Sembra una partita di ping-pong la vicenda che ha visto coinvolta la società Telepass. Se ricordiamo, l’AGCM aveva sanzionato nel marzo 2021 con una multa di 2milioni di euro, l’omonima società e la sua controllata Telepass Broker per pratiche commerciali scorrette ovvero, nella specie, per avere ricevuto informazioni/dati personali sui propri utenti, da compagnie e intermediari assicurativi, senza prima informare adeguatamente gli utenti/interessati circa le modalità di raccolta e utilizzo dei propri dati, anche per finalità di direct marketing (marketing diretto).
Il TAR Lazio, con la sentenza n. 603/2023, confermava la sanzione dell’AGCM, respingendo il ricorso presentato dal Gruppo Telepass, mentre il Consiglio di Stato con questa sentenza – la n. 497 del 15 gennaio 2024 – ha ribaltato il risultato sentenziando che, in un caso del genere così come articolato, si sarebbe dovuto coinvolgere il Garante per la protezione dei dati personali.
Vediamo i dettagli.
Privacy e direct marketing: problemi applicativi e spunti di comparazione legislativa
Indice degli argomenti
I fatti di causa e i vari tavoli tra AGCM, TAR e Consiglio di Stato
La vicenda in questione trae origine da pratiche commerciali non corrette contestate a Telepass dall’AGCM, all’esito di un procedimento avviato dalla medesima Autorità, su denuncia dell’Associazione nazionale agenti professionisti di assicurazione rete impresagenzia (ANAPA) per accertare la scorrettezza di alcune condotte poste in essere da Telepass e da Telepass Broker (la controllata).
Nello specifico, detto Gruppo aveva riportato, nel comparto dell’insurtech, “in maniera ingannevole e omissiva informazioni rilevanti circa le modalità di preventivazione e distribuzione dei servizi assicurativi e polizze RC Auto”, inducendo i consumatori/utenti a prendere decisioni di natura commerciale non consapevoli.
In concreto, il caso ha riguardato la distribuzione di polizze RC auto da parte di una Compagnia assicurativa, la quale richiedeva, per finalità/uso commerciale, preventivi tramite l’app di Telepass.
La pratica commerciale ingannevole, secondo l’Autorità, consisteva dunque nel distribuire polizze assicurative (RCA) tramite l’app, a favore di clienti titolari degli abbonamenti “Telepass Family” e “Telepass Viacard”.
Nel fare ciò, tuttavia, non forniva informazioni chiare e adeguate sul trattamento dei dati degli utenti nonchè sulle modalità/criteri di selezione dei preventivi.
Anzi, l’unica informazione (fornita in sede di presentazione del servizio), si limitava a “enfatizzare la semplicità, la velocità e la convenienza economica della procedura” si legge nel testo della sentenza, ma i dati non venivano utilizzati da Telepass per finalità commerciali diverse da quelle per cui erano raccolti.
Non solo, i clienti/utenti Telepass non avevano nemmeno ricevuto una informativa chiara ed esaustiva circa “l’effettiva rappresentatività dei soggetti fornitori delle polizze”, poiché gli unici dati riportati sull’app e sul sito erano i loghi dei partner, senza specificare alcunché di altro se non, ad esempio, il fatto che alcuni di essi erano soltanto […] “agenti mandatari di compagnie non individuate”.
Insomma, elementi tutti utili se non anche necessari per una scelta consapevole da parte dei consumatori.
Il giudizio dinanzi all’AGCM
Il giudizio avanti all’AGCM ha visto una serie di atti e memorie anche di replica componendo una fase istruttoria abbastanza complicata alla quale si rinvia, che terminava ritenendo responsabili entrambe le società per le condotte sopra descritte e quindi passibili di sanzione amministrativa pecuniaria.
Il ricorso dinanzi al TAR
A fronte di questo provvedimento sanzionatorio, la società madre e quella figlia (controllata) proponevano ricorso dinanzi al TAR per il Lazio chiedendone l’annullamento, contestando:
- l’illegittimità del provvedimento per talune incompatibilità con la normativa UE in materia di privacy e il Codice del consumo, nonchè per la violazione delle competenze e prerogative del Garante privacy e quindi del principio di leale collaborazione;
- l’assenza del dolo (“… ingannevolezza”) nella condotta contestata dall’Autorità;
- l’illegittima quantificazione della sanzione.
Si costituiva in sede giurisdizionale anche l’Autorità garante per la protezione dei dati personali lamentando di non essere stata coinvolta.
Anche l’ANAPA interveniva ad opponendum.
