tracciamento di URL e pixel
I pixel di tracciamento sono immagini minuscole incorporate nei siti web o nelle e-mail che si collegano a un server. Quando si apre un’e-mail o si visita una pagina web che contiene un tracking pixel, si permette al server di registrare l’azione e acquisire dettagli, come l’ora in cui è stata aperta l’e-mail, l’indirizzo IP del destinatario e il tipo di dispositivo utilizzato. I link di tracciamento degli URL connessi ai siti web aiutano a identificare la provenienza dei visitatori.
Elaborazione locale
Talvolta, i siti web utilizzano API per accedere alle informazioni memorizzate sul dispositivo di un utente, ad esempio i dati di posizione. In base a queste linee guida, se le informazioni elaborate vengono rese disponibili in rete, ciò viene considerato accesso alle informazioni memorizzate.
Tracciamento basato solo su IP
Alcune tecnologie si basano solo sulla raccolta dell’indirizzo IP per il tracciamento degli utenti. Se l’indirizzo IP proviene dall’apparecchiatura terminale dell’utente, si applica l’articolo 5, paragrafo 3, della Direttiva ePrivacy.
Report IoT (Internet of Things)
Secondo le linee guida, è necessario il consenso dell’utente per la raccolta e l’elaborazione dei dati da parte di dispositivi connessi direttamente o indirettamente a Internet. Questo vale per i dispositivi intelligenti come i frigoriferi o i fitness tracker, sia che inviino dati direttamente sia che li trasmettano attraverso un altro dispositivo come uno smartphone.
Identificatore univoco
Gli identificatori univoci sono codici speciali che vengono applicati ai dati online di un utente per indicarne l’appartenenza. Spesso provengono da dati personali persistenti o da informazioni personali che non cambiano molto nel corso del tempo, come indirizzi e-mail, nomi utente, ID account o data di nascita. Vengono utilizzati per riconoscere gli utenti di diversi siti web o app. Quando un sito web indica al browser di un utente di inviare questi dati, accede alle informazioni sul dispositivo e richiama l’articolo 5, paragrafo 3.
4. Tutti i cookie richiedono il consenso ai sensi della Direttiva ePrivacy?
No, ai sensi della Direttiva ePrivacy, i cookie “strettamente necessari” per l’erogazione di un servizio esplicitamente richiesto dall’utente non richiedono il consenso. Questi cookie sono essenziali per il funzionamento di base del sito web o per fornire il servizio richiesto direttamente dall’utente. Alcuni esempi includono:
- cookie utilizzati per mantenere lo stato delle attività di un utente su un sito web durante una sessione di navigazione, ad esempio per mantenere lo stato di accesso;
- cookie utilizzati per supportare le funzioni di sicurezza e per aiutare a identificare e prevenire i rischi per la sicurezza;
- cookie che ricordano le informazioni immesse dall’utente, come nome utente, lingua o area geografica, per offrire un’esperienza più personalizzata.
Sebbene questi cookie siano esenti dall’obbligo di consenso, si è comunque tenuti a informare gli utenti dell’utilizzo di tali cookie, spesso attraverso un’informativa sulla privacy o una policy sui cookie.
5. Che cos’è il nuovo Regolamento ePrivacy?
Il Regolamento ePrivacy è un quadro giuridico proposto dall’UE che intende aggiornare e sostituire la Direttiva ePrivacy esistente. L’obiettivo principale del Regolamento ePrivacy è quello di migliorare la protezione della privacy nelle comunicazioni elettroniche, estendendola oltre i tradizionali provider di telecomunicazioni per includere nuovi servizi come le applicazioni di messaggistica istantanea, i servizi VoIP e la posta elettronica. Include testo, immagini, discorsi, video e metadati.
A differenza delle direttive, che richiedono la trasposizione nelle leggi nazionali, i regolamenti sono applicabili direttamente, vale a dire che, una volta entrate in vigore, garantiscono l’uniformità in tutta l’UE. Il Regolamento ePrivacy è progettato per allinearsi strettamente al GDPR, garantendo un approccio coerente e unificato alla protezione dei dati e alla privacy in tutta l’UE.
