L'EVOLUZIONE DELLA DIRETTIVA ePRIVACY: 6. Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR

Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities - Adopted on 12 March 2019

In realtà questo documento è stato preceduto da una dichiarazione che l’EDPB ha ritenuto opportuno pubblicare il 25 maggio 2018, cioè lo stesso giorno in cui il nuovo regolamento ePrivacy sarebbe dovuto entrare in vigore, con l’obiettivo di mettere a disposizione un ulteriore contributo per la conclusione dell’iter di pubblicazione del nuovo regolamento stesso.

Questa si può sintetizzare con le conclusioni :

Il Comitato europeo per la protezione dei dati ritiene che:

• il regolamento ePrivacy non dovrebbe abbassare il livello di protezione offerto dall’attuale direttiva ePrivacy;
• il regolamento ePrivacy dovrebbe proteggere in modo neutrale dal punto di vista tecnologico tutti i tipi di comunicazioni elettroniche, compresi quelli effettuati dai servizi "Over-the-Top";
• il consenso dell’utente dovrebbe essere ottenuto sistematicamente in una maniera tecnicamente fattibile e vincolante prima del trattamento dei dati relativi alle comunicazioni elettroniche o prima di utilizzare le capacità di archiviazione o di elaborazione dell’apparecchiatura terminale dell’utente; non dovrebbero esservi eccezioni per trattare i dati in base al "legittimo interesse" del titolare del trattamento o al fine generico dell’esecuzione di un contratto;
• l'articolo 10 (della bozza – ndr) dovrebbe prevedere un modo efficace per far sì che i siti web e le applicazioni mobili possano ottenere il consenso; più in generale, le impostazioni dovrebbero tutelare per impostazione predefinita la privacy degli utenti e questi dovrebbero essere guidati nella scelta di un'impostazione, a seguito della ricezione di informazioni pertinenti e trasparenti; a tale riguardo, il regolamento dovrebbe rimanere neutrale dal punto di vista tecnologico al fine di garantire che, indipendentemente dalle modalità di utilizzo, la sua applicazione rimanga coerente;
• dovrebbe essere applicato il più attento controllo possibile sulle eventuali eccezioni ad hoc che i legislatori potrebbero voler aggiungere a quelle già previste nelle bozze di testo della Commissione e del Parlamento. In particolare, qualsiasi eccezione formulata in termini generici per i casi in cui "un’autorità pubblica" richiede il trattamento dei dati dovrebbe essere esaminata con estrema attenzione, e la proposta non dovrebbe consentire il monitoraggio indiscriminato dell'ubicazione dell’utente o il trattamento dei suoi metadati;
• affinché il consenso sia fornito liberamente, come richiesto dal regolamento generale sulla protezione dei dati, l'accesso ai servizi e alle funzionalità non deve essere subordinato al consenso dell'utente al trattamento dei dati personali o al trattamento delle informazioni connesse alle apparecchiature terminali degli utenti finali, ossia i cookie wall devono essere espressamente proibiti;
• deve essere incentivato l’uso di dati di comunicazione elettronica resi effettivamente anonimi;
• i suddetti sviluppi tuteleranno la vita privata degli utenti finali in ogni contesto pertinente ed eviteranno qualsiasi distorsione della concorrenza.

Si giunge quindi a marzo 2019 per la pubblicazione dell’ Opinion 5/2019 con l’obiettivo di rispondere ai diversi quesiti sulle interazioni fra Direttiva ePrivacy e GDPR. Prende spunto da una richiesta dell’autorità garante belga finalizzata a richiedere al board chiarimenti sull’interazione fra GDPR e Direttiva ePrivacy.

La spiegazione pone in evidenza i tre argomenti trattati:

• problematiche di interesse del GDPR e non della direttiva
• problematiche di interesse della direttiva e non del GDPR
• problematiche che coinvolgono entrambi i provvedimenti

Ci soffermiamo, per il particolare interesse che riveste, su quest’ultima condizione. Esempio:

"Se nel pubblicare o recuperare informazioni attraverso un cookie o un dispositivo simile, le informazioni raccolte possono essere considerate dati personali allora, oltre all'Articolo 5 (3) della direttiva ePrivacy, si applicherà anche la Direttiva 95/46/CE” (esempio formulato prima della promulgazione del GDPR)

Il GDPR aggiunge a questo proposito il considerando 30:

Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

Ovviamente si vuole evitare un conflitto fra i diversi provvedimenti. A questo proposito l’EDPB suggerisce di applicare il principio lex specialis derogat generali, cioè le disposizioni speciali prevalgono sulle norme generali. In altri termini, nelle situazioni in cui la direttiva ePrivacy "particolarizza" (ossia rende più specifiche) le regole del GDPR, le “specifiche” disposizioni della direttiva ePrivacy, in quanto lex specialis, prevalgono sulle “più generali” disposizioni del GDPR. Viceversa, qualsiasi trattamento di dati personali che non sia specificamente disciplinato dalla direttiva ePrivacy (o per la quale la direttiva ePrivacy non contiene una "regola speciale"), rimane soggetta alle disposizioni del GDPR.

Un esempio che mostra come la direttiva ePrivacy "particolarizza" le disposizioni del GDPR può essere l'elaborazione dei cosiddetti "dati di traffico", come da art.6 della direttiva. In via ordinaria, il trattamento dei dati personali può essere giustificato sulla base di ciascuno dei motivi legittimi di cui all'articolo 6 del GDPR e dal considerando 49. Tuttavia l'intera gamma di possibili motivi legittimi forniti dall’articolo 6 del GDPR non può essere applicato dal fornitore di un servizio di comunicazione elettronica all'elaborazione di dati sul traffico, in quanto l'articolo 6 della direttiva ePrivacy limita esplicitamente le condizioni in cui i dati sul traffico, compresi i dati personali, possono essere trattati. In questo caso, le disposizioni più specifiche della direttiva ePrivacy devono prevalere sulle disposizioni più generali del GDPR. L'articolo 6 della direttiva ePrivacy non riduce tuttavia le richieste di altre disposizioni del GDPR, come i diritti dell'interessato né nega il requisito che il trattamento dei dati personali deve essere lecito, corretto e trasparente (art. 5 par.1 del GDPR).

Lino Castelliti

SITOGRAFIA

La direttiva 2002/58/CE – ePrivacy

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/35284

La direttiva 2006/24/CE

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1485189

Sentenza della Corte (Grande Sezione) dell'8 aprile 2014

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:62012CA0293&from=FR

La direttiva 2009/136/CE

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1798132

La bozza del nuovo regolamento

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017PC0010&from=EN

Dichiarazione sulla revisione del regolamento ePrivacy e sul suo impatto sulla tutela delle persone fisiche in relazione alla privacy e alla riservatezza delle loro comunicazioni

https://edpb.europa.eu/our-work-tools/our-documents/drugi/statement-edpb-revision-eprivacy-regulation-and-its-impact_it

Opinion 5/2019 dell’edpb

https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-52019-interplay-between-eprivacy-directive_it