Direttiva ePrivacy, Regolamento ePrivacy e GDPR: che cosa significano per la tua azienda?

L’Unione europea (UE) dispone di alcune tra le leggi sulla privacy dei dati più severe al mondo, il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy, che sono già in vigore. Tuttavia, la proposta di Regolamento ePrivacy comporterà alcune modifiche alla protezione dei dati e al consenso ai cookie e amplierà la portata delle organizzazioni interessate.

Andiamo a vedere quali sono i requisiti dell’ePrivacy e cosa significano questi cambiamenti per la protezione dei dati.

La dicitura “ePrivacy” comprende sia la Direttiva ePrivacy (Direttiva 2002/58/CE) sia la proposta di Regolamento ePrivacy, che mirano a garantire la privacy e la protezione nelle comunicazioni elettroniche nell’ambito dell’UE. È progettata per integrarsi con il GDPR.

La Direttiva ePrivacy dell’UE (nota anche come “legge sui cookie”), promulgata nel 2002 e aggiornata nel 2009, tratta le questioni relative alla privacy nelle comunicazioni elettroniche. Impone la riservatezza delle comunicazioni sulle reti pubbliche, richiede il consenso dell’utente per i cookie, definisce le linee guida per la sicurezza dei servizi di comunicazione elettronica e regola le pratiche di direct marketing. I banner di consenso per i cookie hanno acquisito maggiore importanza dopo l’entrata in vigore della Direttiva ePrivacy, in quanto rappresentano un modo pratico per raccogliere il consenso esplicito degli utenti.

Questa direttiva deve essere incorporata nelle leggi nazionali degli Stati membri dell’UE, e di conseguenza viene applicata in modo diverso in tutta l’Unione europea.

A novembre 2023, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato nuove linee guida che ampliano l’ambito delle tecnologie coperte dalla direttiva.

L’articolo 5, paragrafo 3, della Direttiva ePrivacy stabilisce che prima che un’azienda o un sito web possa archiviare o ricevere informazioni dal dispositivo di un utente (come un computer o uno smartphone), deve ottenerne il consenso preventivo.

Con le Linee guida 2/2023 sull’ambito tecnico dell’articolo 5, paragrafo 3, della Direttiva ePrivacy, l’EDPB estende l’applicazione della direttiva all’archiviazione o all’accesso alle informazioni sul dispositivo dell’utente. L’EDPB adotta una lettura ampia di ciò che costituisce un’apparecchiatura terminale e della natura delle informazioni, suggerendo che molti metodi di tracciamento digitale richiederanno un consenso preventivo esplicito, a meno che non siano necessari per fornire un servizio richiesto.

Le linee guida riguardano specificamente l’uso di diverse tecnologie di tracciamento moderne, che sono diventate prevalenti nel marketing digitale e nel monitoraggio online.

I pixel di tracciamento sono immagini minuscole incorporate nei siti web o nelle e-mail che si collegano a un server. Quando si apre un’e-mail o si visita una pagina web che contiene un tracking pixel, si permette al server di registrare l’azione e acquisire dettagli, come l’ora in cui è stata aperta l’e-mail, l’indirizzo IP del destinatario e il tipo di dispositivo utilizzato. I link di tracciamento degli URL connessi ai siti web aiutano a identificare la provenienza dei visitatori.

Talvolta, i siti web utilizzano API per accedere alle informazioni memorizzate sul dispositivo di un utente, ad esempio i dati di posizione. In base a queste linee guida, se le informazioni elaborate vengono rese disponibili in rete, ciò viene considerato accesso alle informazioni memorizzate.

Alcune tecnologie si basano solo sulla raccolta dell’indirizzo IP per il tracciamento degli utenti. Se l’indirizzo IP proviene dall’apparecchiatura terminale dell’utente, si applica l’articolo 5, paragrafo 3, della Direttiva ePrivacy.

Secondo le linee guida, è necessario il consenso dell’utente per la raccolta e l’elaborazione dei dati da parte di dispositivi connessi direttamente o indirettamente a Internet. Questo vale per i dispositivi intelligenti come i frigoriferi o i fitness tracker, sia che inviino dati direttamente sia che li trasmettano attraverso un altro dispositivo come uno smartphone.

Gli identificatori univoci sono codici speciali che vengono applicati ai dati online di un utente per indicarne l’appartenenza. Spesso provengono da dati personali persistenti o da informazioni personali che non cambiano molto nel corso del tempo, come indirizzi e-mail, nomi utente, ID account o data di nascita. Vengono utilizzati per riconoscere gli utenti di diversi siti web o app. Quando un sito web indica al browser di un utente di inviare questi dati, accede alle informazioni sul dispositivo e richiama l’articolo 5, paragrafo 3.

No, ai sensi della Direttiva ePrivacy, i cookie “strettamente necessari” per l’erogazione di un servizio esplicitamente richiesto dall’utente non richiedono il consenso. Questi cookie sono essenziali per il funzionamento di base del sito web o per fornire il servizio richiesto direttamente dall’utente. Alcuni esempi includono:

• cookie utilizzati per mantenere lo stato delle attività di un utente su un sito web durante una sessione di navigazione, ad esempio per mantenere lo stato di accesso;
• cookie utilizzati per supportare le funzioni di sicurezza e per aiutare a identificare e prevenire i rischi per la sicurezza;
• cookie che ricordano le informazioni immesse dall’utente, come nome utente, lingua o area geografica, per offrire un’esperienza più personalizzata.