6. A chi si applica il Regolamento ePrivacy?
Il Regolamento ePrivacy mira a estendere la protezione della privacy a una più ampia gamma di comunicazioni elettroniche, al di là degli operatori di telecomunicazioni tradizionali. Si applicherà a qualsiasi azienda che elabora dati in relazione a qualsiasi forma di servizio di comunicazione online, che utilizza tecnologie di tracciamento online o che si occupa di direct marketing elettronico, incluse sia le persone fisiche che quelle giuridiche coinvolte nella comunicazione elettronica.
Esempi di soggetti a cui si applica la normativa sono:
- proprietari di siti web;
- proprietari di app che utilizzano la comunicazione elettronica come componente;
- persone fisiche o giuridiche che inviano comunicazioni di direct marketing;
- società di telecomunicazioni;
- provider di servizi di messaggistica (WhatsApp, Facebook e Skype);
- provider di accesso a internet (ad es. un negozio o un bar che fornisce accesso Wi-Fi aperto).
La normativa si applica anche alle comunicazioni M2M (machine to machine, cfr. Internet of Things).
Come per il GDPR, l’ambito territoriale della normativa si estende al di fuori dell’UE. Si applicherà ai dati degli utenti finali situati nell’UE, anche se la raccolta e/o l’elaborazione dei dati avviene al di fuori dell’UE o da parte di fornitori esterni all’UE.
7. Quali azioni vieta il Regolamento ePrivacy?
Il Regolamento ePrivacy stabilisce diversi divieti specifici per proteggere i diritti alla privacy degli utenti:
- qualsiasi intercettazione, archiviazione, monitoraggio, scansione o sorveglianza di altro tipo dei dati di comunicazione elettronica da parte di soggetti diversi dagli utenti finali (se non espressamente permesso dalla normativa);
- utilizzo di tecnologie di tracciamento per scopi non tecnici senza l’ottenimento del consenso esplicito;
- accesso alle informazioni memorizzate nell’apparecchiatura terminale dell’utente senza il suo consenso;
- invio di comunicazioni elettroniche non richieste o spam, compresi i messaggi di posta elettronica, i messaggi di testo e i sistemi di chiamata automatica non richiesti;
- elaborazione dei metadati derivanti da comunicazioni elettroniche (come i dati sulla posizione, i tempi di chiamata e le informazioni sui destinatari) senza il consenso dell’utente o altre basi giuridiche.
8. Quali saranno le novità del Regolamento ePrivacy?
Il Regolamento ePrivacy non è ancora in vigore e sarà soggetto a modifiche prima che venga approvato come normativa vincolante. Le principali aree di interesse nella proposta di Regolamento ePrivacy includono:
Comunicazioni elettroniche
Il regolamento amplia l’ambito della direttiva attuale per includere le moderne forme di comunicazione, compresi i servizi di messaggistica sulle piattaforme di social media (WhatsApp, Facebook Messenger) e i provider VoIP, con l’obiettivo di una copertura completa dei metodi di comunicazione digitale.
Cookie wall
Un cookie wall è un meccanismo mediante il quale i siti web rifiutano l’accesso agli utenti, a meno che questi non accettino i cookie. La proposta di Regolamento ePrivacy non vieta completamente i cookie wall, permettendoli anzi a determinate condizioni. Nello specifico, un sito web può chiedere agli utenti di accettare i cookie se offre anche un’opzione simile che non richiede il consenso ai cookie. La chiave è fornire agli utenti una scelta chiara, assicurando loro un mezzo alternativo per accedere ai servizi senza essere costretti ad accettare i cookie.
Riservatezza
I provider di qualsiasi servizio di comunicazione elettronica, come Gmail, Skype, Facebook Messenger e WhatsApp, saranno tenuti a fornire standard di sicurezza dei dati più elevati per garantire la riservatezza dei dati di comunicazione. Dovranno proteggere tutti i dati di comunicazione attraverso le migliori tecniche disponibili.
Metadati
La normativa protegge anche i metadati delle comunicazioni elettroniche. Esempi di metadati includono:
- ora e data della comunicazione;
- durata della comunicazione;
- posizione del mittente e del destinatario al momento della comunicazione;
- tipo di comunicazione: chiamata vocale, videochiamata, messaggio di testo, e-mail, ecc.;
- informazioni sui dispositivi utilizzati per la comunicazione, inclusi i tipi e gli identificatori degli stessi;
- dettagli relativi alla rete utilizzata per la comunicazione, come identificatori di rete Wi-Fi o cellulare e potenza del segnale.
