Pubblicato il 15/01/2024

N. 00497/2024REG.PROV.COLL.

N. 03363/2023 REG.RIC.

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

Il Consiglio di Stato

in sede giurisdizionale (Sezione Sesta)

ha pronunciato la presente

SENTENZA

sul ricorso numero di registro generale 3363 del 2023, proposto dalle società Telepass S.p.A. e Telepass Broker S.r.l., in persona dei rispettivi rappresentanti legali pro tempore , rappresentate e difese dagli avvocati G M R, A C, M S, P Z e G M R, con domicilio presso l’indirizzo PEC come da Registri di giustizia e con domicilio eletto presso lo studio dell’avvocato A C in Roma, via Principessa Clotilde, n. 2;

contro

l’Autorità garante della concorrenza e del mercato, in persona del Presidente pro tempore , rappresentata e difesa dall’Avvocatura generale dello Stato, presso la cui sede domicilia per legge in Roma, via dei Portoghesi, n. 12;

nei confronti

- dell’Autorità garante per la protezione dei dati personali, in persona del Presidente pro tempore , rappresentata e difesa dall’avvocato Vincenzo Zeno Zencovich, con domicilio presso l’indirizzo PEC come da Registri di giustizia e con domicilio eletto presso lo studio del suindicato difensore in Roma, vicolo Orbitelli, n. 31;
- dell’IVASS - Istituto per la vigilanza sulle assicurazioni, in persona del Presidente pro tempore , non costituito in giudizio;

e con l'intervento di

ad opponendum :
dell’Associazione nazionale agenti professionisti di assicurazione rete impresagenzia – ANAPA, in persona del rappresentante legale pro tempore , rappresentata e difesa dall’avvocato Mara Locoro, con domicilio presso l’indirizzo PEC come da Registri di giustizia e con domicilio eletto presso lo studio del suindicato difensore in Roma, via Carlo Alberto Racchia, n. 2;

per la riforma

della sentenza del Tribunale amministrativo regionale per il Lazio, sede di Roma, Sez. I, 13 gennaio 2023 n. 603, resa tra le parti.

Visti il ricorso in appello e i relativi allegati;

Visti gli atti di costituzione in giudizio dell’Autorità garante della concorrenza e del mercato e dell’Autorità garante per la protezione dei dati personali nonché l’intervento ad opponendum dell’Associazione nazionale agenti professionisti di assicurazione rete impresagenzia – ANAPA e i documenti prodotti;

Esaminate le ulteriori memorie, anche di replica, depositate dalle parti;

Visti tutti gli atti della causa;

Relatore nell’udienza del 21 dicembre 2023 il Cons. Stefano Toschei e uditi per le parti gli avvocati A C, G M R, M S, Adriana Peduto in sostituzione dell'avvocato G M R, Vincenzo Zeno Zencovich e Mara Locoro nonché l’avvocato dello Stato Daniela Canzoneri;

Ritenuto e considerato in fatto e diritto quanto segue.

FATTO e DIRITTO

1. – Con ricorso in appello n. R.g. 3363/2023 le società Telepass S.p.a. e Telepass Broker S.r.l. hanno chiesto a questo Consiglio la riforma della sentenza del Tribunale amministrativo regionale per il Lazio, sede di Roma, Sez. I, 3 gennaio 2023 n. 603, con la quale il TAR ha respinto il ricorso (n. R.g. 5324/2021), proposto dalle predette società ai fini dell’annullamento del provvedimento n. 28601 adottato dall'Autorità garante della concorrenza e del mercato (d’ora in poi, per brevità AGCM) in data 9 marzo 2021 nei confronti delle società Telepass S.p.a. e Telepass Broker S.r.l. (d’ora in poi, per brevità, Telepass e Tb), con cui si addebita loro di aver posto in essere una pratica commerciale scorretta, in violazione degli articoli 21 e 22, commi 1 e 2, del Codice del consumo, per aver fornito informazioni ingannevoli e/o carenti sulla raccolta e trattamento dei dati degli utenti che richiedono un preventivo assicurativo relativo a polizze RC auto tramite APP Telepass e sulle modalità di preventivazione, vietandone la diffusione o continuazione e irrogando una sanzione pecuniaria pari a euro 2.000.000,00 (nonché di ogni altro atto e provvedimento presupposto, connesso e consequenziale).

2. – La vicenda che fa da sfondo al presente contenzioso in grado di appello può essere sinteticamente ricostruita sulla scorta dei documenti e degli atti prodotti dalle parti controvertenti nei due gradi di giudizio nonché da quanto sintetizzato nella parte in fatto della sentenza qui oggetto di appello, come segue.

