29 Mar 2018

Oltre il GDPR, il regolamento ePrivacy

DISCLAIMER: questo articolo è fornito a puro scopo informativo e non intende dare alcun consiglio legale. Per capire l'effettiva portata del GDPR sul vostro business, vi consigliamo di avvalervi dei servizi di un legale o di un esperto privacy indipendente.

Indiscusso protagonista della prima parte del 2018, il Regolamento Generale per la Protezione dei Dati entrerà in vigore il 25 Maggio.

eprivacy

Oramai è una scadenza conosciuta da tutti ed il panico è scattato già da qualche tempo: sicuramente, almeno a livello mediatico, l'impatto di questo nuovo regolamento pare non avere precedenti.

Nel corso di queste settimane abbiamo ricevuto molte domande circa il rapporto fra Email Marketing (e online marketing in generale) e GDPR: nei fatti il GDPR non tratta esplicitamente questi argomenti, anzi, lascia più dubbi che certezze (a questo indirizzo comunque trovate un'utile guida ad opera del Garante).

Non si tratta di una banale leggerezza del legislatore, il fatto è che, assieme al GDPR, il 25 maggio avrebbe dovuto vedere la luce anche il Regolamento ePrivacy, aggiornamento della direttiva ePrivacy 2002/2009, la famosa Cookie Law.

A questo documento (ufficialmente Regolamento su Privacy e Comunicazioni Elettroniche) vengono demandate le normative specifiche che regolano il mondo del marketing online, coprendo tutto lo spettro comunicativo e analitico, dalla profilazione tramite cookie al marketing telefonico, passando per chat, sms e ovviamente email.

Da Direttiva a Regolamento

L'attuale direttiva ePrivacy vede la luce nel 2002, nel 2009 subisce una revisione importante, riguardante specificatamente le policy in materia cookie, ma, come ogni direttiva europea, non ha avuto applicazione immediata e uniforme in tutti gli stati membri.

Le direttive infatti contengono una serie di linee guida che devono essere recepite e convertite in leggi e regolamenti dai singoli stati membri.

In Italia il garante ha dato seguito alle indicazioni della direttiva in ambito cookie nel 2014; da allora tutti i siti si sono dotati del famigerato "Cookie Banner".

Il percorso è stato dunque lungo e accidentato e la stessa applicazione della direttiva ha mostrato evidenti limiti, e la portata di quella che pareva una rivoluzione in ambito privacy si è ridotta ad un "noioso" banner, a cui presto gli utenti si sono abituati.

Il nuovo approccio voluto dal parlamento Europeo è quello dunque di rivedere completamente tutto l'impianto della normativa privacy a livello comunitario, dotando l'unione di un unico "Framework Normativo", la cui base è appunto il GDPR.

I nuovi regolamenti, una volta ratificati, vengono applicati immediatamente da tutti gli stati membri, senza bisogno di alcun altro passaggio: questo, in linea teorica, velocizza di molto l'iter.

La bozza del Regolamento ePrivacy è stata depositata a gennaio 2017, e fin da subito è apparsa "ostica", almeno per la lobby dei gruppi editoriali che vivono di pubblicità: al pari delle indicazioni generiche del GDPR, il regolamento ePrivacy prevede un approccio "privacy by design, privacy by default".

Privacy by design, privacy by default

Il principio, già enunciato nel GDPR (articolo 25) è quello che la protezione dei dati e la privacy debbano essere garantiti come default fin dalla progettazione dei flussi, per cui non è possibile - al netto delle eccezioni presentate - trattare dati senza un consenso esplicito dell'utente.

Nel regolamento proposto, e nella successiva versione emendata e approvata a ottobre 2017 in votazione plenaria del parlamento Europeo, si fa dunque riferimento esplicito al fatto che i browser dovranno dare strumenti chiari e facilmente accessibili all'utente per gestire il consenso ai "cookie di terze parti", quelli usati per registrare il comportamento dell'utente, punto di partenza di tutte le operazioni di marketing comportamentale e automation.

La raccomandazione è quella che questi strumenti siano proposti all'installazione del software/browser e che gli utenti siano informati correttamente delle implicazioni della scelta.

Chiaramente questa impostazione ha suscitato l'opposizione di publisher e operatori del mondo dell'advertising in tutta Europa, ma il legislatore si è rivelato fermo sul punto e, pur riconoscendo l'importanza economica del settore, ha deciso che i diritti di privacy degli utenti abbiano la precedenza.

Il documento non è ancora pronto (qui trovate la versione emendata, con i punti ancora in chiarificazione/discussione), ma il doppio voto (prima in commissione, poi in parlamento) a favore degli emendamenti proposti nel Lauristin Report (dal nome dell'europarlamentare che lo ha presentato) ha sicuramente messo un bel macigno sopra le speranze delle varie lobby in un ammorbidimento della norma.

In pratica? E per l'email marketing?

L'effetto più evidente sarà la scomparsa dei "cookie banner": altro passo sarà la modifica delle impostazioni di privacy dei vari browser, che non potranno più essere nascoste o comunque di difficile accesso e che dovranno essere proposte al momento dell'installazione o, nel caso di software già installato, al primo aggiornamento disponibile.

