Mentre si discute di una possibile “fusione” tra Garante privacy ed Agcom (Autorità per le garanzie nelle comunicazioni), due ordinanze del Tar Lazio fanno riflettere sulla opportunità che la fusione possa riguardare anche Garante privacy e Autorità Garante Concorrenza e Mercato (AGCM o Antitrust), o che quantomeno siano trasferite sotto l’ombrello del Garante privacy le competenze nella repressione delle pratiche commerciali scorrette.
Una simile ipotesi, anche in attesa di una definizione condivisa a livello europeo di concetti quali intelligenza artificiale, big data, o larga scala, permetterebbe di garantire un livello superiore di protezione ai dati personali e di evitare dicotomie nella tutela dei consumatori.
A quasi nove mesi dall’entrata in vigore del Gdpr, i suoi effetti cominciano a farsi sentire e a creare turbamento, quindi, non solo tra titolari, responsabili ed interessati al trattamento, ma anche tra le Autorità.
Le nuove competenze dell’Antitrust
Come noto, ad opera dei D.Lgs. nn. 145/2007 e 146/2007 (che hanno recepito le direttive comunitarie 2006/114/CE e 2005/29/CE) oltre a quelle su intese, abuso di posizione dominante, concentrazioni e fusione, all’Autorità Garante Concorrenza e Mercato (AGCM o Antitrust) sono state attribuite nuove competenze su pubblicità ingannevole, quella comparativa illecita e su pratiche commerciali sleali o scorrette, che incidono sul consumatore. A tutela di quest’ultimo, l’Antitrust interviene e irroga sanzioni fino a 5 milioni di Euro per ogni pratica che valuta scorretta.
Alla luce delle nuove norme sulla privacy (Regolamento (UE) 2016/679 GDPR, D.Lgs. 101/2018), queste competenze di AGCM – a tutela del singolo “consumatore” – sono tuttavia sovrapponibili e/o coordinabili con quelle del Garante privacy, che agisce a tutela del trattamento del dato dell’“interessato” e non sono autonome, ma poste in sfere contigue, riferite allo stesso soggetto, interessato-consumatore.
L’ipotesi di accorpamento Garante Privacy-Agcom-Agcm
Va valutata quindi l’opportunità, in epoca di pervasività del digitale, di non mantenere questa dualità nella protezione di un soggetto tradizionalmente debole, evitando una separazione istituzionale di competenze che crea dicotomia, antinomia ed inefficacia.
Ciò anche in considerazione della necessità che si affermi prima possibile una “etica del digitale” anche in termini di resilienza istituzionale, come ha da ultimo affermato il Presidente del Garante privacy Soro in occasione della Giornata europea della privacy: “… contro ogni rischio di espropriazione del diritto da parte della tecnica, è proprio questa proiezione, nella dimensione digitale, dello Stato e della sua stessa sovranità a dimostrare come la protezione dati possa divenire presupposto di sicurezza, promuovendo quella resilienza indispensabile per la difesa della democrazia …”.
Nella direzione dell’accorpamento delle tutele si iscrive quindi il crescente interesse su una possibile “fusione” tra Garante privacy ed AGCOM (Autorità per le garanzie nelle comunicazioni) (cfr. in ordine cronologico, la proposta del Commissario Agcom Antonio Nicita e gli autorevoli contributi, anche di sapore diverso, di Rocco Panetta, country leader per l’Italia della IAPP, Luca Bolognini, Presidente dell’Istituto Italiano Privacy, Fabiana Di Porto, Professore associato di Diritto dell’Economia e dell’Innovazione all’Università del Salento, esperta di big data e antitrust, Antonio Capone, Professore ordinario di Telecomunicazioni e Preside della Scuola di Ingegneria Industriale e dell’Informazione del Politecnico di Milano, l’avvocato Gilberto Nava dello Studio Chiomenti).
Riflessioni a margine delle ordinanze 335/2019 e n. 336/2019
L’ultimo caso che di seguito menziono suscita interesse sulla possibilità che la “fusione” possa riguardare anche Garante privacy ed AGCM (e quindi addirittura tre Autorità?), ovvero in alternativa, e propendo per questa seconda più pulita ipotesi, che le competenze nella repressione delle pratiche commerciali scorrette (PCS) siano “semplicemente” trasferite al Garante privacy, perché il consumatore è innanzitutto soggetto interessato dal trattamento dei suoi dati personali.
