GDPR, tra Direttiva e nuovo Regolamento e-Privacy

Quali sono le relazioni tra la direttiva attualmente in vigore, il nuovo regolamento e-privacy, che disciplinerà il trattamento e la circolazione dei dati in ambito digitale e nelle comunicazioni elettroniche, e il GDPR? A che punto è l’iter legislativo che porterà alla creazione di un nuovo Regolamento sulla e-privacy, più aggiornato e contemporaneo? 

Facciamo un po’ di chiarezza.

La normativa e-Privacy attualmente in vigore

La Direttiva 2002/58/CE, comunemente definita Direttiva e-Privacy, riguarda il trattamento dei dati personali e la tutela della vita privata. In particolare regolamenta il diritto alla vita privata, nel settore delle comunicazioni elettroniche nonché la libera circolazione di tali dati.

Questa direttiva richiede agli Stati membri di assicurare la tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali, con l’obiettivo di garantire la riservatezza nelle comunicazioni elettroniche agli interessati.

Il rapporto tra la Direttiva e-Privacy e il GDPR

Il 3 dicembre 2018, l’Autorità Belga per la protezione dei dati ha richiesto all’European Data Protection Board (Garante Europeo per la protezione dei dati personali) di esaminare ed emettere un parere sull’interazione tra la Direttiva e-Privacy e il Regolamento UE 2016/679 (GDPR).

Si chiedeva di analizzare l’applicazione del meccanismo di cooperazione e coerenza di cui al Capo VII del GDPR e di dirimere le competenze, i compiti e i poteri delle Autorità di Controllo, i meccanismi di cooperazione e l’ambito di applicazione della Direttiva e del GDPR. Infine, l’Autorità Belga ha chiesto di chiarire quando un trattamento di dati personali può essere regolato da entrambi gli atti legislativi europei e che derivazioni questo aspetto può avere.

Sintetizzando, il parere dell’EDPB ha avuto il compito di chiarire:

• dove non esista alcuna interazione tra il GDPR e la Direttiva e-Privacy a causa della sola applicazione del GDPR;
• dove non esista alcuna interazione tra il GDPR e la Direttiva e-Privacy a causa della sola applicazione della Direttiva e-Privacy; 
• in caso di interazione tra il GDPR e la Direttiva e-Privacy, quando un trattamento richieda l’applicazione sia del GDPR che della Direttiva e-Privacy.

L’Opinione dell’EDPB chiarisce sin da subito che la normativa speciale in materia di comunicazioni elettroniche “precisa e integra” le indicazioni generali in materia di protezione dei dati personali imposte dal GDPR.

La Direttiva e-Privacy è lex specialis rispetto alla lex generalis di cui al GDPR (lex specialis derogat lex generalis).

Infatti l’art. 95 GDPR stabilisce che “il presente Regolamento non impone obblighi supplementari alle persone fisiche e/o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione accessibili al pubblico su reti pubbliche di comunicazione nell’Unione per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla Direttiva 2002/58”. 

Il GDPR, quindi, non impone alcun obbligo supplementare a quelli indicati dalla Direttiva e-Privacy. A conferma di ciò, il Considerando 173 GDPR specifica che per chiarire il rapporto tra il GDPR e la Direttiva 2002/58 è opportuno modificare quest’ultima con un riesame, per assicurare la coerenza tra le due fonti normative.

La natura speciale della Direttiva e-Privacy comporta, dunque, la prevalenza delle sue specifiche previsioni sulle misure più generali dettate dal GDPR, nel caso in cui esse non siano compatibili tra loro. 

In merito, invece, al profilo dei poteri delle Autorità di controllo sollevato dall’Autorità Belga, l’EDPB conferma che il meccanismo di cooperazione e coerenza rimane pienamente applicabile fintanto che il trattamento di dati personali è sottoposto alle previsioni del GDPR e non alle regole speciali previste dalla Direttiva e-Privacy.

Ciò significa che le previsioni del Capo VII del GDPR dovranno applicarsi per le procedure che si fondano sull’esercizio dei poteri di enforcement garantiti dal GDPR.

La proposta di un nuovo regolamento e-Privacy

Il nuovo Regolamento e-Privacy, non ancora entrato in vigore, andrà a sostituire la Direttiva 2002/58/CE c.d. Direttiva e-Privacy, così come è successo con il GDPR nei confronti della Direttiva 95/46.

Il 10 gennaio 2017, la Commissione Europea ha presentato un progetto di regolamento e-Privacy che però risulta, ad oggi, essere ancora al vaglio del Parlamento Europeo e del Consiglio.

