Tutti gli articoli del nostro blog

Il Regolamento ePrivacy dell’UE e i cookie | Aggiornamenti 2021 Regolamento ePrivacy

Cookiebot™ ti aiuta a rendere l’uso dei cookie e del tracciamento online conforme al GDPR e all’ePR. Il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy (ePR) influenzano il modo in cui il tuo sito web può utilizzare i cookie per tracciare gli utenti dall’UE.

Aggiornato in data 26 aprile 2024.

La gestazione del Regolamento ePrivacy dell’UE, pensato per annullare e sostituire la Direttiva ePrivacy del 2002, è stata lunga e travagliata. Inizialmente previsto per essere ultimato entro la data di applicazione del GDPR nel maggio 2018, si è invece trascinato per anni.

Il 10 febbraio 2021 il Consiglio dell’UE ha approvato un testo finalizzato che proietta la Direttiva ePrivacy verso una nuova fase di trattative a tre (tra Parlamento europeo, Commissione europea e Consiglio dell’UE), da cui potrebbe emergere una nuova legge sulla privacy dei dati destinata ad entrare in vigore in tutta l’Unione europea.

In questo blog post analizziamo il Regolamento ePrivacy e i cookie, ci soffermiamo su cosa comporta l’attuale bozza per il tuo sito web e cerchiamo di capire come proseguirà l’epopea del famigerato Regolamento ePrivacy dell’UE.

Panoramica

Il Regolamento ePrivacy (non ancora finalizzato, pertanto continua ad essere in vigore la Direttiva ePrivacy) è una proposta di regolamento del Consiglio dell’UE che disciplina i dati delle comunicazioni elettroniche su servizi e reti disponibili al pubblico da parte d’individui nell’ambito dell’Unione europea, e interessa tutti i fornitori di servizi OTT (over-the-top, ossia società di mezzi di comunicazione che offrono servizi e contenuti direttamente via internet) compresi i servizi di comunicazione elettronica di messaggistica istantanea e, di posta elettronica e di VoIP.

Il regime di privacy dei dati dell’UE si fonda attualmente sul Regolamento generale sulla protezione dei dati (GDPR) e sulla Direttiva ePrivacy del 2002. Il nuovo Regolamento ePrivacy abrogherebbe e sostituirebbe la vecchia direttiva del 2002 (conosciuta anche come la legge UE sui cookie) e introdurrebbe significativi aggiornamenti, integrando le nuove tecnologie nel suo quadro giuridico.

Come già accennato, il progetto di Regolamento ePrivacy riguarda tutte le comunicazioni digitali (come messaggi di testo, e-mail, messaggi di Facebook, SnapChat e così via) e protegge le persone fisiche nell’UE dalle interferenze di terzi nelle loro comunicazioni private, a meno che non ne diano il loro consenso preventivo.

The ePrivacy Regulation says cookies must be given consent from end-users.
La privacy digitale delle persone nell’Unione Europea è l’oggetto e la finalità del Regolamento ePrivacy

Regolamento ePrivacy: in sintesi

Il Regolamento ePrivacy

  • riguarda le comunicazioni elettroniche su servizi e reti disponibili al pubblico, comprese le trasmissioni di dati da macchina a macchina e i metadati, come la posizione, il momento e i dati sui destinatari
  • si applica agli utenti finali situati all’interno dell’UE, anche se il fornitore dei servizi si trova fuori dall’UE e/o il trattamento avviene al di fuori dei medesimi confini
  • tutela tutte le comunicazioni elettroniche considerandole di default private e riservate – per elaborare, ascoltare, monitorare o raccogliere altrimenti i dati sulle comunicazioni elettroniche delle persone nell’UE, è necessario che gli utenti finali prima forniscano il loro consenso espresso in modo esplicito e affermativo
  • impone di ottenere il consenso esplicito degli utenti finali prima di poter utilizzare sul proprio sito web cookie, tracker, o qualsiasi altra tecnologia che memorizzi dati personali sulle apparecchiature terminali degli utenti (hardware e software)
  • apre uno spiraglio per i cookie wall, a condizione che all’utente venga offerta un’alternativa equivalente che non implichi la concessione del consenso ai cookie e ai tracker
  • dà la possibilità agli utenti finali di creare una whitelist di fornitori di cookie nelle impostazioni del browser, incoraggiando così i fornitori stessi a facilitare agli utenti la modifica delle whitelist e il ritiro del consenso in qualsiasi momento.
  • entrerà in vigore due anni dopo la sua approvazione.