L’intercettazione dei metadati può avvenire solo in conformità alla normativa.
Direttiva e Regolamento
Esiste una differenza significativa tra le direttive UE, come la legge sui cookie dell’UE del 2002, e le normative, come la proposta di Regolamento ePrivacy. Mentre una direttiva deve essere attuata da diversi Paesi a livello nazionale, una regolamento diventa immediatamente vincolante per legge nei Paesi dell’UE.
Le direttive vengono attuate con lievi differenze da un Paese all’altro, mentre le normative hanno esattamente lo stesso contenuto in tutti i Paesi dell’UE. Il fatto che le leggi sull’ePrivacy diventino ora un regolamento dimostra il continuo impegno dell’UE per una protezione dei dati completa in tutta l’Unione.
Marketing non richiesto
Gli addetti al marketing non potranno inviare e-mail, messaggi di testo o qualsiasi altra forma di comunicazione senza previa autorizzazione da parte degli utenti, il che porterà a una riduzione dello spam.
9. Come si colloca il Regolamento ePrivacy rispetto al GDPR?
Il GDPR e il Regolamento ePrivacy presentano diverse analogie:
- hanno in comune le stesse multe elevate per la non conformità;
- entrambi puntano ad allineare le leggi sulla privacy dei dati in tutta l’UE;
- entrambi si applicano al trattamento dei dati di soggetti residenti nel territorio dell’UE, indipendentemente dal fatto che i responsabili del trattamento si trovino o meno all’interno dell’UE;
- sono entrambi normative UE.
Esistono tuttavia alcune differenze sostanziali tra le due normative, illustrate nella tabella seguente.
GDPR | Regolamento ePrivacy | |
Ambito | Si applica al trattamento dei dati personali dei residenti nell’UE, indipendentemente dalla tecnologia utilizzata. | Si concentra sul trattamento dei dati personali e dei metadati nelle comunicazioni elettroniche. |
Definizione | Per “dati personali” si intendono tutti i dati che possono essere utilizzati per identificare qualcuno. | Per “comunicazioni elettroniche” si intende qualsiasi dato comunicato per via elettronica, che possa o meno essere utilizzato per identificare qualcuno. |
Portata | Dal momento che la definizione di “dati personali” non è così ampia come quella di “comunicazioni elettroniche”, il GDPR ha una portata più limitata rispetto a quella del Regolamento ePrivacy. | “Comunicazioni elettroniche” è una definizione più ampia rispetto a “dati personali”, pertanto rende il Regolamento ePrivacy di ampia portata. |
Scopo | Proteggere i dati personali degli individui all’interno dell’UE, fornendo loro un controllo maggiore sulle proprie informazioni personali e garantendo che i loro dati vengano trattati in modo sicuro e trasparente dalle organizzazioni. | Garantire la privacy e la riservatezza delle comunicazioni elettroniche in tutta l’UE, regolando in particolare le tecnologie di tracciamento, il marketing elettronico e la sicurezza dei dati di comunicazione degli utenti. |
Tipo di dati | Copre tutti i dati personali, sia in formato elettronico che cartaceo. | Copre solo i dati di comunicazione “elettronici”, non quelli in formato cartaceo. |
Lex Specialis | Il GDPR è una legge meno specifica per quanto riguarda le comunicazioni elettroniche. Per questo motivo, il Regolamento ePrivacy prevale sul GDPR nei casi di comunicazioni elettroniche. | Il Regolamento ePrivacy è una lex specialis, una legge più specifica rispetto al GDPR per quanto riguarda le comunicazioni elettroniche. Per questo motivo prevale sul GDPR nei casi di comunicazioni elettroniche. |
A chi vengono attribuite le responsabilità | A chiunque sia titolare o responsabile del trattamento dei dati personali. I titolari del trattamento dei dati sono coloro che decidono perché e come trattare i dati personali. I responsabili del trattamento dei dati sono coloro che elaborano effettivamente i dati per il titolare. Ad esempio, se un ristorante paga le retribuzioni dei dipendenti tramite una società esterna, il ristorante è il titolare del trattamento dei dati e la società di gestione delle retribuzioni è il responsabile del trattamento dei dati personali dei dipendenti. | A chiunque elabori i contenuti delle comunicazioni elettroniche, inclusi i proprietari di siti web, i proprietari di app di comunicazione, chiunque si occupi di direct marketing, società di telecomunicazioni, fornitori di servizi di messaggistica (WhatsApp, Facebook, Skype), provider di accesso a Internet. |
A chi vengono riconosciuti diritti e tutele | Fornisce protezione solo alle persone fisiche o alla gente. | Fornisce protezione sia alle persone fisiche che a quelle giuridiche, vale a dire a persone, nonché organizzazioni, società e aziende. |
Entrata in vigore | Entrata in vigore il 25 maggio 2018 | Ancora in fase di approvazione dai legislatori dell’UE. L’entrata in vigore era prevista per il 2023, ma è stata ritardata. |