Questo significherà anche la comparsa (al pari di quel che succede già in caso di ad-blocker) di molti "cookie wall" sui siti che dipendono strettamente dai sistemi di advertising (quotidiani, portali etc): "se vuoi accedere al sito, attiva i cookie di terze parti/metti il sito in whitelist".

Il regolamento ePrivacy viene considerato una "Lex Specialis" nei riferimenti del GDPR, secondo il principio legale "principe lex specialis derogat legi generali". Quindi tutto quel che è scritto sul regolamento ePrivacy "sovrascrive", per il caso particolare, quel che viene stabilito dalla "Lex Generalis", il GDPR.

Per quel che riguarda l'email marketing la cosa è particolarmente importante.

Nell'articolo 16 del regolamento emendato, "Direct marketing communications", si può leggere:

  1. Natural or legal persons may use electronic communications services for the purposes of [sending or presenting] direct marketing communications to end-users who are natural persons that have given their consent.
  2. Where a natural or legal person obtains electronic contact details for electronic mail message from its customer end-users who are natural persons, in the context of the sale of a product or a service, in accordance with Regulation (EU) 2016/679, that natural or legal person may use these electronic contact details for direct marketing of its own similar products or services only if customers such end-users are clearly and distinctly given the opportunity to object, free of charge and in an easy manner, to such use. The right to object shall be given at the time of collection and each time a message such direct marketing communication is [sent or presented].

Questi due punti chiariscono, senza alcun dubbio, chi possa essere soggetto all'invio di "direct marketing communications": gli utenti finali che abbiano dato il loro esplicito e positivo consenso (secondo quanto stabilito dalla Lex Generalis, il GDPR), oppure i clienti, in relazione a prodotti e servizi similari e solo se agli stessi è garantito, al momento della collezione e ad ogni invio, il diritto di opporsi a questo utilizzo.

Se il testo dovesse rimanere questo (e non abbiamo ragione di pensare diversamente, visto che le parti più contestate riguardano tutt'altro), pare essersi risolta la questione relativa alla possibilità di trattamento dei dati senza consenso sulla base del "legittimo interesse" del titolare, che tanto ha fatto discutere negli ultimi tempi.

Nei fatti il legislatore "limita" questo legittimo interesse del titolare all'invio di materiale informativo/marketing ai propri clienti anche se non hanno dato esplicito consenso al trattamento per queste finalità, fermo restando il diritto di opposizione.

Il documento si occupa estesamente di metodologie di tracking del comportamento dell'utente, che nelle premesse vengono associate principalmente a cookie e tecnologie IoT (Internet of Things), ma è anche vero che qualsiasi strumento di email marketing opera un'analisi del comportamento degli utenti, attraverso strumenti di tracking delle aperture e dei click.

Una domanda aperta riguarda il consenso relativo a questo tipo di analisi: se è vero che per quanto riguarda le aperture diversi client di posta danno all'utente già da tempo la possibilità di inibire questo tipo di tracciamento (evitando di scaricare le immagini), per i click il discorso diventa più complesso.

Il legislatore non affronta direttamente l'argomento, quello che ci sentiamo di consigliare è prevedere all'interno della privacy policy un capitolo relativo a questo tipo di analisi.

Quando sarà operativo il regolamento ePrivacy?

A questa domanda è davvero piuttosto difficile rispondere.

Come detto sopra al momento sono state valutate e recepite le modifiche proposte dal Lauristin Report, ma il documento è ancora lontano dalla stesura definitiva, per cui le previsioni più attendibili danno come data plausibile per l'approvazione definitiva la fine del 2019.

Questo vuol dire che fino ad allora la direttiva n.2002/58/EC rimarrà il riferimento in merito, con le sue emanazioni locali, per l'Italia dunque l'attuale Codice Privacy.

Dunque il 25 maggio sarà solo il primo passo verso una vera normativa Europea condivisa in materia di protezione dei dati, privacy e comunicazione elettronica; il percorso sarà lungo e complesso, e faremo di tutto per tenervi aggiornati.

Update: In questo comunicato stampa del consiglio dei ministri, viene comunicato che è stato approvato in esame preliminare un nuovo decreto che andrà a sostituire l'attuale Codice Privacy, con lo scopo di armonizzare la normativa nazionale con il GDPR. L'intenzione è quella di approvare il decreto entro la scadenza del 25 maggio. Non si conoscono per il momento i contenuti di questo nuovo decreto.

Commenti

Quindi, ricapitolando: fin quando non sarà operativo il regolamento ePrivacy (presumibilmente 2019) sarà ancora possibile fare direct marketing sulla base giuridica dell'legittimo interesse stabilito dal GDPR?

Al momento la situazione è confusa: quello che noi consigliamo è sempre di rivolgersi al proprio legale di fiducia, perché ogni situazione ha le sue peculiarità. In ogni caso il "soft spam" ai propri clienti - clienti veri - se fatto con accortezza non dovrebbe generare problemi, sempre che sia data la possibilità effettiva di potersi opporre a questo trattamento specifico. Sicuramente l'approvazione dell'e-privacy, ma anche l'adeguamento del nostro codice privacy, che dovrebbe arrivare entro agosto, dovrebbe far chiarezza sulla questione.