Sebbene questi cookie siano esenti dall’obbligo di consenso, si è comunque tenuti a informare gli utenti dell’utilizzo di tali cookie, spesso attraverso un’informativa sulla privacy o una policy sui cookie.

Il Regolamento ePrivacy è un quadro giuridico proposto dall’UE che intende aggiornare e sostituire la Direttiva ePrivacy esistente. L’obiettivo principale del Regolamento ePrivacy è quello di migliorare la protezione della privacy nelle comunicazioni elettroniche, estendendola oltre i tradizionali provider di telecomunicazioni per includere nuovi servizi come le applicazioni di messaggistica istantanea, i servizi VoIP e la posta elettronica. Include testo, immagini, discorsi, video e metadati.

A differenza delle direttive, che richiedono la trasposizione nelle leggi nazionali, i regolamenti sono applicabili direttamente, vale a dire che, una volta entrate in vigore, garantiscono l’uniformità in tutta l’UE. Il Regolamento ePrivacy è progettato per allinearsi strettamente al GDPR, garantendo un approccio coerente e unificato alla protezione dei dati e alla privacy in tutta l’UE.

Il Regolamento ePrivacy mira a estendere la protezione della privacy a una più ampia gamma di comunicazioni elettroniche, al di là degli operatori di telecomunicazioni tradizionali. Si applicherà a qualsiasi azienda che elabora dati in relazione a qualsiasi forma di servizio di comunicazione online, che utilizza tecnologie di tracciamento online o che si occupa di direct marketing elettronico, incluse sia le persone fisiche che quelle giuridiche coinvolte nella comunicazione elettronica.

Esempi di soggetti a cui si applica la normativa sono:

• proprietari di siti web;
• proprietari di app che utilizzano la comunicazione elettronica come componente;
• persone fisiche o giuridiche che inviano comunicazioni di direct marketing;
• società di telecomunicazioni;
• provider di servizi di messaggistica (WhatsApp, Facebook e Skype);
• provider di accesso a internet (ad es. un negozio o un bar che fornisce accesso Wi-Fi aperto).

La normativa si applica anche alle comunicazioni M2M (machine to machine, cfr. Internet of Things).

Come per il GDPR, l’ambito territoriale della normativa si estende al di fuori dell’UE. Si applicherà ai dati degli utenti finali situati nell’UE, anche se la raccolta e/o l’elaborazione dei dati avviene al di fuori dell’UE o da parte di fornitori esterni all’UE.

Il Regolamento ePrivacy stabilisce diversi divieti specifici per proteggere i diritti alla privacy degli utenti:

• qualsiasi intercettazione, archiviazione, monitoraggio, scansione o sorveglianza di altro tipo dei dati di comunicazione elettronica da parte di soggetti diversi dagli utenti finali (se non espressamente permesso dalla normativa);
• utilizzo di tecnologie di tracciamento per scopi non tecnici senza l’ottenimento del consenso esplicito;
• accesso alle informazioni memorizzate nell’apparecchiatura terminale dell’utente senza il suo consenso;
• invio di comunicazioni elettroniche non richieste o spam, compresi i messaggi di posta elettronica, i messaggi di testo e i sistemi di chiamata automatica non richiesti;
• elaborazione dei metadati derivanti da comunicazioni elettroniche (come i dati sulla posizione, i tempi di chiamata e le informazioni sui destinatari) senza il consenso dell’utente o altre basi giuridiche.

Il Regolamento ePrivacy non è ancora in vigore e sarà soggetto a modifiche prima che venga approvato come normativa vincolante. Le principali aree di interesse nella proposta di Regolamento ePrivacy includono:

Il regolamento amplia l’ambito della direttiva attuale per includere le moderne forme di comunicazione, compresi i servizi di messaggistica sulle piattaforme di social media (WhatsApp, Facebook Messenger) e i provider VoIP, con l’obiettivo di una copertura completa dei metodi di comunicazione digitale.

Un cookie wall è un meccanismo mediante il quale i siti web rifiutano l’accesso agli utenti, a meno che questi non accettino i cookie. La proposta di Regolamento ePrivacy non vieta completamente i cookie wall, permettendoli anzi a determinate condizioni. Nello specifico, un sito web può chiedere agli utenti di accettare i cookie se offre anche un’opzione simile che non richiede il consenso ai cookie. La chiave è fornire agli utenti una scelta chiara, assicurando loro un mezzo alternativo per accedere ai servizi senza essere costretti ad accettare i cookie.

I provider di qualsiasi servizio di comunicazione elettronica, come Gmail, Skype, Facebook Messenger e WhatsApp, saranno tenuti a fornire standard di sicurezza dei dati più elevati per garantire la riservatezza dei dati di comunicazione. Dovranno proteggere tutti i dati di comunicazione attraverso le migliori tecniche disponibili.