10. Quando entra in vigore il Regolamento ePrivacy?
Inizialmente il Regolamento ePrivacy doveva entrare in vigore insieme al GDPR il 25 maggio 2018, ma non è stato ancora adottato. Il Consiglio dell’UE ha pubblicato una bozza, finalizzata il 10 febbraio 2021, che è ora in fase di negoziazione tra il Consiglio e il Parlamento europeo. Se la bozza viene approvata, il regolamento diventerà legge in tutti i 27 stati membri dell’UE.
Una volta approvata la bozza, seguirà un periodo di due anni prima che la normativa venga applicata. In questo modo si avrà il tempo di apportare le modifiche necessarie e raggiungere la conformità aziendale.
11. Perché e come le aziende devono prepararsi al Regolamento ePrivacy?
Multe
Le sanzioni previste dal GDPR sono sostanziali e le stesse multe si applicheranno per la mancata conformità al Regolamento ePrivacy: fino a 20 milioni di euro o al 4% del fatturato globale annuo dell’esercizio finanziario precedente, a seconda di quale sia il valore più alto.
Quando il Regolamento ePrivacy entrerà in vigore, si applicherà immediatamente ai responsabili del trattamento delle comunicazioni elettroniche in tutta l’UE. Le aziende devono assicurarsi di essere conformi prima di tale data.
Preparazione al Regolamento ePrivacy
Il Regolamento ePrivacy non sostituirà il GDPR; al contrario, le due normative sono destinate a coesistere e integrarsi tra loro. Non è vero che il Regolamento ePrivacy cambierà totalmente le regole sulla privacy e che le aziende ora conformi al GDPR dovranno ricominciare da capo. Il Regolamento ePrivacy non farà altro che ampliare le leggi sulla privacy dell’UE. Anche dopo la sua entrata in vigore, le aziende saranno tenute a rispettare sia il GDPR che il Regolamento ePrivacy o rischieranno di incorrere in sanzioni.
Inoltre, è probabile che il consenso sia sempre più utilizzato come base giuridica per il trattamento dei dati dopo l’entrata in vigore del Regolamento ePrivacy e che questo utilizzi la definizione di consenso del GDPR. Disporre di un metodo conforme al GDPR per ottenere il consenso è già un ottimo modo per prepararsi al Regolamento ePrivacy.
Usercentrics tiene traccia degli sviluppi normativi per garantire che i nostri prodotti siano aggiornati con gli standard più recenti. Le aziende possono utilizzare la nostra piattaforma di gestione del consenso (CMP) in modo da raggiungere la conformità a GDPR ed ePrivacy e prepararsi per future leggi sulla privacy dei dati, come il Regolamento ePrivacy.
Ulteriori informazioni:
- Gennaio 2017: È stato pubblicato il testo della bozza del Regolamento ePrivacy
- Settembre 2017: Il Consiglio europeo ha pubblicato le proposte di modifica
- Febbraio 2021: Il Consiglio europeo ha pubblicato il mandato per i negoziati con il Parlamento europeo
Usercentrics GmbH non fornisce consulenza legale. I contenuti del presente articolo non devono essere interpretati come legalmente vincolanti. L’articolo rappresenta l’opinione di Usercentrics.