g-docweb-display Portlet

Commissione parlamentare d’inchiesta sulla tutela dei consumatori e degli utenti. Audizione del Presidente del Garante per la protezione dei dati personali

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Commissione parlamentare d’inchiesta sulla tutela dei consumatori e degli utenti
Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione

(16 febbraio 2022)

- IL VIDEO DELL'AUDIZIONE

Ringrazio la Commissione per quest’invito al confronto, che sottende una grande sensibilità nel comprendere quanto protezione dei dati e tutela consumeristica siano, oggi più che mai, interrelate e sinergiche. Entrambe, infatti, sottendono una comune istanza riequilibratrice rispetto alle asimmetrie e alle distorsioni determinate da un contesto socio-economico così profondamente mutato dalle nuove tecnologie.

La digitalizzazione non solo dell’economia ma, direi in senso più ampio, delle nostre vite, accelerata in modo esponenziale dalla pandemia, ha infatti lasciato emergere con forza nuove esigenze di tutela che le categorie giuridiche tradizionali faticano a soddisfare, dimostrando l’urgenza di una rivisitazione delle forme di protezione del contraente debole. La disciplina della privacy si è fatta carico, spesso, di corrispondere a queste istanze, forte del suo applicarsi a un elemento trasversale alla data economy (appunto): il trattamento di dati personali.

Emblematico, in tal senso, il fenomeno del telemarketing, attorno a cui più complessa è stata la ricerca di un equilibrio giuridicamente e socialmente sostenibile tra libertà di iniziativa economica (promossa dalla stessa Costituzione, con il limite funzionale, però, dell'utilità sociale, nonché della sicurezza, della libertà e della dignità umana) e riservatezza individuale in stretta sinergia con la tutela del consumatore.

La disciplina interna – nei margini ammessi dal diritto Ue – ha infatti mutato assetto, anche notevolmente, negli ultimi tredici anni, passando dal sistema dell’opt-in a quello meno garantista per il consumatore dell’opt-out e, infine, introducendo garanzie più puntuali (anche sotto il profilo del riparto delle responsabilità) con la legge n. 5 del 2018. Tale ultimo intervento normativo ha, senza dubbio, apportato alcuni significativi miglioramenti nell’ambito di un sistema però- va ribadito- indebolito dal passaggio all’opt-out.

E dunque, nonostante il contributo positivo offerto da tale legge, il sistema nel suo complesso non riesce ancora a contrastare del tutto il telemarketing selvaggio, che resta un fenomeno endemico per diffusione e radicamento nelle strutture economico-sociali, non solo italiane. E lo è al punto di essere assurto a simbolo dell’invadenza del mercato nella vita privata individuale e dunque, per converso, della privacy come difesa di uno spazio esistenziale intangibile e sottratto alle ingerenze esterne.

La persistenza di questo fenomeno non si può, naturalmente, spiegare solo in base a un determinato fattore, essendo il prodotto di cause di ordine tanto economico quanto normativo, strutturale quanto sovrastrutturale. Esso è, infatti, profondamente connaturato al sistema capitalistico attuale, in cui la pubblicità diviene sempre meno generalista e sempre più selettiva, individuale e come tale fortemente intrusiva. E tuttavia non aiuta, sul piano normativo, la vigenza, nella larga maggioranza dei Paesi, del sistema dell’opt-out, che per bloccare le chiamate promozionali esige l’iscrizione in un apposito registro, all’opposto del sistema dell’opt in (vigente in Italia fino al 2009 e ora riferito solo alle chiamate automatizzate), che impone invece il consenso preventivo per legittimare il telemarketing.

La recrudescenza del fenomeno negli ultimi anni è connessa, tra l’altro, alla formazione di un sistema articolato di subappalti e subforniture che rendono la filiera lungo cui si snoda quest’attività sempre più ramificata e difficile da ricostruire. La difficoltà è acuita dalla delocalizzazione di segmenti importanti di questa catena aziendale in Paesi esteri anche extraeuropei (circostanza che oggi va comunque segnalata all’autorità pubblica), nonché dall’utilizzo di numerazioni chiamanti, oscurate o comunque abusive perché non incluse nell’apposito registro.

