Il nuovo Regolamento UE sulla e-privacy. Cosa cambierà per il marketing digitale
di Sara Corsi
Il GDPR ha imposto nuovi adempimenti e modelli di gestione dei dati personali, che hanno modificato i relativi e precedenti assetti aziendali ed istituzionali. Gli obiettivi del Regolamento 679/2016 tutt’oggi, a distanza di più di 2 anni dalla data di applicazione, faticano a realizzarsi pienamente, e ora, sul fronte digitale, stanno per aggiungersi ulteriori tasselli. La direttiva e-privacy, risalente al 2002, normava la riservatezza in rete e nella comunicazione elettronica, ma come è ben noto in questi ultimi venti anni, tali ambiti hanno conosciuto uno sviluppo tecnologico senza pari. La direttiva, ferma su logiche e tecnologie superate, era divenuta completamente inadeguata a tutelare gli utenti dai rischi attuali. Negli ultimi anni il GDPR ha contribuito a colmare alcune delle lacune, ma la risposta è stata solo parziale, poiché la materia per il suo peculiare contesto restava di competenza di una lex specialis. Finalmente il 10 Febbraio il Consiglio UE, sotto la presidenza portoghese, ha approvato dopo circa 4 anni di lavori, il testo finale del nuovo Regolamento sulla e-privacy.
La riforma comporterà l’abrogazione della direttiva sulla e-privacy ed il suo mutamento in un diverso strumento normativo, un regolamento, come fu per il GDPR, ritenuto più adeguato a disciplinare la materia. Anche l’ambito di applicazione ricalca quello del GDPR, il nuovo testo infatti tutelerà tutti gli utenti finali che si trovano nel territorio UE e si estenderà di conseguenza a tutte le OTT, anche estere, che coinvolgono nella propria attività quegli utenti. Fra i settori più colpiti dalle novità introdotte vi saranno il marketing digitale, Internet of Things, intelligenza artificiale, il Machine-to-machine, la messaggistica istantanea, le app.
Nel corso di questo contributo si procederà analizzando i contenuti innovativi proposti dal Regolamento e-privacy, con una particolare attenzione alle disposizioni sui cookie, definiti “ marcatori di tracciamento”, e il loro potenziale effetto sul marketing digitale.
Cosa prescrive il nuovo Regolamento sulla e-privacy?
Il nuovo testo mira ad aumentare la fiducia dei cittadini nei servizi digitali tramite una garanzia di massima riservatezza per i dati personali nelle comunicazioni elettroniche, stabilendo l’impossibilità per soggetti diversi dai destinatari diretti, di ascoltare, monitorare o trattare quei dati. Tali diritti però devono bilanciarsi con la libera circolazione dei dati, delle apparecchiature e dei servizi di comunicazione elettronica nell’UE, pertanto esistono delle eccezioni consentite per il trattamento dei dati che agevolano i fornitori e gli utilizzatori di tali servizi.
Di quali eccezioni si tratta?
- I dati personali potranno essere trattati quando sarà necessario farlo per realizzare la trasmissione della comunicazione o per “ mantenere o ripristinare la sicurezza delle reti e dei servizi di comunicazione elettronica o rilevare problemi e/o errori tecnici nella trasmissione di comunicazioni elettroniche”[1], solo per la durata necessaria a tali finalità.
- Il trattamento di metadati [2] potrà avvenire solo per obblighi giuridici, di fatturazione o prevenzione di uso fraudolento o abusivo dei servizi di comunicazione elettronica, oppure previo consenso dell’utente per finalità specificate.
- Il contenuto delle comunicazioni elettroniche potrà essere trattato a fini dell’erogazione di un servizio all’utente finale, se l’utente finale vi consente per specifiche finalità o se tutti gli utenti finali interessati hanno prestato il loro consenso per uno o più fini specificati, che non possono essere realizzati mediante il trattamento anonimizzato delle informazioni, previa consultazione del fornitore con l’autorità di controllo competente.
