Lo sfondo

1. Il 19 febbraio 2010 il denunciante, un cittadino tedesco, ha denunciato alla Commissione europea che la Germania non aveva attuato correttamente la direttiva relativa alla vita privata e alle comunicazioni elettroniche[1] («direttiva»). La sua denuncia riguardava tre aspetti distinti, vale a dire l'attuazione della disposizione relativa ai "cookie" nella legislazione tedesca, la conservazione dei dati raccolti e le norme in materia di e-mail marketing. Il 31 gennaio 2011 la Commissione ha inviato una "lettera di pre-archiviazione" in cui esponeva i motivi per cui intendeva archiviare il caso. Nonostante le obiezioni del denunciante, la Commissione lo ha successivamente informato che il suo caso era stato archiviato.

2. Il denunciante si è rivolto al Mediatore europeo. Egli ha sostenuto che la Commissione non aveva trattato correttamente la sua denuncia di infrazione. Il Mediatore ha avviato un'indagine.

3. Dopo aver ottenuto un parere dalla Commissione e le osservazioni del denunciante su tale parere, il Mediatore ha presentato una proposta di soluzione amichevole[2], in base alla quale la Commissione valuta la possibilità di esaminare più dettagliatamente le argomentazioni del denunciante. Dopo aver analizzato la sua risposta, la Mediatrice ha constatato che la Commissione non aveva ancora spiegato adeguatamente la sua decisione. Ha pertanto presentato un progetto di raccomandazione[3]. In risposta, la Commissione ha sostenuto che non erano necessarie ulteriori azioni. Il denunciante ha criticato questo punto di vista.

4. L'indagine del Mediatore ha riguardato i tre aspetti della denuncia di cui sopra, che saranno ora affrontati a loro volta.

Primo aspetto: l'attuazione delle disposizioni relative ai "cookie" nella legislazione tedesca

La procedura che ha portato al progetto di raccomandazione

5. Il primo aspetto della denuncia riguardava l'argomento del denunciante secondo cui la legislazione tedesca pertinente - il Telemediengesetz (TMG) - non subordinava la conservazione dei dati sul dispositivo di un utente (in quelli che sono noti come "cookie" che comunicano l'attività precedente dell'utente ai siti web) alla condizione che l'utente ne fosse stato informato, come richiesto dalla direttiva. La Commissione ha ritenuto che la Germania avesse attuato correttamente la direttiva. Il denunciante ha sostenuto che la Commissione non aveva risposto a tutte le sue argomentazioni. Tuttavia, la Commissione ha ancora archiviato il caso.

6. A suo parere, la Commissione si è attenuta a tale decisione, affermando che il denunciante non aveva presentato nuovi fatti. Il denunciante ha espresso disaccordo e ha fatto riferimento a un messaggio di posta elettronica inviato alla Commissione il 25 maggio 2011, poche settimane dopo la chiusura del caso da parte della Commissione. In particolare, aveva sottolineato che la disposizione pertinente della direttiva, vale a dire l'articolo 5, paragrafo 3, era stata nel frattempo modificata e che il termine per l'attuazione dell'articolo modificato era scaduto senza che la Germania avesse adottato alcuna misura di attuazione[4].

7. Il Mediatore ha effettuato la valutazione preliminare secondo cui la Commissione aveva spiegato chiaramente, nella sua lettera di pre-archiviazione, perché riteneva che non vi fossero motivi per avviare un procedimento nei confronti della Germania. Tuttavia, non aveva affrontato la successiva argomentazione del denunciante secondo cui la Germania non aveva attuato l'articolo modificato. Propone pertanto di procedere in tal senso.

8. Nella sua risposta la Commissione ha dichiarato che, il 10 maggio 2012, la Germania ha comunicato alla Commissione di aver recepito la direttiva 2009/136[5], che ha riveduto l'articolo 5, paragrafo 3, della direttiva. Il denunciante ha osservato che il ricorso a una semplice notifica da parte di uno Stato membro non era sufficiente e che un'analisi adeguata avrebbe portato alla conclusione che la pertinente normativa tedesca non riguardava la questione dei cookie. Anche il garante tedesco della protezione dei dati aveva sostenuto[6] che l'articolo 5, paragrafo 3, doveva avere effetto diretto perché la Germania non l'aveva recepito correttamente. Il denunciante ha concluso che la Commissione non era stata in grado di individuare una disposizione che potesse essere considerata recepita nell'articolo 5, paragrafo 3.

