Rapporto fra Direttiva E-privacy e GDPR: i Garanti europei si pronunciano
di Stefania Tonutti
I due testi prevalgono fra di loro, si sovrappongono o percorrono due linee separate? L’EDPB si pronuncia con un parere
Il 12 marzo 2019 l’European Data Protection Board (di seguito per brevità “EDPB”)[1]ha adottato un parere (cd. “Opinion”) sull’interazione tra la Direttiva e-Privacy ed il Regolamento generale sulla protezione dei dati (GDPR-RGPD).[2]
Contestualizziamo le normative e l’ambito
Il GDPR (General Data Protection Regulation n. 679/2016) oramai è noto ai più; la Direttiva c.d. e-Privacy è, invece, la n. 2002/58/CE[3]che fissa regole specifiche volte a garantire la riservatezza delle comunicazioni e la tutela dei dati personali nel settore delle comunicazioni elettroniche. Quest’ultima verrà a breve aggiornata e sostituita da un apposito Regolamento e-Privacy, che si occuperà in modo ancora più specifico della tutela delle comunicazioni elettroniche, della sicurezza dei dispositivi digitali e della protezione dei dati personali nel mondo online (quali email, messaggistica istantanea voice-over-IP, e tutto quanto inerente ai servizi di comunicazione dei cd. “OTT” Over The Top). La bozza del Regolamento e-Privacy[4] è stata presentata dalla Commissione europea nel gennaio del 2017 ed è ora all’esame del Parlamento europeo e del Consiglio.
Antefatto: il quesito posto all’EDPB
L’Autorità Garante del Belgio aveva richiesto, il 3 dicembre 2018, un parere all’EDPB relativamente a tre questioni:
- riguardo alla competenza, i compiti ed ai poteri delle varie Autorità Garante europee: quando e con che limiti le stesse sono operative in entrambi gli ambiti di applicazione (GDPR e direttiva e-privacy)?
- riguardo all’interazione fra GDPR e direttiva e-privacy: come si esplica?
- riguardo all’applicabilità dei meccanismi di cooperazione e coerenza così come sanciti dal GDPR: tali principi si applicano anche con riferimento alla direttiva e-privacy?
Cosa ha risposto l’EDPB?
Competenza e compiti delle Autorità Garanti europee:
Ai sensi degli articoli 55–56–57–58 del GDPR, ogni Autorità ha specifici compiti e poteri, in particolare di indagine, autorizzativi e consultivi. Quando il trattamento dei dati personali rientra nell’ambito di applicazione sia del GDPR sia della direttiva e-privacy, l’EDPB sostiene che le Autorità Garanti sono competenti per esaminare le operazioni di trattamento dei dati disciplinate dalle norme nazionali che attuano la Direttiva e-Privacy solo se la legislazione nazionale conferisce tale competenza.[5]
Interazione/sovrapposizione fra GDPR e Direttiva e-Privacy:
In primis, occorre precisare che nel GDPR vi sono dei, seppur sporadici, riferimenti alla Direttiva e-Privacy: il considerando 173 sottolinea come il Regolamento si applichi “[…] a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici di cui alla direttiva 2002/58/CE […];[6]e vi è altresì un articolo specificamente dedicato al rapporto con la stessa, in cui viene esplicitato il principio per cui, con riguardo alla fornitura di servizi di comunicazione elettronica soggetti alla Direttiva e-Privacy, non vi sono obblighi supplementari per quanto riguarda le materie ivi contemplate.[7]
Dove si applica il GDPR?
Esso si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi (c.d. “Ambito di applicazione materiale”) e segue, altresì, il principio di applicazione territoriale (c.d. “Ambito di applicazione territoriale”)[8].
Dove si applica la Direttiva e-Privacy?
Essa trova applicazione quando sussistono le seguenti condizioni:
- è presente un servizio di comunicazione elettronica;
- tale servizio è offerto tramite una rete di comunicazione (elettronica);
- il servizio e la rete sono disponibili al pubblico;
- il servizio e la rete sono offerti all’interno dell’Unione Europea.[9]
Tutte le attività che non rientrano in questi criteri sono “out of scope” dalla Direttiva.
Coesistenza delle due normative: quando prevale la direttiva e quando il GDPR?
L’articolo 1 della Direttiva e-Privacy chiarisce che la speciale normativa in materia di comunicazioni elettroniche “precisa e integra” le previsioni generali in materia di protezione dei dati personali.[10]
- Lex specialis derogat legi generali: vi sono alcune situazioni per cui la legge speciale (le direttive, nel caso di specie la Direttiva e-Privacy) prevale su quella generale (i regolamenti, nel caso di specie quindi il GDPR), proprio perché la prima va a specificare e “particularise” alcuni aspetti lasciati più generici dal secondo.[11]
- In tutti gli altri casi, in cui il trattamento dei dati personali non è disciplinato in modo specifico dalla Direttiva e-Privacy (o laddove la direttiva e-privacy non contenga una “regola speciale”), si applica il GDPR. Per esempio, si applicheranno le disposizioni GDPR relativamente all’esercizio dei diritti delle persone interessate rispetto ai loro dati personali (poiché la Direttiva e-Privacy non dà disposizioni specifiche su tali diritti); parimenti, qualsiasi trattamento successivo di dati personali (ad esempio quelli ottenuti tramite i cookie) deve (anche) avere una base legale ai sensi dell’articolo 6 del GDPR per essere lecito e rispettare tutte le altre disposizioni del GDPR.
