DATI PERSONALI E PROTEZIONE DEI CONSUMATORI. IL CONSIGLIO DI STATO ANNULLA LA DECISIONE DEL TAR LAZIO NEL CASO TELEPASS

marketude Data Protection and Cybersecurity, EU and Competition, Litigation, Marco Stillo, Publications

In data 24 gennaio 2024, il Consiglio di Stato (CdS) si è pronunciato sul ricorso con cui la Telepass S.p.A. e la Telepass Broker S.r.l.(congiuntamente “Telepass”) chiedevano l’annullamento della sentenza del Tribunale amministrativo regionale (TAR) per il Lazio[1]che aveva confermato il provvedimento con cui l’Autorità garante della concorrenza e del mercato (AGCM) le aveva sanzionate per aver posto in essere una pratica commerciale scorretta[2].

Più particolarmente, secondo l’AGCM la Telepass aveva mancato di fornire informazioni in merito, da un lato, alla gestione, alla conservazione e al trasferimento dei dati dei clienti provenienti dalle sue compagnie assicurative partner e, dall’altro, alle modalità, alle procedure nonché ai parametri di riferimento e di selezione del preventivo RC Auto proposto ai clienti, enfatizzando la particolare facilità e convenienza della proposta effettuata attraverso la propria app. Avendo così indotto i consumatori ad assumere decisioni di natura commerciale che altrimenti non avrebbero assunto, pertanto, la Telepass aveva ricevuto un’ammenda pari a circa 2 milioni di euro. Di conseguenza, l’impresa aveva adito il TAR Lazio, che tuttavia ne aveva respinto il ricorso confermando la sanzione irrogata dall’ACGM. La Telepass, pertanto, si era rivolta al CdS deducendo cinque motivi di impugnazione.

Con il terzo motivo di impugnazione, la Telepass lamentava una violazione dell’articolo 27, comma 1-bis, del Codice del consumo[3]derivante dal mancato coinvolgimento del Garante privacy, che si rendeva invece necessario in quanto il procedimento che aveva portato al provvedimento dell’AGCM verteva su un’asserita violazione del c.d. “Codice della privacy[4].

Il CdS ha preliminarmente rilevato che il novero di ipotesi rilevanti in materia di trattamento dei dati personali delle persone fisiche, e quindi ricadenti nell’ambito di applicazione del Regolamento (UE) 2016/679 (General Data Protection Regulation, GDPR)[5], comporta l’impossibilità di escludere a priori qualsiasi forma di collaborazione tra l’AGCM e il Garante nel corso di una indagine che, seppure fondamentalmente indirizzata ad esaminare la compatibilità o meno con la disciplina consumeristica di condotte sviluppate da professionisti, appare fortemente caratterizzata da aspetti relativi alla tutela dei dati personali. Tale collaborazione emerge anche nei casi in cui le condotte anti-consumeristiche contestate ai professionisti consistono in un illecito trattamento dei dati, in quanto le modalità con cui le informazioni contenute nell’informativa resa alla clientela ai sensi del GDPR sono state portate a conoscenza dei consumatori ai sensi del Codice del consumo, alla luce dell’ampia formulazione della nozione di “trattamento” di cui al Regolamento stesso, possono tradursi in una violazione delle regole sul trattamento dei dati personali e quindi della disciplina contenuta nel Codice della privacy, attivando la competenza dell’Autorità di controllo di cui all’articolo 51[6] GDPR.

In tale contesto, secondo il CdS l’articolo 130 del Codice della privacy assume rilevanza per quanto riguarda, da un lato, l’ampiezza dell’informazione dovuta al consumatore circa il trattamento dei dati già versati in un database anche ai fini del loro utilizzo per scopi commerciali e, dall’altro, la necessaria conoscenza, da parte del Garante, di condotte che, seppure emerse in occasione di attività di controllo e repressive svolte in altri settori, costituiscano preziose informazioni per consentirgli di intervenire esercitando i poteri attribuiti dal GDPR[7]. Come stabilito dalla Corte di Giustizia nella Causa Meta, inoltre, nel caso in cui ritenga necessario pronunciarsi, nell’ambito di una decisione relativa ad un abuso di posizione dominante, sulla conformità o sulla non conformità al GDPR di un trattamento di dati personali effettuato dall’impresa in questione, l’autorità nazionale garante della concorrenza e quella di controllo competente ai sensi di tale regolamento devono cooperare tra loro al fine di garantirne un’applicazione coerente[8].

Tutto ciò premesso, il mancato coinvolgimento del Garante privacy nel corso dell’istruttoria svolta dall’AGCM costituisce un deficit procedimentale che infligge al provvedimento finale una connotazione patologica tale da necessitare l’annullamento della sanzione a carico della Telepass. Poiché il terzo motivo di impugnazione risulta fondato, pertanto, il CdS ha deciso di non esaminare quelli ulteriori dedotti dalla Telepass, la cui valutazione ne rimane logicamente assorbita, accogliendo l’appello presentato da quest’ultima e annullando il provvedimento dell’AGCM.

Download Article


[1] Tar Lazio sentenza n. 603 del 13.01.2023.

[2] AGCM Provvedimento n. 28601 del 09.03.2021, PS11710 – TELEPASS/ACCORDO PRIMA ASSICURAZIONE.

[3] Decreto legislativo 6 settembre 2005, n. 206, Codice del consumo a norma dell’articolo 7 della legge 29 luglio 2003, n. 229, GU n. 235 del 08.10.2005. L’articolo 27 del Decreto, intitolato “Tutela amministrativa e giurisdizionale”, al paragrafo 1 bis dispone: “Anche nei settori regolati, ai sensi dell’articolo 19, comma 3, la competenza ad intervenire nei confronti delle condotte dei professionisti che integrano una pratica commerciale scorretta, fermo restando il rispetto della regolazione vigente, spetta, in via esclusiva, all’Autorità garante della concorrenza e del mercato, che la esercita in base ai poteri di cui al presente articolo, acquisito il parere dell’Autorità di regolazione competente. Resta ferma la competenza delle Autorità di regolazione ad esercitare i propri poteri nelle ipotesi di violazione della regolazione che non integrino gli estremi di una pratica commerciale scorretta. Le Autorità possono disciplinare con protocolli di intesa gli aspetti applicativi e procedimentali della reciproca collaborazione, nel quadro delle rispettive competenze…”.

[4] Decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, GU n. 174 del 29.07.2003.

[5] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, GUUE L 119 del 04.05.2016. L’articolo 4 del Regolamento, intitolato “Definizioni”, al numero 2) dispone: … Ai fini del presente regolamento s’intende per:

(…)

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione…”.

[6] L’articolo 51 GDPR, intitolato “Autorità di controllo”, al paragrafo 1 dispone “Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’«autorità di controllo»)…”.

[7] L’articolo 130 de Codice della privacy, intitolato “Comunicazioni indesiderate”, ai paragrafi 4-5 dispone: “… Fatto salvo quanto previsto nel comma 1 , se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.

È vietato in ogni caso l’invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l’identità del mittente o in violazione dell’articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui agli articoli da 15 a 22 del Regolamento, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003…”.

[8] CGUE 04.07.2023, Causa C-252/21, Meta Platforms e a. (Conditions générales d’utilisation d’un réseau social), punti 51-52. Per ulteriori informazioni si veda il nostro precedente contributo, disponibile al seguente LINK.