9. Nella sua valutazione successiva alla proposta di soluzione amichevole, il Mediatore ha convenuto che sarebbe ragionevole attendersi che la Commissione avesse indicato una disposizione specifica che, a suo avviso, ha recepito la disposizione modificata della direttiva nel diritto tedesco. Poiché la Commissione non aveva spiegato adeguatamente la sua posizione, la Mediatrice ha raccomandato alla Commissione di riaprire la sua indagine o di spiegare adeguatamente perché non riteneva che fossero necessarie ulteriori azioni.

Argomentazioni formulate a seguito del progetto di raccomandazione

10. Nella sua risposta, la Commissione ha fatto riferimento alle sue conclusioni presentate nella lettera di pre-archiviazione, vale a dire che gli articoli 12 e 13 del TMG coprono sufficientemente i requisiti di cui all'articolo 5, paragrafo 3, della direttiva. L'articolo 12 stabilisce che i dati personali possono essere trattati solo se esplicitamente consentito dalla legge o con il consenso dell'utente. L'articolo 13 stabilisce che l'utente deve essere informato all'inizio di qualsiasi trattamento dell'ambito di tale trattamento. La Commissione lo ha ritenuto sufficiente, soprattutto alla luce dell'ampia definizione di "dati personali" di cui all'articolo 3 della legge tedesca sulla protezione dei dati. Essa ha aggiunto che le autorità tedesche l'avevano informata del loro parere secondo cui gli articoli 12 e 13 del TMG attuavano la versione riveduta dell'articolo 5, paragrafo 3, della direttiva e che nessuna delle argomentazioni del denunciante aveva indotto la Commissione a mettere in discussione tale opinione.

11. Il denunciante ha sostenuto che gli articoli 12 e 13 del TMG non recepiscono la direttiva modificata in quanto non trattano la questione dei "cookie". Osserva che il progetto di versione del TMG afferma che il governo intende attendere l'esito delle discussioni sul recepimento della disposizione modificata relativa ai "cookie" a livello europeo. Inoltre, mentre i membri del Bundestag appartenenti all'ex governo di coalizione avevano sostenuto che non era necessario recepire la disposizione modificata poiché la pertinente legge tedesca era già conforme alla direttiva, l'accordo di coalizione dell'attuale governo stabiliva che la profilazione non anonima doveva essere subordinata al consenso del consumatore. Pertanto, l'articolo 5, paragrafo 3, modificato non è stato recepito nel diritto tedesco[7]. Infine, ha nuovamente richiamato il parere del garante tedesco della protezione dei dati.

Valutazione del Mediatore dopo il progetto di raccomandazione

12. A seguito del progetto di raccomandazione del Mediatore, la Commissione ha fornito una spiegazione più esaustiva del motivo per cui ha deciso di non avviare una procedura di infrazione per quanto riguarda il primo aspetto della denuncia. In particolare, ha chiarito che, sulla base della risposta del governo tedesco ai suoi quesiti, ritiene che gli articoli 12 e 13 del TMG, considerati nel contesto delle norme tedesche in materia di protezione dei dati, siano sufficienti per attuare sia la versione originale sia la versione modificata dell'articolo 5, paragrafo 3, della direttiva. Ha quindi affrontato l'argomento del denunciante secondo cui l'articolo 5, paragrafo 3, era stato modificato dopo la lettera di pre-archiviazione e ha fatto riferimento a disposizioni specifiche della legislazione tedesca che, a suo avviso, recepivano l'articolo 5, paragrafo 3, modificato della direttiva.

13. Dalle sue osservazioni emerge chiaramente che il denunciante è ancora in disaccordo con il parere della Commissione e che il suo parere secondo cui la direttiva non è stata correttamente attuata si basa su alcune dichiarazioni autorevoli, in particolare dell'allora garante tedesco della protezione dei dati.

14. Secondo una giurisprudenza consolidata, la Commissione dispone di un ampio margine di discrezionalità nel decidere se avviare un procedimento per inadempimento nei confronti di uno Stato membro. Evidentemente, il suo punto di vista e la sua interpretazione della legislazione europea e nazionale possono differire da quello del denunciante o dei governi nazionali, o anche da quello degli organismi di applicazione specializzati negli Stati membri. Ciò è ancor più vero in una situazione in cui vi è un ampio dibattito sull'interpretazione delle norme dell'UE sottostanti.

