Nell’attesa dell’adozione del Regolamento e-privacy, oggetto di discussione in Unione Europea, l’European Data Protection Board (EDPB) ha adottato un’opinione che chiarisce il rapporto tra direttiva 2002/58/CE (cosiddetta “Direttiva e-Privacy”) e Regolamento 679/2016 (“GDPR“).
Ed invero, sebbene il campo di applicazione della Direttiva e-Privacy sia primariamente il settore delle comunicazioni elettroniche, la sua portata è ben più ampia, abbracciando anche trattamenti comuni a diverse tipologie di titolari, quali l’immagazzinamento di informazioni mediante cookie e l’invio di comunicazioni commerciali.
La sovrapposizione tra la generale normativa in materia di protezione dei dati personali, prima la direttiva 95/46/CE e attualmente il GDPR, e la direttiva e-Privacy è già emersa, d’altra parte, in disparati casi posti all’attenzione della Corte europea di giustizia, trai quali, i più recenti Planet49 (C 673-17) e Fashion ID (C-40/17).
Per questo motivo, il rapporto tra tali normative si è dimostrato centrale già nel primo anno di applicazione del GDPR.
Rapporto tra direttiva ePrivacy e Gdpr, l’opinione dei garanti Ue
L’Opinione dell’EDPB muove dall’analisi dell’art. 1 della direttiva e-Privacy che, riferendosi alla precedente direttiva 95/46/EC, oggi sostituita dal GDPR, chiarisce che la speciale normativa in materia di comunicazioni elettroniche “precisa e integra” le previsioni generali in materia di protezione dei dati personali. Inoltre, come osservato dall’EDPB, la natura di lex specialis della direttiva e-privacy risulta evidente anche alla luce della lettura dell’art. 95 del GDPR, secondo il quale il medesimo GDPR non impone obblighi supplementari per quanto riguarda le materie che sono soggette a obblighi specifici fissati dalla direttiva e-Privacy; nonché dal considerando 173, che conferma l’applicabilità del GDPR a tutti gli aspetti che non rientrano in obblighi specifici della Direttiva e-Privacy.
La natura speciale della Direttiva e-Privacy comporta, dunque, la prevalenza delle sue specifiche previsioni sulle misure più generali dettate dal GDPR.
Tale prevalenza è evidente, in modo particolare, nei casi in cui la Direttiva e-Privacy impone l’utilizzo di una specifica base giuridica per un trattamento, come nel caso dei cookie e delle comunicazioni indesiderate. In tali casi, come chiarito dall’EDPB, dovranno applicarsi le basi giuridiche stabilite ai sensi della Direttiva e-Privacy e della relativa normativa nazionale, senza la possibilità di ricorrere all’art. 6 del GDPR.
Quando la direttiva ePrivacy prevale sul GDPR
Le disposizioni che attuano la direttiva e-Privacy prevalgono, dunque, su quelle generali del GDPR per quei trattamenti che specificamente attengono alla materia delle comunicazioni elettroniche, come i dati relativi al traffico e quelli relativi all’ubicazione. Per i primi, la Direttiva e-Privacy, come implementata dal D.lgs. 196/2003, prevede che essi debbano essere cancellati quando non più necessari ai fini della trasmissione della comunicazione elettronica, fatti salvi gli obblighi di conservazione previsti per finalità di accertamento e repressione dei reati. Inoltre, la conservazione è possibile solo per i dati di traffico necessari per fini di fatturazione ovvero per i pagamenti in caso di interconnessione, ai fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento. Il trattamento dei dati a fini di commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi di valore aggiunto è, invece, consentito solo previo consenso del contraente o utente. Per quanto concerne, il trattamento dei dati relativi all’ubicazione, il trattamento è poi possibile solo se tali dati sono anonimi o se è stato ottenuto il consenso per la fornitura di servizi a valore aggiunto.
Servizi di comunicazione elettronica, una definizione più ampia
I limiti imposti a tali trattamenti dalla direttiva e-Privacy sono quanto mai importanti, alla luce della nuova direttiva 2018/1972 che istituisce il codice europeo delle comunicazioni elettroniche. Quest’ultimo, infatti, amplierebbe la definizione di servizio di comunicazione elettronica, includendo anche il “servizio di comunicazione interpersonale” definito come “un servizio di norma a pagamento che consente lo scambio interpersonale e interattivo di informazioni tramite reti di comunicazione elettronica tra un numero limitato di persone , mediante il quale le persone che avviano la comunicazione o che vi partecipano ne stabiliscono il destinatario o i destinatari e non comprende i servizi che consentono le comunicazioni interpersonali e interattive esclusivamente come elemento accessorio meno importante e intrinsecamente collegato a un altro servizio“.