Il telemarketing è spesso la “spia” di un più complesso sistema d’illegalità che fa capo ad aziende che, oltre a violare la privacy dei consumatori, ledono le garanzie basilari di ordine lavoristico. Proprio per le numerose implicazioni connesse a tale fenomeno e per la stessa rilevanza penale che il telemarketing può avere a certe condizioni, il Garante ha condiviso – in più di un caso - le proprie risultanze con la magistratura inquirente, chiamata a occuparsi delle più gravi violazioni correlate a questo sistema di gestione delle strategie commerciali.

Il fatto che il fenomeno sia pervasivo e anche, per certi versi strutturale, non vuol dire tuttavia che esso sia ineliminabile. Esso, anzi, va contrastato perché determina turbamenti anche significativi nella vita privata soprattutto dei soggetti più fragili, come gli anziani, in danno dei quali può risolversi addirittura, nei casi peggiori, in vere e proprie truffe. E per altro verso, esso altera profondamente la fisiologica dinamica di mercato, favorendo imprese sleali a scapito di quelle più corrette.

Anche per questo il Garante assegna una valenza strategica al contrasto del telemarketing illecito come fenomeno endemico da eradicare nella sua intera articolazione, composta da una filiera complessa di teleseller spesso abusivi e da varie aziende partner. Più volte si è fatto proficuo ricorso alla cooperazione con le altre Autorità coinvolte e in particolare con quella albanese, essendo lì delocalizzati molti call center. E’ stato così possibile accertare innumerevoli violazioni per le quali il Garante ha irrogato sanzioni anche di milioni di euro (si pensi al provv. n. 224 del 12 novembre 2020).

Proprio la rilevanza delle sanzioni previste dal 2018 nel GDPR (fino al 4% del fatturato annuo) e di recente irrogate, appunto, nei confronti di grandi operatori, potrebbe avere un effetto deterrente importante nel futuro e determinare, progressivamente, l’affievolimento di questo fenomeno odioso.

Una “difesa” importante per i cittadini verrà dall’estensione, in attesa di applicazione dopo l’approvazione del regolamento, del Registro delle opposizioni alle utenze mobili (oltre a quelle riservate), così da coprire buona parte del fenomeno oggi più invasivo. Le chiamate promozionali e funzionali a ricerche di mercato dovranno inoltre essere effettuate con una numerazione univoca, distinta da un codice che sarà dunque riconoscibile per gli utenti o, in alternativa, da utenze richiamabili proprio per potervisi opporre e l’iscrizione avrà effetto revocatorio dei consensi precedentemente espressi anche per le chiamate automatizzate.

Questo complesso di nuove misure, unitamente, appunto, alla rilevanza delle conseguenze sanzionatorie, modulate sulle condizioni patrimoniali dell’azienda, potrebbe rappresentare un punto determinante nella strategia di contrasto del fenomeno descritto.

La centralità dei dati nel sistema economico attuale è tale che spesso le violazioni della disciplina di protezione dati assurgono ad indici sintomatici di illeciti consumeristici, non di rado connessi, nei casi più gravi, a condotte penalmente rilevanti, quali ad esempio il furto d’identità. Molte di queste ipotesi si sono riscontrate, recentemente, nel settore energetico.

In tale contesto, infatti, la progressiva liberalizzazione del mercato dell’energia e del gas, con l’ingresso, all’interno di questo, di nuovi operatori economici è avvenuta talora mediante condotte concorrenzialmente sleali, funzionali ad acquisire clienti nel mercato libero, spesso attraverso l’utilizzo illecito di dati personali. Si è fatto ricorso, in più occasioni, a sofisticate forme di falsificazione di contratti di somministrazione, mediante l’utilizzo di dati personali inesatti o non aggiornati dei potenziali clienti.

Un caso particolarmente rilevante in tal senso è stato oggetto di un provvedimento (dell’11 dicembre 2019 – doc web n. 9244358) con cui, parallelamente all’irrogazione di un’elevata sanzione amministrativa, è stata prescritta l’adozione di misure- quali l’implementazione di un sistema di check call “bloccante” per tutte le modalità di acquisizione dei contratti da parte di agenti e venditori; la registrazione della check call se giunta a buon fine; la definizione di sistemi di alert sensibili a varie anomalie procedurali; l’introduzione di sistemi di audit dell’operato di agenti e venditori - volte a prevenire l’iterazione di condotte analoghe. A fronte dell’ ulteriore evoluzione riscontrata nelle modalità di gestione illecita dei dati ai fini dell’attivazione di contratti non richiesti (ad esempio mediante l’inserimento di dati di clienti ignari nella piattaforma telematica per la sottoscrizione digitale dei relativi contratti, al fine di lucrare buoni e premi offerti dal fornitore)  il Garante ha di volta in volta modulato le prescrizioni rese, al fine di adeguarle il più possibile alla realtà di riferimento e garantirne la maggiore efficacia, soprattutto preventiva.