15. È pacifico che la Germania non ha approvato una nuova legge per attuare la direttiva modificata. Tuttavia, ciò non significa di per sé che non l'abbia attuata; anche il fatto che una legge esistente non indichi espressamente l’oggetto della norma dell’Unione in questione non esclude in alcun modo la possibilità che essa costituisca un atto di attuazione della norma dell’Unione.

16. Nel caso di specie, tenuto conto del contenuto degli articoli 12 e 13 del TMG, come sintetizzato al punto 10 della presente sentenza, era ragionevole che la Commissione condividesse l’opinione del governo tedesco secondo cui tali disposizioni attuavano adeguatamente la versione modificata dell’articolo 5, paragrafo 3. Si può quindi concludere che, a seguito del progetto di raccomandazione, la Commissione ha fornito una spiegazione sufficiente della sua decisione di non avviare un procedimento per inadempimento per quanto riguarda il primo aspetto della denuncia.

Secondo aspetto: la memorizzazione dei dati sul traffico

La procedura che ha portato al progetto di raccomandazione

17. Il denunciante ha sostenuto che l'articolo 100 del Telekommunikationsgesetz (TKG) consente un diritto "non limitato" di memorizzare i dati sul traffico. Essa viola quindi l'art. 6, n. 1, della direttiva, il quale stabilisce che i dati relativi al traffico devono essere cancellati non appena non sono più necessari ai fini della connessione, salvo eccezioni accuratamente definite; viola inoltre l'articolo 15, paragrafo 1, della direttiva, che consente eccezioni solo quando sono "necessarie,appropriate e proporzionate in una società democratica".

18. Nella sua lettera di pre-archiviazione, la Commissione ha spiegato che l'articolo 100, paragrafo 3, TKG non sancisce un diritto di conservazione dei dati, ma consente il trattamento di tali dati solo se tale conservazione è necessaria per combattere gli abusi. Ciò era in linea con l'articolo 4 e il considerando 29 della direttiva, che fanno riferimento alla necessità di misure per garantire la sicurezza del servizio e consentire il trattamento dei dati di fatturazione per combattere qualsiasi uso abusivo dei servizi. Nella sua risposta, il denunciante ha sostenuto che l'articolo 6 della direttiva è l'unica base giuridica per il trattamento dei dati relativi al traffico. L'articolo 4 e il considerando 29 erano quindi irrilevanti e il considerando i) non poteva in ogni caso essere utilizzato come base giuridica per limitare un diritto fondamentale e ii) era anche limitato a "casi eccezionali", mentre l'articolo 100, paragrafo 1, del TKG non lo era. La Commissione ha ritenuto che il denunciante non avesse fornito nuovi fatti e ha archiviato il caso.

19. Nel suo parere, la Commissione ha affermato che la lettera di pre-archiviazione aveva già trattato le critiche del denunciante in merito al suo ricorso all'articolo 4 e al considerando 29. Il denunciante non è d'accordo. Egli ha richiamato l’attenzione sul suo messaggio di posta elettronica del 25 maggio 2011, in cui faceva riferimento a una sentenza del Bundesgerichtshoftedesco[8] che, a suo avviso, confermava la sua interpretazione della normativa tedesca, in quanto stabiliva che l’articolo 100, paragrafo 1, TKG non richiedeva indicazioni di un errore nella rete per il trattamento dei dati. Il Mediatore ha osservato che la Commissione non avrebbe potuto tenere conto delle opinioni del denunciante sull'articolo 4 e sul considerando 29 della direttiva nella sua lettera di pre-archiviazione, poiché il denunciante non ha sollevato tali questioni fino a quando non ha risposto alla lettera di pre-archiviazione.

20. Il Mediatore ha pertanto chiesto alla Commissione di rispondere a tali punti.

21. Nella sua risposta, la Commissione ha affermato che, anche se l'articolo 6, paragrafo 1, della direttiva stabiliva che i dati relativi al traffico dovevano essere cancellati, non ha "determinatoin modo definitivo"la questione del trattamento dei dati relativi al traffico, contrariamente a quanto sostenuto dal denunciante. In effetti, l'articolo 4 imponeva ai fornitori di adottare misure per salvaguardare la rete e il considerando 29 forniva un'idea dell'intenzione del legislatore per quanto riguarda l'ambito di applicazione di tale requisito. Ciò avvalorava la sua opinione secondo cui l'articolo 100, paragrafo 3, del TKG era in linea con la direttiva. La Commissione ha inoltre contestato l'opinione del denunciante secondo cui i diritti fondamentali sarebbero limitati. Infine, la Commissione non ha ritenuto che la sentenza del Bundesgerichtshof avesse alcun "effetto sostanziale sulla presente causa". Il denunciante ha mantenuto la sua posizione.

22. Nella sua valutazione che ha portato al progetto di raccomandazione, la Mediatrice ha criticato il parere della Commissione secondo cui le norme sulla conservazione dei dati non limitano i diritti fondamentali. Ha richiamato l'attenzione della Commissione su una recente sentenza della Corte di giustizia[9] che ha annullato la direttiva sulla conservazione dei dati[10] in quanto le disposizioni che interferiscono con i diritti fondamentali in tale direttiva non erano sufficientemente precise da limitare l'ingerenza nel diritto fondamentale alla protezione dei dati personali a quanto strettamente necessario[11].

23. Inoltre, ha osservato che la Commissione non aveva spiegato i motivi per cui ritiene che la sentenza del Bundesgerichtshof non abbia " alcun effetto sostanziale" sulla presente causa e ha raccomandato di tener conto di tale sentenza.

Argomentazioni formulate a seguito del progetto di raccomandazione

24. Nella replica, la Commissione ha mantenuto la sua posizione iniziale (v. punti 18 e 19 supra). Ha aggiunto che il considerando 53[12] della direttiva 2009/136/CE sui diritti degli utenti[13] costituiva la prova dell'intenzione del legislatore in merito al trattamento dei dati sul traffico al fine di garantire la sicurezza delle reti e dell'informazione.

25. In relazione alla sentenza della Corte di giustizia che ha annullato la direttiva sulla conservazione dei dati, la Commissione ha osservato che la sua risposta alla proposta di soluzione amichevole del Mediatore era successiva. Sebbene la sentenza non riguardasse direttamente la direttiva, la Commissione ha tuttavia dichiarato di essere in procinto di analizzarne l'impatto su tutta la legislazione correlata, compresa la direttiva.

26. Infine, per quanto riguarda la sentenza del Bundesgerichtshof,la Commissione ha rilevato che il giudice ha ritenuto che la conservazione degli indirizzi IP fosse proporzionata, a condizione che fosse necessaria per l'individuazione di guasti o errori. Secondo la Commissione, la sentenza ha quindi dimostrato che la nozione di necessità nel diritto tedesco in questione era in linea con la condizione di cui al considerando 29 della direttiva secondo cui il trattamento dei dati relativi al traffico deve essere "necessarioin singoli casi". La Commissione ha quindi continuato a ritenere che la sentenza non avesse alcun effetto sostanziale sul caso di specie e, pertanto, non ha ritenuto necessario riconsiderare la sua posizione.

27. Il denunciante non ha formulato alcuna osservazione in relazione a quest'ultima sentenza, ma ha invece fatto riferimento a una sentenza più recente emessa dallo stesso tribunale tedesco[14], che ha criticato per aver interpretato erroneamente la nozione di "trattamento dei dati".

28. Ritiene inoltre "irrilevante"il ricorso della Commissione al considerando 53 della direttiva sui diritti dell'utente. Sottolinea che un considerando non può limitare i diritti fondamentali e che, in ogni caso, stabilisce che il trattamento dei dati può essere consentito "nellamisura strettamente necessaria". Inoltre, l'articolo 15, paragrafo 1, della direttiva stabilisce in modo definitivo i casi in cui la direttiva sulla protezione dei dati[15] prevale sulla direttiva e consente il trattamento dei dati delle comunicazioni solo a fini di "prevenzione,indagine, accertamento e perseguimento di un uso non autorizzato del sistema di comunicazione elettronica". Il denunciante ha convenuto che la norma relativa alla prevenzione dell'uso non autorizzato, l'articolo 100, paragrafo 3, TKG, richiede motivi specifici (vale a dire un ragionevole sospetto di abuso) per la conservazione dei dati. Egli ha tuttavia sostenuto che ciò non si verifica nel caso del trattamento consentito dall’articolo 100, paragrafo 1, del TKG.

Valutazione del Mediatore dopo il progetto di raccomandazione

29. Il Mediatore osserva che la Commissione ha fornito una spiegazione coerente per quanto riguarda il motivo per cui la sentenza del Bundesgerichtshof (cfr. punto 26 supra) implica che i giudici tedeschi interpretano la legge tedesca in questione nel senso che incorpora la nozione di necessità in linea con la condizione di cui al considerando 29 della direttiva secondo cui il trattamento dei dati relativi al traffico deve essere "necessarioin singoli casi". Il denunciante non ha presentato alcuna argomentazione specifica al riguardo. Il Mediatore non ritiene pertanto che siano necessarie ulteriori indagini al riguardo.

30. Inoltre, la Commissione ha spiegato che l'articolo 4 della direttiva, letto nel contesto del considerando 29 della direttiva e dell'articolo 53 della direttiva sui diritti dell'utente, può essere interpretato nel senso che il trattamento dei dati necessario per conseguire le finalità ivi indicate è conforme al diritto dell'UE. Contrariamente alle proteste del denunciante, è perfettamente ragionevole basarsi su un considerando per fornire informazioni sull'intenzione del legislatore in relazione al significato di una determinata disposizione giuridica.

31. Tuttavia, la Commissione non ha ancora affrontato in misura soddisfacente l'argomento del denunciante secondo cui, poiché l'articolo 100, paragrafo 1, del TKG non era limitato a casi eccezionali, non poteva essere in linea con la direttiva.

32. È vero che la sentenza della Corte di giustizia nelle cause Digital Rights Ireland e Seitlinger e a.[16] è stata pronunciata dopo la risposta della Commissione alla proposta di soluzione amichevole nel caso di specie. Tuttavia, la Commissione è stata perfettamente in grado di tenere conto di tale sentenza nel rispondere al progetto di raccomandazione del Mediatore. Occorre rilevare che la Corte di giustizia ha dichiarato, nelle sentenze Digital Rights Ireland e Seitlinger e a., che le disposizioni che interferiscono con i diritti fondamentali devono essere limitate a quanto strettamente necessario. Il Mediatore incoraggia pertanto la Commissione a valutare attentamente l'impatto di tale sentenza sulla direttiva e sulla sua applicazione negli ordinamenti giuridici nazionali.

33. Alla luce del fallimento di cui sopra, il Mediatore chiuderà questo aspetto della sua indagine con un'osservazione critica.

Terzo aspetto: le norme in materia di e-mail marketing

La procedura che ha portato al progetto di raccomandazione

34. Il denunciante ha sostenuto che le norme tedesche sull'e-marketing, contenute nell'articolo 95 del TKG, erano più permissive di quelle contenute nella direttiva. Nella sua lettera di pre-archiviazione, la Commissione ha fatto riferimento alla legge tedesca contro la concorrenza sleale (Gesetzgegen unlauteren Wettbewerb - UWG). Questa legge prevede che l'e-mail marketing debba essere limitato agli indirizzi e-mail ottenuti nel contesto della vendita di un prodotto o servizio. I clienti devono inoltre essere espressamente informati che possono opporsi all'uso dei loro indirizzi e-mail a tale scopo. Il denunciante ha osservato che il TKG è più specifico dell'UWG e pertanto prevale su quest'ultimo. La Commissione ha concluso che il denunciante non aveva fornito nuovi fatti e ha pertanto archiviato il caso.

35. Nel suo parere, la Commissione ha affermato che il punto di vista del denunciante sul rapporto tra il TKG e l'UWG si basava sulla sua interpretazione personale della legge, un'interpretazione che aveva già respinto nella sua valutazione iniziale. Nelle sue osservazioni, il denunciante ha fatto riferimento al suo messaggio di posta elettronica alla Commissione in cui sosteneva che l’autorità nazionale di regolamentazione (la Bundesnetzagentur)condivideva la sua interpretazione del rapporto tra il TKG e l’UWG. Il Mediatore ha proposto alla Commissione di rispondere alle osservazioni del denunciante.

36. Nella sua risposta, la Commissione ha semplicemente osservato che, sulla base del parere presentato dal governo tedesco, ha mantenuto la sua opinione secondo cui l'articolo 13, paragrafo 2, della direttiva era stato recepito correttamente e ha aggiunto che lo scambio di posta elettronica del denunciante con la Bundesnetzagentur non ha modificato tale valutazione. Il denunciante ha sottolineato che la Commissione si era basata esclusivamente sul parere del governo tedesco e aveva ignorato il parere della Bundesnetzagentur. Essa aveva quindi formulato una supposizione manifestamente errata sulla situazione nella pratica.

37. Nella sua valutazione successiva alla proposta di soluzione amichevole, il Mediatore ha concluso che la Commissione dovrebbe fornire una spiegazione significativa della discrepanza tra i pareri del governo tedesco e della Bundesnetzagentur, incaricata di attuare le norme nella pratica.

Argomentazioni formulate a seguito del progetto di raccomandazione

38. La Commissione ha mantenuto la sua posizione secondo cui l'articolo 95 del TKG e l'articolo 7 dell'UWG nel loro insieme garantiscono il rispetto della direttiva. Lo aveva già spiegato al denunciante in una lettera dell'11 giugno 2011, in cui affermava che il fatto che l'articolo 95, paragrafo 2, del TKG prevalga sull'articolo 7 UWG "in determinate situazioni" era già "coperto" dall'indagine sulla denuncia di infrazione in questione. La lettera continuava che, poiché, secondo il governo tedesco, l'articolo 95 del TKG consentiva agli utenti di opporsi facilmente e gratuitamente alle e-mail commerciali, la Commissione riteneva che le due disposizioni considerate nel loro insieme fossero conformi all'articolo 13, paragrafo 2, della direttiva.

39. La Commissione ha aggiunto che la comunicazione del denunciante con la Bundesnetzagentur aveva affrontato solo la questione del rapporto tra l'articolo 95 del TKG e l'articolo 7 dell'UWG e non aveva suggerito l'esistenza di un problema con l'applicazione delle norme pertinenti. Essa ha concluso che non vi era nulla nello scambio di e-mail che l’avrebbe indotta a riconsiderare la sua posizione.

40. Il denunciante ha accolto con favore il fatto che la Commissione sembrava ora riconoscere che l'articolo 95 del TKG era l'unica disposizione applicabile ai fornitori di comunicazioni. Ciò significa che l'articolo 95 del TKG dovrebbe recepire la disposizione pertinente della direttiva. Egli ha sostenuto di non averlo fatto, in quanto consentiva l'uso di indirizzi di posta elettronica ottenuti in contesti diversi da quelli elencati nella direttiva e in quanto, per opporsi all'uso dei loro indirizzi di posta elettronica, i clienti in Germania di solito devono scrivere una lettera, che non è né facile né gratuita.

Valutazione del Mediatore dopo il progetto di raccomandazione

41. Nella sua denuncia e nella successiva corrispondenza con la Commissione, il denunciante ha sostenuto che non si poteva ritenere che l'articolo 95 del TKG avesse correttamente attuato l'articolo 13, paragrafo 2, della direttiva in quanto non includeva alcune condizioni relative all'uso delle e-mail a fini di marketing richieste dalla direttiva. Nella sua lettera di pre-archiviazione, la Commissione ha sostenuto che il governo tedesco le aveva assicurato che ciò non era problematico, poiché l'articolo 7 UWG imponeva ulteriori condizioni, in particolare che gli indirizzi di posta elettronica potessero essere utilizzati solo per commercializzare "propriprodotti o servizi simili". Il denunciante ha sostenuto che ciò non era sufficiente in quanto il TKG era la regola più specifica. Le società potrebbero quindi avvalersi dell'articolo 95 del TKG che consente tali pratiche, sebbene l'articolo 7 dell'UWG le vieti. Ha contattato la Bundesnetzagentur per la conferma di tale interpretazione e l'ha ottenuta.

42. Fin dall'inizio della presente inchiesta, la Commissione ha respinto tale interpretazione e ha sostenuto, sulla base del parere del governo tedesco, che l'articolo 95 del TKG e l'articolo 7 dell'UWG in combinato disposto offrivano la stessa protezione dell'articolo 13, paragrafo 2, della direttiva. Essa mantiene ancora questa posizione, pur affermando che le informazioni fornite dalla Bundesnetzagentur servivano "soloa confermare la questione della precedenza giuridica delle due disposizioni",che afferma di aver "giàriconosciuto"nella sua lettera dell'11 giugno 2011. Il denunciante aveva sostenuto che questa "questionedi precedenza"significava che l'articolo 7 UWG non era applicato, il che a sua volta significava che l'articolo 13, paragrafo 2, non era stato recepito in modo sufficiente. La Commissione non ha spiegato adeguatamente - si è semplicemente basata su una dichiarazione di fatto - perché sostiene che i due articoli possono essere letti insieme in modo da recepire correttamente la direttiva.