Quando si parla di privacy online, o e-privacy, i cookie dei siti web possono rappresentare una vera e propria responsabilità – ad oggi sono la tecnologia più utilizzata per raccogliere, elaborare e condividere i dati personali degli utenti finali su internet, ma necessitano del previo consenso esplicito degli utenti finali prima di poter essere attivati.

Con l’entrata in vigore del GDPR europeo nel 2018, le tematiche riguardanti la privacy online e i cookie sono state affrontate mettendo al centro il consenso degli utenti finali.

Il consenso si conferma al cuore del Regolamento ePrivacy; inoltre, i cookie e gli analoghi tracker di siti web sono anche l’obiettivo del nuovo progetto di legge sulla privacy dei dati.

Il consenso degli utenti finali sarà condizione imprescindibile per il trattamento di qualsiasi tipo di comunicazione elettronica e del suo contenuto.

La Direttiva ePrivacy del 2002, la normativa attualmente in vigore, è anche conosciuta come legge UE sui cookie proprio perché è stato il primo regolamento europeo (prima del GDPR dell’UE) che ha specificato le regole su come i siti web sono autorizzati a utilizzare cookie e tracker per elaborare i dati degli utenti.

Com’è noto, la Direttiva ePrivacy ha creato la necessità di inserire cookie banner sui siti web come strumento per ottenere il consenso degli utenti – tuttavia, la maggior parte dei primi banner precedenti al GDPR in realtà non funzionava come previsto.

Secondo la nuova bozza del Regolamento ePrivacy 2021, il consenso dell’utente finale è necessario prima di poter elaborare qualsiasi genere di dati dai computer o dagli smartphone degli utenti.

Se il Regolamento ePrivacy 2021 diventasse legge, andrebbe ad abrogare e sostituire la Direttiva ePrivacy.

Il GDPR dell’UE prevede già che i siti web debbano ottenere il consenso esplicito degli utenti prima di poter impiegare cookie e tracker che trattano dati personali, come indirizzi IP, ID unici, cronologia di ricerca e cronologia del browser.

Ciò che il progetto di Regolamento ePrivacy 2021 ribadisce è che il consenso è una dinamica vitale nella rete internet di oggi: è e rimane fondamentale per la privacy online.

Tuttavia, il Regolamento ePrivacy 2021 spiana la strada anche a nuovi modi di ottimizzare il consenso tra i browser e affronta altresì il cosiddetto “affaticamento da consenso ai cookie” (quando gli utenti sono sopraffatti dal dover continuamente dare il consenso su tutti i siti internet), consolidando nel complesso la necessità del consenso dell’utente per una reale salvaguardia della privacy dei dati, ora e in futuro.

Con il testo finalizzato dal Consiglio dell’UE, il Regolamento ePrivacy 2021 passa ora ai cosiddetti negoziati a tre fra il Parlamento europeo, la Commissione europea e il Consiglio dell’UE.

Ma il percorso della bozza del Consiglio dell’UE per diventare legge rimane incerto, per non parlare poi di qualsiasi indicazione su una possibile data di entrata in vigore del Regolamento ePrivacy. In particolare, alcune autorevoli voci in materia di privacy dei dati si sono già espresse in modo contrario, tra cui il Commissario federale tedesco per la protezione dei dati Ulrich Kelber, che esorta il Parlamento europeo ad adottare provvedimenti più rigorosi sulla privacy dei dati all’interno del Regolamento ePrivacy del 2021.

Una sola cosa appare certa nella nuova proposta di Regolamento ePrivacy: per poter essere usati, i cookie e i tracker sul tuo sito web avranno ancora bisogno del consenso esplicito e affermativo degli utenti.

In altri termini, il consenso avrà un ruolo da protagonista anche in futuro.

Conformità con la CMP Cookiebot

Cookiebot CMP by Usercentrics (acronimo inglese di Consent Management Platform, ovvero piattaforma di gestione del consenso) è la soluzione plug-and-play leader a livello mondiale per quanto riguarda la conformità ai requisiti europei sulla privacy dei dati sul tuo sito internet.

Sviluppata con al centro un potente scanner di siti web che identifica e controlla tutti i cookie, i tracker e i cavalli di Troia presenti sul tuo sito web, la CMP Cookiebot™ acquisisce automaticamente i consensi validi dagli utenti finali del tuo sito web, in piena conformità con i requisiti del GDPR/ePR dell’UE.

I banner di consenso creati su misura e altamente personalizzabili forniscono ai tuoi utenti tutte le informazioni legalmente richieste in merito a ciascun cookie, come ad esempio i dettagli tecnici, il fornitore, la durata e lo scopo.

Anche con il prossimo Regolamento ePrivacy, i cookie e i tracker sul tuo sito continueranno ad avere bisogno del consenso preventivo ed esplicito degli utenti per poter essere attivati.

I cookie di terze parti che funzionano attraverso l’uso di servizi di analisi o di plug-in di social media da parte del tuo sito web, prima di essere legalmente autorizzati ad operare, necessitano tutti del consenso preventivo dei visitatori del tuo sito.

La soluzione Cookiebot™ si è specializzata sin dal 2012 nella gestione dei consensi ai cookie validi nell’UE e continuerà a tutelare la privacy degli utenti, facendo al contempo in modo che per il tuo sito web sia semplice e automatico rispettare la legge.

La CMP Cookiebot™ rende inoltre possibile la conformità del tuo sito web con numerose altre leggi sulla privacy dei dati in tutto il mondo, tra cui il GDPR del Regno Unito, il CCPA della California, il PIPEDA del Canada, il POPIA del Sudafrica, il Privacy Act della Nuova Zelanda, e non solo.

Scansiona gratis il tuo sito web e verifica se elabori dati nell’UE. Prova la soluzione Cookiebot™ gratis per 14 giorni – o per sempre, se il tuo sito web non è troppo grande.

Il Regolamento ePrivacy, in dettaglio

Analizziamo in dettaglio la bozza del nuovo Regolamento ePrivacy 2021 del Consiglio dell’UE, vediamo in che modo è diverso dal GDPR e cerchiamo di capire quando potrebbe entrare in vigore.

Qual è la differenza tra il Regolamento ePrivacy e il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) dell’UE protegge i dati personali delle persone all’interno dell’UE, mentre la Direttiva ePrivacy 2021 tutelerà la riservatezza delle comunicazioni elettroniche delle persone nell’UE – adattando e trasponendo il GDPR (e i suoi standard di consenso) al settore della comunicazione tramite tecnologie quali Facebook, e-mail e messaggi di testo, per citarne alcuni.

Ricorrendo al lessico giuridico latino, il Regolamento ePrivacy 2021 è una lex specialis del Regolamento generale sulla protezione dei dati (GDPR), che invece rappresenta la lex generalis. Ciò significa che la nuova Direttiva ePrivacy integra il GDPR con disposizioni che si applicano specificamente al settore delle comunicazioni elettroniche, come email e servizi di messaggistica.

Come lex specialis, il Regolamento ePrivacy 2021 sovrascriverà il GDPR nelle aree specifiche di cui si occupa.

Si tratterà di due leggi diverse, derivanti da due distinti diritti della Carta dei diritti fondamentali dell’Unione europea: il GDPR riguarda il diritto alla protezione dei dati personali, mentre il Regolamento ePrivacy comprenderà il diritto delle persone alla vita privata, compresa la riservatezza in tutte le comunicazioni elettroniche.

The new ePrivacy Regulation also covers cookies, and Cookiebot CMP offers compliance.
Specificatamente incentrato sul settore delle comunicazioni elettroniche, il Regolamento ePrivacy aggiorna la Direttiva ePrivacy.

Quando sarà ultimato il Regolamento ePrivacy?