L’AGCM, all'esito di un procedimento (PS11710) avviato su denuncia dell’Associazione nazionale agenti professionisti di assicurazione rete impresagenzia (d’ora in poi, per brevità, ANAPA) con atti del 12 giugno 2020, ha accertato, ai sensi degli articoli 20, 21 e 22, commi 1 e 2, d.lgs. 6 settembre 2005, n. 206 (recante il Codice del Consumo), la scorrettezza delle condotte poste in essere da Telepass e da Tb che nel comparto dell’ insurtech avevano riportato “ in maniera ingannevole ed omissiva informazioni rilevanti circa le modalità di preventivazione e distribuzione dei servizi assicurativi e polizze RC Auto ”, avendo così indotto i consumatori ad assumere decisioni di natura commerciale che non avrebbero altrimenti assunto, giungendo quindi alla conclusione che siffatta condotta avesse natura ingannevole e/o omissiva, in quanto caratterizzata da “ assenza di indicazioni sul trasferimento di dati del cliente, che richiede un preventivo per una polizza RC Auto via APP Telepass, dalla Compagnia assicurativa alla stessa Telepass, la quale ne [avrebbe fatto] un uso commerciale ”, come pure dall’assenza di indicazioni circa “ i criteri, i parametri di riferimento e le procedure di scelta ” sulla cui base “ Telepass e TB propon [evano] il preventivo RC Auto definito «migliore» ” (così negli atti di avvio del procedimento e nel provvedimento conclusivo oggetto di impugnazione principale nel giudizio di primo grado).

Nel corso del procedimento svolto dall’Autorità, in seguito ai richiamati atti di avvio del 12 giugno 2020, le parti incolpate hanno presentato memoria in data 2 luglio 2020 e svolto un’audizione il successivo 29 luglio 2020. In data 18 gennaio 2021 l’Autorità notificava alle società coinvolte la comunicazione del termine di conclusione della fase istruttoria confermando sostanzialmente le contestazioni già mosse in sede di avvio, alle quali tornavano a replicare le ridette società con memoria depositata l’8 febbraio 2021 intendendo dimostrare: a) la piena legittimità del proprio operato;
b) le ragioni per cui, nella specie, non era possibile configurare alcuna condotta illecita ai sensi del Codice del consumo;
c) l’assenza di reclami da parte di consumatori in merito ai profili oggetto dell’istruttoria;
d) (in via subordinata) la presenza dei presupposti che consentivano, in ogni caso, di non irrogare alle società Telepass e Tb alcuna sanzione ovvero una sanzione meramente simbolica, tenuto altresì conto del carattere di novità che rivestivano gli addebiti oggetto del procedimento.

Sempre nel corso del procedimento le società incolpate depositavano il 21 luglio 2020 una prima proposta di impegni, ai sensi dell’art. 27, comma 7, del Codice del consumo, nonché dell’art. 9 del Regolamento di procedura, che però veniva respinta dall’Autorità in data 20 ottobre 2020. Seguiva la presentazione di un atto di precisazione delle misure, con istanza del 4 dicembre 2020, ma in data 18 gennaio 2021, l’Autorità comunicava a Telepass e Tb l’intenzione di rigettare la suddetta istanza di riesame, ritenendo che “ dalla stessa non emerg [essero] elementi nuovi, di fatto o di diritto, che consent [issero] di rivedere le proprie determinazioni ” e che, in ogni caso, sussistesse “ l’interesse dell’Autorità a procedere all’accertamento dell’eventuale infrazione ”.

La procedura si concludeva con l’adozione del provvedimento n. 28601 del 9 marzo 2021 con il quale l’Autorità, pur accantonando le contestazioni per la presunta violazione dell’art. 20 del Codice del consumo, riteneva responsabili entrambe le società per le ulteriori condotte contestate in sede di avvio dell’istruttoria e, in particolare, riteneva (tenendo conto dei capi di incolpazione descritti, rispettivamente, ai parr. 50 e 57-58, che qui di seguito vengono riprodotti per stralci):