Quello che non mi è chiaro è proprio questo: il Codice Privacy è qualcosa di completamente indipendente dal GDPR e dall'ePrivacy e avrà la precedenza su di essi? Potrà contraddirli? O dovrà recepirli?
In ogni caso, quando parlavo di direct marketing io mi riferivo a quello fatto verso persone fisiche non precedentemente contattate, non verso clienti. E vi chiedevo se è corretto affermare che questo direct marketing basato sul legittimo interesse (con le dovute condizioni e precauzioni) è da considerarsi tutt'ora legale e che così sarà almeno fino all'arrivo del nuovo regolamento ePrivacy o del nuovo Codice Privacy. Può considerarsi un'affermazione corretta?
Grazie mille.

Secondo noi è meglio non fare Direct Marketing basato sul legittimo interesse se non verso i soli clienti. E' una posizione molto debole e fino a prova contraria non riteniamo valga i rischi considerato che di fatto consiste nel fare spam e quindi, ammesso e non concesso che sia plausibile parlare di legittimo interesse, l'efficacia sarebbe piuttosto scarsa.

E per le comunicazioni in ambito B2B da cosa è attualmente regolato l'email marketing in Italia e nel mondo?
È sempre ammesso?
P.S. problema nel form: quando si clicca "avvisami per i nuovi commenti", il pallino per selezionare "solo risposte ai miei commenti" non è visibile, ed automaticamente viene selezionato "tutti i commenti".

E' regolato dai filtri antispam e dalla possibilità del ricevente di farti causa per danni.
Fino a che non verrà pubblicato il nuovo codice ePrivacy dobbiamo considerare i vecchi regolamenti validi e il garante italiano si è espresso numerose volte contro l'invio B2B promozionale senza consenso:
https://emailmarketingblog.it/tags/b2b
 
PS: grazie per la segnalazione

Per chiarezza, non bisogna confondere "Privacy" con "Invio email"... GDPR si preoccupa di tutelare la protezione dei dati delle persone fisiche e quindi il GDPR si preoccupa di dire quali dati puoi trattare e quali no.
Poter trattare "legalmente" (magari per legittimo interesse) un DB B2B significa solo questo, poterlo trattare: non significa poter fare comunicazioni commerciali o altro. Per quello esistono altre normative. Poi è vero che fino ad oggi lo "spam" è stato in italia combattuto prevalentemente a suon di "Privacy", ma non bisogna confondere i due aspetti (essere autorizzati a gestire una rubrica ed essere autorizzati a comunicare con quella rubrica con specifici mezzi).

Perfetto! Grazie staff di EMB! 
Credo mi abbiate chiarito un altro punto fondamentale! La distinzione tra il trattamento dei dati, che è regolato dal GDPR, e l'invio di comunicazioni commerciali ai fini di marketing che fanno utilizzo di tali dati; comunicazioni regolate, se ho unito bene i puntini, dalla direttiva (regolamento) ePrivacy, che in Italia è stata recepita dal Codice Privacy, che viene inoltre integrato dalle successive emanazioni specifiche del Garante della Privacy. Dico bene?
Quindi mi pare di capire che in Italia e in Europa si va verso il consenso obblgatorio sia per comunicazioni commerciali B2B che quelle B2C... Ma... se io volessi contattare potenziali clienti in altre parti del mondo? Sia questi clienti che io non saremmo soggetti né al GDPR, né al regolamento ePrivacy, né ovviamente al Codice Privacy italiano... e farebbero testo di volta in volta le normative degli specifici paesi... giusto? Non è che sono interessato a fare spam, ma da informatico sento l'esigenza di dover capire come stanno le cose!
Però più capisco, più le cose si complicano! :)

Quasi, nel senso che il codice ePrivacy è per ora solo una bozza e non si sa se e quando diventerà regolamento operativo dell'UE. Quindi per la parte di "poter inviare" per ora riteniamo si possa considerare attuale il "vecchio" regolamento privacy italiano che è stato rimpiazzato dal GDPR per la parte del trattamento dei dati ma che può essere ritenuto ancora valido per il resto, fino a che non arriverà l'ePrivacy (o altro) a renderlo obsoleto. L'ePrivacy al momento è solo utile per capire come potrebbe evolvere la questione in futuro (qual è l'orientamento dell'UE in merito).

Perfetto, grazie 1000 di avermi aiutato a capire e ad intravedere l'uscita di questo labirinto :)Spero che questi commenti potranno essere utlili anche ad altri visitatori!Mi viene il dubbio che quando tutti questi regolamenti e leggi saranno pronte, forse una blockchain o tecnologia similare avrà già risolto tutte queste problematiche alla radice... Potrebbe essere tutto tracciabile e matematicamente dimostrabile... Chissà, staremo a vedere!Ciao e buon lavoro!

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)