Direttiva ePrivacy
Direttiva sulla privacy e le comunicazioni elettroniche
Panoramica
La Direttiva ePrivacy (ePD), spesso chiamata "legge sui cookie", integra il GDPR fornendo regole specifiche per la privacy nelle comunicazioni elettroniche. Copre la riservatezza delle comunicazioni, l'uso delle tecnologie di tracciamento e il marketing diretto.[1]
Essendo una direttiva, l'attuazione varia tra gli Stati membri. Il regolamento ePrivacy proposto è stato ufficialmente ritirato nel febbraio 2025, il che significa che la Direttiva rimane la legge applicabile.
Rapporto con il GDPR
- ePD è lex specialis: Prevale sul GDPR per le comunicazioni elettroniche
- Si applicano i principi del GDPR: Il consenso secondo l'ePD deve rispettare gli standard del GDPR
- Applicazione combinata: Entrambi i set di regole sono applicati dalle autorità per la protezione dei dati
Requisiti chiave
Consenso ai cookie (Articolo 5(3))[2]
Il consenso è richiesto prima di collocare o accedere a informazioni sul dispositivo dell'utente:
| Tipo di cookie | Consenso richiesto? |
|---|---|
| Strettamente necessari | No (esenti) |
| Preferenze/funzionalità | Sì |
| Analitici/statistici | Sì (alcune giurisdizioni consentono esenzioni) |
| Pubblicitari | Sì |
| Tracciamento di terze parti | Sì |
Requisiti del consenso
Il consenso valido deve essere:
- Precedente: Ottenuto prima che i cookie siano impostati
- Libero: Scelta reale senza svantaggi per il rifiuto
- Specifico: Chiaro riguardo agli scopi e ai tipi di cookie
- Informato: Gli utenti comprendono quali dati vengono raccolti
- Non ambiguo: Richiesta un'azione affermativa chiara
- Revocabile: Gli utenti possono modificare facilmente le preferenze
Best practice per il banner dei cookie
| Da fare | Da non fare |
|---|---|
| Fornire scelte granulari | Pre-selezionare le caselle di consenso |
| Rendere "Rifiuta tutto" ugualmente evidente | Nascondere il rifiuto dietro più clic |
| Conservare la prova del consenso | Impostare cookie prima del consenso |
| Consentire un facile ritiro | Rendere il ritiro più difficile del consenso |
| Lingua chiara e semplice | Gergo tecnico |
Riservatezza delle comunicazioni (Articolo 5)
- Divieto di intercettazione e sorveglianza
- Consentito l'archiviazione tecnica necessaria per la trasmissione
- Contenuto e metadati protetti allo stesso modo
Marketing diretto (Articolo 13)
| Tipo | Requisito |
|---|---|
| Marketing via email/SMS | Consenso preventivo opt-in richiesto |
| Clienti esistenti | Soft opt-in per prodotti simili (con facile opt-out) |
| Marketing B2B | Le regole variano tra gli Stati membri |
Comunicazioni non richieste
- L'identità del mittente non deve essere mascherata
- Meccanismo valido di opt-out richiesto
- Devono essere rispettati i registri nazionali "do not call"
Proposte di modifiche Digital Omnibus (2025)
La Commissione Europea ha proposto di semplificare le regole sui cookie tramite il pacchetto "Digital Omnibus":[3]
- Trasferire alcune disposizioni dell'ePD nel GDPR
- Ampliare le esenzioni per cookie analitici e di sicurezza
- Abilitare segnali di consenso centralizzati per ridurre la "fatica del consenso"
Nota: Queste proposte non sono ancora state adottate. I requisiti attuali dell'ePD rimangono in vigore.
Esempi di applicazione
| Autorità | Entità | Multa | Motivo |
|---|---|---|---|
| CNIL (Francia) | 150M€ | Violazioni del consenso ai cookie | |
| CNIL (Francia) | 60M€ | Difficoltà nel rifiuto dei cookie | |
| ICO (Regno Unito) | Molteplici | Avvertimenti | Bottoni di rifiuto nascosti |
| AEPD (Spagna) | Vari | 10K-100K€ | Raccolta impropria del consenso |
Checklist per sviluppatori
Banner per il consenso ai cookie
- Ottenere il consenso prima di impostare cookie non essenziali
- Fornire controlli granulari per categoria
- Rendere "Rifiuta tutto" ugualmente accessibile
- Conservare e registrare con timestamp i consensi
- Consentire un facile ritiro del consenso
- Bloccare script di terze parti fino al consenso
Requisiti tecnici
- Verificare tutti i cookie e le tecnologie di tracciamento
- Classificare per scopo e necessità
- Documentare scopi e conservazione dei cookie
- Assicurare che gli script rispettino i segnali di consenso
- Implementare la sincronizzazione del consenso per i sottodomini