La nuova definizione sembrerebbe, infatti, incidere notevolmente sul campo di applicazione della Direttiva e-Privacy, se si pensa che il considerando 16 della direttiva 2018/1972 prevede che il concetto di remunerazione dovrebbe interpretarsi in senso estensivo, ricomprendendo le situazioni in cui il fornitore del servizio chiede dati personali e questo glieli trasmette direttamente o indirettamente ovvero i casi in cui l’utente autorizza l’accesso a dati personali, ivi incluso l’indirizzo IP o le informazioni generate automaticamente.
Come si è detto, tuttavia, l’ambito dei soggetti destinatari delle previsioni contenute nella direttiva e-Privacy è ben più ampio dei singoli operatori di comunicazioni elettroniche, includendo anche tutti quei titolari che utilizzano cookie o compiono attività di marketing diretto.
Il consenso all’installazione di cookie e alle comunicazioni non sollecitate
Per quanto riguarda l’utilizzo di cookie, infatti, continuerà ad applicarsi l’art. 122 del D.lgs. 196/2003 unitamente alle misure previste dal Garante. L’archiviazione delle informazioni, dunque, sarà sempre sottoposta al consenso in caso di installazione di cookie di profilazione ovvero di cookie analitici di terze parti che non siano utilizzati insieme a misure di oscuramento dell’identificazione e misure contrattuali volte ad evitare l’incrocio di dati personali da parte delle terze parti.
Allo stesso modo, per quanto concerne l’invio di comunicazioni non sollecitate, ai sensi dell’art. 130 del D.lgs. 196/2003, si dovrà far ricorso al consenso in tutti i casi in cui siano utilizzati sistemi automatizzati di chiamata o di chiamata senza l’intervento di operatore ovvero di comunicazioni elettroniche quali posta elettronica, MMS, SMS o altro tipo. Per quanto riguarda le comunicazioni inviate mediante email, il consenso non sarà richiesto solo nel caso in cui trovi applicazione l’eccezione del soft spam prevista dall’art. 130 comma 4.
Qualora siano utilizzati altri tipi di strumenti, tuttavia, non sarà necessario ricorrere alla base giuridica del consenso ma si potrà selezionare la più opportuna tra quelle previste all’art. 6 del Regolamento, come precisato dall’art. 130 comma 3-bis del Codice Privacy. Pertanto, l’invio di comunicazioni commerciali indesiderate mediante posta o mediante telefono, con modalità diverse da quelle indicate, potrà essere fondato anche su basi giuridiche diverse dal consenso ( fatto salvo il rispetto della normativa relativa al registro delle opposizioni).
E’, dunque, in questo limitato spazio che dovrebbe leggersi il considerando 47 del GDPR per il quale “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto“.
La profilazione
Tuttavia, l’applicazione prevalente della Direttiva e-Privacy non potrà eccedere il suo ambito e, pertanto, sarà necessario analizzare i singoli trattamenti, distinguendo, caso per caso, le fasi sottoposte alla direttiva e quelle, invece, attribuite al regolamento. L’EDPB invita, dunque, a distinguere i trattamenti successivi o paralleli all’archiviazione di informazioni tramite cookies e all’invio di comunicazioni personali mediante sistemi di comunicazione elettronica, ai fini dell’individuazione del campo di applicazione della direttiva e-Privacy.
La profilazione, ad esempio, potrebbe intendersi come trattamento distinto dalla raccolta di informazioni e dall’invio di materiale commerciale. Il GDPR, infatti, definisce tale attività di trattamento come una “forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.”
Trattandosi di un trattamento distinto, la profilazione potrà poggiare su una base giuridica autonoma, senza essere vincolata dalle previsioni della direttiva e-Privacy.
Per tale attività, dunque, il titolare potrebbe adottare una delle basi giuridiche previste dall’art. 6 del GDPR, tra cui il legittimo interesse, qualora non sussistano confliggenti interessi, diritti o libertà degli interessati.
Tale bilanciamento di interessi dovrà tenere in debita considerazione la relazione commerciale che intercorre tra interessato e titolare, al fine di decidere qualora l’interessato possa ragionevolmente attendersi, al momento della raccolta, che i suoi dati personali possano essere utilizzati per la creazione di profili specifici (ad esempio, qualora al momento del rilascio del consenso per il marketing, l’interessato possa aspettarsi che quest’ultima sarebbe stata inviata sulla base di un profilo specificamente creato).
D’altra parte, seppure con riferimento alla precedente Direttiva 95/46/EC, l’Avvocato Generale nell’opinione generale sulla Causa C-40/17 (Fashion ID) afferma, con riferimento all’ottimizzazione pubblicitaria, che, senza pregiudizio delle disposizioni della direttiva e-Privacy, “occorre concordare sul fatto che la commercializzazione e la pubblicità possono costituire di per se un siffatto interesse legittimo” (punto 123 dell’Opinione dell’Avvocato Generale nella causa C-40/17).