- Cosa significa per chi fa marketing digitale?
Le formule sopra menzionate inquadrano le situazioni “eccezionali” in cui è consentito il trattamento di dati che passano per le comunicazioni elettroniche. In questo spettro di possibilità si può certamente rintracciare “fra le specifiche finalità” cui l’utente può consentire, anche il trattamento per fini commerciali. Dunque fin qui, nulla di più e nulla di meno, di quanto già espresso nel GDPR. Tuttavia bisogna porre particolare enfasi su un requisito, richiesto anche dal GDPR ma non così ben contestualizzato: l’anonimizzazione delle informazioni. Ossia, per poter trattare i dati che passano in rete e nelle comunicazioni elettroniche, sarà necessario dotarsi di strumenti che consentano di anonimizzarli, in caso contrario, il trattamento, dovrà essere sottoposto non solo al consenso dell’utente/degli utenti interessati, ma anche essere oggetto di specifica consultazione con le autorità di controllo.
In poche parole, chi dovesse compiere una profilazione non anonimizzata di quei dati, dovrebbe consultarsi con il Garante, così come previsto dall’articolo 36, punti 2) e 3), del GDPR, un passaggio che certamente sarebbe bene evitare per snellire il flusso lavorativo. Pertanto è consigliabile avvalersi fin da subito di strumenti “anonimizzanti” per continuare a poter targhettizzare, nell’ambito di campagne di marketing digitale, e tutelare al meglio gli utenti.
- La cookie white list
La relazione, che precede il testo finale del Regolamento, incoraggia un intervento sulla “centralizzazione del consenso” della cookie technology, ritenuta attualmente sovrabbondante. Il fine sarebbe quello di alleggerire l’esperienza di navigazione degli utenti ed eliminare la cosiddetta “stanchezza da cookie banner”. A tale scopo si suggerisce perciò, senza imporre un obbligo, di sperimentare dei sistemi di protezione della vita privata sempre attivi e preimpostati, come ad esempio una cookie white list. Gli utenti che dovessero aderire a tale possibilità dovrebbero però essere informati in modo chiaro e preciso, per poter compiere una scelta consapevole, libera e modificabile in qualunque momento.
Premettiamo che ad oggi non è possibile affermare con certezza se e quale scenario si concretizzerà, poiché devono ancora realizzarsi troppi passaggi, primo fra i quali, la pubblicazione del testo del Regolamento e-privacy in Gazzetta ufficiale UE, cui seguirà una vacatio legis di 20 giorni. Tale data poi segnerà l’inizio di un tempo lungo 2 anni, in cui i soggetti coinvolti avranno modo di adeguarsi alle nuove disposizioni, fino alla data di definitiva applicazione, così come fu per il GDPR. A ciò si aggiungeranno, non è possibile sapere quando precisamente, le scelte delle singole autorità di controllo nazionali, su quelle disposizioni in cui il Regolamento, riserva loro un ampio margine decisionale.
Tuttavia si può rilevare che lasciare la cookie white list uno strumento opzionale e non un obbligo, così come non definire quale soggetto, fra i browser, i motori di ricerca, i singoli siti web o gli utenti, debba farsi carico della sua implementazione, potrebbe rivelarsi problematico. Questa clausola aperta infatti potrebbe provocare, lato azienda, enormi ostacoli in ambito digitale e rallentamenti nel raggiungimento degli obiettivi di marketing. Lato utenti potrebbero prodursi livelli di tutela di differente intensità, a seconda delle singole giurisdizioni nazionali e dei diversi browser e motori di ricerca utilizzati.