Il TAR adito respingeva il ricorso ritenendo da un lato “puntualmente confermate le condotte illecite per come adeguatamente descritte e comprovate negli atti istruttori della procedura svolta dall’Autorità”; e dall’altro da escludere “… l’indispensabile coinvolgimento nell’attività repressivo sanzionatoria di AGCM dell’Autorità garante per la protezione dei dati personali” in quanto, si legge testualmente nel ragionamento del giudice di prime cure (il TAR Lazio) che “il collegamento con l’informativa sulla privacy è solo incidentale”, rilevando piuttosto “l’omissione di informazioni essenziali al fine di consentire ai consumatori il libero e consapevole esercizio delle proprie scelte negoziali” giungendo alla conclusione che “non sussisteva alcun obbligo di legge di interpellare il Garante, in quanto non si trattava di richiedere un parere obbligatorio nell’ambito di un settore regolato” (ex art. 27, comma I-bis del Codice del Consumo).
In pratica, estromette tout court il Garante privacy non ravvisandosi una legittimazione passiva.
Il ricorso in appello avanti al Consiglio di Stato
La società Telepass resisteva nuovamente appellandosi al Consiglio di Stato chiamato a riformare la sentenza del TAR, la quale come visto confermava la sentenza AGCM.
Sostanzialmente, detta società chiede al Consiglio di Stato di annullare la sanzione irrogata e di sgravarli anche dall’accusa di una pratica commerciale scorretta (ex artt. 21 e 22, commi I e II, del Codice del consumo) nonché di ogni altro atto/fatto a loro addebitabile.
I motivi sollevati in diritto
Le società appellanti hanno sostenuto cinque “traiettorie contestative” ovvero “error in udicando” come si legge in sentenza. Analizziamole insieme.
Le eccezioni sollevate dalla difesa
Plurime sono state dunque le eccezioni sollevate dalla difesa del gruppo Telepass.
Dalla violazione delle norme che disciplinano il codice del consumo a quelle che violano la normativa in materia di protezione dati con particolare riferimento all’informativa (artt. 12, 13 e ss) ritenendo “erroneamente posto su un piano di aprioristica irrilevanza il complesso normativo” e che non c’era bisogno di un’ulteriore informativa privacy dal momento che l’unica attività effettuata era quella di “cd soft spam” e che l’attività di direct marketing attraverso una piattaforma online (ovvero tramite app e/o il proprio sito web) non necessitava di per se l’integrazione di un’informativa privacy “con ulteriori non precisati elementi informativi”, adduce la difesa.
Non solo, le società appellanti formulavano comunque proposta di pregiudiziale, come previsto dall’art. 267 TFUE, chiedendo se in buona sostanza sarebbe stato “…ipotizzabile un’omissione informativa ingannevole in una situazione in cui […] era acquisito che:
- l’asserita omissione ha ad oggetto informazioni attinenti al trattamento dei dati personali dell’interessato, quale il c.d. “soft spam”;
- tali informazioni sono state effettivamente comunicate all’interessato nell’ambito dell’informativa privacy resa all’interessato medesimo in vista della possibile fruizione del servizio”.
La linea difensiva, quindi, contestava la mancanza dei presupposti per una pratica commerciale scorretta, travisandone i fatti senza tenere in conto del modello di business concretamente adottato da Telepass. Nella fattispecie, nessun processo di “patrimonializzazione” asseritamente svolto da Telepass, poteva essere di fatto contestato da AGCM.
Le controdeduzioni di AGCM e Garante privacy
L’AGCM resisteva nel giudizio di appello. Idem il Garante privacy costituitosi in questo (ulteriore) giudizio.
Per quanto qui d’interesse, merita rilevare come il Garante privacy, conclusivamente, sostenga in modo risoluto che l’odierna fattispecie, viste le sue tipicità, rientri pienamente nella previsione di cui all’art. 130 Codice privacy e quindi di stretta competenza, tanto in astratto quanto in concreto, del Garante privacy.
L’opinione del Consiglio di Stato sulla questione della protezione dati
Il Consiglio di Stato affronta, tra gli altri, il mancato coinvolgimento del Garante privacy nella procedura svolta dall’AGCM per quanto di competenza.
In particolare, trattandosi di preventivi di polizze RCA tramite l’apposita App con la messa a disposizione di un servizio semplice e veloce, per la particolare utenza composta da clienti titolari di un contratto di “Telepass Family” o “Telepass Viacard”.
Non solo, la preventivazione, sottoscrizione e pagamento dei premi della polizza assicurativa svolta soltanto tramite App consentiva sì di pubblicizzare il servizio in questi termini: “Assicurazione RC Auto Non ti ricordi la data di scadenza della tua polizza? Devi rinnovare e non trovi tutte le informazioni per richiedere il preventivo? Con il servizio RC Auto di Telepass hai un modo semplice e veloce per rinnovarla: ti basta aprire la tua APP Telepass e in pochi semplici passi potrai visualizzare il preventivo e acquistarla, con addebito sul conto Telepass. “Inoltre, hai sempre uno sconto su misura per te”. Molto confidenziali e convincenti senza, tuttavia, essere adeguatamente informato in merito alla raccolta e all’utilizzo a fini commerciali dei suoi dati.
