In data 12.03.19, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato un parere sull’interazione tra la Direttiva UE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva e-Privacy”) e il regolamento generale sulla protezione dei dati personali (“GDPR”).

Il suddetto parere era stato richiesto dall’Autorità belga per la protezione dei dati per avere dei chiarimenti rispettivamente in merito a:

  • competenza, compiti e poteri delle Autorità di controllo per la protezione dei dati personali (le “Autorità”);
  • applicabilità dei meccanismi di cooperazione e coerenza del GDPR nei casi in cui al trattamento dei dati personali si applichi sia il GDPR che la Direttiva e-Privacy.

Il parere affronta le seguenti tematiche: (I) l’ambito di applicazione materiale della Direttiva e-Privacy e del GDPR; (II) l’interazione tra le due; (III) la competenza, i compiti e i poteri delle Autorità; e (IV) l’applicabilità ai casi in questione dei meccanismi di cooperazione e coerenza del GDPR.

I. Attività di trattamento nell’ambito di applicazione materiale sia della Direttiva e-Privacy che del GDPR.

Il parere rileva che vi sono molti esempi di attività di trattamento dei dati che rientrano nell’ambito di applicazione materiale sia della Direttiva e-Privacy che del GDPR, come l’uso di cookie. Tale circostanza è confermata anche dalla giurisprudenza della Corte di Giustizia dell’UE.

II. Interazione tra la Direttiva e-Privacy e il GDPR

Il parere ribadisce che la Direttiva e-Privacy prevede delle “norme speciali” in merito al trattamento dei dati personali nel settore delle comunicazioni elettroniche. Tra queste figurano le disposizioni dell’articolo 5, paragrafo 3 che richiedono il consenso dell’utente per conservare informazioni, compresi i dati personali, nel dispositivo dell’utente finale o per avere accesso a tali informazioni (ad esempio, tramite cookie) e l’articolo 6, che limita esplicitamente le condizioni alle quali possono essere trattati i dati relativi al traffico, compresi i dati personali, degli abbonati e degli utenti di un servizio di comunicazione elettronica accessibile al pubblico.

Conformemente al principio della lex specialis derogare legi generali, queste disposizioni specifiche in materia di e-privacy hanno la precedenza sulle disposizioni (più generali) del GDPR (come l’articolo 6 del GDPR, che prevede le basi giuridiche possibili per il trattamento dei dati personali).

In tutti gli altri casi in cui il trattamento dei dati personali non è specificamente disciplinato dalla Direttiva e-Privacy (o per cui la Direttiva e-Privacy non prevede una “norma speciale”), si applica il GDPR. Ad esempio, si applicheranno le disposizioni del GDPR relative all’esercizio dei diritti degli interessati in relazione ai loro dati personali, in quanto non sono previste delle disposizioni specifiche nella Direttiva e-Privacy. Analogamente, qualsiasi successivo trattamento di dati personali (come i dati personali ottenuti tramite i cookie) deve fondarsi su una delle basi giuridiche ai sensi dell’articolo 6 del GDPR per essere lecito e rispettare tutte le altre disposizioni del GDPR.

III. Competenza, compiti e poteri delle Autorità di controllo europee

Qualora il trattamento dei dati personali rientri nell’ambito di applicazione materiale sia del GDPR che della Direttiva e-Privacy, le Autorità sono competenti a vigilare sulle operazioni di trattamento dei dati che sono disciplinate dalle norme nazionali in attuazione della Direttiva e-Privacy solo se la legislazione nazionale conferisce loro tale competenza. Inoltre, tale controllo deve avvenire attraverso i poteri di vigilanza attribuiti all’autorità di protezione dei dati dalla legislazione nazionale che attua la Direttiva e-Privacy. La competenza delle Autorità ai sensi del GDPR rimane intatta per quanto riguarda le operazioni di trattamento dei dati non soggette a norme speciali contenute nella Direttiva e-Privacy. Il semplice fatto che un sottogruppo del trattamento rientra anche nel campo di applicazione della Direttiva e-Privacy non limita la competenza delle Autorità ai sensi del GDPR.

Nell’esercizio dei loro compiti e poteri ai sensi del GDPR, le Autorità possono tener conto delle disposizioni della Direttiva e-Privacy solo se:

  • una violazione del GDPR costituisce anche una violazione delle disposizioni nazionali di attuazione della Direttiva e-Privacy. La decisione di esecuzione dell’autorità per la protezione dei dati dovrà tuttavia essere giustificata sulla base del GDPR se la suddetta autorità non è competente, in base al diritto nazionale, ad applicare direttamente le disposizioni nazionali di attuazione della Direttiva e-Privacy; o
  • l’autorità per la protezione dei dati personali è stata designata dalla legislazione nazionale come autorità competente per l’applicazione delle disposizioni nazionali di attuazione della Direttiva e-Privacy.

IV. Applicabilità dei meccanismi di cooperazione e coerenza del GDPR

I meccanismi di cooperazione e coerenza a disposizione delle Autorità nell’ambito del GDPR non si applicano all’attuazione nazionale della Direttiva e-Privacy. Tuttavia, i meccanismi di cooperazione e coerenza restano pienamente applicabili ai trattamenti soggetti alle disposizioni generali del GDPR (e non a una “norma speciale” contenuta nella Direttiva e-Privacy).

In conclusione, l’EDPB ha anche pubblicato una dichiarazione il 13 marzo 2019, nella quale invita gli Stati membri dell’UE a finalizzare le loro posizioni sulla proposta di Regolamento e-Privacy in modo che i negoziati con il Parlamento europeo possano iniziare quanto prima possibile. Inoltre, ha sottolineato l’importanza del Regolamento e-Privacy in quanto legislazione che integra il GDPR fornendo garanzie ulteriori e supplementari per tutti i tipi di comunicazioni elettroniche. L’EDPB ha invitato il legislatore europeo a garantire che il regolamento e-privacy non fornisca una protezione inferiore a quella già prevista dall’attuale Direttiva e-Privacy.