29 Mar 2018

Oltre il GDPR, il regolamento ePrivacy

DISCLAIMER: questo articolo è fornito a puro scopo informativo e non intende dare alcun consiglio legale. Per capire l'effettiva portata del GDPR sul vostro business, vi consigliamo di avvalervi dei servizi di un legale o di un esperto privacy indipendente.

Indiscusso protagonista della prima parte del 2018, il Regolamento Generale per la Protezione dei Dati entrerà in vigore il 25 Maggio.

eprivacy

Oramai è una scadenza conosciuta da tutti ed il panico è scattato già da qualche tempo: sicuramente, almeno a livello mediatico, l'impatto di questo nuovo regolamento pare non avere precedenti.

Nel corso di queste settimane abbiamo ricevuto molte domande circa il rapporto fra Email Marketing (e online marketing in generale) e GDPR: nei fatti il GDPR non tratta esplicitamente questi argomenti, anzi, lascia più dubbi che certezze (a questo indirizzo comunque trovate un'utile guida ad opera del Garante).

Non si tratta di una banale leggerezza del legislatore, il fatto è che, assieme al GDPR, il 25 maggio avrebbe dovuto vedere la luce anche il Regolamento ePrivacy, aggiornamento della direttiva ePrivacy 2002/2009, la famosa Cookie Law.

A questo documento (ufficialmente Regolamento su Privacy e Comunicazioni Elettroniche) vengono demandate le normative specifiche che regolano il mondo del marketing online, coprendo tutto lo spettro comunicativo e analitico, dalla profilazione tramite cookie al marketing telefonico, passando per chat, sms e ovviamente email.

Da Direttiva a Regolamento

L'attuale direttiva ePrivacy vede la luce nel 2002, nel 2009 subisce una revisione importante, riguardante specificatamente le policy in materia cookie, ma, come ogni direttiva europea, non ha avuto applicazione immediata e uniforme in tutti gli stati membri.

Le direttive infatti contengono una serie di linee guida che devono essere recepite e convertite in leggi e regolamenti dai singoli stati membri.

In Italia il garante ha dato seguito alle indicazioni della direttiva in ambito cookie nel 2014; da allora tutti i siti si sono dotati del famigerato "Cookie Banner".

Il percorso è stato dunque lungo e accidentato e la stessa applicazione della direttiva ha mostrato evidenti limiti, e la portata di quella che pareva una rivoluzione in ambito privacy si è ridotta ad un "noioso" banner, a cui presto gli utenti si sono abituati.

Il nuovo approccio voluto dal parlamento Europeo è quello dunque di rivedere completamente tutto l'impianto della normativa privacy a livello comunitario, dotando l'unione di un unico "Framework Normativo", la cui base è appunto il GDPR.

I nuovi regolamenti, una volta ratificati, vengono applicati immediatamente da tutti gli stati membri, senza bisogno di alcun altro passaggio: questo, in linea teorica, velocizza di molto l'iter.

La bozza del Regolamento ePrivacy è stata depositata a gennaio 2017, e fin da subito è apparsa "ostica", almeno per la lobby dei gruppi editoriali che vivono di pubblicità: al pari delle indicazioni generiche del GDPR, il regolamento ePrivacy prevede un approccio "privacy by design, privacy by default".

Privacy by design, privacy by default

Il principio, già enunciato nel GDPR (articolo 25) è quello che la protezione dei dati e la privacy debbano essere garantiti come default fin dalla progettazione dei flussi, per cui non è possibile - al netto delle eccezioni presentate - trattare dati senza un consenso esplicito dell'utente.

Nel regolamento proposto, e nella successiva versione emendata e approvata a ottobre 2017 in votazione plenaria del parlamento Europeo, si fa dunque riferimento esplicito al fatto che i browser dovranno dare strumenti chiari e facilmente accessibili all'utente per gestire il consenso ai "cookie di terze parti", quelli usati per registrare il comportamento dell'utente, punto di partenza di tutte le operazioni di marketing comportamentale e automation.

La raccomandazione è quella che questi strumenti siano proposti all'installazione del software/browser e che gli utenti siano informati correttamente delle implicazioni della scelta.

Chiaramente questa impostazione ha suscitato l'opposizione di publisher e operatori del mondo dell'advertising in tutta Europa, ma il legislatore si è rivelato fermo sul punto e, pur riconoscendo l'importanza economica del settore, ha deciso che i diritti di privacy degli utenti abbiano la precedenza.

Il documento non è ancora pronto (qui trovate la versione emendata, con i punti ancora in chiarificazione/discussione), ma il doppio voto (prima in commissione, poi in parlamento) a favore degli emendamenti proposti nel Lauristin Report (dal nome dell'europarlamentare che lo ha presentato) ha sicuramente messo un bel macigno sopra le speranze delle varie lobby in un ammorbidimento della norma.

