“Il Garante privacy deve esprimersi in relazione al trattamento dei dati personali delle persone fisiche. I consumatori sono persone fisiche. Quindi il Garante privacy deve esprimersi sui trattamenti che riguardano i consumatori”. Questo sillogismo aristotelico è alla base della sentenza n° 497 emessa dalla V sezione del Consiglio di Stato il 15 gennaio di quest’anno e che ha messa la parola “fine” a unocontenzioso iniziato nel 2021 quando l’AGCM ha sanzionato le società Telepass S.p.a. e Telepass Broker S.r.l. per 2 milioni di euro.
Contro questa sanzione le due società hanno proposto ricorso davanti al TAR del Lazio chiedendone l’annullamento. Tuttavia, nel gennaio 2023 il Tribunale amministrativo regionale ha respinto il ricorso e quindi le società hanno impugnato la relativa sentenza davanti al Consiglio di Stato che giusto un anno dopo si è espresso riformandola e annullando la sanzione emessa dall’AGCM.
Il caso Telepass: le origini del contenzioso
Tutto è iniziato perché Telepass S.p.a. e Telepass Broker avevano deciso di offrire ai loro clienti titolari di contratto Telepass family o Telepass Viacard la possibilità di ottenere un preventivo sulla polizza RC Auto più conveniente attraverso l’inserimento dei propri dati personali sull’App Telepass. I dati inseriti erano conservati in uno specifico database condiviso tra Telepass S.p.a., Telepass Broker (che hanno agito in qualità di contitolari del trattamento) e le compagnie di assicurazione coinvolte. Tuttavia, questo database “dedicato” era separato rispetto a quello con cui Telepass S.p.a. trattava i dati i suoi clienti, ma alcuni dati sono gli stessi, cioè nello specifico, targa dell’auto, data di nascita e residenza del cliente.
I dati erano poi trattati per l’elaborazione del preventivo richiesto e in seguito, nel caso in cui non si fosse arrivati alla stipulazione di un contratto assicurativo, i dati sono conservati per 15 giorni, mentre per le finalità di marketing, e conservati per 13 mesi, sebbene l’utente aveva la possibilità di disiscriversi dalle DEM inviate attraverso il cosiddetto softspam.
Le accuse dell’Autorità Garante della Concorrenza e del Mercato
Pertanto, le accuse mosse dall’Autorità Garante della Concorrenza e del Mercato erano sostanzialmente due:
- pratica commerciale scorretta per aver fornito informazioni ingannevoli e/o carenti sul trattamento dei dati degli utenti che richiedevano il preventivo che avrebbe comportato una “patrimonializzazione dei dati”, in violazione degli artt. 21 e 22 del Codice del Consumo;
- mancanza di informazioni su modalità, procedure e parametri di riferimento e selezione del preventivo RC Auto proposto.
Infatti, secondo l’AGCM, sebbene al momento dell’inserimento dei dati da parte degli utenti fosse presente una informativa privacy, questa non era sufficiente, dal momento che sull’app erano più enfatizzate le caratteristiche di “velocità” e “semplicità” del servizio piuttosto che fornite le informazioni necessarie ai sensi degli artt. 12 e 13 GDPR.
Il ricorso al TAR e il giudizio del Consiglio di Stato
Davanti al TAR, le società avevano contestato, tra le varie cose, l’illegittimità del provvedimento dell’AGCM per alcune incompatibilità con il GDPR, per la presunta violazione del Codice del Consumo e per il mancato coinvolgimento del Garante per la protezione dei dati personali in un argomento di sua competenza, punto quest’ultimo, su cui si era doluto anche il Garante stesso che si era costituito in giudizio.
Secondo il TAR però, il coinvolgimento del Garante privacy non era necessario perché il collegamento con l’informativa privacy era solo incidentale rispetto al merito della questione e quindi non sussisteva l’obbligo da parte dell’AGCM di interpellarlo dal momento che la questione riguardava il Codice del Consumo e non il GDPR e il Codice della privacy.
Così, dopo il respingimento del ricorso da parte del TAR, le due società si sono rivolte al Consiglio di Stato ed erano anche intenzionate a proporre un rinvio pregiudiziale alla Corte di Giustizia UE per chiedere se l’applicazione della Direttiva ePrivacy e degli artt. 12, 13 e 14 GDPR costituisse un ostacolo all’applicazione degli artt. 21 e 22 del Codice del Consumo così come ha fatto l’AGCM che, nel suo provvedimento, ha ipotizzato che l’omissione di informazioni relative al trattamento dei dati personali dell’Utente (nonostante l’informativa resa) potesse configurare un’omissione informativa ingannevole.
