Sembra ieri, eppure è passato esattamente un anno dalle settimane di grande frenesia e confusione che hanno accompagnato l’entrata in vigore del GDPR. Dopo aver dato la nostra autorizzazione a decine di informative privacy e aver fatto firmare pile di documenti ai nostri clienti e collaboratori, possiamo definitivamente chiudere il sipario sul mondo della privacy e della tutela dei dati personali? A voi decidere se sia una buona notizia o meno, ma la risposta è no. Con un tam tam mediatico decisamente più moderato, infatti, le istituzioni europee in questi dodici mesi hanno continuato a lavorare dietro le quinte. Il risultato sarà il nuovo regolamento ePrivacy, destinato a sostituire la vecchia direttiva 2002/58/CE.
Da direttiva a regolamento, cosa cambia
I più attenti avranno già notato che la direttiva si trasformerà in un regolamento. Non è solo una sottigliezza lessicale, perché c’è una differenza molto rilevante tra queste due fonti giuridiche:
- La direttiva vincola gli Stati membri a raggiungere determinati obiettivi in un certo lasso di tempo, ma lascia loro piena autonomia su come farlo.
- Il regolamento invece viene immediatamente applicato negli stati membri, senza bisogno di provvedimenti attuativi.
Di cosa si occupa il regolamento ePrivacy
La prima cosa da chiarire è che stiamo parlando di un documento che è ancora in fase di stesura, quindi bisognerà aspettare ancora qualche settimana (o qualche mese) prima di leggerlo nella sua versione definitiva. Per ora ci possiamo affidare alle anticipazioni diffuse dagli addetti ai lavori (molto complete quelle di Agenda Digitale).
In un’ottica complementare rispetto al GDPR, la ePrivacy stabilirà norme specifiche sulla tutela dei dati che vengono trattati per fornire (e, viceversa, usare) servizi di comunicazione elettronica, come email e messaggistica istantanea. La definizione può sembrare molto ampia, così come la platea dei soggetti che saranno coinvolti: dalle aziende che conducono attività di marketing alle società di telecomunicazioni, dagli sviluppatori ai colossi di internet.
Come ha spiegato la Commissione europea, su questo tema era indispensabile un aggiornamento perché negli ultimi dieci anni – il tempo che è trascorso dalla stesura della precedente direttiva – è letteralmente cambiato tutto, in termini sia di tecnologie sia di abitudini degli utenti. A restare clamorosamente fuori dal perimetro della direttiva erano i cosiddetti servizi di comunicazione over-the-top (OTT), cioè quelli che forniscono servizi digitali gratis e in cambio incassano pubblicità. Salvo eclatanti ripensamenti, dunque, un domani Facebook e Google saranno trattati alla pari rispetto agli operatori telefonici tradizionali e ai provider internet.
Cosa cambierà per l’IoT
Sempre secondo Agenda Digitale, dobbiamo attenderci grosse novità sul fronte dell’IoT (Internet delle cose). Tutto fa pensare che la ePrivacy estenderà il principio di riservatezza anche alle comunicazioni da macchina a macchina, che non potranno più avvenire in automatico, ma soltanto dopo aver ottenuto il via libera da parte dell’utente. È vero che così facendo si introduce un maggiore controllo, replicano le aziende, ma è vero anche che si rischia di pagarne il prezzo in termini di efficienza. Bisogna ricordare che i flussi automatici di dati servono anche per gli aggiornamenti e la sicurezza dei dispositivi.
Cosa cambierà per i cookie
Il cambiamento che non potremo fare a meno di toccare con mano, spiega Agenda Digitale, sarà quello della disciplina sui cookie. Se da qualche anno a questa parte dobbiamo lottare contro i banner che ci affollano la schermata ogni volta che visitiamo un sito, infatti, il merito è proprio dell’attuazione della direttiva precedente.
Il nuovo regolamento punterà a semplificarci la vita, permettendoci di scegliere direttamente dal browser le specifiche tipologie di cookie da autorizzare. Potremo anche decidere a priori se i siti possono geolocalizzarci, accedere a webcam e microfono o attivare determinati software. App, sistemi operativi e browser, infine, dovranno proibire per impostazione predefinita il tracciamento su domini multipli e l’installazione di cookie di terze parti. Noi resteremo liberi di modificare in qualsiasi momento queste scelte, senza che però ci vengano già presentate come cosa fatta. Si attua così uno dei principi cardine del GDPR, cioè la privacy by default.
Che differenza c’è tra ePrivacy e GDPR
La domanda sorge spontanea: qual è la differenza con il GDPR? Secondo alcune analisi, per capirla fino in fondo possiamo fare riferimento alla cosiddetta Carta di Nizza (cioè la Carta dei diritti fondamentali dell’Unione europea):
- Il GDPR mette in atto l’articolo 8 – protezione dei dati di carattere personale.
- La ePrivacy invece si riferisce all’articolo 7 – rispetto della vita privata e della vita familiare.
Di fatto, il GDPR dà un quadro generale sulla protezione dei dati personali, mentre il regolamento ePrivacy entra più nel merito delle comunicazioni online. Come sanno bene gli avvocati, lex specialis derogat generali: quindi, se mai ci dovesse essere una sovrapposizione tra i due (e probabilmente accadrà), a “vincere” sarebbe la ePrivacy.
Fin qui abbiamo fatto a grandi linee il punto della situazione, ma con un iter così complesso possiamo dare per scontato che ci sarà qualche novità. Ancora qualche settimana di pazienza e avremo tutti i dettagli!
TAGS:
gdpr - privacy - sicurezza - web marketing