La normativa protegge anche i metadati delle comunicazioni elettroniche. Esempi di metadati includono:

• ora e data della comunicazione;
• durata della comunicazione;
• posizione del mittente e del destinatario al momento della comunicazione;
• tipo di comunicazione: chiamata vocale, videochiamata, messaggio di testo, e-mail, ecc.;
• informazioni sui dispositivi utilizzati per la comunicazione, inclusi i tipi e gli identificatori degli stessi;
• dettagli relativi alla rete utilizzata per la comunicazione, come identificatori di rete Wi-Fi o cellulare e potenza del segnale.

L’intercettazione dei metadati può avvenire solo in conformità alla normativa.

Esiste una differenza significativa tra le direttive UE, come la legge sui cookie dell’UE del 2002, e le normative, come la proposta di Regolamento ePrivacy. Mentre una direttiva deve essere attuata da diversi Paesi a livello nazionale, una regolamento diventa immediatamente vincolante per legge nei Paesi dell’UE.

Le direttive vengono attuate con lievi differenze da un Paese all’altro, mentre le normative hanno esattamente lo stesso contenuto in tutti i Paesi dell’UE. Il fatto che le leggi sull’ePrivacy diventino ora un regolamento dimostra il continuo impegno dell’UE per una protezione dei dati completa in tutta l’Unione.

Gli addetti al marketing non potranno inviare e-mail, messaggi di testo o qualsiasi altra forma di comunicazione senza previa autorizzazione da parte degli utenti, il che porterà a una riduzione dello spam.

Il GDPR e il Regolamento ePrivacy presentano diverse analogie:

• hanno in comune le stesse multe elevate per la non conformità;
• entrambi puntano ad allineare le leggi sulla privacy dei dati in tutta l’UE;
• entrambi si applicano al trattamento dei dati di soggetti residenti nel territorio dell’UE, indipendentemente dal fatto che i responsabili del trattamento si trovino o meno all’interno dell’UE;
• sono entrambi normative UE.

Esistono tuttavia alcune differenze sostanziali tra le due normative, illustrate nella tabella seguente.

Inizialmente il Regolamento ePrivacy doveva entrare in vigore insieme al GDPR il 25 maggio 2018, ma non è stato ancora adottato. Il Consiglio dell’UE ha pubblicato una bozza, finalizzata il 10 febbraio 2021, che è ora in fase di negoziazione tra il Consiglio e il Parlamento europeo. Se la bozza viene approvata, il regolamento diventerà legge in tutti i 27 stati membri dell’UE.

Una volta approvata la bozza, seguirà un periodo di due anni prima che la normativa venga applicata. In questo modo si avrà il tempo di apportare le modifiche necessarie e raggiungere la conformità aziendale.

Le sanzioni previste dal GDPR sono sostanziali e le stesse multe si applicheranno per la mancata conformità al Regolamento ePrivacy: fino a 20 milioni di euro o al 4% del fatturato globale annuo dell’esercizio finanziario precedente, a seconda di quale sia il valore più alto.

Quando il Regolamento ePrivacy entrerà in vigore, si applicherà immediatamente ai responsabili del trattamento delle comunicazioni elettroniche in tutta l’UE. Le aziende devono assicurarsi di essere conformi prima di tale data.

Il Regolamento ePrivacy non sostituirà il GDPR; al contrario, le due normative sono destinate a coesistere e integrarsi tra loro. Non è vero che il Regolamento ePrivacy cambierà totalmente le regole sulla privacy e che le aziende ora conformi al GDPR dovranno ricominciare da capo. Il Regolamento ePrivacy non farà altro che ampliare le leggi sulla privacy dell’UE. Anche dopo la sua entrata in vigore, le aziende saranno tenute a rispettare sia il GDPR che il Regolamento ePrivacy o rischieranno di incorrere in sanzioni.

Inoltre, è probabile che il consenso sia sempre più utilizzato come base giuridica per il trattamento dei dati dopo l’entrata in vigore del Regolamento ePrivacy e che questo utilizzi la definizione di consenso del GDPR. Disporre di un metodo conforme al GDPR per ottenere il consenso è già un ottimo modo per prepararsi al Regolamento ePrivacy.

Usercentrics tiene traccia degli sviluppi normativi per garantire che i nostri prodotti siano aggiornati con gli standard più recenti. Le aziende possono utilizzare la nostra piattaforma di gestione del consenso (CMP) in modo da raggiungere la conformità a GDPR ed ePrivacy e prepararsi per future leggi sulla privacy dei dati, come il Regolamento ePrivacy.

Ulteriori informazioni:

• Gennaio 2017: È stato pubblicato il testo della bozza del Regolamento ePrivacy
• Settembre 2017: Il Consiglio europeo ha pubblicato le proposte di modifica
• Febbraio 2021: Il Consiglio europeo ha pubblicato il mandato per i negoziati con il Parlamento europeo

Usercentrics GmbH non fornisce consulenza legale. I contenuti del presente articolo non devono essere interpretati come legalmente vincolanti. L’articolo rappresenta l’opinione di Usercentrics.