Il Regolamento UE ePrivacy (ePR)

Cos’è il regolamento ePrivacy (ePR)?

A gennaio 2017, la Commissione Europea ha proposto un nuovo Regolamento sulla privacy e sulle comunicazioni elettroniche (ePR) come parte della sua strategia per il mercato unico digitale.

Il Regolamento ePR rimpiazzerà la Direttiva ePrivacy del 2002 (la “cookie law”, anche conosciuta come ePD) e tutte le leggi degli Stati membri che la implementano. La Direttiva ePrivacy era stata implementata in Italia con le disposizioni del Titolo X del Codice Privacy. Per quanto riguarda i cookies, il Garante Privacy ha emanato nel 2014 il Provvedimento “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, nel quale ha stabilito che la prosecuzione della navigazione della pagina web (il cosiddetto “scroll”) poteva essere considerata come manifestazione del consenso all’uso dei cookies.

La Direttiva ePrivacy ha definito le regole relative alle comunicazioni elettroniche, comprese le e-mail di marketing, i fax, i messaggi di testo, le telefonate, l'uso dei cookie che tracciano le informazioni dei visitatori di un sito web, la sicurezza dei servizi pubblici di comunicazione elettronica e la privacy degli utenti finali. Se fai attività di marketing tramite telefono, e-mail, messaggi di testo o fax, oppure utilizzi i cookie o elenchi pubblici, devi conformarti alle disposizioni del Codice Privacy e ai provvedimenti del Garante.


Quale è la differenza tra ePR e ePD? 

Il Regolamento ePR ha una portata più ampia e mira a garantire una maggiore privacy in tutte le comunicazioni elettroniche, includendo i fornitori di servizi over-the-top (OTT) come le app di messaggistica istantanea, le piattaforme VoIP (Voice over Internet Protocol) e le comunicazioni M2M come l’internet delle cose (IoT).

Il Regolamento ePR ha lo stesso ambito territoriale del Regolamento generale sulla protezione dei dati (GDPR), applica un regime di sanzioni analogo per la non-conformità e dovrebbe entrare in vigore verso la fine del 2018.

Tuttavia, al momento il testo del Regolamento ePrivacy deve ancora iniziare la terza ed ultima fase della procedura legislativa, quella dei negoziati tra Parlamento Europeo e Consiglio dell’Unione Europea. Vista la situazione attuale, opinionisti hanno osservato che i tempi sono troppo stretti affinché il Regolamento ePrivacy riesca ad essere emanato alla fine del 2019.

Nel novembre 2017, la procedura era solo una prima bozza, quella pubblicata l'8 settembre 2017. La sintesi sottostante si basa su questa bozza.


Sintesi della bozza del ePR

Punti chiave del regolamento proposto:

  • Ambito materiale
    Il Regolamento ePR sarà applicato:
    • al trattamento di dati delle comunicazioni elettroniche e dei metadati delle comunicazioni elettroniche effettuate in relazione alla fornitura e all'uso di servizi di comunicazione elettronica;
    • alle informazioni relative a/trattate da/emesse da/memorizzate nell'apparecchiatura terminale degli utenti finali;
    • all’immissione sul mercato di software che consentono la comunicazione in via elettronica, compreso il recupero e la presentazione di informazioni su Internet;
    • all’offerta di un elenco pubblico di utenti finali dei servizi di comunicazione elettronica; e
    • all’invio o presentazione di comunicazioni con finalità di marketing diretto agli utenti finali.

  • Il Regolamento ePR non sarà applicato: 
    • alle attività che non rientrano nell’ambito di applicazione del diritto dell'UE;
    • alle attività degli Stati membri in materia di controlli alle frontiere, asilo e immigrazione;
    • alle comunicazioni elettroniche che non sono accessibili al pubblico (ad esempio, reti aziendali chiuse);
    • alle attività delle autorità competenti che riguardano la prevenzione, l'indagine, l'accertamento o il perseguimento di reati o l'esecuzione di sanzioni penali; o
    • alle apparecchiature radio - che devono essere conformi alla direttiva 2014/53 / UE.

  • Ambito territoriale
    Il Regolamento ePrivacy sarà applicato:
    • alla fornitura di servizi di comunicazione elettronica agli utenti finali nell'UE;
    • al trattamento dei dati di comunicazioni elettroniche nei metadati di trasmissione o di comunicazioni elettroniche degli utenti finali presenti nell'UE;
    • alla protezione delle informazioni relative a/elaborate da/emesse da/memorizzate nell'apparecchiatura terminale degli utenti finali presenti nell'UE;
    • all’offerta di elenchi disponibili al pubblico degli utenti finali di servizi di comunicazione elettronica presenti nell’UE;
    • all’immissione sul mercato UE di software che consentono comunicazioni elettroniche; e
    • all’invio o presentazione di comunicazioni con finalità di marketing diretto agli utenti finali presenti nell'UE.

    I fornitori di servizi di comunicazione elettronica con sede fuori dall’UE devono designare un rappresentante in uno Stato membro dell'UE in cui si trovano gli utenti finali dei propri servizi.