43. In conclusione, nonostante il progetto di raccomandazione del Mediatore in tal senso, la Commissione non ha spiegato adeguatamente i motivi per cui ritiene che non fosse necessario intraprendere alcuna azione in relazione a questo aspetto della denuncia di infrazione del denunciante. Il Mediatore farà un'osservazione critica corrispondente qui di seguito.  

Conclusioni

Sulla base dell'indagine relativa alla presente denuncia, il Mediatore la chiude con le seguenti conclusioni e osservazioni critiche:

Per quanto riguarda il primo aspetto, la Commissione ha accettato il progetto di raccomandazione del Mediatore e ha adottato misure adeguate per attuarlo.

La Commissione non ha fornito una spiegazione completa ed esaustiva dei motivi per cui non ha ritenuto di dover intervenire in relazione agli aspetti della denuncia di infrazione del denunciante che riguardavano a) la conservazione e il trattamento dei dati in generale e b) le norme in materia di marketing tramite posta elettronica.

Il denunciante e la Commissione saranno informati della presente decisione.

 

Emily O'Reilly
Strasburgo, 30/06/2015

 

[1] Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), GU 2002, L 201, pag. 37, modificata da ultimo dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, GU 2009, L 337, pag. 11.

[2] Per ulteriori informazioni sul contesto della denuncia, sulle argomentazioni delle parti e sull'indagine del Mediatore, si rimanda al testo integrale della proposta di soluzione amichevole del Mediatore, disponibile all'indirizzo: http://www.ombudsman.europa.eu/en/cases/correspondence.faces/en/54437/html.bookmark

[3] Il testo integrale del progetto di raccomandazione è disponibile all'indirizzo: http://www.ombudsman.europa.eu/en/cases/draftrecommendation.faces/en/54439/html.bookmark

[4] La nuova versione cui fa riferimento il denunciante è stata introdotta dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, che modifica la direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, la direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e il regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa che tutela i consumatori (GU 2009, L 337, pag. 11). Il termine per il recepimento di tale modifica era il 25 maggio 2011, ossia il giorno in cui il denunciante ha inviato la sua e-mail.

[5] Cfr. nota 4.

[6] Durante una conferenza sulla protezione dei dati, come riportato in questo articolo (in tedesco): http://www.heise.de/newsticker/meldung/Schaar-Cookie-Regeln-der-EU-gelten-unmittelbar-1570745.html

[7] Il denunciante fa riferimento ai documenti disponibili al seguente indirizzo: https://www.bmwi.de/BMWi/Redaktion/PDF/Gesetz/referentenentwurf-tkg-2011%2Cproperty%3Dpdf%2Cbereich%3Dbmwi%2Csprache%3Dde%2Crwb%3Dtrue.pdf#page=4 e qui: https://www.cdu.de/sites/default/files/media/dokumente/koalitionsvertrag.pdf#page=127

[8] In particolare, la decisione del 13 gennaio 2011, III ZR 146/10, Speicherung dynamischer IP-Adressen.

[9] Cause riunite C-293/12 e C-594/12, Digital Rights Ireland e Seitlinger e a., sentenza dell’8 aprile 2014, non ancora pubblicata nella Raccolta.

[10] Direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, relativa alla conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU 2006, L 105, pag. 54).

[11] Punto 65 della sentenza citata alla nota 9.

[12] Il considerando 53 così recita: "Iltrattamento dei dati relativi al traffico nella misura strettamente necessaria per garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema informativo di resistere, a un determinato livello di confidenza, a eventi accidentali o ad azioni illecite o dolose che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati o trasmessi, nonché la sicurezza dei relativi servizi offerti da tali reti e sistemi o accessibili tramite tali reti e sistemi, da parte dei fornitori di tecnologie e servizi di sicurezza quando agiscono in qualità di responsabili del trattamento dei dati è soggetto all'articolo 7, lettera f), della direttiva 95/46/CE. Ciò potrebbe includere, ad esempio, la prevenzione dell'accesso non autorizzato alle reti di comunicazione elettronica e della distribuzione di codice dannoso e l'arresto degli attacchi di "negazione del servizio" e dei danni ai sistemi informatici e di comunicazione elettronica."

[13] Cit. alla nota 4.

[14] Sentenza del 3 luglio 2014, III ZR 391/13, disponibile all'indirizzo http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=68350&pos=0&anz=1

[15] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati

GU 1995, L 281, pag. 31.

[16] Cfr. nota 9.