‍La scelta dello strumento legislativo del Regolamento, così come è accaduto per il GDPR, è stata effettuata per garantire una normativa direttamente applicabile, e quindi uniforme, per tutti gli Stati membri dell'Unione Europea.

L'oggetto di disciplina di questo nuovo regolamento sarà lo stesso di quello della direttiva e-Privacy. Nello specifico verrà disciplinato: il marketing, l'e-Commerce, il call center, la pubblicità online, oltre che gli operatori Over-The-Top al fine di una evoluzione normativa più adeguata a garantire il diritto alla protezione delle comunicazioni elettroniche. La Direttiva e-Privacy del 2002 è divenuta obsoleta considerando l’evoluzione dei sistemi comunicativi attuali.

Il rapporto tra il nuovo Regolamento ed il GDPR sarà di carattere complementare in quanto il Regolamento e-Privacy, così come la Direttiva del 2002, rappresenta una lex specialis del GDPR. 

Sul rapporto tra GDPR e futuro Regolamento e-Privacy, il Garante Europeo ha sostenuto che:

• Il Regolamento e-Privacy non deve abbassare il livello di protezione offerto dall'attuale Direttiva e-Privacy.
• Il Regolamento e-Privacy dovrebbe garantire la protezione di tutti i tipi di comunicazioni elettroniche, comprese quelle effettuate da servizi "Over-the-To", in modo tecnologicamente neutrale.‍
• Dovrebbe essere incoraggiato l'uso di dati di comunicazione elettronica realmente anonimi.

Uno degli obiettivi primari del nuovo Regolamento e-Privacy è quello di semplificare le regole dei cookie e di razionalizzare il metodo di raccolta del relativo consenso per renderlo più “user friendly “.

Nella proposta del Regolamento si afferma che i siti web non dovranno più mostrare i pop up per il consenso ai cookie, in antitesi al rinomato Provvedimento n. 229 del 2008 del Garante italiano emanato sulla scorta della Direttiva e-Privacy.

In questo senso, gli utenti dovranno avere sotto controllo ogni informazione o dato conservato sui loro device, senza dover necessariamente cliccare su di un banner ogni volta che visitano un sito web.

Tale semplificazione verrà prevista tramite la possibilità per gli utenti di “settare” le impostazioni per il consenso/rifiuto ai cookie direttamente dalle impostazioni dei loro browser.

Al vaglio del legislatore europeo vi è un ulteriore elemento particolarmente innovativo, rappresentato dalla disciplina del consenso online (art. 9 Proposta Reg. e-Privacy del 10.01.2017).

La Proposta ha previsto:‍

1. ‍Obbligo di raccolta del consenso online secondo i criteri del GDPR: il consenso dovrà essere specifico, esplicito e sempre dimostrabile.
2. Obbligo per ogni soggetto che tratta i dati di chiedere periodicamente alle persone fisiche di rinnovare il loro consenso.
   

Quest'ultima ipotesi sarebbe estremamente limitativa per le società che si occupano di marketing digitale, che si vedrebbero costrette al rinnovo periodico del consenso dell'interessato.

A causa di tali nodi legislativi, la Proposta di Regolamento e-Privacy ha subito numerose modifiche che riflettono i diversi interessi di imprese e consumatori.

L’ambizioso obiettivo del legislatore europeo, iniziato con l’entrata in vigore del GDPR, è quello di assicurare la più ampia tutela della privacy dei cittadini e della confidenzialità delle loro comunicazioni. Allo stesso tempo, si cerca di predisporre un impianto normativo direttamente applicabile in tutti gli Stati membri ed idoneo a favorire lo sviluppo dell’innovazione tecnologica.

Il Garante Europeo, mediante lo Statement n. 3 del 13 marzo 2019, ha voluto dare nuovo impulso invitando i Legislatori dell’UE ad intensificare gli sforzi verso l’adozione del Regolamento e-Privacy, necessario per completare il quadro comunitario per la protezione e riservatezza dei dati personali e delle comunicazioni.

Il futuro Regolamento e-Privacy avrà pertanto il compito di innalzare il livello di protezione offerta dalla Direttiva e-privacy attualmente in vigore, integrandosi di fatto con i contenuti normativi del GDPR al fine di fornire garanzie aggiuntive per tutti i tipi di comunicazioni elettroniche.

Il Regolamento e-Privacy dovrà inoltre garantire condizioni di parità e certezza del diritto per gli Operatori di mercato coinvolti. L’iter legislativo per l’entrata in vigore del nuovo Regolamento e-Privacy dovrebbe riprendere vigore a seguito delle passate elezioni europee del maggio 2019.