Il 14 novembre 2023 l’EDPB ha pubblicato le linee guida 2/2023 sull’ambito applicativo della norma sulla protezione del terminale dell’utente o abbonato, di cui all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.
Come di consueto, le linee guida sono sottoposte a consultazione pubblica per un periodo che termina il 28 dicembre 2023.
Probabilmente, questo intervento si è reso necessario a seguito delle difficoltà registratesi nel processo di negoziato del trilogo in merito al testo di proposta del regolamento ePrivacy che avrebbe dovuto sostituire e abrogare le attuali direttive 2002/58/CE e 2009/136/CE. In parallelo, come riportato nell’introduzione alle richiamate linee guida, «a causa dei nuovi progressi tecnologici sono necessarie ulteriori indicazioni rispetto alle tecniche di tracciamento attualmente osservate». Le linee guida, quindi, hanno lo scopo di precisare l’ambito applicativo della richiamata prescrizione secondo cui, in via generale, l’accesso ai contenuti o l’archiviazione di nuovi, nel terminale dell’utente, è soggetto al preventivo consenso di quest’ultimo.
Legislazione applicabile
La tutela della vita privata, o cosiddetta privacy, nell’ambito delle comunicazioni elettroniche è disciplinata da specifiche norme comunitarie.
Direttive 2002/58/CE e 2009/136/CE
La materia è stata affrontata, in origine, dalla direttiva 2002/58/CE, successivamente emendata dalla direttiva 2009/136/CE; tra l’altro, con specifico riferimento alla citata prescrizione del paragrafo 3 dell’articolo 5 della direttiva 2002/58. In proposito, infatti, la seconda direttiva ha apportato una modifica sostanziale al testo originario, modificando il precedente diritto di rifiuto dell’utente rispetto ai tracciatori online e sostituendolo con il consenso espresso preliminarmente: di conseguenza, «il consenso dell’utente non può più essere presunto e deve risultare dal comportamento attivo di quest’ultimo» (CGUE, causa C-673/17, Planet 49, p. 56).
Le direttive citate, come si dirà più diffusamente in seguito, rappresentano una legge speciale riguardo alla legge generalesulla protezione dei dati, prima disciplinata dalla direttiva 95/46/CE e, successivamente, dal GDPR. Sulla relazione tra le due discipline, la stessa direttiva 2002/58/CE precisa che le sue disposizioni «precisano e integrano la direttiva 95/46/CE» (quindi, il GDPR) e il Considerando (10) aggiunge che «[n]el settore delle comunicazioni elettroniche trova applicazione la direttiva 95/46/CE, in particolare per quanto riguarda tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali non specificamente disciplinati dalle disposizioni della presente direttiva».
Codice privacy
I principi delle citate direttive sono stati attuati nell’ordinamento giuridico nazionale col codice privacy e, da ultimo, col decreto legislativo n. 69/2012. Nello specifico, la prescrizione del paragrafo 3, dell’articolo 5 della direttiva 2002/58 è stata trasposta all’articolo 122, comma 1, del codice privacy.
Di conseguenza, la materia della riservatezza dei contenuti delle comunicazioni elettroniche è disciplinata da due corpi normativi complementari e in rapporto di genere a specie:
- Il GDPR allorquando le informazioni coinvolte sono qualificabili come dati personali e non siano regolate in via specifica dagli articoli 121 e seguenti del codice privacy
- Dagli articoli 121 e seguenti del codice privacy negli altri casi.
Continua..