In una società ove l’utilizzo della tecnologia, in ogni ambito dell’agire umano, è irrinunciabile e ove ciò che accade nel virtuale assume la medesima importanza di quanto accade nella realtà concreta, il diritto alla protezione dei dati personali, inteso come “materia che inevitabilmente incide su pressoché tutti i settori della vita privata e pubblica”, trasversale e multidisciplinare, assume un’importanza cruciale.
In questo scenario complesso e in continua evoluzione, le Autorità garanti per la protezione dei dati personali svolgono un ruolo fondamentale nel garantire il rispetto dei diritti degli individui e nel regolare l’utilizzo di queste informazioni preziose.
Ma il caso Telepass ha messo in luce le difficoltà che possono sorgere quando le competenze si sovrappongono e la collaborazione tra le Autorità di settore non è efficace. Le implicazioni negative di una mancata cooperazione possono essere significative, come dimostra la recente sentenza del Consiglio di Stato che ha ribadito il principio di necessaria collaborazione tra le Autorità garanti.
La trasversalità della tutela dei dati personali
La trasversalità di questa materia, da un lato richiede agli esperti una formazione che vada oltre l’ambito giuridico in senso stretto, e spazi in differenti ambiti quali la tecnologia e l’informatica, in modo da poter garantire un’applicazione coerente della normativa a tutela dei dati personali. Dall’altro lato, questo carattere comporta l’esigenza di garantire un’applicazione coerente della normativa nel momento in cui vi sia compresenza di altre disposizioni di settore.
Non essendovi regole di prevalenza e/o soccombenza in caso di applicazione congiunta delle norme nelle singole fattispecie, l’esigenza primaria è quella di garantire una stretta collaborazione tra le Autorità di controllo coinvolte nella singola fattispecie.
Per analizzare meglio portata e limiti di questa cooperazione, vale la pena soffermarsi sul ruolo ricoperto dalle Autorità garanti per la protezione dei dati personali.
Queste sono previste dal Regolamento europeo 679/2019 con lo scopo di assicurare un’applicazione ed attuazione coerente della normativa europea nel mercato interno (133 GDPR). Trattasi di autorità amministrative indipendenti tenute a vigilare sull’applicazione del GDPR in territorio nazionale e a fornirsi assistenza reciproca.
La collaborazione imposta dal Regolamento europeo alle singole Autorità garanti, però, non è sufficiente ad assicurare un’applicazione coerente del GDPR nel caso di compresenza di normative riferibili ad ambiti differenti. Ciò, proprio in ragione della trasversalità della materia.
Perciò, è necessario che la cooperazione di cui stiamo parlando si estenda anche alle Autorità istituite dalle diverse normative di settore. Solo in questo modo si potrà raggiungere un’applicazione coerente delle differenti disposizioni regolatrici di una fattispecie, senza violazioni di competenza.
Il caso Telepass e le competenze sovrapposte
Per essere più chiari, è utile richiamare la sentenza del 15/01/2024 n. 00497/2024 R.G del Consiglio di Stato.
Il caso ha visto le società Telepass S.p.a. e Telepass Broker S.r.l. presentare un’istanza al Consiglio per ottenere la revisione di una sentenza emessa dal TAR del Lazio (n. 603 del 3/01/2023), la quale riconosceva la legittimità del provvedimento sanzionatorio emanato dall’Autorità Garante della Concorrenza e del Mercato nei confronti delle società ricorrenti.
In particolare, l’Autorità garante ha contestato alle predette aziende sia la violazione degli artt. 21 e 22, c. 1 e 2, del Codice del Consumo; sia la fornitura di informazioni ingannevoli e/o carenti sulla raccolta e trattamento dei dati personali degli utenti che richiedevano un preventivo assicurativo per polizze RC auto tramite l’APP Telepass, nonché sulle modalità di preventivazione adottate.
L’AGCM, accertata la sussistenza di entrambe le condotte illecite, ha vietato la prosecuzione di tali pratiche, oltre che previsto una sanzione di € 2.000.000,00.
Ora, è evidente che il provvedimento appena visto esorbita dall’ambito di competenza dell’Autorità stessa. Infatti, questa, oltre a sancire la sussistenza di una pratica commerciale scorretta, ha pure considerato l’inadeguatezza dell’informativa resa agli interessati. In altre parole, l’AGCM si è illegittimamente pronunciata in materia di protezione di dati personali, valutando la conformità del trattamento effettuato dalle due società.
Il Consiglio di Stato, prima di passare all’analisi sostanziale delle violazioni accertate dal provvedimento sanzionatorio, ha considerato tutte le materie oggetto della questione, oltre che la corretta ripartizione delle competenze. Infatti, sebbene il caso di specie possa apparire inerente alla sola disciplina consumeristica, in realtà comporta anche implicazioni relative alla protezione dei dati personali.
