Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la normativa

Regolamento ePrivacy e cookie: le norme dal 2019

Dopo il profondo impatto del GDPR sul mercato dei dati, il regolamento ePrivacy, testo normativo al vaglio delle istituzioni europee, potrebbe avere un effetto altrettanto – o forse ancor di più – dirompente. Vediamo quali sono le maggiori novità in tema di cookie

07 Set 2018

Tommaso Ricci

Privacy Specialist


Dopo le novità in tema di privacy e protezione dei dati personali introdotte dal GDPR, vediamo quali importanti cambiamenti per diversi ambiti del digitale – dallo spam al direct marketing, dal machine learning alle attività delle società di telecomunicazioni e all’Internet delle cose – potrebbero arrivare dal regolamento ePrivacy, che sostituirà la vecchia direttiva ePrivacy (2002/58/CE).

Se, quindi, il 2018 sarà ricordato come «l’anno della privacy», in cui la protezione dei dati personali e la regolamentazione annessa hanno significativamente occupato il dibattito economico-legislativo globale, allora il 2019 potrebbe essere ricordato come «l’anno della ePrivacy», l’anno in cui il focus si estenderà oltre i dati personali, ai metadati, ai dati delle comunicazioni elettroniche ed ai cookie.

Il framework normativo dei cookie con il GDPR

All’interno del quadro giuridico comunitario la disciplina relativa all’uso dei cookie e degli altri strumenti analoghi (web beacon/web bug, clear GIF, ecc.), ha trovato il suo fondamento nella Direttiva 2002/58/CE, meglio nota come Direttiva ePrivacy o Cookie Law, modificata nel 2009 dalla Direttiva 136/CE che ha introdotto il principio dell’opt-in. Nel contesto nazionale, tale disciplina è stata dapprima recepita dall’articolo 122 del Codice Privacy e, in seguito, è stata oggetto di uno specifico intervento da parte del Garante. L’Autorità, con il provvedimento 229 dell’8 maggio 2014, oltre a individuare modalità semplificate per rendere l’informativa agli utenti online, ha fornito indicazioni sulle modalità di acquisizione del consenso in caso di utilizzo di cookie, di fatto fornendo delle linee guida chiare per utilizzare al meglio tale tecnologia.

Con l’entrata in vigore del GDPR tuttavia lo scenario sembrerebbe essere cambiato: secondo una recente ricerca condotta dal Reuters Institute for the Study of Journalism dell’università di Oxford, il numero di cookie di terze parti tra aprile e luglio 2018 è diminuito del 32% sui siti italiani esaminati, con cali significativi per i cookie pubblicitari e di marketing (-14%) e dei social media (-9%) anche nel resto dell’Europa.

Probabilmente l’aspro regime sanzionatorio introdotto dal GDPR è stato un deterrente per molte aziende, ma a ben vedere, la disciplina che esso introduce non si discosta diametralmente da quella precedente. Già prima del 25 maggio, ad esempio, l’utilizzo dei cookie necessitava di una manifestazione “positiva” del consenso (ove richiesto) come l’intervento attivo dell’utente per il superamento del banner.

Inoltre, come noto, il GDPR trova applicazione soltanto con riferimento ai dati personali e sebbene preveda che gli identificativi online (quali i cookie) a certe condizioni possano essere associati a dati personali, tuttavia tale potenzialità non comporta automaticamente che tutti i cookie consentano l’identificazione di persone fisiche.

Ciò significa che prima di rinunciare all’utilizzo dei cookie, è necessario valutare se i requisiti introdotti dal GDPR trovano applicazione con riferimento al caso specifico e quali siano gli eventuali correttivi da adottare, anche in considerazione del fatto che l’attuale bozza di decreto di implementazione del GDPR (non ancora pubblicata in Gazzetta) fa salvo l’articolo 122 del Codice e le modalità semplificate di rendere l’informativa.

L’impatto del nuovo Regolamento ePrivacy

Quella del 25 maggio 2018 è oramai una data nota per via dell’applicazione del GDPR, ma proprio nello stesso giorno il Comitato Europeo per la protezione dei dati, nella sua prima plenaria, si è espresso in merito ad un altro testo normativo: il nuovo Regolamento ePrivacy.

Sebbene per ora si tratti «solo» di una proposta legislativa, il testo al vaglio delle istituzioni europee sembrerebbe prossimo ad introdurre importanti cambiamenti per il settore del digitale in senso ampio. Il Regolamento infatti si occupa del diritto alla riservatezza, oltre che della protezione dei dati personali, nel contesto della fornitura dei servizi di comunicazione elettronica effettuata dai nuovi ed indiscussi protagonisti del web.

In effetti l’ambito di applicazione è alquanto ampio e si estende a settori eterogenei: dallo spam e il direct marketing, alle attività delle società di telecomunicazioni, degli sviluppatori di app e dell’Internet of Things, oltre che dei c.d. servizi di comunicazione Over the Top e machine to machine.

La bozza di Regolamento presentato dalla Commissione europea all’inizio del 2017, ha da subito destato l’interesse delle lobby del settore dei servizi di telecomunicazione, pubblicità e media, ma a seguito dell’approvazione da parte del Parlamento Europeo del Report della Commissione LIBE, avvenuta lo scorso 26 Ottobre, il testo ha iniziato a rivestire un importanza fondamentale per il futuro di alcuni mercati. La ratio delle modifiche proposte dal LIBE è stata infatti, sin dall’inizio, quella di cercare di garantire un elevato grado di sicurezza per le informazioni e i dati personali nel contesto delle comunicazioni elettroniche, introducendo previsioni che potrebbero profondamente modificare l’attività e i modelli di business di alcuni big player del mercato.

