Protezione dei dati nel settore delle comunicazioni elettroniche

Le informazioni sono scambiate tramite i servizi pubblici di comunicazione elettronica come Internet e la telefonia mobile e fissa e tramite le loro reti di accompagnamento. Questi servizi e reti richiedono specifiche regole e garanzie per tutelare il rispetto della vita privata e della riservatezza degli utenti.

ATTO

Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).

SINTESI

CHE COSA FA LA DIRETTIVA?

Stabilisce norme per garantire la sicurezza nel trattamento dei dati personali, la notifica delle violazioni dei dati personali e la riservatezza delle comunicazioni. Essa vieta anche le comunicazioni indesiderate qualora l’utente non abbia fornito il proprio consenso.

PUNTI CHIAVE

I fornitori di servizi di comunicazione elettronica devono come minimo salvaguardare la sicurezza dei loro servizi:

garantendo che i dati personali siano accessibili soltanto al personale autorizzato;
tutelando i dati personali dalla distruzione, perdita o alterazione accidentale e da altre forme illegali o non autorizzate di trattamento;
garantendo l’attuazione di una politica di sicurezza relativa in ordine al trattamento dei dati personali.

Il fornitore di servizi deve informare l’autorità nazionale di qualsiasi violazione dei dati personali entro 24 ore. Se i dati personali o la vita privata di un utente rischiano di essere danneggiati, l’utente deve essere informato a meno che non siano stati presi specifici provvedimenti per proteggere i dati.

I paesi dell’UE devono garantire la riservatezza delle comunicazioni effettuate tramite le reti pubbliche; in particolare, devono:

vietare l’ascolto, l’intercettazione, la memorizzazione o qualsiasi genere di sorveglianza o intercettazione delle comunicazioni e dei dati di traffico senza il consenso degli utenti, a meno che la persona non sia stata legalmente autorizzata e sia conforme a specifici requisiti;
garantire che l’archiviazione di informazioni o l’accesso alle informazioni memorizzate sull’apparecchiatura personale di un utente sia consentita solo se l’utente è stato chiaramente e pienamente informato, tra le altre cose, della finalità e abbia diritto di recedere.

Quando i dati sul traffico non sono più necessari per la comunicazione o la fatturazione, devono essere cancellati o resi anonimi. Tuttavia, i fornitori di servizi possono trattare tali dati a fini di marketing fino a quando gli utenti interessati danno il loro consenso. Tale consenso può essere revocato in qualsiasi momento.

Il consenso dell’utente è richiesto anche in diverse altre situazioni, ad esempio:

prima di ricevere comunicazioni indesiderate («spam»). Questo vale anche per i messaggi SMS e altri sistemi di messaggistica elettronica;
prima che le informazioni («cookies») siano memorizzate sui loro computer o dispositivi o prima di ottenere l’accesso a tali informazioni. L’utente deve fornire informazioni chiare e complete, tra le altre cose ai fini della memorizzazione o dell’accesso;
prima che numeri di telefono, indirizzi email o indirizzi postali possano essere visualizzati in elenchi pubblici.

I paesi dell’UE sono tenuti a dotarsi di un sistema di sanzioni, comprese le sanzioni legali, in caso di violazione della direttiva.

La portata dei diritti e degli obblighi può essere limitata solo da provvedimenti legislativi nazionali, sempre che tali limitazioni siano necessarie e proporzionate per tutelare specifici interessi pubblici, come ad esempio per consentire indagini penali o la tutela della sicurezza nazionale, la difesa o la sicurezza pubblica.

A PARTIRE DA QUANDO SI APPLICA LA DIRETTIVA?

A decorrere dal 31 luglio 2002.

CONTESTO

La direttiva è una delle cinque direttive che insieme formano il pacchetto Telecom, un quadro normativo che disciplina il settore delle comunicazioni elettroniche. Le altre direttive disciplinano il quadro generale, l’accesso e l’interconnessione, l’autorizzazione e le licenze e il servizio universale.

Il pacchetto è stato modificato nel 2009 dalle due direttive « Legiferare meglio » e « Diritto dei cittadini » nonché da un regolamento che istituisce l’Organismo dei regolatori europei delle comunicazioni elettroniche.

Per ulteriori informazioni, consultare il sito Internet della direttiva relativa alla vita privata e alle comunicazioni elettroniche della Commissione europea.

In seguito all’epidemia da Covid-19 e all’introduzione di misure volte a far fronte all’impatto della crisi, la Commissione europea ha adottato: Raccomandazione (UE) 2020/518 della Commissione dell'8 aprile 2020 relativa a un pacchetto di strumenti comuni dell'Unione per l'uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l'uso di dati anonimizzati sulla mobilità

RIFERIMENTI

Atto	Data di entrata in vigore	Data limite di trasposizione negli Stati membri	Gazzetta ufficiale dell’Unione europea
Direttiva 2002/58/CE	31.7.2002	30.10.2003	GU L 201 del 31.7.2002, pag. 37

Atto modificatore	Data di entrata in vigore	Data limite di trasposizione negli Stati membri	Gazzetta ufficiale dell’Unione europea
Direttiva 2009/136/CE	19.12.2009	25.5.2011	GU L 337 del 18.12.2009, pag. 11

ATTI COLLEGATI

Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).

Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

Direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU L 105 del 13.4.2006, pag. 54) (dichiarata invalida dalla Corte di giustizia dell’Unione europea, vedi sotto).

Regolamento (UE) n. 611/2013, del 24 giugno 2013, sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche (GU L 173 del 26.6.2013, pag. 2).

Cause riunite C-293/12 e C-594/12: Sentenza della Corte (Grande Sezione) dell’ 8 aprile 2014 (domande di pronuncia pregiudiziale proposte dalla High Court of Ireland e dal Verfassungsgerichtshof - Irlanda, Austria) - Digital Rights Ireland Ltd (C-293/12), Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl e a. (C-594/12)/Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of the Garda Síochána, Ireland and the Attorney General (Comunicazioni elettroniche - Direttiva 2006/24/CE - Servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione - Conservazione di dati generati o trattati nell’ambito della fornitura di tali servizi - Validità - Articoli 7, 8 e 11 della Carta dei diritti fondamentali dell’Unione europea) (GU C 175 del 10.6.2014, pag. 6).

Ultimo aggiornamento: 25.05.2020