Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Regolamento ePrivacy: il testo definitivo

07/03/2022

Regolamento ePrivacy:  il testo definitivo



Questo articolo rappresenta una guida privacy per web agency e titolari di siti web sul Regolamento ePrivacy (noto anche come Regolamento ePR)


Infatti, il 10 febbraio 2021 il Consiglio dell’Unione europea  ha annunciato  di aver approvato l’ultima versione del Regolamento ePrivacy


Il Regolamento impatterà su siti web, ecommerce e imprese digitali. E’ quindi importante conoscerne in anticipo il contenuto per poter indirizzare al meglio il business digitale.


Il testo rappresenta ancora una bozza. E’ molto probabile, però, che verrà confermato in toto dal testo definitivo (da pubblicarsi a breve).


In ogni caso, questa guida verrà costantemente aggiornati con le ultime novità e con le domande degli utenti del nostro generatore di documenti legali.


Quali sono le novità più importanti del Regolamento ePrivacy? Vediamole insieme!


Prima di leggere la guida, se non l’hai già fatto, ricordati di iscriverti ai nostri canali social: FacebookLinkedIn e YouTube. Il modo migliore per rimanere sempre aggiornato sulle novità
legali del mondo ecommerce e digitale.


Cronistoria


Di seguito una breve cronistoria che ci accompagnerà fino alla pubblicazione del testo definitivo del Regolamento.

  • 2021 Il Consiglio UE finalizza pubblica la bozza finale del Regolamento ePrivacy. Iniziano i negoziati tra Consiglio europeo, Parlamento europeo e Commissione per la pubblicazione del testo definitivo
  • 2020 – 2020 Si fatica a trovare un testo al regolamento ePrivacy sia per divergenze tra Commissione UE, Parlamento UE e  Consiglio UE, sia per cambi alla Presidenza della Commissione UE
  • 2017 – Il Parlamento europeo pubblica la prima bozza del Regolamento ePrivacy


Cos’è il Regolamento ePrivacy


A gennaio 2017, la Commissione Europea ha proposto un nuovo Regolamento sulla privacy e sulle comunicazioni elettroniche .


La Proposta faceva parte di una strategia più ampia, di cui il noto GDPR e la Direttiva ePrivacy del 2002 sui cookie erano le punte di diamante.


Il Regolamento ePrivacy riguarda tutte le comunicazioni elettroniche (come messaggi di testo, e-mail, messaggi social etc.) e protegge le persone fisiche nell’UE dalle interferenze di terzi nelle comunicazioni private. Solo il consenso preventivo dell’utente può permettere questa “intromissione” nelle comunicazioni private personali. 


Perchè un Regolamento ePrivacy?


Come ormai noto, il GDPR è il regolamento che disciplina la privacy a livello europeo dal 2018.


E’ un Regolamento molto importante in quanto ha uniformato il trattamento dei dati personali in numerosi contesti, tra cui quello digitale.


Il GDPR, però, non disciplina in modo specifico l’ambito digitale. E’ applicabile ovviamente ai siti internet ma non contiene specifiche disposizione per questo contesto.


Pertanto, è sorta ancora prima della pubblicazione del GDPR l’esigenza di emanare un Regolamento europeo che tenesse conto in modo esclusivo dell’ambito digitale (ecommerce e non solo).


Ragione per cui quest’anno verrà pubblicato un nuovo Regolamento, già battezzato “Regolamento ePrivacy” (o Regolamento ePR).


A seguito della entrata in vigore del Regolamento ePrivacy è molto probabile che le informative privacy & cookie del tuo sito dovranno riviste alla luce della nuova normativa.

Sarà pertanto necessario rivedere la modalità di trattamento dei dati personali dei propri utenti.


Il Regolamento ePrivacy in sintesi


Ecco le principali caratteristiche del Regolamento ePR:

  • riguarda le comunicazioni elettroniche private e le trasmissione di dati “da macchina a macchina” nonché i metadati, come la posizione, il momento e i dati sui destinatari
  • si applica agli utenti che si trovano nell’Unione europea. Ciò anche se il sito o il proprietario si trova fuori dall’UE e/o il trattamento avviene al di fuori dei confini europei
  • richiede il previo consenso dell’utente per permettere di elaborare, ascoltare, monitorare o raccogliere i dati delle comunicazioni elettroniche delle persone fisiche che si trovano nell’UE
  • obbliga di ottenere il consenso preventivo dell’utente per installare sul suo termine cookie di proliferazione
  • dà la possibilità all’utente di creare una “whitelist” di fornitori di cookie di profilazione nelle impostazioni del browser. Sempre usando le impostazioni del browser sarà possibile revocare il consenso
  • Entrerà in vigore due anni dopo la sua pubblicazione. La pubblicazione del testo definitivo non è ancora avvenuta.


L’interesse legittimo non permette il rilascio dei cookie


Il Regolamento ePrivacy esclude l’interesse legittimo come base per il rilascio di cookie.


Il consenso sarà quindi la base per poter rilasciare cookie di profilazione.


