La sanzione di AGCM a Telepass per l'informativa sui dati personali tra tutela del consumatore e tutela della privacy nel mondo digitale

Una recente decisione dell'Autorità Garante della Concorrenza e del Mercato (AGCM) ha riportato alla ribalta la crescente intersezione tra la normativa in materia di protezione del consumatore e quella relativa alla protezione dei dati personali.

In particolare, AGCM ha sanzionato Telepass e la sua controllata Telepass Broker per avere ricevuto le informazioni sui propri utenti da compagnie e intermediari di assicurazione senza avere adeguatamente informato gli utenti sulle modalità di raccolta e di utilizzo dei propri dati, anche a fini commerciali. Inoltre, secondo AGCM, le società non hanno fornito informazioni sui criteri seguiti per la selezione del preventivo proposto, necessari a dire dell'Autorità, per una scelta consapevole da parte dei consumatori

Non è la prima volta che AGCM interviene sanzionando come pratiche commerciali scorrette a danno dei consumatori comportamenti che costituiscono violazioni della normativa privacy. Quanto la condotta effettivamente costituisce una violazione della privacy, l'applicabilità anche della normativa sule pratiche commerciali scorrette, di competenza dell'AGCM è una conseguenza implicita nella definizione stessa di tali pratiche.

Infatti, affinché una pratica commerciale possa qualificarsi come scorretta ed essere sanzionata da AGCM, occorre che essa consista in un comportamento – da parte del professionista – contrario a diligenza professionale e che sia idoneo a indurre il consumatore ad un comportamento economico che altrimenti non avrebbe adottato.

È evidente che la contrarietà a diligenza professionale possa derivare dalla non conformità della pratica a una qualsiasi normativa applicabile all'attività del professionista, inclusa la normativa privacy. Le perplessità relative alla possibile sovrapposizione tra le due normative o tra una pluralità di sanzioni applicabili alla medesima condotta, sembra sia stato superato alla luce della recente sentenza del Consiglio di Stato che fa chiarezza sul tema integrando la della sentenza del Tar Lazio del 10 gennaio 2020 (pure richiamata da AGCM) in base alla quale la normativa privacy e quella consumeristica si pongono in termini di complementarietà "imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell'altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole".

In particolare, il Consiglio di Stato chiarisce che la tutela della privacy e la tutela consumeristica non costituiscono "compartimenti stagni di tutela", ma realizzano un sistema di "tutele multilivello" in grado di "amplificare il livello di garanzia dei diritti delle persone fisiche, anche quando un diritto personalissimo sia "sfruttato" a fini commerciali, indipendentemente dalla volontà dell'interessato-utente-consumatore".

In realtà, la distinzione degli obiettivi perseguiti dalle due normative tende a svanire in quei mercati o servizi digitali in cui il trattamento del dato è strettamente connesso al servizio reso all'utente. Ad ogni modo, anche non volendosi soffermare sul profilo di possibile sovrapposizione tra le due normative e gli obiettivi delle medesime (e sui relativi profili di violazione del principio ne bis in idem), concedendo che siano poste a tutela di beni giuridici almeno in parte differenti, resta ferma la necessità – sotto il profilo della tutela del consumatore – che il comportamento del professionista si possa qualificare come scorretto e che vi sia un nesso di causalità tra tale comportamento e la decisione economica del consumatore rispetto al servizio offerto.

NellAa fattispecie sanzionata da AGCM, entrambi questi profili risultano molto poco chiari, se non assenti.

La fattispecie esaminata da AGCM riguarda la preventivazione e distribuzione di polizze assicurative tramite la APP di Telepass. Telepass acquisisce alcuni dati personali dell'utente (in particolare i dati relativi alla scadenza della polizza in essere e al suo profilo di rischio) dalle compagnie assicurative, ovvero da un database comune da esse costituito ed utilizzato proprio per valutare i profili di rischio assicurativo.