Ciò premesso è bene ribadire che il GDPR trova applicazione per tutti quegli ambiti che non sono espressamente disciplinati dalla direttiva, quali i diritti degli interessati e gli obblighi di titolare e responsabile. Allo stesso tempo, per i trattamenti per i quali la direttiva impone la base giuridica del consenso, la validità di quest’ultimo dovrà valutarsi in base a quanto previsto dall’art. 7 del GDPR. Infatti, la Direttiva e-Privacy non fornisce specifiche indicazioni sulle modalità per l’acquisizione del consenso, limitandosi ad indicare, al considerando 17, che “il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all’utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un’apposita casella nel sito internet“.
La necessità di applicare i requisiti del consenso del GDPR alle materie per il quale la direttiva e-Privacy impone l’ottenimento del consenso, sostenuta dall’EDPB, è stata recentemente supportata anche dall’ Opinione dell’Avvocato generale nella causa C-73/17.
In tale opinione, l’Avvocato Generale nel valutare la legittimità del consenso prende in considerazione il GDPR e la precedente direttiva 95/46/Ce, affermando esplicitamente che “affinchè il consenso sia ‘liberamente manifestato’ e ‘informato’ non dev’essere solo attivo ma anche separato” (punto 66 dell’Opinione dell’Avvocato generale nella causa C-73/17). Pertanto, il consenso, alla luce dell’art. 7 del GDPR, dovrà essere libero, specifico e informato nonché attivo, inequivocabile e non legato all’effettiva fornitura di un servizio. Pertanto, una casella già selezionata non potrebbe essere considerato come un valido consenso per l’utilizzo dei cookie, ai sensi del GDPR.
ePrivacy, poteri e competenze delle Autorità
L’Opinione dell’EDPB, tuttavia, non si limita a evidenziare come e in che modo le due normative si intrecciano ma si sofferma in particolar modo sui poteri e le competenze delle autorità di controllo rispetto alla Direttiva e-Privacy. Rispetto a tale profilo, EDPB sottolinea la diversità delle due normative sottolineando come le autorità di controllo non possono automaticamente ricorrere ai poteri e alle mansioni attribuitegli dal GDPR in relazione all’enforcement della Direttiva e-Privacy. Tale distinzione rischia di avere, tuttavia, un impatto limitato giacché nella maggior parte dei casi, una violazione della Direttiva e-Privacy costituirà anche una violazione del GDPR, giacché i requisiti stabiliti da quest’ultima possono essere valutati come indizi dell’assenza di un trattamento legittimo e trasparente (di cui all’art. 5 del GDPR). L’applicazione della direttiva e-Privacy dovrà, in ogni caso, avvenire sulla base della trasposizione nazionale. In Italia, l’art. 166 del D.lgs. 196/2003 prevede che l’Autorità di Controllo possa applicare le sanzioni dell’art. 83 del GDPR, in caso di violazione delle previsioni che implementano la direttiva e-Privacy.
Di particolare interesse è, sotto il profilo dei poteri delle autorità di controllo, l’opinione dell’EDPB in materia di applicazione del meccanismo di cooperazione e coerenza. Secondo l’EDPB, infatti, il meccanismo di cooperazione e coerenza rimane pienamente applicabile fintanto che il trattamento è sottoposto alle previsioni del GDPR e non alla regola speciale prevista dalla direttiva e-Privacy. Le previsioni del Capo VII del GDPR dovranno applicarsi per le procedure che si fondano sull’esercizio dei poteri di enforcement garantiti dal GDPR. Al contrario, per quanto riguarda i profili disciplinati dalla Direttiva e-Privacy, la norma di riferimento rimarrebbe l’art. 15(4) di tale direttiva che prevede che “ Le competenti autorità nazionali di regolamentazione possono adottare misure volte ad assicurare un’efficace collaborazione transfrontaliera nell’applicazione delle norme nazionali adottate conformemente alla presente direttiva e per creare condizioni armonizzate per la fornitura di servizi che comportino flussi di dati transfrontalieri.”
L’EDPB, infatti, ritiene che tale “linea di comunicazione” discrezionale debba essere utilizzata nel contesto dei distinti poteri di enforcement attribuiti alle autorità dalla Direttiva e-Privacy, nei limiti in cui la procedura sia finalizzata a rispondere alle violazioni delle norme nazionali di che regolano le specifiche condotte regolate dalla direttiva e-Privacy
Si auspica che il nuovo Regolamento e-Privacy, una volta approvato, possa garantire uniformità alla disciplina della protezione dei dati in questo settore, nonché maggiore certezza legale, come sottolineato dallo stesso EDPB nel suo Statement del 13 Marzo 2019.
