Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
07/03/2022
Questo articolo rappresenta una guida privacy per web agency e titolari di siti web sul Regolamento ePrivacy (noto anche come Regolamento ePR)
Infatti, il 10 febbraio 2021 il Consiglio dell’Unione europea ha annunciato di aver approvato l’ultima versione del Regolamento ePrivacy
Il Regolamento impatterà su siti web, ecommerce e imprese digitali. E’ quindi importante conoscerne in anticipo il contenuto per poter indirizzare al meglio il business digitale.
Il testo rappresenta ancora una bozza. E’ molto probabile, però, che verrà confermato in toto dal testo definitivo (da pubblicarsi a breve).
In ogni caso, questa guida verrà costantemente aggiornati con le ultime novità e con le domande degli utenti del nostro generatore di documenti legali.
Quali sono le novità più importanti del Regolamento ePrivacy? Vediamole insieme!
Prima di leggere la guida, se non l’hai già fatto, ricordati di iscriverti ai nostri canali social: Facebook, LinkedIn e YouTube. Il modo migliore per rimanere sempre aggiornato sulle novità
legali del mondo ecommerce e digitale.
Di seguito una breve cronistoria che ci accompagnerà fino alla pubblicazione del testo definitivo del Regolamento.
A gennaio 2017, la Commissione Europea ha proposto un nuovo Regolamento sulla privacy e sulle comunicazioni elettroniche .
La Proposta faceva parte di una strategia più ampia, di cui il noto GDPR e la Direttiva ePrivacy del 2002 sui cookie erano le punte di diamante.
Il Regolamento ePrivacy riguarda tutte le comunicazioni elettroniche (come messaggi di testo, e-mail, messaggi social etc.) e protegge le persone fisiche nell’UE dalle interferenze di terzi nelle comunicazioni private. Solo il consenso preventivo dell’utente può permettere questa “intromissione” nelle comunicazioni private personali.
Come ormai noto, il GDPR è il regolamento che disciplina la privacy a livello europeo dal 2018.
E’ un Regolamento molto importante in quanto ha uniformato il trattamento dei dati personali in numerosi contesti, tra cui quello digitale.
Il GDPR, però, non disciplina in modo specifico l’ambito digitale. E’ applicabile ovviamente ai siti internet ma non contiene specifiche disposizione per questo contesto.
Pertanto, è sorta ancora prima della pubblicazione del GDPR l’esigenza di emanare un Regolamento europeo che tenesse conto in modo esclusivo dell’ambito digitale (ecommerce e non solo).
Ragione per cui quest’anno verrà pubblicato un nuovo Regolamento, già battezzato “Regolamento ePrivacy” (o Regolamento ePR).
A seguito della entrata in vigore del Regolamento ePrivacy è molto probabile che le informative privacy & cookie del tuo sito dovranno riviste alla luce della nuova normativa.
Sarà pertanto necessario rivedere la modalità di trattamento dei dati personali dei propri utenti.
Ecco le principali caratteristiche del Regolamento ePR:
Il Regolamento ePrivacy esclude l’interesse legittimo come base per il rilascio di cookie.
Il consenso sarà quindi la base per poter rilasciare cookie di profilazione.
Saranno ammesse solo alcune eccezioni; ad esempio:
In questi casi si ritiene che si possano installare cookie di profilazione sul termine dell’utente.
Il trattamento di dati personali può avvenire solo in presenza di una “base giuridica”. Quelle più comuni in ambito ditale sono:
Tra le basi giuridiche figura anche l’ “interesse legittimo”.
In sostanza esso si realizza quando il sito internet identifica un “interesse” a trattare i dati personali degli utenti. Questo interesse deve però essere “legittimo”, vale a dire legale e di importanza almeno pari a quello degli utenti.
LegalBlink è sempre stata contraria all’uso dell’interesse legittimo come base giuridica per il rilascio dei cookie. Infatti, il generatore di documenti legali di LegalBlink non ha mai permesso che nella cookie policy si potesse fare menzione all’interesse legittimo come base giuridica per trattare i dati.
Questa novità è molto importante in quanto ancora oggi i comuni generatori di documenti legali fanno riferimento proprio all’interesse legittimo per rilasciare cookie. Questa loro impostazione dovrà essere rivista. In difetto, i siti che utilizzeranno questi generatori non saranno a norma del Regolamento ePrivacy.
I siti internet sono invitati a permettere agli utenti di gestire il consenso al rilascio dei cookie in modo agevole.
Questa attività comprendono la possibilità di scegliere in merito alla archiviazione e all’accesso ai dati, impostando e modificando le liste dei cookie accettati o meno. Questo dovrebbe permettere un controllo del consenso espresso dell’utente.
Il Regolamento ePrivacy non prevede obblighi in tal senso. Pertanto, i siti non saranno obbligati a implementare quanto sopra. Si tratterà di una facoltà.
Come il GDPR, anche il Regolamento ePrivacy introduce il principio di accountability. Dipenderà quindi dai siti decidere se implementare strumenti di gestione del consenso dei cookie come sopra descritto. Non sussisterà però un obbligo di legge.
Qui il Regolamento ePrivacy introduce una novità rispetto a quanto voluto dal nostro Garante Privacy.
Le recenti Linee Guida sui cookie del Garante italiano, infatti, affermano la sostanziale illiceità dei c.d. “cookie walls”.
Con questo termine ci si riferisce ai cookie che impongono all’utente di accettare cookie di profilazione per visionare il sito.
Il Regolamento ePrivacy esprime una opinione diversa al riguardo.
Infatti, il Regolamento permette di condizionare alla prestazione del consenso ai cookie l’accesso al sito. Ciò però non deve privare l’utente:
“di una facoltà di scelta effettiva”.
La “facoltà di scelta effettiva” si realizza se l’utente può scegliere tra:
Ad esempio quando l’utente è obbligato ad accettare i cookie per usufruire di un servizio. Altra situazione di squilibrio può sussistere con riferimento ai servizi di fornitori che operano in “posizione dominante”. In questo caso può essere la posizione di “monopolio” a porsi come “squilibrio” a un effettivo consenso dell’utente al rilascio dei cookie.
Per gli utenti che hanno prestato il consenso al trattamento dei dati deve essere ricordata la possibilità di ritirare il consenso a intervalli periodici di non più di 12 mesi, finché il trattamento continua.
Questo obbligo può essere rispettato semplicemente installando un cookie che faccia apparire il “banner cookie” non oltre 12 mesi da quando l’utente ha prestato il consenso al rilascio dei cookie stessi.
Per “soft-spam” si intende la possibilità di inviare all’indirizzo e-mail dell’utente comunicazioni di marketing ad oggetto la stessa categoria di prodotti acquistati dall’utente stesso in occasione dell’acquisto online.
E’ applicazione di un diritto previsto dal Codice della Privacy.
Ovviamente, deve essere esercitato con particolare attenzione da parte dell’ecommerce per evitare di effettuare “spam”. Lo “spam”, infatti, potrebbe verificarsi qualora il sito invii comunicazioni di marketing ad oggetto prodotti di categoria diversa rispetto a quella di appartenenza del prodotto acquistato, senza consenso dell’utente.
Il Regolamento ePrivacy interviene anche in tema di “soft-spam”.
Viene mantenuta la possibilità di inviare comunicazioni di marketing usando lo soft spam.
Queste comunicazioni potranno essere inviate anche tramite mezzi diversi rispetto all’email. Potranno essere usati per esempio:
Il Regolamento ePR specifica anche l’uso dei metadati.
I metadati possono essere elaborati per esempio a fini di fatturazione o per rilevare o bloccare un uso fraudolento del sito.
Con il consenso dell’utente, i siti internet potranno usare i metadati per mostrare i movimenti del traffico al fine di aiutare le autorità pubbliche a migliorare i loro servizi.
In alcuni casi, i titolari di siti internet possono trattare metadati per finalità diverse da quelle per le quali sono stati raccolti, anche a prescindere dal consenso dell’utente. Ad esempio, quando lo pretendono specifiche disposizioni normative. Tale trattamento per un’altra finalità deve essere compatibile con la finalità iniziale e ad esso si applicano solide salvaguardie specifiche.
Il 9 marzo 2021, il Comitato europeo per la protezione dei dati (EDPB) si è pronunciato sul Regolamento ePrivacy.
L’EDPB è l’Autorità Europa che emana pareri e linee guida in materia di privacy.
L’Autorità ha sottolineato che il Regolamento ePR deve integrare l’attuale GDPR fornendo ulteriori forti garanzie sulla riservatezza e la protezione di tutte le comunicazioni elettroniche.
L’EDPB ha altresì evidenziato che:
Questa ultima versione del Regolamento ePrivacy è importante in quanto da mandato al Consiglio dell’Unione Europea di negoziare con il Parlamento europeo. Ciò per discutere il testo definitivo del Regolamento ePrivacy.
Il Regolamento ePrivacy entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE. Inizierà ad applicarsi nei successivi due anni.
E’ molto probabile che il Regolamento verrà pubblicato quest’anno, ma nessuno può dire quando.
Ad ogni modo, è certo che qualsiasi sito internet o App deve cominciare già a tenere conto di quelli che saranno gli obblighi futuri imposti dal Regolamento ePrivacy.
Anche se l’approvazione da parte del Consiglio dell’Unione europea è un passaggio importante, l’entrata in vigore del Regolamento ePrivacy non è proprio dietro l’angolo. Tuttavia, una volta applicabile armonizzerà le norme a livello europeo, ed è quindi necessario che le organizzazioni prendano in considerazione già al momento di concepire qualsiasi prodotto o progetto di medio-lungo termine gli impatti che l’impostazione del nuovo testo può avere sul loro business.
In questa sezione della guida riportiamo alcuni link ai principali articoli di settore sul tema “Regolamento ePrivacy).
Vediamo cosa pensano le principali Autorità sul Regolamento ePR!
Comunicato stampa del Consiglio UE sul nuovo Regolamento ePrivacy
L’IAPP sui nuovi sviluppi del Regolamento ePrivacy 2021 (in inglese)
Access Now giudica insoddisfacente la bozza di Regolamento ePrivacy del Consiglio UE (in inglese)
Un futuro digitale per l’Europa
Il Regolamento ePrivacy imporrà modifiche ai generatori di documenti legali.
Alcuni comportamenti imposti dal Regolamento sono già implementati. Ad esempio, il generatore già prevede il divieto di applicare l’interesse legittimo per rilasciare cookie.
Per gli altri obblighi, il Team di legali di LegalBlink è già al lavoro per implementare il generatore ed essere pronti a rispettare il Regolamento ePrivacy quando entrerà in vigore (il che non avverrà prima di 2 anni).
Le implementazioni riguarderanno sia il servizio Easy Merchant che il servizio Fast Legal.
Il Team di legali è ovviamente a disposizione per fornire assistenza legale a tutti gli imprenditori digitali che vogliono porre domande in merito al nuovo Regolamento.
Team LegalBlink