GDPR: applicazione ad ampio raggio tra protezione dei dati e diritti dei consumatori

Il GDPR, in vigore da oltre 3 anni negli Stai membri, viene ancora considerato come una normativa a sé stante. Sono, invece, molti gli ambiti in cui l’applicazione del regolamento si intreccia con altre materie vigenti in vari settori. Si pensi, in particolare, ai profili di necessaria sovrapposizione tra la normativa in materia di protezione dei dati personali con la normativa sul commercio elettronico e con il Codice del consumo. Occorre, quindi, considerare la normativa in materia di protezione dati come una fonte legislativa ad ampio raggio, che irrimediabilmente necessità di un approccio trasversale con altre normative di volta in volta applicabili al trattamento. Il tema verrà approfondito durante il “Master - Privacy e nuove tecnologie”, al via dal 21 giugno 2021.

Sono ormai passati oltre 3 anni dal giorno in cui il GDPR (regolamento UE 679/2016) è diventato pienamente applicabile in tutti gli Stati Membri dell’UE, rappresentando quella che davvero potremmo definire una vera e propria “rivoluzione” nella materia di privacy e protezione dei dati personali. Tuttavia nonostante il tempo trascorso, l’intensa attività condotta sia dall’European data protection board con l’emanazione di linee guida (che agevolano una maggiore comprensione dei diversi istituti e precetti contenuti nel GDPR), sia del Garante per la protezione dei dati personali (di supporto e affiancamento ai Titolari e Responsabili del trattamento, oltre che di controllo e ispezione), ancora il GDPR viene molto spesso considerato come una disciplina “a sé stante”, con una propria legislazione e una propria regolamentazione, autonoma rispetto ad altre normative settoriali. In realtà, molti sono gli ambiti in cui il GDPR si interseca alla regolamentazione di altre materie e prassi operative vigenti in altri settori, e che richiedono all’interprete una necessaria conoscenza trasversale delle varie materie coinvolte.

Per approfondire la conoscenza delle disposizioni di legge e delle normative speciali che presentano profili di trasversalità con la tematica della protezione dei dati personali scopri il “Master – Privacy e nuove tecnologie”.

Rapporto tra GDPR e altre normative di settore Tale connubio tra GDPR e normative parallele si apprezza su una molteplicità di scenari. Si pensi al settore e-commerce, e ai profili di necessaria sovrapposizione tra la normativa in materia di protezione dei dati personali con la normativa sul commercio elettronico (D.Lgs n. 70/2003) e con il Codice del consumo (D.Lgs. n. 206/2005); oppure ai necessari punti di contatto sugli adempimenti richiesti dal GDPR e il D.Lgs n. 231/2001 in termini di misure di sicurezza tecniche e organizzative, e non solo. E’ interessante osservare come la stessa condotta possa ledere al contempo sia i diritti dei consumatori, come previsti e disciplinati nel Codice del consumo, che i principi applicabili in materia di protezione dati regolati dal GDPR. In un provvedimento, del 9 marzo 2021, l’Autorità Garante della concorrenza e del mercato ha irrogato una sanzione di 2 milioni di euro a due società appartenenti al medesimo gruppo per aver posto in essere una pratica commerciale scorretta consistente nell’aver gestito, conservato e trasferito dati dei clienti alle compagnie assicurative partner (anche per scopi commerciali) in assenza di una idonea informativa. In particolare, il cliente, attraverso una apposita APP realizzata per permettere al cliente stesso una più agevole fruizione di alcuni servizi, aveva la possibilità di chiedere un preventivo di polizza per la RC Auto. Tuttavia, la preventivazione avveniva attraverso la cessione dei dati personali del cliente alle compagnie partner, per poi ottenere una serie di preventivi che venivano appositamente selezionati da un algoritmo che individuava l’offerta economica più vantaggiosa. I profili critici rilevati hanno interessato alcune condotte tenute dalle due società, che “nell’esercizio dell’attività di collocamento di servizi assicurativi per conto delle compagnie con le quali hanno concluso contratti di distribuzione delle polizze RC auto, ricevono, senza che il consumatore ne sia adeguatamente informato, flussi di informazioni attinenti ai dati dell’utente che richiede il preventivo. Il processo di condivisione di tali informazioni tra le società del Gruppo (…) e le Compagnie/Intermediari di assicurazione avviene senza che i potenziali aderenti ai preventivi delle polizze proposte vengano adeguatamente informati sulla raccolta e sul modo con cui i loro dati vengono utilizzati dalle società interessate, anche a fini commerciali. L’utente interessato al preventivo RC auto viene informato solo all’interno dell’informativa privacy, cui viene fatto meramente rinvio all’inizio del funnel di preventivazione, del fatto che le società raccolgono le informazioni necessarie per il calcolo del preventivo e le trattano per finalità di marketing”. Il cliente, pertanto non aveva ricevuto una chiara informativa sull’effettiva rappresentatività dei soggetti fornitori delle polizze, in quanto le società di erano limitate a riportare sull’app e sul sito i loghi dei partner, senza specificare che alcuni di essi erano meri intermediari che agivano come agenti mandatari di compagnie emittenti non individuate. Chiari pertanto sono i profili di connessione tra la normativa in materia di tutela del consumatore e quella dettata per la tutela dei dati personali, che tuttavia, seppur suscettibili di prendere in considerazione il medesimo fatto, sono finalizzate a tutelare interessi giuridici diversi tra loro. La sentenza del Tar del Lazio Tale principio è stato ribadito dal Tar del Lazio nella sentenza n. 261/2020, il quale, pronunciandosi in ordine ad un difetto di attribuzione ratione materiae sollevato con riferimento alla competenza dell’AGCM in ordine ad una pratica scorretta consistita nell’illecito trattamento di dati personali, ha osservato che “Non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole». Conclusioni La vicenda innanzi esaminata ci consente pertanto di considerare la normativa in materia di protezione dati come una fonte legislativa ad ampio spettro, che irrimediabilmente necessità di un approccio trasversale con altre normative di volta in volta applicabili al trattamento. Copyright © - Riproduzione riservata

Fonte: https://www.ipsoa.it/documents/impresa/contratti-dimpresa/quotidiano/2021/06/09/gdpr-applicazione-ampio-raggio-protezione-dati-diritti-consumatori