AGCM ha contestato la mancanza di informazione circa questa condivisione, della quale l'utente è reso edotto "solo" nell'informativa privacy a cui si fa rinvio all'inizio del processo di preventivazione. Risulta tuttavia poco chiaro quale sarebbe il profilo di violazione della diligenza professionale da parte di Telepass, dal momento che non si contesta che l‘informativa sia stata fornita e che la medesima chiarisca che alcuni dati vengono forniti dalle assicurazioni ai fini di elaborazione dei preventivi.

Né l'Autorità sembra chiarire in quale altra fase del processo di preventivazione queste informazioni avrebbero dovuto essere fornite in base alla diligenza professionale. Soprattutto, l'Autorità non spiega perché tali informazioni sarebbero rilevanti per la decisione commerciale del consumatore di ottenere il preventivo e, eventualmente, acquistare l'assicurazione di RC auto.

Per argomentare i profili di scorrettezza, AGCM sembra rifarsi al principio della non gratuità di un servizio il cui corrispettivo è costituito dall'utilizzo dei dati degli utenti a fini commerciali: tuttavia in questo caso Telepass riceve da terzi (le assicurazioni, sulle quali grava in primis l'obbligo di informazione agli interessati sull'uso dei dati) dati personali a fini di preventivazione e conclusione di un contratto di assicurazione, cosa di cui gli utenti erano informati tramite la privacy policy e che del resto è un presupposto indispensabile per il tipo di servizio richiesto.

Alla poca chiarezza sotto il profilo della scorrettezza, si accompagnano quindi dubbi anche sulla effettiva idoneità della pratica a condizionare il comportamento dell'utente. La domanda è se queste informazioni siano effettivamente idonee a condizionare la decisione dell'interessato, il quale richiede un preventivo per una polizza RC Auto; anche perché, qualora l'utente decidesse di non richiederlo a Telepass, per evitare questa condivisione di dati, si troverebbe comunque a doverla accettare rivolgendosi a qualsiasi altro soggetto in grado di fornire preventivi per questo tipo di polizze.

In aggiunta, AGCM contesta a Telepass anche l'assenza di chiarezza circa i criteri con i quali i preventivi delle varie assicurazioni sono sottoposti agli interessati. Con riguardo a questa seconda pratica, si contesta che Telepass avrebbe dovuto rendere edotti i consumatori circa i criteri per la selezione dei preventivi. L'Autorità, tuttavia, non contesta la logica dell'algoritmo utilizzato per presentare agli utenti i vari preventivi (ovvero quello della maggiore economicità dello stesso), ma sembra contestarne il semplice utilizzo senza averne preventivamente chiarito il funzionamento.

In pratica, sembra che per l'Autorità il solo fatto che non sia stata fornita all'utente un'informazione sul funzionamento dell'algoritmo sia di per sé idoneo a "ingannare" il consumatore. Non è chiaro però come l'assenza di informazioni sull'algoritmo in questo caso sia idonea ad influenzare le scelte del consumatore, posto che non è contestato che l'algoritmo selezioni il preventivo più conveniente per il consumatore.

La decisione segna, a nostro avviso, una ulteriore evoluzione nei delicati rapporti tra normativa privacy e normativa a tutela dei consumatori. Infatti, se oramai sembra innegabile che entrambi i profili siano rilevanti nella valutazione di una medesima condotta, in questo caso sembra potersi desumere addirittura che la conformità alla normativa privacy non sia sufficiente ad evitare eventuali profili di scorrettezza di pratiche commerciali e che il trattamento dei dati possa essere sempre considerato in sé una pratica commerciale, indipendentemente dal motivo per cui sono raccolti o dalla connessione ad un determinato servizio.

Se passasse questo principio, nel settore digitale l'AGCM acquisirebbe di conseguenza una competenza prevalente ed illimitata su qualsiasi condotta relativa ai dati personali, diventando di fatto una nuova fonte di interpretazione e applicazione delle norme sulla privacy indipendente rispetto al Garante Privacy e persino svincolata dal dettato del GDPR.

*a cura degli avvocati Laura Liguori, partner, e Enzo Marasà, counsel, Portolano Cavallo

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più