In pratica? E per l'email marketing?

L'effetto più evidente sarà la scomparsa dei "cookie banner": altro passo sarà la modifica delle impostazioni di privacy dei vari browser, che non potranno più essere nascoste o comunque di difficile accesso e che dovranno essere proposte al momento dell'installazione o, nel caso di software già installato, al primo aggiornamento disponibile.

Questo significherà anche la comparsa (al pari di quel che succede già in caso di ad-blocker) di molti "cookie wall" sui siti che dipendono strettamente dai sistemi di advertising (quotidiani, portali etc): "se vuoi accedere al sito, attiva i cookie di terze parti/metti il sito in whitelist".

Il regolamento ePrivacy viene considerato una "Lex Specialis" nei riferimenti del GDPR, secondo il principio legale "principe lex specialis derogat legi generali". Quindi tutto quel che è scritto sul regolamento ePrivacy "sovrascrive", per il caso particolare, quel che viene stabilito dalla "Lex Generalis", il GDPR.

Per quel che riguarda l'email marketing la cosa è particolarmente importante.

Nell'articolo 16 del regolamento emendato, "Direct marketing communications", si può leggere:

  1. Natural or legal persons may use electronic communications services for the purposes of [sending or presenting] direct marketing communications to end-users who are natural persons that have given their consent.
  2. Where a natural or legal person obtains electronic contact details for electronic mail message from its customer end-users who are natural persons, in the context of the sale of a product or a service, in accordance with Regulation (EU) 2016/679, that natural or legal person may use these electronic contact details for direct marketing of its own similar products or services only if customers such end-users are clearly and distinctly given the opportunity to object, free of charge and in an easy manner, to such use. The right to object shall be given at the time of collection and each time a message such direct marketing communication is [sent or presented].

Questi due punti chiariscono, senza alcun dubbio, chi possa essere soggetto all'invio di "direct marketing communications": gli utenti finali che abbiano dato il loro esplicito e positivo consenso (secondo quanto stabilito dalla Lex Generalis, il GDPR), oppure i clienti, in relazione a prodotti e servizi similari e solo se agli stessi è garantito, al momento della collezione e ad ogni invio, il diritto di opporsi a questo utilizzo.

Se il testo dovesse rimanere questo (e non abbiamo ragione di pensare diversamente, visto che le parti più contestate riguardano tutt'altro), pare essersi risolta la questione relativa alla possibilità di trattamento dei dati senza consenso sulla base del "legittimo interesse" del titolare, che tanto ha fatto discutere negli ultimi tempi.

Nei fatti il legislatore "limita" questo legittimo interesse del titolare all'invio di materiale informativo/marketing ai propri clienti anche se non hanno dato esplicito consenso al trattamento per queste finalità, fermo restando il diritto di opposizione.

Il documento si occupa estesamente di metodologie di tracking del comportamento dell'utente, che nelle premesse vengono associate principalmente a cookie e tecnologie IoT (Internet of Things), ma è anche vero che qualsiasi strumento di email marketing opera un'analisi del comportamento degli utenti, attraverso strumenti di tracking delle aperture e dei click.

Una domanda aperta riguarda il consenso relativo a questo tipo di analisi: se è vero che per quanto riguarda le aperture diversi client di posta danno all'utente già da tempo la possibilità di inibire questo tipo di tracciamento (evitando di scaricare le immagini), per i click il discorso diventa più complesso.

Il legislatore non affronta direttamente l'argomento, quello che ci sentiamo di consigliare è prevedere all'interno della privacy policy un capitolo relativo a questo tipo di analisi.

Quando sarà operativo il regolamento ePrivacy?

A questa domanda è davvero piuttosto difficile rispondere.

Come detto sopra al momento sono state valutate e recepite le modifiche proposte dal Lauristin Report, ma il documento è ancora lontano dalla stesura definitiva, per cui le previsioni più attendibili danno come data plausibile per l'approvazione definitiva la fine del 2019.

Questo vuol dire che fino ad allora la direttiva n.2002/58/EC rimarrà il riferimento in merito, con le sue emanazioni locali, per l'Italia dunque l'attuale Codice Privacy.

Dunque il 25 maggio sarà solo il primo passo verso una vera normativa Europea condivisa in materia di protezione dei dati, privacy e comunicazione elettronica; il percorso sarà lungo e complesso, e faremo di tutto per tenervi aggiornati.

Update: In questo comunicato stampa del consiglio dei ministri, viene comunicato che è stato approvato in esame preliminare un nuovo decreto che andrà a sostituire l'attuale Codice Privacy, con lo scopo di armonizzare la normativa nazionale con il GDPR. L'intenzione è quella di approvare il decreto entro la scadenza del 25 maggio. Non si conoscono per il momento i contenuti di questo nuovo decreto.

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)