Direttive Europee e GDPR –  Norme da leggere congiuntamente di Avv. Gianni Dell’Aiuto

Il focus posto da tutti gli operatori sul GDPR, l’adeguamento e le sanzioni, non deve far dimenticare che, in Europa, esistono anche altre norme che devono trovare applicazione e disciplinano le attività on line. La Direttiva Europea 58/2002, ad esempio, sebbene il campo di applicazione sia principalmente quello delle comunicazioni elettroniche, non solo non è stata abrogata, ma deve ora essere letta in tandem con il GDPR: il rapporto tra le due norme è già stato oggetto di attenzione durante il primo anno di vita del Regolamento da parte della Corte di Giustizia Europea.

In particolare nella Direttiva 58/02, già al suo primo articolo, era specificato che la norma andava a precisare e integrare le disposizioni della Direttiva 95/49, ponendosi quindi come norma di carattere speciale rispetto alla disciplina generale. Questa situazione non vi sono dubbi debba permanere in quanto il GDPR, all’art. 95, prevede che lo stesso non debba imporre obblighi supplementari per quanto riguarda le materie soggette ad obblighi specifici fissate dalla Direttiva che, pertanto, prevale. Tale prevalenza si manifesterà maggiormente nei casi in cui la Direttiva imponga l’uso di una base giuridica specifica per alcuni trattamenti come, ad esempio, nel caso dei cookie e delle comunicazioni indesiderate.

Altra ipotesi di prevalenza della Direttiva sulle disposizioni del GDPR la troviamo in materia di comunicazioni elettroniche, i dati relativi al traffico e all’ubicazione. I primi dovranno essere cancellati laddove non più necessari ai fini della trasmissione della comunicazione (salvi altri obblighi per prevenzione e repressione dei reati), mentre la conservazione sarà possibile solo per i dati necessari alle fatturazioni e le attività connesse.  In ogni caso il trattamento ai fini di commercializzazione è consentito solo previo consenso dell’utente; consenso che oggi dovrà essere prestato in materia conforme al GDPR. In questo contesto di non semplice lettura anche per alcuni addetti ai lavori, si colloca la nuova direttiva 1972/2018 che ha istituito il “Codice Europeo delle Comunicazioni Elettroniche”. Con quest’ultimo verrebbe ad ampliarsi la definizione di servizio di comunicazione, includendo anche il “servizio di comunicazione interpersonale” definito come “un servizio di norma a pagamento che consente lo scambio interpersonale e interattivo di informazioni tramite reti di comunicazione elettronica tra un numero limitato di persone, mediante il quale le persone che avviano la comunicazione o che vi partecipano ne stabiliscono il destinatario o i destinatari e non comprende i servizi che consentono le comunicazioni interpersonali e interattive esclusivamente come elemento accessorio meno importante e intrinsecamente collegato a un altro servizio“.

In attesa anche degli sviluppi su questa nuova normativa, in ogni caso, l’applicazione prevalente della Direttiva E-privacy non potrà andare oltre il proprio ambito di operatività e, per ogni trattamento, sarà necessario ottenere specifico consenso da parte dell’Interessato. Sarà quindi necessario di volta in volta analizzare se trovi applicazione la Direttiva, con carattere di prevalenza, o il GDPR. Lo European Data Protector Board (EDPB) ha in tal senso invitato a distinguere i trattamenti successivi o paralleli all’archiviazione di informazioni tramite cookies e all’invio di comunicazioni personali mediante sistemi di comunicazione elettronica, ai fini dell’individuazione del campo di applicazione della direttiva e-Privacy. Tuttavia, l’applicazione prevalente della Direttiva e-Privacy non potrà eccedere il suo ambito e, pertanto, sarà necessario analizzare i singoli trattamenti, distinguendo, caso per caso, le fasi sottoposte alla Direttiva e quelle, invece, attribuite al Regolamento.

La profilazione
, ad esempio, una delle attività di maggiore interesse a fini non solo commerciali, ma anche statistici, ben può essere considerata trattamento distinto dalla raccolta e dall’invio di materiale commerciale. Il GDPR, infatti, la definisce una “forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.” Trattandosi di un trattamento distinto, la profilazione dovrà quindi fondarsi su una base giuridica autonoma, non vincolata dalle previsioni della direttiva e-Privacy. Il titolare dovrebbe quindi adottare una delle basi di cui all’art. 6 del GDPR.

Infine è bene ricordare che il GDPR trova applicazione in tutti gli ambiti non espressamente disciplinati dalla Direttiva, quali i diritti degli interessati e gli obblighi di titolare e responsabile e, in ogni caso, la base giuridica del consenso e la sua validità saranno valutate in base all’art. 7 del GDPR. Del resto la Direttiva e-Privacy non fornisce specifiche indicazioni sulle modalità per l’acquisizione del consenso, limitandosi nel considerando 17, che “il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all’utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un’apposita casella nel sito internet “. Sul punto, oggi e senza dubbio, prevale il GDPR.