Applicabilità dei meccanismi di cooperazione e coerenza del GDPR:
Con riferimento ai meccanismi sanciti dal GDPR e disponibili per le autorità di controllo europee, l’EDPB afferma che non possono essere applicati, a livello nazionale, per rafforzare la Direttiva e-Privacy: l’applicazione della stessa deve infatti avvenire mediante apposita trasposizione nazionale.[12]
A parere dell’Autore, appare curioso riassumere dei contenuti che fanno comunque riferimento ad una normativa che verrà presto sostituita (l’EDPB, infatti, ha anche pubblicato una dichiarazione il 13 marzo 2019 in cui invita i legislatori nazionali degli Stati membri dell’UE a finalizzare nel più breve tempo possibile le loro posizioni sul Regolamento e-Privacy proposto), tuttavia si auspica che tali contenuti vengano riproposti e soprattutto ampliati in un’ottica di confronto tra due Regolamenti aventi la medesima forza normativa.
Bibliografia
[1]European Data Protection Board (EDPB). Il comitato europeo per la protezione dei dati è un organo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati (dell’UE). Esso ha il potere di adottare orientamenti generali, e può inoltre adottare decisioni vincolanti ai sensi del GDPR nei confronti delle autorità nazionali di controllo, al fine di garantire un’applicazione coerente delle norme.
[2]EDPB. Opinion 5/2019 on the interplay between the e-Privacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities. Adopted on 12 March 2019.
[3]Direttiva n. 2002/58/CE del Parlamento Europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche). Essa viene comunemente denominata Direttiva e-Privacy.
[4]Proposta di Regolamento del Parlamento Europeo e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche) reperibile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017PC0010&qid=1528296773144&from=EN
[5]EDPB. Opinion 5/2019 on the interplay between the e Privacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities. Adopted on 12 March 2019, Par. 7, punto 90: “If national law designates the data protection authority as competent authority under the e-Privacy Directive, this data protection authority has the competence to directly enforce national e-Privacy rules in addition to the GDPR (otherwise it does not).” Par. 7 punto 91: “The cooperation and consistency mechanisms available to data protection authorities under Chapter VII of the GDPR, concern the monitoring of the application of GDPR provisions. The GDPR mechanisms do not apply to the enforcement of the national implementation of the e-Privacy Directive. The cooperation and consistency mechanism remains fully applicable, however, insofar as the processing is subject to the general provisions of the GDPR”
[6]Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR). Considerando (173) “È opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio, compresi gli obblighi del titolare del trattamento e i diritti delle persone fisiche. Per chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, è opportuno modificare quest’ultima di conseguenza. Una volta adottato il presente regolamento, la direttiva 2002/58/CE dovrebbe essere riesaminata in particolare per assicurare la coerenza con il presente regolamento”.
[7]Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR). Articolo 95. Rapporto con la direttiva 2002/58/CE. “Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”.
[8]Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR). Si vedano articoli 2 e 3.
[9]Direttiva 2002/58/Ce del Parlamento Europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche). Articolo3. Servizi Interessati Direttiva e-Privacy. “La presente direttiva si applica al trattamento dei dati personali al trattamento dei dati personali connesso con la fornitura di servizi di comunicazione elettronica accessibili al pubblico in territorio europeo, comprese le reti di comunicazione pubbliche che supportano i dispositivi di raccolta e di identificazione dei dati”.
[10]Direttiva 2002/58/Ce del Parlamento Europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche). Articolo1, co. 2: “[…] le disposizioni della presente direttiva precisano e integrano la direttiva 95/46/CE. […]”
[11]Un esempio di tale prevalenza si evince dai casi in cui la Direttiva e-Privacy impone delle basi giuridiche specifiche per il trattamento dei dati (cfr. cookie o comunicazioni indesiderate): qui, sostiene l’EDPB, si devono applicare le basi giuridiche stabilite ai sensi della Direttiva e-Privacy e della relativa normativa nazionale, senza la possibilità di ricorrere all’art. 6 del GDPR. Questo rapporto risulta implicito dallo stesso GDPR, all’articolo 95 (vedasi nota nr. 7 del presente documento).
[12]EDPB. Opinion 5/2019 on the interplay between the e Privacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities. Adopted on 12 March 2019.Pag.18: “The e-Privacy Directive does not state that only one national body shall be competent to enforce its provisions. In fact, article 15a of the e-Privacy Directive explicitly provides that more than one national body may be competent to enforce its provisions. Article 15a also provides for the implementation and enforcement of the Directive by Member States including the obligations that Member States shall lay down rules on penalties, grant power to order cessation of infringements, grant investigative powers and resources etc.”
Autore