Saranno ammesse solo alcune eccezioni; ad esempio:

  • misurazione dell’audience
  • prevenzione frodi
  • installazione degli aggiornamenti software
  • in caso di emergenza.


In questi casi si ritiene che si possano installare cookie di profilazione sul termine dell’utente.


Cos’è l’interesse legittimo?


Il trattamento di dati personali può avvenire solo in presenza di una “base giuridica”. Quelle più comuni in ambito ditale sono:

  • l’obbligo di eseguire un contratto
  • il dovere di rispettare la legge
  • il consenso dell’utente.


Tra le basi giuridiche figura anche l’ “interesse legittimo”.


In sostanza esso si realizza quando il sito internet identifica un “interesse” a trattare i dati personali degli utenti. Questo interesse deve però essere “legittimo”, vale a dire legale e di importanza almeno pari a quello degli utenti. 


LegalBlink è sempre stata contraria all’uso dell’interesse legittimo come base giuridica per il rilascio dei cookie. Infatti, il generatore di documenti legali di LegalBlink non ha mai permesso che nella cookie policy si potesse fare menzione all’interesse legittimo come base giuridica per trattare i dati.


Questa novità è molto importante in quanto ancora oggi i comuni generatori di documenti legali fanno riferimento proprio all’interesse legittimo per rilasciare cookie. Questa loro impostazione dovrà essere rivista. In difetto, i siti che utilizzeranno questi generatori non saranno a norma del Regolamento ePrivacy. 


Gestione dei cookie


I siti internet sono invitati a permettere agli utenti di gestire il consenso al rilascio dei cookie in modo agevole.


Questa attività comprendono la possibilità di scegliere in merito alla archiviazione e all’accesso ai dati, impostando e modificando le liste dei cookie accettati o meno. Questo dovrebbe permettere un controllo del consenso espresso dell’utente.


Il Regolamento ePrivacy non prevede obblighi in tal senso. Pertanto, i siti non saranno obbligati a implementare quanto sopra. Si tratterà di una facoltà.


Come il GDPR, anche il Regolamento ePrivacy introduce il principio di accountability. Dipenderà quindi dai siti decidere se implementare strumenti di gestione  del consenso dei cookie come sopra descritto. Non sussisterà però un obbligo di legge.


I cookie walls sono leciti


Qui il Regolamento ePrivacy introduce una novità rispetto a quanto voluto dal nostro Garante Privacy.


Le recenti Linee Guida sui cookie del Garante italiano, infatti, affermano la sostanziale illiceità dei c.d. “cookie walls”.


Con questo termine ci si riferisce ai cookie che impongono all’utente di accettare cookie di profilazione per visionare il sito. 


Il Regolamento ePrivacy esprime una opinione diversa al riguardo.


Infatti, il Regolamento permette di condizionare alla prestazione del consenso ai cookie l’accesso al sito. Ciò però non deve privare l’utente:

“di una facoltà di scelta effettiva”.  


La “facoltà di scelta effettiva” si realizza se l’utente può scegliere tra:

  • un servizio che include il consenso all’uso dei cookie per finalità aggiuntive; oppure 
  • un’offerta equivalente che non comporta il consenso dell’utente all’uso dei suoi dati per finalità aggiuntive.


Quando potrebbe esistere questo “squilibrio” secondo il Regolamento ePrivacy?


Ad esempio quando l’utente è obbligato ad accettare i cookie per usufruire di un servizio. Altra situazione di squilibrio può sussistere con riferimento ai servizi di fornitori che operano in “posizione dominante”. In questo caso può essere la posizione di “monopolio” a porsi come “squilibrio” a un effettivo consenso dell’utente al rilascio dei cookie.

 

Ricordare il consenso al rilascio dei cookie


Per gli utenti che hanno prestato il consenso al trattamento dei dati deve essere ricordata la possibilità di ritirare il consenso a intervalli periodici di non più di 12 mesi, finché il trattamento continua.


Questo obbligo può essere rispettato semplicemente installando un cookie che faccia apparire il “banner cookie” non oltre 12 mesi da quando l’utente ha prestato il consenso al rilascio dei cookie stessi.


Regolamento ePrivacy e “soft-spam”


Per “soft-spam” si intende la possibilità di inviare all’indirizzo e-mail dell’utente comunicazioni di marketing ad oggetto la stessa categoria di prodotti acquistati dall’utente stesso in occasione dell’acquisto online.


E’ applicazione di un diritto previsto dal Codice della Privacy.


Ovviamente, deve essere esercitato con particolare attenzione da parte dell’ecommerce per evitare di effettuare “spam”. Lo “spam”, infatti, potrebbe verificarsi qualora il sito invii comunicazioni di marketing ad oggetto prodotti di categoria diversa rispetto a quella di appartenenza del prodotto acquistato, senza consenso dell’utente.


Il Regolamento ePrivacy interviene anche in tema di “soft-spam”.


Viene mantenuta la possibilità di inviare comunicazioni di marketing usando lo soft spam.