La disciplina privacy ha così offerto strumenti importanti per il contrasto di condotte non solo anticoncorrenziali, ma anche profondamente lesive dei diritti del consumatore, con un effetto complessivamente riequilibratore anche per il mercato e la sostenibilità delle sue dinamiche. Rilevante, in tal senso, anche il credito al consumo, rispetto al quale il codice di condotta per i sistemi informativi gestiti da privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (come già il corrispondente codice deontologico) introduce garanzie importanti per un equilibrio sostenibile tra esigenze di affidabilità negoziale e tutela del consumatore rispetto al rischio di profilazioni invasive.

Ma diverse e importanti sono, ancora, le domande di tutela la cui soddisfazione esige interventi più organici e trasversali, all’esito di un ripensamento profondo delle coordinate normative di riferimento.

Le piattaforme stanno, infatti, assumendo un ruolo sempre più determinante nelle dinamiche intersoggettive, economiche, persino politiche, assurgendo a veri e propri poteri privati scevri, tuttavia, da un adeguato statuto di responsabilità. La pandemia ha dimostrato l’indispensabilità dei servizi da loro forniti ma, al contempo, anche l’esigenza di una strategia difensiva rispetto al loro pervasivo ‘pedinamento digitale’, alla supremazia contrattuale, alla stessa egemonia culturale/informativa, realizzata con pubblicità mirata e microtargeting, come insegna il caso di Cambridge Analytica, che ha portato a un’interessante proposta di regolamento europeo sul targeting politico. 

Il consumatore si trova a fronteggiare congiunture e rapporti del tutto inediti, in cui le regole su cui si è fondata la tutela in materia stentano ad affermarsi in un contesto caratterizzato:

- dall’assenza di un mercato di riferimento nel senso tradizionale del termine, in cui il prezzo del servizio e quindi anche la principale fonte di profitto e di potere sono i dati;

- dalla dissimulazione delle pratiche commerciali scorrette in illeciti privacy, quali informative decettive, presentazione, come gratuiti, di servizi remunerati invece mediante la licenza d’uso dei dati;

- dalla personalizzazione dell’offerta e dalla segmentazione del mercato, rese possibili dalla profilazione algoritmica del consumatore; dalla pubblicità targettizzata e dalle conseguenti discriminazioni di prezzo, che mettono in crisi la nozione stessa di “consumatore medio” su cui si fonda l’applicabilità delle pratiche commerciali scorrette;

- dalla sovrapposizione delle figure di professionista e consumatore che, tradizionalmente contrapposte nella disciplina consumeristica, sembrano invece in parte convergere, nella società delle piattaforme, nel nuovo tipo soggettivo del “prosumer” o “consumattore”, con il connesso interrogativo sull’eventuale configurabilità di doveri di comportamento in capo al “privato” che decida di offrire un bene o servizio in via non “professionale”, ma comunque neanche occasionale. In questa fattispecie la disparità di potere negoziale che connota tradizionalmente il rapporto di consumo cede il passo a un rapporto “tra pari”, che come tale priva tuttavia l’utente delle garanzie altrimenti accordate al consumatore.

Le proposte della Commissione Ue sul Digital Service Act e il Digital Markets Act si muovono nella direzione del doveroso adeguamento delle tutele del consumatore a una realtà così peculiare – e peraltro in costante trasformazione – come quella digitale, anzitutto riconoscendo all’utente una gamma di strumenti di intervento volti a promuoverne, anche in forma proattiva, la tutela ad ampio spettro. Per altro verso, si rafforzano gli obblighi (di informazione, lealtà, correttezza, ma più in generale responsabilizzazione) delle piattaforme.