Gli ambasciatori del Consiglio dell’UE hanno trovato un accordo su un progetto di legge che ora proseguirà verso i negoziati a tre tra il Consiglio dell’UE, il Parlamento europeo e la Commissione UE. Nella comunicazione ufficiale si legge che si avvia una revisione delle norme che regolano la tutela della privacy degli utenti di servizi di comunicazione elettronica, o “e-privacy”. Il progetto di regolamento sulla vita privata e le comunicazioni elettroniche abrogherà l’attuale Direttiva e-privacy e integrerà il GDPR, tutelando non solo le persone fisiche ma anche quelle giuridiche. Una novità sostanziale del nuovo regolamento è che sarà applicabile sia al contenuto delle comunicazioni che ai metadati delle comunicazioni stesse poiché si ritiene che i metadati delle comunicazioni, rivelando informazioni sul luogo, sull’ora e sul destinatario della comunicazione, possano costituire dati sensibili tanto quanto il contenuto.

Trattandosi ancora soltanto di una bozza, non è ancora nota la data di entrata in vigore del Regolamento ePrivacy.

Tuttavia, l’indicazione è che il Regolamento ePrivacy entrerà in vigore venti giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell’UE e che comincerà ad essere applicato due anni dopo.

Ma questo è un tutt’altro che una certezza, considerando che la bozza del Regolamento ePrivacy ha già ricevuto aspre critiche, soprattutto dalle autorità tedesche per la protezione dei dati.

Ecco una cronistoria del Regolamento ePrivacy fino ad oggi:

  • 2024 – Ulteriori ritardi sembrano all’orizzonte
  • 2022 – Ci si aspetta che il nuovo Regolamento ePrivacy venga ultimato nel 2024 ed entri in vigore nel 2025
  • 2021 – Il Consiglio UE finalizza il testo e hanno il via nuovi negoziati a tre tra Consiglio UE, Parlamento UE e Commissione UE.
  • 2020 – Il Regolamento ePrivacy non riesce a raggiungere il consenso della maggioranza, attraversando diverse Presidenze UE.
  • 2018/2019 – La proposta di Regolamento ePrivacy rimbalza avanti e indietro nelle negoziazioni trilaterali tra la Commissione UE, il Parlamento UE e il Consiglio UE.
  • 2017 – Il Parlamento europeo presenta una bozza di Regolamento ePrivacy.

Parere dell’EDPB sul progetto di Regolamento ePrivacy 2021

Il 9 marzo 2021, il Comitato europeo per la protezione dei dati (EDPB) si è pronunciato sul Regolamento ePrivacy, sottolineando che il nuovo regolamento non deve in nessun caso abbassare il livello di protezione offerto dall’attuale Direttiva ePrivacy (che abrogherebbe e sostituirebbe), ma integrare invece l’attuale Regolamento generale sulla protezione dei dati (GDPR) fornendo ulteriori forti garanzie sulla riservatezza e la protezione di tutte le comunicazioni elettroniche.

Nella sua dichiarazione, l’EDPB sottolinea che:

  • alcune eccezioni (in particolare l’articolo 6(1)(c), l’articolo 6b(1)(e), l’articolo 6b(1)(f), l’articolo 6c) introdotte dal Consiglio sembrano autorizzare tipologie di trattamento molto ampie, ricordando la necessità di restringere tali eccezioni a scopi specifici e chiaramente definiti
  •  è necessario ottenere un consenso autentico ed espresso liberamente: questo dovrebbe impedire ai fornitori di servizi di utilizzare pratiche sleali come le soluzioni di tipo “prendere o lasciare”, che rendono l’accesso ai servizi e alle funzionalità subordinato al consenso dell’utente alla memorizzazione delle informazioni, o all’ottenimento dell’accesso alle informazioni già memorizzate nell’apparecchiatura terminale di un utente (i cosiddetti “cookie wall”)
  • è necessario includere nel Regolamento ePrivacy una disposizione esplicita contro il trattamento dei dati da parte dei fornitori di servizi senza il consenso dell’utente, e per permettere agli utenti di accettare o rifiutare la profilazione
  • il Regolamento ePrivacy dovrebbe migliorare l’attuale regime giuridico sul consenso, fornendo ai siti web e alle applicazioni mobili un modo efficace per acquisirlo, restituendo così il controllo agli utenti e contrastando il cosiddetto “affaticamento da consenso”.