A) in relazione alla Condotta A, che Telepass e Tb, “ nell’esercizio dell’attività di collocamento di servizi assicurativi per conto delle compagnie con le quali hanno concluso contratti di distribuzione delle polizze RC Auto, [hanno ricevuto] , senza che il consumatore ne sia adeguatamente informato, flussi di informazioni attinenti ai dati dell’utente che richiede il preventivo. Il processo di condivisione di tali informazioni tra le società del Gruppo Telepass e le Compagnie/Intermediari di assicurazione [è avvenuto] senza che i potenziali aderenti ai preventivi delle polizze proposte [venissero] adeguatamente informati sulla raccolta e sul modo con cui i loro dati vengono utilizzati dalle società interessate, anche a fini commerciali ” (§ 50 del provvedimento sanzionatorio);

B) in relazione alla Condotta B, che Telepass e Tb non avrebbero fornito indicazioni chiare sulle modalità, sulle procedure e sui parametri di riferimento e di selezione del preventivo RC Auto proposto (§§ 57-58 del provvedimento sanzionatorio).

L’acclaramento delle condotte illecite imputate alle società, per come sopra sinteticamente descritte, determinava l’irrogazione, in solido tra le stesse, di una sanzione amministrativa pecuniaria di due milioni di euro, oltre al divieto di diffusione o continuazione delle condotte illecite in questione.

3. – Le società Telepass e Tb proponevano ricorso dinanzi al TAR per il Lazio chiedendo l’annullamento del suddetto provvedimento sanzionatorio di AGCM.

In quella sede le due società deducevano 4 motivi di censura così sinteticamente ricostruibili:

a) con il primo motivo le società contestavano l’illegittimità del provvedimento sia per talune incompatibilità con la normativa UE in materia di privacy , sia per aver erroneamente reputato sussistere i presupposti necessari a configurare una violazione del Codice del consumo;

b) il secondo motivo prospettava l’illegittimità del provvedimento per violazione delle competenze e prerogative del Garante privacy nonché per la violazione del principio di leale collaborazione;

c) con il terzo era denunciata l’assenza di ingannevolezza nella condotta contestata dall’Autorità la quale, peraltro, incorrendo quindi in una ulteriore illegittimità, aveva attribuito una “nuova” condotta a carico delle parti configurandola solo nel provvedimento finale, così incorrendo in una evidente violazione del diritto di difesa;

d) il quarto motivo, che era dedotto in subordine rispetto alle contestazioni sostanziali sopra riassunte, ineriva alla illegittima quantificazione della sanzione.

Nel corso del procedimento di primo grado, oltre all’AGCM che contestava puntualmente le prospettazioni sostenute dalle società ricorrenti, si costituiva in giudizio l’Autorità garante per la protezione dei dati personali che si doleva, seppure come circostanza non idonea a compromettere la legittimità della procedura svolta e del provvedimento conclusivo, del proprio mancato coinvolgimento nell’istruttoria sviluppata dall’AGCM nel caso in esame, sussistendo tutti i presupposti che deponevano per la necessaria presenza dell’Autorità garante nel percorso repressivo sanzionatorio che ha visto quali parti incolpate Telepass e Tb in ragione delle contestazioni loro mosse.

Nel giudizio di primo grado interveniva ad opponendum anche l’ANAPA, sostenendo la legittimità del procedimento curato da AGCM e del provvedimento conclusivo.

Il TAR per il Lazio, con la sentenza n. 603/2023, respingeva il ricorso in quanto:

a) dovevano considerarsi puntualmente confermate le condotte illecite per come adeguatamente descritte e comprovate negli atti istruttori della procedura svolta dall’Autorità e, quindi, specificamente ribadite nel provvedimento finale con le indicazioni utili ai fini probatori;

b) andava escluso, nella specie, l’indispensabile coinvolgimento nell’attività repressivo sanzionatoria di AGCM dell’Autorità garante per la protezione dei dati personali, poiché nella specie “ il collegamento con l'informativa sulla privacy è solo incidentale e non è dirimente al fine di giudicare della legittimità dei comportamenti contestati . Nel caso di specie rileva l’omissione di informazioni essenziali per consentire ai consumatori il libero e consapevole esercizio delle proprie scelte negoziali, in quanto il piano attinente alla tutela della privacy e, di risulta, la corrispondente competenza del Garante per la protezione dei dati personali costituiscono aspetti del tutto autonomi ” e quindi “ non sussisteva alcun obbligo di legge di interpellare il Garante, in quanto non si trattava di richiedere un parere obbligatorio nell'ambito di un settore regolato, ai sensi dell’articolo 27, comma 1-bis del Codice del Consumo ” (così, testualmente, alle pagg. 6 e 7 della sentenza qui oggetto di appello);

c) andava anche esclusa la violazione del diritto di difesa delle società incolpate, provocato dall’introduzione nel provvedimento finale di condotte rilevanti mai contestate prima nell’atto di avvio (a parere delle due società), in quanto “ è fisiologico che l’Autorità, in sede di avvio del procedimento, indichi all’operatore i profili generali della condotta “incriminata”, salvo poi declinare, nella dialettica procedimentale, i vari aspetti specifici attraverso i quali si manifesta la condotta sleale ” (così ancora, testualmente, a pag. 9 della sentenza qui oggetto di appello);

d) infine il provvedimento si presentava adeguatamente motivato con riferimento alla individuazione dell’entità della sanzione irrogata, che si manifestava anche congrua.