  • Consenso cookie
    Con il ePR, molti cookie non richiederanno più il consenso espresso dell'utente finale. Al contrario, ci saranno delle impostazioni del browser estese che dovrebbero controllare la condivisione delle informazioni dell'utente, il che significa che dovrebbero esserci meno banner di cookie.

  • Marketing diretto
    Le comunicazioni di commercializzazione diretta (marketing diretto) - ovvero “qualsiasi forma di pubblicità, scritta od orale, inviata a uno o più utenti finali identificati o identificabili di servizi di comunicazione elettronica, anche mediante sistemi automatici di chiamata e comunicazione con o senza interazione umana, email, SMS, ecc...” - richiederanno il consenso degli utenti finali.

    Inoltre, se gli utenti finali hanno acconsentito a ricevere comunicazioni di marketing diretto, dovrebbero essere in grado di recedere facilmente da tale consenso in qualsiasi momento.

  • Contenuto e metadati
    Il ePR copre i metadati delle comunicazioni elettroniche (“i dati trattati in una rete di comunicazione elettronica per trasmettere, distribuire o scambiare il contenuto delle comunicazioni elettroniche compresi i dati usati per tracciare e identificare la fonte e il destinatario di una comunicazione, i dati relativi alla localizzazione del dispositivo generati nel contesto della fornitura di servizi di comunicazione elettronica nonché la data, l'ora, la durata e il tipo di comunicazione ") e il loro contenuto nella trasmissione.

    I fornitori di servizi di comunicazione elettronica possono trattare solo il contenuto delle comunicazioni elettroniche:

    • al solo scopo di fornire un servizio specifico a un utente finale, se l'utente finale ha dato il proprio consenso e il servizio non può essere fornito senza trattare il contenuto; o
    • se tutti gli utenti finali interessati hanno acconsentito al trattamento per scopi specifici che non possono essere soddisfatti trattando le informazioni in modo anonimo, e il fornitore ha consultato l'autorità di controllo - l’Autorità Garante per la Protezione dei dati personali (Garante Privacy) in Italia.

    I fornitori di servizi di comunicazione elettronica devono cancellare o rendere anonimo il contenuto delle comunicazioni elettroniche dopo che i destinatari previsti lo hanno ricevuto.

    I fornitori di servizi di comunicazione elettronica possono trattare metadati di comunicazioni elettroniche se:

    • è necessario soddisfare "requisiti di qualità obbligatori del servizio";
    • è "necessario ai fini di fatturazione, calcolo i pagamenti di interconnessione, rilevamento o arresto di un uso fraudolento o abusivo dei servizi di comunicazione elettronica o di abbonamento agli stessi"; o
    • l'utente finale ha dato il proprio consenso al trattamento, a condizione che la/le finalità del trattamento non possa/no essere soddisfatta/e con un trattamento anonimizzato.

    I fornitori di servizi di comunicazione elettronica devono cancellare o rendere anonimi i metadati delle comunicazioni elettroniche quando non sono più necessari a trasmettere una comunicazione.

    Se il trattamento dei metadati è necessario ai fini della fatturazione, i metadati pertinenti possono essere conservati fino alla fine del periodo durante il quale una fattura può essere legalmente contestata o un pagamento può essere preteso.

  • Sanzioni per la non-conformità
    Come per il GDPR, esiste un regime di sanzioni a due livelli fissato a un massimo di 20 milioni di euro o al 4% del fatturato globale annuo - a seconda di quali sia cifra più alta.

    Gli utenti finali che subiscono "danni materiali o immateriali" a seguito della violazione del Regolamento ePR hanno anche diritto a ricevere un risarcimento da chi ha violato il Regolamento.

    Aggiorneremo questa pagina non appena ci saranno ulteriori indicazioni da parte del Garante e verrà pubblicato il testo definitivo del Regolamento.


Il ePR e il GDPR

Il GDPR si applica al trattamento delle informazioni personali. Il ePR è stato progettato per completarlo, fornendo norme specifiche "relative alla protezione dei diritti e delle libertà fondamentali delle persone fisiche e giuridiche nella fornitura e nell'uso dei servizi di comunicazione elettronica". Si tratta di un regolamento complementare al GDPR, che va a disciplinare alcune situazioni specifiche. Per questo viene definito nel linguaggio giuridico, una lex specialis, le cui regole dovrebbero prevalere su quelle fissate dal Regolamento.

Gli obblighi di sicurezza nel GDPR e il Codice europeo delle comunicazioni elettroniche proposto (EECC) verranno applicati ai fornitori di servizi di comunicazione elettronica. 

Cos’è il GDPR?

Scarica il prospetto gratuito Regolamento Generale sulla Protezione dei dati (GDPR) – Guida alla conformità per una panoramica sui cambiamenti introdotti dal Regolamento e i punti critici da tenere in considerazione nel corso del tuo progetto di conformità.

Scarica


Parla con un esperto

Per maggiori informazioni sui nostri corsi di formazione professionali e del personale, parla con uno dei nostri esperti.

 
su