Le modifiche della disciplina dei cookie con ePrivacy

Uno dei punti maggiormente discussi della proposta di Regolamento, è la disciplina dei cookie, e il consenso al loro utilizzo, entrambi profondamente modificati a seguito dell’approvazione degli emendamenti proposti dal LIBE da parte del Parlamento Europeo.

  • L’obiettivo del Regolamento è quello di semplificare le regole dei cookie e di razionalizzare le modalità di manifestazione del consenso, rendendole più “user friendly“. In sostanza, secondo la proposta approvata dal Parlamento, per diminuire la “banner fatigue” gli utenti dovrebbero essere in grado di gestire il proprio consenso ai cookie direttamente tramite apposite impostazioni del browser, con una granularità tale da permettere – in maniera semplice – di scegliere a quali specifiche categorie di cookie, distinti per finalità, prestare il proprio consenso.
  • Tali impostazioni dovrebbero inoltre includere opzioni per permettere all’utente di decidere, ad esempio, se i lettori multimediali, i visualizzatori dei linguaggi di programmazione interattivi o programmi simili possano essere eseguiti, oppure se un sito web possa raccogliere dati di geo localizzazione dall’utente o se possa accedere a componenti specifici come una webcam o un microfono.
  • Inoltre, recependo l’approccio privacy by default introdotto dal GDPR, i programmi che consentono la comunicazione elettronica (come i browser, i sistemi operativi e le applicazioni di comunicazione), dovrebbero essere configurati per proibire, per impostazione predefinita, il tracciamento su domini multipli e l’installazione dei cookie di terza parte. Le impostazioni della privacy dovrebbero essere presentate in modo facilmente visibile e intelligibile e, al momento dell’installazione o del primo utilizzo, gli utenti dovrebbero essere informati della possibilità di modificare le proprie scelte, in ogni momento.

La sorte del data driven advertising

Il punto maggiormente controverso della proposta riguarda l’articolo 8 della bozza: tale previsione semplifica le regole per i cookie necessari a misurare il numero di visitatori, o necessari a garantire alcune funzionalità a beneficio dell’utente (come la memorizzazione degli articoli inseriti nel carrello di un sito di e-commerce), svincolando tali cookie dal consenso dell’utente, tuttavia lo stesso articolo prevede proprio il consenso quale unica condizione di legittimità per tutti gli altri cookie (con limitate eccezioni).

In aggiunta, il comma 1-bis prevede che l‘accesso ai servizi o alle funzionalità offerte dai provider di servizi online, non potrebbe mai essere negato, a prescindere dalla prestazione del consenso ai cookie dell’utente. Tale previsione avrebbe un impatto profondo sul business di innumerevoli provider, che sarebbero tenuti a garantire in ogni caso l’accesso ai contenuti ed ai servizi o, come unica alternativa, a prevedere la fornitura di contenuti o servizi che non sarebbero finanziati dal data driven advertising ma, ad esempio, attraverso pagamenti diretti, proprio perché verrebbe a mancare il finanziamento proveniente dai ricavi pubblicitari.

Le novità della recente proposta del Consiglio Ue

Oltre al tema dei cookie, le ulteriori previsioni introdotte dalla proposta di Regolamento avrebbero un impatto significativo anche su altri settori chiave dell’Industria 4.0, quali il machine learning e l’Internet of Things. Non sorprende dunque che l’iter legislativo di questo Regolamento si sia rivelato particolarmente frastagliato, anche per via delle ingenti pressioni da parte delle lobby di settore. Secondo l’ambizioso progetto iniziale infatti, il testo definitivo sarebbe dovuto entrare in vigore in concomitanza con l’efficacia del GDPR, il 25 maggio. Il profondo dibattito sollevato dalle modifiche proposte (non ci dimentichiamo che si tratta di un regolamento europeo, che sarebbe direttamente applicabile e non richiederebbe atti di recepimento da parte degli Stati UE) ha di fatto comportato l’esigenza di definire con maggiore chiarezza la portata delle regole introdotte, al fine di trovare soluzioni di compromesso.

Ciò appare chiaro nella proposta di modifica della Presidenza bulgara del Consiglio dell’UE di maggio che ha reintrodotto la possibilità di condizionare l’accesso ai contenuti di un sito web alla prestazione del consenso ai cookie. Tale impostazione pare confermata anche dalla recente proposta del 10 Luglio 2018 che, in aggiunta, introduce un’ esenzione dal consenso per alcuni servizi IoT e per il trattamento dei metadati e stralcia del tutto l’articolo 10 ed i relativi considerando, di fatto facendo un passo indietro sul tema del consenso ai cookie tramite le impostazioni dei browser, posizione che parrebbe condivisa anche dalle delegazioni di atri Stati UE.

Tale ultima versione del Regolamento ePrivacy, contiene quindi interessanti novità che rafforzano i profili privacy, di confidenzialità e di sicurezza nelle comunicazioni elettroniche senza compromettere eccessivamente l’operatività di alcuni modelli di business. Tuttavia, anche se il Consiglio ha mitigato la proposta approvata dal Parlamento, occorrerà attendere, l’esito della procedura di concertazione del trilogo.

Come è già successo per l’iter di approvazione del GDPR, il testo finale del Regolamento sarà il frutto del compromesso tra le tre istituzioni comunitarie e non è detto che la generale “stretta” impressa dal Parlamento trovi spazio nella versione finale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4