Il ruolo fondamentale della cooperazione tra Autorità di settore
Il Consiglio, al fine di far comprendere al meglio il ragionamento sotteso alla propria decisione, ha ripreso la sentenza della Corte di giustizia del 4/07/2023.
Nel caso di specie, causa c-252/21 (Meta platforms e altri – Condizioni generali d’uso di un social network), la Corte di Giustizia ha anzitutto richiamato diverse disposizioni del GDPR, quali ad esempio: l’Art 51, par. 2: “Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione, conformemente al capo VII”; Art. 57, par. 1, lettera g): l’autorità di controllo nazionale “collabora, anche tramite scambi di informazioni, con le altre autorità di controllo e presta assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del presente regolamento”; Art. 61, par. 1: “Le autorità di controllo si scambiano le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e mettono in atto misure per cooperare efficacemente tra loro. L’assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini”; Art 63 “Meccanismo di coerenza”, così come stabilito agli articoli 64 e 65, al fine di assicurare nell’intero territorio unionale un’applicazione coerente del regolamento.
Così facendo, la Corte ha chiarito un elemento fondamentale a giustificazione del principio di collaborazione tra tutte le autorità di settore.
La Corte ha ricordato anche che il compito principale delle Autorità istituite ai sensi del GDPR è quello di assicurare l’applicazione coerente del Regolamento e, al contempo, vigilare sul suo rispetto. Ciò proprio per tutelare diritti e libertà fondamentali delle persone fisiche in relazione al trattamento dei loro dati personali, nonché di agevolare la libera circolazione di tali dati all’interno dell’Unione.
Da ciò ne viene che tendere sempre più ad un’applicazione coerente del Regolamento europeo 679/2016, riducendo al minimo il rischio di contrasti tra differenti Autorità, è imprescindibile una stretta collaborazione tra le singole Autorità garanti e le Autorità di altri settori.
Le possibili implicazioni negative dell’omessa collaborazione
L’omessa collaborazione può portare anche, ovviamente, ad effetti negativi, tra i quali il possibile sfruttamento illecito dei dati a fini commerciali, considerato che oggi “l’accesso ai dati personali nonché il loro sfruttamento rivestono un’importanza fondamentale nell’ambito dell’economia digitale” (P.to 50 sent. Corte di Giustizia). Questa è oggi l’economia prevalente e, pertanto, è necessario focalizzarsi anche sui danni ed implicazioni economiche negative della mancata cooperazione.
Infine, il Consiglio di Stato ha richiamato pure il caso Facebook (Cons. Stato, Sez. VI, 29/03/2021 n. 2631): “allorquando il trattamento investa e coinvolga comportamenti e situazioni disciplinate da altre fonti giuridiche a tutela di altri valori e interessi (altrettanto rilevanti quanto la tutela del dato riferibile alla persona fisica), l’ordinamento – unionale prima e interno poi – non può permettere che alcuna espropriazione applicativa di altre discipline di settore”.
Per l’effetto, gli ambiti di operatività e competenza delle singole Autorità garanti non devono essere considerati come “compartimenti stagni di tutela” ma piuttosto come “tutele multilivello”, al fine di amplificare il livello di garanzia dei diritti delle persone fisiche, anche quando un diritto personalissimo è “sfruttato” a fini commerciali, indipendentemente dalla volontà dell’interessato-utente-consumatore (P.to 12 sent. Consiglio di stato).
La sentenza del Consiglio di Stato e il principio di necessaria collaborazione
Svolte tali considerazioni, il Consiglio di Stato si è pronunciato annullando per intero il provvedimento dell’AGCM, visto il mancato coinvolgimento del Garante per la protezione dei dati personali.
Vero è, infatti, che nel caso di specie il Garante non ha potuto esprimersi in alcun modo sulla questione di sua competenza sollevata, sulla quale, invece, si è espresso illecitamente l’AGCM.
Questo ricalca un vero e proprio deficit procedimentale, che ha inflitto al provvedimento finale una patologia così rilevante da giustificare l’annullamento dell’atto sanzionatorio a danno di Telepass S.p.a e Telepass Broker S.r.l, compresa la sanzione.
Al contrario, la conferma della sentenza emessa dal TAR del Lazio avrebbe penalizzato la c.d. tutela multilivello, legittimando una riduzione della tutela dei dati personali a favore della tutela del consumatore, con conseguente separazione della data protection dalle altre questioni.
La sentenza del Consiglio di Stato analizzata è la prima che chiarisce in modo esplicito il principio di necessaria collaborazione tra Autorità garanti competenti per settori diversi.
Conclusioni
Ora, presa consapevolezza della sempre maggiore centralità che la protezione dei dati personali ha assunto, vediamo come sia necessario ricordare, nell’applicazione delle diverse disposizioni settoriali, le implicazioni che la data protection comporta.
La naturale conseguenza di ciò non può che consacrarsi una collaborazione costante tra le diverse Autorità.
