Il punto di vista di Cyber Academy
La Direttiva ePrivacy (2002/58/CE, modificata nel 2009) è la «cookie law» che tutti implementano a metà. Disciplina la riservatezza delle comunicazioni elettroniche e le tecnologie di tracciamento sui dispositivi degli utenti. Precedente al GDPR e tuttora in vigore; il Regolamento ePrivacy che avrebbe dovuto sostituirla è bloccato in sede negoziale dal 2017. Le autorità nazionali di protezione dei dati (CNIL, Garante, AEPD) la applicano nei rispettivi ambiti territoriali.
Cosa disciplina davvero la Direttiva ePrivacy
La Direttiva ePrivacy (2002/58/CE, modificata dalla 2009/136/CE) è nota soprattutto come «legge sui cookie», ma ridurla ai cookie ne fa perdere gran parte del peso. Il suo vero oggetto è la riservatezza delle comunicazioni elettroniche e la protezione dell'apparecchiatura terminale dell'utente.
Stabilisce che le comunicazioni e i relativi dati sul traffico sono riservati, che l'intercettazione e la sorveglianza necessitano di una base giuridica, e che memorizzare o leggere informazioni sul dispositivo di una persona, che si tratti di un cookie, di un pixel di tracciamento, di un fingerprint o di un SDK, richiede generalmente un consenso preventivo.
La parte relativa al consenso e al tracciamento è quella che la maggior parte dei team implementa; la parte sulla riservatezza è quella di cui la maggior parte dei team dimentica l'esistenza.
È una direttiva, non un regolamento. Questa distinzione è all'origine di metà della confusione nella pratica. Una direttiva fissa l'obiettivo e lascia a ciascuno Stato membro il compito di recepirla nel diritto nazionale, sicché la formulazione esatta, la soglia di consenso e lo stile applicativo differiscono da un paese all'altro. In Francia le disposizioni pertinenti si trovano nel Code des postes et des communications électroniques, e la CNIL pubblica proprie linee guida e raccomandazioni su cookie e tracker. Non esiste un unico testo a livello di Unione che si possa citare come si cita il GDPR.
ePrivacy accanto al GDPR
I due strumenti sono complementari, non intercambiabili. La Direttiva ePrivacy è lex specialis: laddove pone una regola specifica, quella regola prevale sulla disposizione più generale del GDPR. L'esempio più chiaro sono i cookie e la memorizzazione sul dispositivo. Il GDPR disciplina il modo in cui tratti i dati personali che raccogli; ePrivacy disciplina l'atto di accedere a informazioni sul dispositivo o di memorizzarvele in primo luogo, e si applica anche quando non vi sono dati personali coinvolti. Così un tracker che deposita un identificativo puramente tecnico ricade comunque sotto ePrivacy, anche se sosterresti che non si tratta di un dato personale ai sensi del GDPR.
Il consenso ai sensi di ePrivacy mutua la propria definizione dal GDPR. Quando ePrivacy richiede il consenso, questo deve rispettare lo standard del GDPR: libero, specifico, informato, inequivocabile e revocabile con la stessa facilità con cui è prestato. Per questo le caselle pre-spuntate, i banner del tipo «continuando a navigare accetti» e i cookie wall che non offrono una scelta reale continuano a non superare il controllo delle autorità di vigilanza. I due testi si leggono insieme.
Cosa fanno davvero i professionisti
Nel lavoro quotidiano, la conformità a ePrivacy riguarda soprattutto lo strato del consenso e l'inventario che vi sta dietro. Il programma pratico si presenta così:
- Inventariare ogni cookie, tag, pixel, SDK e script che legge dal dispositivo o vi scrive, e classificare ciascuno come strettamente necessario o meno. Solo quelli strettamente necessari sono esenti dal consenso.
- Bloccare i tracker non essenziali finché l'utente non ha prestato il consenso, anziché attivarli al caricamento della pagina e chiedere dopo. Una piattaforma di gestione del consenso di solito impone questo comportamento.
- Rendere il rifiuto fluido quanto l'accettazione, registrare il consenso e il suo ambito, e offrire un modo semplice per revocarlo in seguito.
- Tenere d'occhio anche gli obblighi di riservatezza: il marketing diretto via e-mail o SMS richiede generalmente un consenso preventivo (opt-in), con una stretta eccezione per i clienti esistenti su prodotti analoghi.
L'applicazione è nazionale. Poiché non esiste un regolatore centrale dell'UE per ePrivacy, ciascuna autorità di protezione dei dati vigila sul proprio territorio. La CNIL in Francia, il Garante in Italia e l'AEPD in Spagna emanano ciascuna linee guida, conducono audit e irrogano sanzioni in base ai rispettivi recepimenti nazionali. Ciò significa che un sito paneuropeo non può presumere che un solo banner accontenti tutti; l'approccio prudente è soddisfare l'interpretazione più rigorosa tra i mercati che servi e documentare le scelte che hai fatto.
Frequently asked questions
01La Direttiva ePrivacy è la stessa cosa della legge sui cookie?
È la fonte delle regole sui cookie, ma è più ampia dei cookie. Tutela anche la riservatezza delle comunicazioni elettroniche e dei dati sul traffico, e disciplina qualsiasi memorizzazione di informazioni sul dispositivo di un utente o accesso ad esse, non solo i cookie.
02Ai cookie si applica ePrivacy o il GDPR?
Entrambi, a strati. ePrivacy è lex specialis e disciplina l'atto di collocare o leggere un cookie sul dispositivo, anche quando non vi sono dati personali coinvolti. Il GDPR disciplina poi il modo in cui tratti gli eventuali dati personali che raccogli tramite esso, e fornisce la definizione di consenso valido.
03Il Regolamento ePrivacy ha già sostituito la direttiva?
No. Il proposto Regolamento ePrivacy è in negoziazione dal 2017 e non è stato adottato. La direttiva del 2002, come modificata nel 2009 e recepita nel diritto nazionale, resta il testo in vigore.
04Chi fa rispettare la Direttiva ePrivacy?
Le autorità nazionali di protezione dei dati la fanno rispettare sul proprio territorio in base al recepimento del rispettivo paese. In Francia è la CNIL; in Italia il Garante; in Spagna l'AEPD. Non esiste un unico regolatore a livello di Unione per essa.
05Quali cookie non necessitano del consenso?
Solo quelli strettamente necessari per fornire un servizio esplicitamente richiesto dall'utente, come mantenere un carrello della spesa o conservare una sessione di accesso. I cookie di analisi, pubblicità e tracciamento di terze parti richiedono un consenso preventivo.