Queste comunicazioni potranno essere inviate anche tramite mezzi diversi rispetto all’email. Potranno essere usati per esempio:

  • SMS
  • MMS
  • qualsiasi mezzo in grado di riprodurre video o comunicazioni sonore. 


Regolamento ePrivacy e metadati


Il Regolamento ePR specifica anche l’uso dei metadati.


I metadati possono essere elaborati per esempio a fini di fatturazione o per rilevare o bloccare un uso fraudolento del sito.


Con il consenso dell’utente, i siti internet potranno usare i metadati per mostrare i movimenti del traffico al fine di aiutare le autorità pubbliche a migliorare i loro servizi.


In alcuni casi, i titolari di siti internet possono trattare metadati per finalità diverse da quelle per le quali sono stati raccolti, anche a prescindere dal consenso dell’utente. Ad esempio, quando lo pretendono specifiche disposizioni normative. Tale trattamento per un’altra finalità deve essere compatibile con la finalità iniziale e ad esso si applicano solide salvaguardie specifiche.


Parere dell’EDPB sull’ultima bozza del Regolamento ePrivacy 


Il 9 marzo 2021, il Comitato europeo per la protezione dei dati (EDPB) si è pronunciato sul Regolamento ePrivacy.


L’EDPB è l’Autorità Europa che emana pareri e linee guida in materia di privacy.


L’Autorità ha sottolineato che il Regolamento ePR deve integrare l’attuale GDPR fornendo ulteriori forti garanzie sulla riservatezza e la protezione di tutte le comunicazioni elettroniche.


L’EDPB ha altresì evidenziato che: 

  • È necessario ottenere un consenso autentico ed espresso liberamente: questo dovrebbe impedire ai siti di utilizzare pratiche sleali come le soluzioni di tipo “prendere o lasciare”, che rendono l’accesso ai servizi e alle funzionalità subordinato al consenso dell’utente alla memorizzazione delle informazioni. 
  • È necessario includere nel Regolamento ePrivacy una norma esplicita contro il trattamento dei dati da parte dei siti che prescinda dal consenso dell’utente. Inoltre, devono essere implementati mezzi efficaci per accettare o rifiutare la profilazione.
  • Il Regolamento ePrivacy dovrebbe impedire di richiedere plurimi consensi agli utenti, quando non strettamente necessario.


Cosa aspettarsi per il futuro


Questa ultima versione del Regolamento ePrivacy è importante in quanto da mandato al Consiglio dell’Unione Europea di negoziare con il Parlamento europeo. Ciò per discutere il testo definitivo del Regolamento ePrivacy.


Il Regolamento ePrivacy entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE.  Inizierà ad applicarsi nei successivi due anni.


E’ molto probabile che il Regolamento verrà pubblicato quest’anno, ma nessuno può dire quando.


Ad ogni modo, è certo che qualsiasi sito internet o App deve cominciare già a tenere conto di quelli che saranno gli obblighi futuri imposti dal Regolamento ePrivacy.


Anche se l’approvazione da parte del Consiglio dell’Unione europea è un passaggio importante, l’entrata in vigore del Regolamento ePrivacy non è proprio dietro l’angolo. Tuttavia, una volta applicabile armonizzerà le norme a livello europeo, ed è quindi necessario che le organizzazioni prendano in considerazione già al momento di concepire qualsiasi prodotto o progetto di medio-lungo termine  gli impatti che l’impostazione del nuovo testo può avere sul loro business.


Opinioni


In questa sezione della guida riportiamo alcuni link ai principali articoli di settore sul tema “Regolamento ePrivacy).


Vediamo cosa pensano le principali Autorità sul Regolamento ePR! 


Comunicato stampa del Consiglio UE sul nuovo Regolamento ePrivacy


L’IAPP sui nuovi sviluppi del Regolamento ePrivacy 2021 (in inglese)


Access Now giudica insoddisfacente la bozza di Regolamento ePrivacy del Consiglio UE (in inglese)


L’autorità tedesca per la protezione dei dati, BfDI, critica la proposta di Regolamento ePrivacy (in tedesco)


Un futuro digitale per l’Europa


Regolamento ePrivacy e il generatore di documenti legali di LegalBlink


Il Regolamento ePrivacy imporrà modifiche ai generatori di documenti legali


Alcuni comportamenti imposti dal Regolamento sono già implementati. Ad esempio, il generatore già prevede il divieto di applicare l’interesse legittimo per rilasciare cookie.


Per gli altri obblighi, il Team di legali di LegalBlink è già al lavoro per implementare il generatore ed essere pronti a rispettare il Regolamento ePrivacy quando entrerà in vigore (il che non avverrà prima di 2 anni).


Le implementazioni riguarderanno sia il servizio Easy Merchant che il servizio Fast Legal.


Il Team di legali è ovviamente a disposizione per fornire assistenza legale a tutti gli imprenditori digitali che vogliono porre domande in merito al nuovo Regolamento.


Team LegalBlink