Non è ancora dato sapere come si presenterà il cammino che attende la bozza di Regolamento ePrivacy 2021.

FAQ

Cos’è il Regolamento ePrivacy?

Il Regolamento ePrivacy è un progetto di regolamento del Consiglio dell’UE che, se trasformato in legge, disciplinerà tutte le comunicazioni elettroniche su servizi e reti disponibili al pubblico da parte delle persone nell’Unione europea (come messaggi Facebook, sms, e-mail, SnapChat e tutti gli altri diffusi servizi di comunicazione elettronica). Anche se non costituiscono un obiettivo primario del Regolamento ePrivacy, anche i cookie e i tracker utilizzati sui siti web rientrano nella legislazione e, come il GDPR già prescrive, richiederebbero il consenso esplicito degli utenti per poter essere attivati sul tuo sito web.

Quando sarà finalizzato il Regolamento ePrivacy?

Il Regolamento ePrivacy è attualmente in forma di bozza, ultimata dal Consiglio dell’Unione europea. Ora però la proposta di Regolamento ePrivacy deve passare ai negoziati a tre tra il Consiglio dell’UE, il Parlamento europeo e la Commissione dell’UE, che potrebbero avere successo e portare al passaggio della bozza in legge in tutti i 27 paesi membri dell’UE, oppure fallire e costringere i legislatori a redigere una nuova bozza.

Quando entrerà in vigore il Regolamento ePrivacy?

Ad oggi, non c’è una data di entrata in vigore del Regolamento ePrivacy, dato che la bozza di febbraio è ancora soltanto una proposta del Consiglio dell’UE. La bozza di testo afferma che il Regolamento ePrivacy entrerà in vigore venti giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell’UE e inizierà ad essere applicato due anni dopo. Tuttavia, è difficile stimare una possibile data di attuazione del Regolamento ePrivacy, dal momento che i negoziati a tre possono risolversi in modi molto diversi, con alcune nazioni dell’UE che chiedono disposizioni sulla privacy dei dati più rigorose rispetto a quanto previsto dall’attuale bozza.

Qual è la differenza tra il Regolamento ePrivacy e il GDPR?

Il Regolamento ePrivacy è una legge settoriale specifica pensata per disciplinare tutte le comunicazioni elettroniche su servizi e reti disponibili al pubblico da parte delle persone nell’Unione europea, mentre il Regolamento generale sulla protezione dei dati (GDPR) regola in generale il trattamento dei dati personali da parte delle persone all’interno dell’UE. Per questo motivo, il Regolamento ePrivacy sarebbe una lex specialis alla lex generalis GDPR, visto che precisa e specifica le disposizioni del GDPR sui dati personali applicandole al settore delle comunicazioni elettroniche.

Risorse

Comunicato stampa del Consiglio UE sul nuovo Regolamento ePrivacy

Il nuovo progetto di Regolamento ePrivacy 2021, datato 10 febbraio 2021 (PDF, in inglese)

L’IAPP sui nuovi sviluppi del Regolamento ePrivacy 2021 (in inglese)

Access Now giudica insoddisfacente la bozza di Regolamento ePrivacy del Consiglio UE (in inglese)

L’autorità tedesca per la protezione dei dati, BfDI, critica la proposta di Regolamento ePrivacy (in tedesco)

Panoramica del Regolamento ePrivacy, a cura di Lexology (in inglese)

    Non perderti nessuna novità

    Unisciti alla nostra community di sostenitori della privacy dei dati in continua crescita. Iscriviti alla newsletter di Cookiebot™ e ricevi tutti gli ultimi aggiornamenti direttamente nella tua casella di posta.

    Cliccando su "Iscriviti" confermo di volermi iscrivere alla newsletter di Cookiebot™. Posso cancellare la mia iscrizione alla newsletter di Cookiebot™ e revocare il consenso all'utilizzo dei miei dati cliccando sul link di disiscrizione oppure scrivendo a [email protected]. Informativa sulla privacy.