Ma non è tutto. L’unica informativa privacy, cui veniva fatto meramente rinvio all’inizio del funnel di preventivazione, conteneva l’unica informazione secondo cui le società raccoglievano e trattavano le informazioni minime necessarie per il calcolo del preventivo. Un po’ poco.
Ancora, nel database insurance c’erano tutti i dati dei clienti che avevano stipulato una polizza assicurativa o salvato un preventivo, quindi era palese una condivisione di dati tra le parti (società Telepass, Tb e le Compagnie assicurative).
Alla luce di tutte queste considerazioni, i giudici di Palazzo Spada ribaltano la sentenza del TAR e sentenziano che l’AGCM avrebbe dovuto coinvolgere il Garante privacy.
I rapporti tra AGCM e Garante privacy
Veniamo ora al punctum dolens, e cioè ai rapporti tra le due Autorità qui coinvolte (AGCM e Garante privacy) essenziale per dipanare la vicenda che ci occupa.
È interessante notare infatti come i giudici amministrativi di seconde cure hanno ritenuto le due materie (consumeristica e protezione dati personali) in una “condizione di naturale complementarità” caratterizzante il rapporto tra la disciplina volta alla tutela del consumatore e quella che inerisce alla tutela della privacy.
Ciononostante, scrivono i giudici di Palazzo Spada resta sacrosanto il “principio, pienamente rispettoso delle rispettive competenze, della necessaria leale collaborazione tra Autorità il cui compasso regolatorio è suscettibile di coprire casi e situazioni che si sovrappongono” richiamando acclarate fonti europee (art. 8 del Trattato di Nizza e art. 16 TFUE nonché degli’ artt. 51, 57 e 58 del GDPR) e nazionali (art. 153 e ss. del Codice della privacy italiano), spetta incontrovertibilmente al Garante privacy “verificare se un determinato trattamento – e quanto ad esso è connesso – sia oppure no conforme all’articolato plesso normativo vigente e rappresentato, in primis (per via della sua posizione gerarchica) dal citato RGDP, dal c.d. Codice privacy (D.lgs. 196/2003) e dai provvedimenti di natura regolamentare che, in base alla legge, il Garante è legittimato ad emanare”.
Buona norma, allora, risiede nel collaborare lealmente tra Autorità poiché si impone erga omnes, l’esigenza di risposte coordinate.
Nel caso di specie doveva dunque essere assolutamente chiesto il parere del Garante privacy, sicché è pacifico “l’intimo collante” che lega la condotta (anti)consumeristica e il trattamento dei dati personali, nel caso in questione, così come sopra rappresentati.
Le tutele consumeristica e privacy sono “… multilivello”
Così arriviamo al principio di diritto sancito dal Consiglio di Stato, il quale chiarisce che le rispettive tutele da un lato della privacy e dall’altro della disciplina consumeristica, non costituiscono “compartimenti stagni di tutela“, ma realizzano un sistema di “tutele multilivello” in grado di “amplificare il livello di garanzia dei diritti delle persone fisiche, anche quando un diritto personalissimo sia “sfruttato” a fini commerciali, indipendentemente dalla volontà dell’interessato-utente-consumatore”.
Le due normative non vanno dunque intese in termini di sovrapposizione facendo salvo il principio del ne bis in idem, ma devono essere concepite come poste a tutela di beni giuridici in parte differenti.
Possibili conseguenze della mancata contaminazione normative
Una mancata contaminazione tra normative determina una serie di possibili conseguenze e denota, tra gli altri, una carente se non difettosa interdisciplinarità tra le aree qui di interesse.
Al riguardo, infatti, scrivono i giudici che “l’avere considerato distinti e separati soprattutto sotto il profilo della disciplina normativa, i due settori (vale a dire quello di competenza dell’AGCM, in tema di diritto consumeristico e quello del Garante privacy, in tema di protezione dei dati personali), non conduce a potere sostenere l’esistenza di un’assoluta impermeabilità tra gli stessi e soprattutto nei rapporti tra le Autorità di controllo, che sempre debbono essere ispirati alla più ampia applicazione del principio della leale cooperazione, se non addirittura della fattiva collaborazione”.
Conclusioni
Quindi, la vicenda insegna come nel mondo digitale l’informativa sia d’obbligo in quanto posta a presidio tanto consumatore quanto dell’utente.
Di qui, la complementarità delle discipline. D’altra parte, si tratta di due normative che debbono intendersi in termini di complementarità “imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole“.
La decisione segna, dunque, un’ulteriore evoluzione nei delicati rapporti tra normativa a tutela dei consumatori e privacy/data protection; seguiamone gli sviluppi.
