Regolamento ePrivacy: approvato il testo finale dal Consiglio dell’Unione Europea

Il Regolamento ePrivacy è finalmente ad un punto di svolta decisivo perchè il Consiglio dell’Unione Europa ha raggiunto un accordo sulla versione finale del testo.

L’approvazione del Regolamento ePrivacy da parte del Consiglio dell’Unione europea

Dopo un travaglio durato oltre 4 anni il Regolamento ePrivacy è finalmente ad un punto di svolta decisivo. Il Consiglio dell’Unione Europa ha raggiunto un accordo sulla versione finale del testo approvando così un mandato negoziale per la revisione definitiva delle norme in materia di tutela della vita privata e della riservatezza nell’uso di servizi di comunicazione elettronica.

Il nuovo testo di legge troverà applicazione non solo con riferimento ai fornitori di servizi di comunicazione elettronica tradizionali, come gli operatori di telefonia mobile e fissa, ma introdurrà importanti cambiamenti nei settori fondamentali dell’economia digitale, come l’ Internet of Things, l’online advertising, e le telecomunicazioni online.

La bozza di Regolamento presentato dalla Commissione europea all’inizio del 2017, ha da subito destato l’interesse delle lobby del settore dei servizi di telecomunicazione, pubblicità e media, ed ha subìto numerose modifiche per via dell’influsso degli interessi – in parte contrapposti – delle imprese e dei consumatori. Ci sono infatti volute ben 8 Presidenze diverse del Consiglio dell’Unione Europea per arrivare ad un accordo su un testo condiviso della bozza di Regolamento ePrivacy, che è stato finalmente raggiunto il 10 febbraio sotto la Presidenza portoghese.

Ecco di seguito un breve recap di alcuni dei punti più interessati del nuovo testo.

Impostazioni privacy di default

Per combattere la c.d. cookie banner fatigue i fornitori di software sono incoraggiati (ma non obbligati) a includere di default impostazioni che consentano agli utenti finali, in maniera agevole e trasparente, di gestire il consenso ai cookie, effettuando scelte precise in merito all’archiviazione e all’accesso ai dati memorizzati nelle loro apparecchiature terminali, impostando e modificando facilmente delle white-list per la categorie di cookie accettate o meno, in modo da avere un controllo facilmente esercitabile del consenso. Del resto, lo ha detto anche Elon Musk, che ultimamente pare essere più influente del solito.

Cookie walls e adtech

Si mantiene la possibilità di condizionare l’accesso ai siti web alla prestazione del consenso all’installazione dei cookie da parte dell’utente, a condizione che “non privi l’utente di una facoltà di scelta effettiva”; tale condizione si ritiene verificata se l’utente finale viene posto in grado di scegliere – consapevolmente – tra un’offerta di servizio che include il consenso all’uso dei cookie per finalità aggiuntive, da un lato, e un’offerta equivalente dello stesso fornitore che non comporta il consenso all’uso dei dati per finalità aggiuntive. Rale squilibrio potrebbe esistere ad esempio quando l’utente finale ha solo poche o nessuna alternativa al servizio, e quindi non ha alcuna scelta reale per quanto riguarda l’utilizzo dei cookie, ad esempio nel caso di fornitori di servizi che rivestono un posizione dominante; rispetto al tema della consapevolezza, come già previsto dal GDPR l’informativa dovrà essere chiara, esaustiva e user-friendly (a conferma che il legal design non sarà solo un hashtag trendy nei prossimi mesi).

Consenso si, ma con reminder

Per gli utenti finali che hanno prestato il proprio consenso al trattamento dei dati delle comunicazioni elettroniche deve essere ricordata la possibilità di ritirare il consenso a intervalli periodici di non più di 12 mesi, finché il trattamento continua, a meno che l’utente finale non chieda di non ricevere tali reminder.

Soft spam esteso

Viene mantenuta la possibilità di inviare comunicazioni di marketing in base alla c.d. eccezione soft spam, mantenendo anche le stesse regole quanto a informativa e opt-out, ma si estende la definizione di messaggio elettronico: non solo email ma anche qualsiasi messaggio contenente informazioni quali testo, voce, video, suono o immagine inviato su una rete di comunicazione elettronica che può essere memorizzato nella rete o in strutture informatiche correlate, o nell’apparecchiatura terminale del suo destinatario, compresi SMS, MMS e applicazioni e tecniche funzionalmente equivalenti.

Cookie: addio interesse legittimo

Il testo sembra orientato verso un approccio conservativo, escludendo la possibilità di fare affidamento sull’interesse legittimo per il trattamento dei dati basati sui cookie (comparsa in precedenti bozze), prevedendo la necessità del consenso da parte dell’utente finale, con alcune eccezioni tassative, ad esempio per misurazione dell’audience, prevenzione frodi, installazione aggiornamenti software, in caso di emergenza e per finalità compatibili (a determinate condizioni e a seguito di una precisa valutazione).

Trattamento “ulteriore” dei metadati, in che termini è consentito?

Più controversa resta la possibilità di elaborare i metadati per finalità compatibili con quelle per cui sono stati originariamente raccolti (anche qui necessaria valutazione e specifiche misure di sicurezza come encryption o pseudonimizzazione). Si prevede la possibilità di trattare però i metadati, oltre che in base al consenso, se tale trattamento è necessario ai fini della gestione della rete o dell’ottimizzazione della rete, o per soddisfare i requisiti tecnici di qualità del servizio, o per l’esecuzione di un contratto di servizio di comunicazione elettronica di cui l’utente finale è parte, o se necessario per la fatturazione, il calcolo dei pagamenti di interconnessione, l’individuazione o la cessazione dell’uso fraudolento o abusivo dei servizi di comunicazione elettronica o dell’abbonamento a tali servizi.

Cosa succede ora?

Con l’approvazione dello scorso 10 febbraio 2021 è stato attribuito dal Consiglio dell’Unione Europea il mandato per dare avvio alle negoziazioni con il Parlamento europeo, con cui verranno discussi i termini del testo definitivo. Il Regolamento entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE e inizierà ad applicarsi due anni dopo.

Anche se l’approvazione da parte del Consiglio dell’Unione europea è un passaggio importante, l’entrata in vigore del Regolamento ePrivacy non è proprio dietro l’angolo. Tuttavia, una volta applicabile armonizzerà le norme a livello europeo, ed è quindi necessario che le organizzazioni prendano in considerazione già al momento di concepire qualsiasi prodotto o progetto di medio-lungo termine  gli impatti che l’impostazione del nuovo testo può avere sul loro business.

Su di un simile argomento, è possibile leggere l’articolo “Il Garante privacy apre una consultazione sulle nuove Linee Guida sull’utilizzo di cookie“.