Qualora la strategia della cookie white list fosse adottata, come appare più comprensibile e probabile, direttamente da browser o motori di ricerca, la questione potrebbe rappresentare un’arma a doppio taglio per “i piccoli” che lavorano nel digitale. Vediamo in quale modo. Va considerato che in tale ipotesi, ne potrebbe derivare per i siti web il vantaggio di non dover più proporre il cookie banner. Ma è realmente un vantaggio? Bisogna valutare l’eventualità che, non ogni browser o motore di ricerca potrebbe adottare la cookie white list ed in tal caso, i siti web sarebbero chiamati a far apparire o non comparire il cookie banner a seconda del differente strumento di navigazione dell’utente.
A tale possibile scenario si aggiunge l’incertezza delle differenti giurisdizioni nazionali, che dovranno decidere se rendere la cookie white list un obbligo o una semplice best practice. Se venisse a mancare un’armonizzazione a livello europeo sulla questione, lo sforzo di lavoro per i singoli gestori di siti web diverrebbe sproporzionato, in quanto dovrebbero barcamenarsi in quadro estremamente variegato, sia a livello statale che tecnologico. Si concretizzerebbe così un risultato in contrasto con i principi di semplificazione e proporzionalità cui il Regolamento e-privacy si ispira.
Altre riflessioni che solleva la questione della cookie white list in ottica di marketing digitale.
- Ma se l’utente scegliesse di consentire di default ai cookie di marketing, il titolare del sito web, può considerare reale l’interesse per finalità di marketing di chi sta navigando? Il dato di tracciamento così impostato, su cui si baserebbero determinate campagne di marketing, sarebbe affidabile o finirebbe per svuotare il significato di quel consenso, con l’inconveniente di dirottare risorse ed energie verso utenti che non sono dei prospect reali? Sono considerazioni da tenere a mente quando si fa un bilancio dei possibili costi – benefici sull’impatto di questa nuova normativa nell’economia digitale.
- Ancora, se l’utente decide di non includere nella sua white list i cookie di marketing o di terze parti, scelta che probabilmente verrebbe compiuta dai più, il sito web da Regolamento ha comunque la possibilità di proporre il cookie banner per richiederne il consenso. Ecco che si verificherebbe una pratica di riproposizione costante dei banner, che invece il nuovo testo aveva interesse ad evitare.
In conclusione, quella che potrebbe sembrare a primo impatto una semplificazione a tutela dell’utente, potrebbe risolversi in un nulla di fatto.
- La risposta tecnologica.
La realtà è che forse simili preoccupazioni sui cookie potranno dirsi superate velocemente. Infatti soggetti come Google, Firefox e Safari stanno già sperimentando alternative di tracciamento ai cookie. Le tecnologie che sostituiranno i cookie si baseranno su un sistema di tracciamento anonimizzato e machine learning, che mirerà però a realizzare risultati di profilazione equivalenti a quelli ottenibili con i cookie, tecnologia ritenuta ormai obsoleta e poco rispettosa della protezione dei dati personali. L’anonimizzazione dei dati potrebbe contribuire a realizzare gli obiettivi di riservatezza dei dati personali nel digitale, richiesti dal Regolamento e-privacy, in maniera molto più efficace, bilanciandoli con le esigenze della digital economy. Certamente anche la strada di questa transizione tecnologica è ancora lunga e poiché l’interesse delle OTT sul mercato dell’advertising è alto, ad una vera e propria sostituzione dei cookie, si arriverà più avanti e per gradi.
Bibliografia:
[1] Art. 6 punto 1, lett. B della Proposta di Regolamento del Parlamento Europeo E del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche).
[2] Art. 4 punto 3 lett. C ““metadati delle comunicazioni elettroniche” i dati trattati in una rete di comunicazione elettronica per trasmettere, distribuire o scambiare il contenuto delle comunicazioni elettroniche compresi i dati usati per tracciare e identificare la fonte e il destinatario di una comunicazione, i dati relativi alla localizzazione del dispositivo generati nel contesto della fornitura di servizi di comunicazione elettronica nonché la data, l’ora, la durata e il tipo di comunicazione.”
Autore: