Regolamento ePrivacy: finalmente il testo definitivo
Il 10 febbraio il Consiglio dell’Unione europea ha annunciato di aver approvato l’ultima versione del Regolamento ePrivacy
Questo Regolamento impatterà su siti vetrina, ecommerce e imprese digitali. E’ quindi importante conoscerne in anticipo il contenuto per poter indirizzare al meglio il business digitale.
Il testo formalmente è una bozza. Si ritiene però che i suoi articoli saranno recepiti in toto dal testo definitivo (da pubblicarsi a breve).
Quali sono le novità più importanti del Regolamento ePrivacy? Vediamole insieme!
Vuoi rimanere aggiornato sulle novità del mondo ecommerce e digitale? Seguici sui nostri social: Facebook, LinkedIn e YouTube.
SOMMARIO
Perchè un Regolamento ePrivacy?
L’interesse legittimo non permette il rilascio dei cookie
Ricordare il consenso al rilascio dei cookie
Regolamento ePrivacy e “soft-spam”
Regolamento ePrivacy e il generatore di documenti legali di LegalBlink
Perchè un Regolamento ePrivacy?
Come ormai noto, il GDPR è il regolamento che disciplina la privacy a livello europeo dal 2018.
E’ un Regolamento molto importante in quanto ha uniformato il trattamento dei dati personali in numerosi contesti, tra cui quello digitale.
Il Regolamento Privacy, però, non disciplina in modo specifico l’ambito digitale. E’ applicabile ovviamente ai siti internet ma non contiene specifiche disposizione per questo contesto.
Pertanto, è sorta ancora prima della pubblicazione del GDPR l’esigenza di emanare un Regolamento europeo che tenesse conto in modo esclusivo dell’ambito digitale (ecommerce e non solo).
Ragione per cui quest’anno verrà pubblicato un nuovo Regolamento, già battezzato “Regolamento ePrivacy”.
Pertanto, l’ informativa privacy per ecommerce attualmente pubblicate dovranno essere riviste alla luce di questo nuovo testo normativo.
L’interesse legittimo non permette il rilascio dei cookie
L’attuale versione del Regolamento ePrivacy esclude l’interesse legittimo come base per il rilascio di cookie.
Il consenso sarà quindi la base per poter rilasciare cookie di profilazione.
Saranno ammesse solo alcune eccezioni; ad esempio:
- misurazione dell’audience
- prevenzione frodi
- installazione degli aggiornamenti software
- in caso di emergenza.
Cos’è l’interesse legittimo?
Il trattamento di dati personali può avvenire solo in presenza di una “base giuridica”. Quelle più comuni in ambito ditale sono:
- l’obbligo di eseguire un contratto
- il dovere di rispettare la legge
- il consenso dell’utente.
Tra le basi giuridiche figura anche l’ “interesse legittimo”.
In sostanza esso si realizza quando il sito internet identifica un “interesse” a trattare i dati personali degli utenti. Questo interesse deve però essere “legittimo”, vale a dire legale e di importanza almeno pari a quello degli utenti.
LegalBlink è sempre stata contraria all’uso dell’interesse legittimo come base giuridica per il rilascio dei cookie. Infatti, il generatore di documenti legali di LegalBlink non ha mai permesso che nella cookie policy si potesse fare menzione all’interesse legittimo come base giuridica per trattare i dati.
Questa novità è molto importante in quanto ancora oggi i comuni generatori di documenti legali fanno riferimento proprio all’interesse legittimo per rilasciare cookie. Questa loro impostazione dovrà essere rivista. In difetto, i siti che utilizzeranno questi generatori non saranno a norma del Regolamento ePrivacy.
Gestione dei cookie
I siti internet sono invitati a permettere agli utenti di gestire il consenso al rilascio dei cookie in modo agevole.
Questa attività comprendono la possibilità di scegliere in merito alla archiviazione e all’accesso ai dati, impostando e modificando le liste dei cookie accettati o meno. Questo dovrebbe permettere un controllo del consenso espresso dell’utente.
Il Regolamento ePrivacy non prevede obblighi in tal senso. Pertanto, i siti non saranno obbligati a implementare quanto sopra. Si tratterà di una facoltà.
Come il GDPR, anche il Regolamento ePrivacy introduce il principio di accountability. Dipenderà quindi dai siti decidere se implementare strumenti di gestione del consenso dei cookie come sopra descritto. Non sussisterà però un obbligo di legge.
I cookie walls sono leciti
Qui il Regolamento ePrivacy introduce una novità rispetto a quanto voluto dal nostro Garante Privacy.
Le recenti Linee Guida sui cookie del Garante italiano, infatti, affermano la sostanziale illiceità dei c.d. “cookie walls”.