Non si giunge, insomma, ad ascrivere - come ha fatto una corte californiana - ad una piattaforma come Amazon la responsabilità per i difetti del prodotto venduto da altri e dalla stessa solo pubblicizzato, ma sicuramente si rafforzano le tutele preventive e quelle remediali in favore del consumatore, anche nel contesto meno presidiato del commercio elettronico.

Ma di là dai singoli aspetti, le così profonde innovazioni determinate dal digitale nei rapporti (anche) commerciali esigono nuove e diverse istanze di tutela, buona parte delle quali trova nella privacy il denominatore comune.

Sul piano preventivo, infatti, emerge come ineludibile anzitutto la garanzia della libertà cognitiva della persona-consumatore, quale diritto di non subire il potere pervasivo di condizionamento del microtargeting, volto a potenziare la capacità persuasiva della pubblicità adattando il messaggio alle inclinazioni desunte dalla profilazione algoritmica. Questa potentissima forma di “nudging”, tesa ad orientare le scelte di consumo degli utenti proponendo loro i prodotti o i servizi ritenuti suscettibili di gradimento secondo la stima predittiva dell’algoritmo, rivela quanto i singoli siano disarmati di fronte al potere performativo del digitale e quanto, invece, sia necessario preservarne l’autodeterminazione come nucleo intangibile di autonomia e libertà.

La disciplina europea fa della privacy comportamentale – presupposto necessario per il contrasto del microtargeting invasivo - un punto qualificante della sua strategia, per impedire che i dati disseminati in rete dagli utenti siano sfruttati a fini (in particolare, ma non solo) commerciali. La massima tutela è affidata al più forte presidio dell’autodeterminazione: il consenso specifico, inequivoco (come la Corte di giustizia ha ribadito più volte) e informato e che, per essere tale deve, tuttavia, essere anzitutto consapevole.

L’autodeterminazione effettiva e, dunque, anche la reale consapevolezza delle implicazioni di ogni nostro assenso è del resto determinante anche rispetto all’internet of things e, dunque, all’utilizzo sempre più frequente di oggetti connessi (dai wearable devices agli assistenti vocali). Per un verso, infatti, rispetto ai rischi di esfiltrazione, accesso indebito, hackeraggio dei dispositivi sono essenziali le tutele preventive accordate dalla disciplina della privacy, con particolare riguardo alle misure di sicurezza e di privacy by design e by default. Per altro verso, tuttavia, il maggiore argine rispetto al rischio di un uso secondario dei dati (per fini dunque ultronei rispetto a quelli strettamente funzionali al servizio reso) è proprio il consenso: strumento importante di autodeterminazione informativa con cui è il consumatore a definire il perimetro del trattamento, vietando ex ante forme d’indebito sfruttamento dei propri dati.

Per questo il Garante insiste, da tempo, sull’educazione digitale quale necessario presupposto di scelte libere e, appunto, consapevoli, tanto difficili quanto indispensabili al tempo della “zero-price economy”, in cui servizi apparentemente gratuiti sono invece pagati al caro prezzo dei nostri dati e, quindi, della nostra libertà.

Una più netta presa di coscienza del valore dei propri dati è, del resto, l’unico, effettivo baluardo contro il rischio della monetizzazione della privacy, che rappresenta oggi la vera questione democratica nel governo della rete. 

Da un lato, infatti, l’economia delle piattaforme ha reso prassi ordinaria(1) lo schema negoziale ‘servizi contro dati’, dall’altro tuttavia ammettere la possibilità della remunerazione del consenso rischia di condurre a una vera e propria monetizzazione della libertà.  E’ un tema su cui interrogarsi, non solo in sede nazionale.

Sul piano remediale, un impulso importante al rafforzamento delle garanzie dei consumatori può venire dalle tutele collettive, ammesse anche nel settore privacy dal Regolamento generale per la protezione dei dati, anche secondo i canoni dell’opt out (purtroppo non previsto dal d.lgs. 101/2018; dell’ammissibilità di azioni rappresentative avanzate da associazioni per la tutela degli interessi dei consumatori  per violazioni della disciplina privacy si occuperà peraltro la Cgue nel decidere la causa C 319-20).

Queste forme di tutela ben potrebbero rappresentare un efficace deterrente avverso violazioni massive di dati personali, realizzate su larga scala, promuovendo un’effettiva convergenza tra tutele consumeristiche e rimedi privacy, pur con il limite della sovraqualificazione della fattispecie. In tal senso, del resto, sovviene la sentenza del 29 marzo 2021, n. 2630 della VI Sezione del Consiglio di Stato, secondo cui “Nemmeno sussisterebbe la ravvisata sovrapponibilità del regime sanzionatorio tra i due settori, avendo ad oggetto il primo la violazione delle regole di trattamento dei dati personali […] ed il secondo il condizionamento della consapevolezza dell’utente che per ottenere benefici illustrati come gratuiti deve cedere dati personali che non saranno utilizzati esclusivamente per ottenere i servizi ai quali aspira, ma costituiranno uno strumento di profilazione dell’utente a fini commerciali, in assenza di una adeguata e preventiva informazione del consumatore”. Infatti, secondo il giudice amministrativo, ““ferma (…) la riconosciuta ‘centralità’ della disciplina discendente dal GDPR e dai Codici della privacy adottati dai Paesi membri in materia di tutela di ogni strumento di sfruttamento dei dati personali, deve comunque ritenersi che allorquando il trattamento investa e coinvolga comportamenti e situazioni disciplinate da altre fonti giuridiche a tutela di altri valori e interessi (altrettanto rilevanti quanto la tutela del dato riferibile alla persona fisica), l’ordinamento – unionale prima e interno poi – non può permettere che alcuna espropriazione applicativa di altre discipline di settore, quale è quella, per il caso che qui interessa, della tutela del consumatore, riduca le tutele garantite alle persone fisiche”. Di qui l’esigenza di “ garantire “tutele multilivello” che possano amplificare il livello di garanzia dei diritti delle persone fisiche, anche quando un diritto personalissimo sia “sfruttato” a fini commerciali, indipendentemente dalla volontà dell’interessato-utente-consumatore” (del tema della ripartizione di competenze tra Autorità di protezione dati e Autorità garanti della concorrenza si occuperà peraltro la Cgue nel decidere la causa C 252/21).

In tale prospettiva, al fine di consentire un opportuno coordi-namento tra le valutazioni, per i profili di rispettiva competenza, delle due Autorità coinvolte (Agcm e Garante per la protezione dei dati personali), si potrebbero ipotizzare alcune procedure di raccordo utili a consentire l’innesto, nell’ambito del procedimen-to principale o comunque precedentemente avviato, di un accer-tamento incidentale o anche solo di una mera pronuncia consulti-va da parte dell’altra Autorità.

Si potrebbe, ad esempio, prevedere il parere obbligatorio del Garante sulla sussistenza di violazioni della disciplina di prote-zione dati nell’ambito dell’istruttoria Agcm sulla legittimità - a fini consumeristici e/o concorrenziali - dell’uso secondario di dati personali. Il parere dovrebbe essere reso, naturalmente, in tempi particolarmente celeri. In alternativa, si potrebbe prevedere l’instaurazione incidentale, su segnalazione appunto dell’Agcm, di un’autonoma istruttoria del Garante da concludersi, in tempi contratti, con provvedimento decisorio di cui possa tenere conto anche l’altra Autorità.

Inoltre, si potrebbe prevedere l’imposizione, da parte del Garante, di condizioni di trattamento e garanzie di tutela dei dati quali presupposti necessari per l’autorizzazione delle concentrazioni, così da assicurare già in fase preventiva una opportuna convergenza dei profili concorrenziali e di protezione dati(2).

Ecco, dunque, che la direzione della massimizzazione delle tutele e della convergenza dei rimedi privacy e di quelli consumeristici può rappresentare, davvero, la chiave di volta per adeguare il diritto e le sue liturgie alla complessità della realtà di oggi, contesa tra esigenza di sviluppo economico, potenza della tecnica e dignità della persona.

_______

1) Presupposta persino dalla direttiva UE 2019/770 sui contenuti digitali e disciplinata dal lato interno nell’ambito dello specifico capo del codice del consumo introdotto dal d.lgs. 173 del 2021


2) In tal senso cfr. F. RESTA, sub art. 2 in Gabrielli (a cura di), Commentario al Regolamento Ue 2016/679, Utet

Scheda

Doc-Web
9745988
Data
16/02/22

Tipologie

Audizioni e memorie