Tale regolamento è destinato a sostituire la direttiva ePrivacy del 2002 e a "chiarire e completare" il Regolamento generale sulla protezione dei dati (RGPD). In particolare, mira a garantire i diritti fondamentali alla privacy degli utenti finali, alla riservatezza delle comunicazioni e alla protezione dei loro dati personali quando utilizzano servizi di comunicazione elettronica. Oltre ai servizi classici come il telefono e gli SMS, questo comprenderà in futuro anche la posta elettronica e i servizi internet come Skype, WhatsApp o Facebook. Il cep aveva già esaminato la proposta in un cepPolicyBrief, vedi cepPolicyBrief No. 16/2017.
Mentre la commissione competente del Parlamento europeo è stata rapidamente in grado di concordare una posizione sulla proposta di regolamento, il Consiglio ha avuto molte più difficoltà. Ora, dopo quattro (!) anni, il Consiglio è stato finalmente in grado di concordare un mandato per i negoziati con il Parlamento europeo.
Particolarmente controverso era risultato come trattare in futuro i cookies, che molti siti web usano per indirizzare anche la pubblicità. Il compromesso ora raggiunto dal Consiglio prevede che l'accesso all’apparecchiatura terminale degli utenti di siti web, che è necessario per l'impostazione dei cookies, viene, in linea di principio, inizialmente proibito.
Tuttavia, sono anche state contemporaneamente definite numerose eccezioni:
Ad esempio, la memorizzazione di cookies o la raccolta di informazioni dall'apparecchiatura terminale può essere autorizzata se l'utente del dispositivo ha acconsentito. Senza il consenso, invece, tali accessi sono consentiti solamente e specificatamente per la misurazione dell’audience, per il mantenimento e il ripristino della sicurezza del dispositivo o per l'installazione di aggiornamenti di sicurezza.
Inoltre, il Consiglio vuole stabilire un'eccezione per gli accessi che sono assolutamente necessari per fornire un servizio specificamente richiesto dall'utente. Questa eccezione include, per esempio, i cookies che sono necessari per lo shopping online per memorizzare i prodotti nel carrello o per l'autenticazione quando si effettuano pagamenti online. I portali di giornali online e altri portali di pubblicazione della stampa che forniscono i loro servizi per scopi giornalistici in conformità con la libertà di opinione e di informazione e sono finanziati in tutto o in parte dalla pubblicità beneficiano anche di questa eccezione. I cookies impostati da tali portali sono, quindi, formalmente anche da considerarsi "necessari" per la fornitura di un servizio specificamente richiesto. Tuttavia, questi accessi devono essere "accettati" dai lettori dei portali di notizie, che devono essere informati in anticipo in modo chiaro e semplice. Non è però chiarito come questa procedura differisca concretamente dal consenso.
I cookies, possono essere utilizzati anche senza il consenso dell'utente se servono a misurare l'"efficacia" di un servizio, per esempio per quanto riguarda il design di un sito web o anche per il gradimento della pubblicità. Tuttavia, tali cookies non devono mai essere utilizzati per identificare la natura dell'utente in quanto tale.
Per facilitare il consenso in futuro, gli utenti saranno anche in grado di concederlo attraverso le impostazioni del software o consentire a determinati fornitori, inseriti in una "lista bianca", di poter tracciare per determinati scopi. Il regolamento non obbliga i fornitori di software a fare questo, ma li "incoraggia" a fornire impostazioni che consentano agli utenti finali di gestire la fornitura del consenso in modo semplice e trasparente. Tuttavia, i consensi dati direttamente, dovrebbero sempre prevalere sulle decisioni di consenso prese dalle impostazioni del software.
Il consenso effettivo dell'utente richiede, tra le altre cose, che l'utente abbia dato il suo consenso volontariamente. Perché questo sia il caso, l'utente deve avere una vera scelta, il che è discutibile nel caso dei cosiddetti cookie walls, che fanno dipendere l'accesso al contenuto di un sito web dall'accettazione di cookie che non sono necessari. Il Consiglio ritiene che l'utente di un sito web abbia una vera scelta se è in grado di usufruire anche di un'offerta alternativa senza obbligo di cookies, che non deve necessariamente provenire dallo stesso fornitore. Regole più severe dovrebbero essere applicate se c'è un chiaro squilibrio tra fornitori e utenti, come nel caso di fornitori con una posizione di mercato dominante. In questi casi, l'utente del sito non può, o può solo con difficoltà, passare a un servizio alternativo di un altro fornitore. Se esiste un tale squilibrio, questi fornitori non possono far dipendere l'accesso al loro sito web dal consenso all'installazione di cookies per "scopi aggiuntivi". Ad esempio, questo vale anche per i siti web delle autorità pubbliche, poiché spesso gli utenti non possono de facto passare a siti web alternativi.
Un'altra novità è che i fornitori potranno in futuro trattare le informazioni che hanno legittimamente raccolto con l'aiuto dei cookies nei dispositivi dell'utente per altri scopi in determinate condizioni. Tuttavia, il prerequisito è che il nuovo scopo sia "compatibile" con lo scopo per il quale i dati sono stati originariamente raccolti, e che i fornitori rispettino determinate condizioni. In particolare, devono “pseudonimizzare” i dati, non possono costruire profili degli utenti e possono trasmettere i dati a terzi solo in forma anonima.
Ora che il Consiglio e il Parlamento europeo hanno ciascuno una posizione negoziale sul regolamento ePrivacy, possono entrare nei negoziati a tre. Speriamo che non ci vogliano altri quattro anni per completare il prossimo passo del processo legislativo.
Philipp Eckhardt e Anja Hoffmann (Traduzione: Stefano Gualano)