Con questo termine ci si riferisce ai cookie che impongono all’utente di accettare cookie di profilazione per visionare il sito.
Il Regolamento ePrivacy esprime una opinione diversa al riguardo.
Infatti, il Regolamento permette di condizionare alla prestazione del consenso ai cookie l’accesso al sito. Ciò però non deve privare l’utente:
“di una facoltà di scelta effettiva”.
La “facoltà di scelta effettiva” si realizza se l’utente può scegliere tra:
- un servizio che include il consenso all’uso dei cookie per finalità aggiuntive; oppure
- un’offerta equivalente che non comporta il consenso dell’utente all’uso dei suoi dati per finalità aggiuntive.
Quando potrebbe esistere questo “squilibrio” secondo il Regolamento ePrivacy?
Ad esempio quando l’utente è obbligato ad accettare i cookie per usufruire di un servizio. Altra situazione di squilibrio può sussistere con riferimento ai servizi di fornitori che operano in “posizione dominante”. In questo caso può essere la posizione di “monopolio” a porsi come “squilibrio” a un effettivo consenso dell’utente al rilascio dei cookie.
Ricordare il consenso al rilascio dei cookie
Per gli utenti che hanno prestato il consenso al trattamento dei dati deve essere ricordata la possibilità di ritirare il consenso a intervalli periodici di non più di 12 mesi, finché il trattamento continua.
Questo obbligo può essere rispettato semplicemente installando un cookie che faccia apparire il “banner cookie” non oltre 12 mesi da quando l’utente ha prestato il consenso al rilascio dei cookie stessi.
Regolamento ePrivacy e “soft-spam”
Per “soft-spam” si intende la possibilità di inviare all’indirizzo e-mail dell’utente comunicazioni di marketing ad oggetto la stessa categoria di prodotti acquistati dall’utente stesso in occasione dell’acquisto online.
E’ applicazione di un diritto previsto dal Codice della Privacy.
Ovviamente, deve essere esercitato con particolare attenzione da parte dell’ecommerce per evitare di effettuare “spam”. Lo “spam”, infatti, potrebbe verificarsi qualora il sito invii comunicazioni di marketing ad oggetto prodotti di categoria diversa rispetto a quella di appartenenza del prodotto acquistato, senza consenso dell’utente.
Il Regolamento ePrivacy interviene anche in tema di “soft-spam”.
Viene mantenuta la possibilità di inviare comunicazioni di marketing usando lo soft spam.
Queste comunicazioni potranno essere inviate anche tramite mezzi diversi rispetto all’email. Potranno essere usati per esempio:
- SMS
- MMS
- qualsiasi mezzo in grado di riprodurre video o comunicazioni sonore.
Cosa aspettarsi per il futuro
Questa ultima versione del Regolamento ePrivacy è importante in quanto da mandato al Consiglio dell’Unione Europea di negoziare con il Parlamento europeo. Ciò per discutere il testo definitivo del Regolamento ePrivacy.
Il Regolamento ePrivacy entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE. Inizierà ad applicarsi nei successivi due anni.
E’ molto probabile che il Regolamento verrà pubblicato quest’anno, ma nessuno può dire quando.
Ad ogni modo, è certo che qualsiasi sito internet o App deve cominciare già a tenere conto di quelli che saranno gli obblighi futuri imposti dal Regolamento ePrivacy.
Anche se l’approvazione da parte del Consiglio dell’Unione europea è un passaggio importante, l’entrata in vigore del Regolamento ePrivacy non è proprio dietro l’angolo. Tuttavia, una volta applicabile armonizzerà le norme a livello europeo, ed è quindi necessario che le organizzazioni prendano in considerazione già al momento di concepire qualsiasi prodotto o progetto di medio-lungo termine gli impatti che l’impostazione del nuovo testo può avere sul loro business.
Regolamento ePrivacy e il generatore di documenti legali di LegalBlink
Il Regolamento ePrivacy imporrà modifiche ai generatori di documenti legali.
Alcuni comportamenti imposti dal Regolamento sono già implementati. Ad esempio, il generatore già prevede il divieto di applicare l’interesse legittimo per rilasciare cookie.
Per gli altri obblighi, il Team di legali di LegalBlink è già al lavoro per implementare il generatore ed essere pronti a rispettare il Regolamento ePrivacy quando entrerà in vigore (il che non avverrà prima di 2 anni).
Le implementazioni riguarderanno sia il servizio Easy Merchant che il servizio Fast Legal.
Il Team di legali è ovviamente a disposizione per fornire assistenza legale a tutti gli imprenditori digitali che vogliono porre domande in merito al nuovo Regolamento.
Team LegalBlink