Inoltre, tra le varie contestazioni, le appellanti lamentavano che l’AGCM, sebbene nel corso della sua attività ispettiva avesse raccolto i pareri dell’AGCOM e dell’Istituto per la Vigilanza sulle Assicurazioni (IVASS), non avesse invece ascoltato il Garante privacy, per quanto alcuni aspetti espressi nel provvedimento fossero di sua competenza.
La sentenza della Corte di Giustizia UE come punto di riferimento
Proprio su questo aspetto si è concentrato il Consiglio di Stato che non ha ritenuto invece necessario proporre il rinvio pregiudiziale alla Corte di Giustizia UE poiché l’argomento in questione era stato già trattato dalla stessa nella causa c-252/21 del 4 luglio 2023 (c.d. sentenza Meta).
In questa sentenza, la Corte di Giustizia UE si era trovata a dover valutare un quesito proposto dal Tribunale superiore di Dusseldorf nell’ambito di una causa che vedeva coinvolti Meta Platforms Inc., Meta Platform Ireland Ltd. e Facebook Deutschland GmbH contro l’Autorità Garante della Concorrenza tedesco.
Il quesito posto dal Tribunale era sostanzialmente il seguente: in base a quanto previsto dagli artt. 51 ss. GDPR, durante un esame di abuso di posizione dominante effettuato da un’impresa, l’Autorità Garante della Concorrenza di uno Stato UE può constatare che la suddetta impresa tratta i dati personali in modo non conforme al GDPR? E se sì, questa constatazione di natura incidentale effettuata da parte dell’Autorità Garante della Concorrenza è possibile anche se questa stessa constatazione è oggetto di esame da parte dell’Autorità di controllo competente, cioè il Garante privacy nazionale?
La CGUE ha stabilito che sì, ciò è possibile perché, secondo il GDPR, ogni Autorità di controllo deve eseguire i compiti ed esercitare i poteri che le sono stati conferiti, tra cui quello di controllare l’applicazione e il rispetto del GDPR. Pertanto, se durante un esame di abuso di posizione dominante, l’Autorità Garante della concorrenza si trova nella posizione di dover esaminare il comportamento dell’impresa anche in base a norme diverse da quelle che rientrano nella sua specifica competenza, allora l’Autorità non deve sostituirsi all’Autorità di controllo competente ma è tenuta a cooperare con quest’ultima rispettando così i rispettivi poteri e competenze. Di conseguenza, è necessario innanzitutto verificare se quella questione sia già stata oggetto di una decisione dell’Autorità competente o della Corte. In caso di esito positivo, allora l’Autorità Garante della Concorrenza deve aderire a quanto già deciso; in caso contrario, deve consultare l’Autorità competente e cooperare con essa.
Pertanto, nel caso di specie, l’AGCM avrebbe dovuto coinvolgere il Garante privacy e, dal momento che ciò non è avvenuto, il provvedimento sanzionatorio emesso dell’Antitrust è caratterizzato da un deficit procedimentale a priori e quindi il Consiglio di Stato ha ritenuto di doverlo annullare riformando, di conseguenza, la sentenza del TAR.
Inoltre, secondo il Consiglio di Stato, il nodo della questione era già stato affrontato nella sentenza 2631/2021 emessa dalla sua VI Sezione con la quale era stata confermata una sanzione da 5 milioni di euro emessa sempre dall’AGCM nei confronti di Facebook Ireland Ltd. per pratica commerciale ingannevole. Infatti, anche in questa sentenza, ci si chiedeva quale normativa applicare, cioè se quella relativa alla protezione dei dati personali o quella consumeristica. Al riguardo il Collegio aveva stabilito che non è opportuno creare compartimenti stagni di tutela ma garantire delle tutele multilivello che amplifichino il livello di garanzia dei diritti delle persone fisiche.
Conclusioni
E’ difficile che dei contenziosi così complessi che coinvolgono oltretutto tanti soggetti possano essere regolati da una singola normativa proprio in ragione delle innumerevoli sfumature che possono presentare. Pertanto, è non solo consigliabile ma anche necessario coinvolgere tutte le autorità competenti per il caso di specie così da avere un’analisi completa di tutte le sue sfaccettature.