Si consideri infatti quanto segue:
- nella adunanza del 29 novembre 2018, l’AGCM ha emesso provv. n. 27432 con il quale ha contestato ad operatore OTT di aver posto in essere due pratiche commerciali scorrette, ai sensi degli artt. 21 e 22 e degli artt. 24 e 25 del Codice del Consumo. Con lo stesso provvedimento l’AGCM ne ha vietato la continuazione, ha irrogato due sanzioni amministrative pecuniarie di 5 milioni di euro ciascuna ed ha imposto obbligo di pubblicare una dichiarazione rettificativa molto gravosa;
- le due sanzioni sono state impugnate innanzi il TAR Lazio. Con ordinanze nn. 335 e 336 del 2019, la Sez. Prima del TAR ha sospeso “l’esecuzione del provvedimento gravato, limitatamente all’imposizione dell’obbligo di esporre e pubblicare la dichiarazione rettificativa” “in considerazione delle difficoltà tecniche prospettate, anche in ordine ai tempi necessari per la completa ottemperanza” ed ha fissato merito “a breve”, per l’udienza pubblica del 17 aprile prossimo, rilevato che il ricorso “per l’estrema complessità delle questioni poste, merita di essere approfondito nella fase di merito”;
- ed in effetti la vertenza appare emblematica per la delicatezza del tema ed i possibili riflessi sui consumatori e sulla reputation della società, ma in disparte il futuro esito del giudizio, questo provvedimento sanzionatorio è comunque una freccia scoccata non dal Garante privacy ma dall’AGCM e non per sue competenze “classiche” (intese, abuso di posizione dominante, concentrazioni e fusione) ma per pratiche riferibili al consumatore;
- si legge infatti con riferimento al par. “II. La Pratica Commerciale” del provvedimento dell’AGCM: “3. Il procedimento concerne due distinte pratiche, poste in essere da (…), aventi ad oggetto la raccolta, lo scambio con terzi e l’utilizzo, a fini commerciali, dei dati dei propri utenti-consumatori, incluse le informazioni sui loro interessi on line. Pratica a) 4. Nella fase di prima registrazione dell’utente nella Piattaforma (…) (sito web e app), il Professionista ha adottato un’informativa priva di immediatezza, chiarezza e completezza, in riferimento alla propria attività di raccolta e utilizzo, a fini commerciali, dei dati dei propri utenti. Pratica b) 5. Il Professionista applica, in relazione ai propri utenti registrati, un meccanismo che, tramite i diversi passaggi in cui si articola, comporta la trasmissione dei dati degli utenti dalla Piattaforma (sito web/app) del social network ai siti web/app di terzi e viceversa, senza preventivo consenso espresso dell’interessato, per l’uso degli stessi a fini di profilazione e commerciali”.
- c’è certamente il fine commerciale, ma siamo comunque in un ambito di “adozione di informativa” e di “mancanza di preventivo consenso”, esattamente valori da GDPR, fondanti la “fiducia” e l’accountability nel rapporto di trattamento del dato personale, oggetto di tutela da parte del Garante privacy.
- ed infatti questa eccezione di incompetenza è stata sollevata in via preliminare, come riportato nel par. “Sulla competenza dell’Autorità e sulle questioni procedurali”: “34. (…) eccepisce, in via preliminare, che l’Autorità agirebbe “[…] sulla base di premesse erronee ed al di là delle proprie competenze nella misura in cui utilizza le norme a tutela del consumatore per analizzare condotte che dovrebbero essere valutate sulla base della normativa sulla privacy e sul trattamento dei dati personali. […].”
Al riguardo, nel par. “V. Valutazioni Conclusive – Questioni preliminari” l’AGCM così risponde: “44. La prospettazione suggerita da (…) al fine di ricondurre la fattispecie sanzionata nell’ambito delle esclusive attribuzioni del Garante Privacy non può però essere condivisa e ciò sulla base della normativa di riferimento che delinea il perimetro delle rispettive competenze attribuite alle due Autorità indipendenti e dello specifico interesse che risulta essere violato per effetto della condotta sanzionata.
45. Infatti, la circostanza che alle condotte della società sia applicabile la normativa sulla privacy, non la esonera dal rispettare le norme in materia di pratiche commerciali scorrette. Va, infatti, rilevato che la disciplina della privacy garantisce la protezione dei dati personali, definiti come informazioni relative ad una persona (fisica o giuridica), allo scopo di tutelare dette posizioni giuridiche che si qualificano, quali diritti fondamentali della persona umana, spettando al Garante per la Protezione dei Dati Personali la competenza ad applicare le sanzioni per la violazione degli obblighi ivi previsti. Diversamente, il Codice del Consumo, in materia di pratiche commerciali scorrette, ha l’obiettivo di tutelare il consumatore da scelte economiche indotte da pratiche ingannevoli e aggressive che non trovano regolazione in specifiche discipline.
46. Ne consegue che le due discipline hanno un campo di applicazione materiale differente e perseguono interessi distinti. Di conseguenza non sussiste un conflitto tra le due discipline, integrandosi, piuttosto, le stesse in maniera complementare.
47. In punto di fatto, rileva che il presente procedimento concerne due condotte, entrambe connesse alla raccolta, scambio con terzi e utilizzo, a fini commerciali, da parte di (…), dei dati dei propri utenti, valutate dall’Autorità sotto il profilo dell’impatto che esse hanno sulle decisioni commerciali dei consumatori. Tali condotte, una specificatamente ingannevole ed una specificatamente aggressiva, non trovano divieto e riscontro alcuno né nel D.Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, come da ultimo modificato dal D.Lgs. 10 agosto 2018, n. 101, né nel Regolamento generale sulla protezione dei dati personali (UE) 2016/679, né in altra normativa privacy, bensì integrano due ipotesi di pratiche commerciali scorrette, il cui accertamento, ai sensi del combinato disposto di cui agli artt. 19, comma 3 e 27, comma 1-bis, del Codice del Consumo spetta, in via esclusiva, all’Autorità Garante della Concorrenza e del Mercato. Trattandosi di pratiche scorrette ai sensi del Codice del Consumo, risulta evidente la competenza dell’Autorità senza esistenza di contrasto con altre normative, né settoriali né trasversali”.
Privacy e tutela dei consumatori, perché affidarle a una sola Autorità
Sul punto, esprimo le seguenti considerazioni:
Nel provvedimento impugnato, si afferma che “non sussiste un conflitto tra le due discipline, integrandosi, piuttosto, le stesse in maniera complementare”: ebbene, a prescindere dalla domanda sul se vi sia “conflitto” o “complementarietà”, emerge un apparato radicale di tutela immerso in un humus di affiorante sensibilità che rende del tutto compatibile le due normative (privacy e consumatore) che certo potrebbe giustificare una stretta sinergia, anche basata su una “convergenza istituzionale”. Ma questa ipotesi aprirebbe la stura a tutta una serie di “convergenze parallele”, stante la trasversalità del tema della privacy, presente in molti aspetti delle attività anche di altre Autorità.
In alternativa e come già detto, l’ipotesi di affidare ad un unico soggetto istituzionale (Garante privacy) queste competenze ne rafforzerebbe la tutela e risponderebbe anche ad un comune sentire che vuole la tutela dei dati personali porsi come antecedente logico-giuridico-gerarchico di qualsiasi altra tutela (in quanto connaturata nell’individuo) e godere di un gradiente di protezione superiore, fino alla possibile collocazione tra i diritti fondamentali (non così scontata).
Peraltro, i timori di uno squilibrio istituzionale e/o del rischio di offuscamento delle attività e prerogative del Garante privacy, che oggi si fanno derivare da una fusione per “incorporazione”, mi appaiono invece provenire, più che da “fuoco amico”, dal vento della digitalizzazione che soffia così improvviso ed impetuoso che le radici da opporre debbono essere quanto più estese possibili.
Esse devono essere rese ben salde innanzitutto da una corretta e condivisa definizione, in ambito europeo, ontologica prima che giuridica, etica prima che istituzionale, dei concetti di “Intelligenza Artificiale”, “big data”, “algoritmo” e “larga scala”, attualmente ancora divisi tra visione scientifica, giuridica, tecnica e etica.
Questa mancanza di percezione può essere tra le più grandi vulnerabilità dell’uomo nel rapporto con il mondo computazionale, nei confronti del quale egli fatica a sviluppare un “sesto senso” digitale ormai obbligatorio.
Priorità alla privacy
Nella direzione del trasferimento di competenze al Garante privacy sembrerebbe militare proprio la circostanza che l’AGCM, si legge nel provv. n. 27432, si sia “limitata ad accertare e sanzionare – “ex post” e in applicazione della disciplina dettata dal Codice del Consumo – la presenza di pratiche commerciali scorrette” ponendo, almeno temporalmente, la tutela del “consumatore” e la misura dell’impatto di pratiche commerciali scorrette ad un momento successivo a quello della tutela del singolo come “interessato al trattamento”.
Si accorda priorità (forse anche gerarchica) alla privacy, quale valore ex se, valore che inerisce, si legge, a posizioni giuridiche “che si qualificano quali diritti fondamentali della persona umana”.
Aspettiamo di leggere la sentenza.