4. – Propongono ora appello le società Telepass e Tb chiedendo la riforma della sentenza di primo grado, stante l’erroneità della decisione assunta dal primo giudice, oltre all’accoglimento del ricorso in quella sede proposto e il conseguente annullamento del provvedimento sanzionatorio adottato dall’Antitrust. Le società appellanti prospettavano, quindi, cinque traiettorie contestative che, qui di seguito, si sintetizzano (riproponendo la sintesi del loro contenuto per come descritta nell’atto introduttivo del presente giudizio di secondo grado dalle stesse società appellanti):

I) Error in iudicando: violazione e falsa applicazione degli artt. 21 e 22, commi 1 e 2, d.lgs. 206/2005 e della direttiva 2005/29/CE. Carenza dei presupposti. Violazione e falsa applicazione degli artt. 12, 13 e 14 del Regolamento (UE) 2016/679. Violazione degli artt. 13, comma 2, e 41 della direttiva 2002/58/CE e delle corrispondenti norme di trasposizione. Violazione degli artt. 5 e 6 della direttiva (UE) 2015/153. Eccesso di potere per carenza istruttoria, irragionevolezza, contraddittorietà e difetto di motivazione. Violazione dei principi di certezza del diritto e proporzionalità. Va in primo luogo considerato, sostengono Telepass e Tb, che dapprima l’Autorità nell’adottare il provvedimento sanzionatorio principalmente impugnato in primo grado e, quindi, il TAR per il Lazio nel ritenerlo legittimo, hanno erroneamente posto su un piano di aprioristica irrilevanza il complesso normativo nazionale ed eurounionale che disciplina la protezione e la circolazione dei dati personali in quanto: a) per un verso, hanno (erroneamente) ritenuto che le informazioni, pur chiare e complete, rese da Telepass e Tb nell’informativa privacy , non sono state da sole sufficienti a porre i consumatori nella condizione di adottare una scelta economica consapevole, poiché si sarebbe resa necessaria una ulteriore informativa e ciò anche se l’unica attività effettuata sia stata quella di c.d. “soft spam”;
b) sotto altro profilo, a voler seguire l’interpretazione della Direttiva PCS – di armonizzazione completa – come applicata dall’AGCM, si giungerebbe all’esito paradossale (ed incongruo sul piano sistematico) per cui tutte le imprese che commercializzano beni e/o servizi nei 27 Stati dell’Unione europea attraverso una piattaforma online (ovvero tramite app e/o il proprio sito web ) sarebbero tenute ad integrare l’informativa privacy con ulteriori non precisati elementi informativi. Il tutto, peraltro, in un contesto di assoluta imprevedibilità giuridica, quanto meno in caso di trattamento dei dati dei consumatori per una (legittima e normata) finalità di direct marketing , che, come noto, è una delle principali tematiche normate nelle informative privacy . Sul punto non può non rilevare la posizione (anche nel presente processo) assunta dall’Autorità garante per la protezione dei dati personali (d’ora in poi, per brevità, Garante privacy), il quale è intervenuto nel corso del giudizio di primo grado sia al fine di rivendicare le proprie prerogative in materia di trattamento dei dati personali sia allo scopo di informare di aver già esaminato la stessa condotta contestata nel provvedimento sanzionatorio impugnato, accertando la liceità del comportamento di Telepass. Ad ogni modo le società appellanti formulano proposta di pregiudiziale eurounitaria, ai sensi dell’art. 267 TFUE, avente ad oggetto il seguente (complesso) quesito: “ dica la Corte se il regolamento (UE) n. 2016/679 e, segnatamente, i suoi articoli 12, 13 e 14, che prevede una disciplina di armonizzazione completa direttamente applicabile, nonché le conferenti disposizioni di cui alla direttiva 2002/58/CE e, segnatamente, il suo art. 41, ostano a una applicazione degli articoli 21 e 22 del Codice del Consumo di cui al d.lgs. 206/2005 – che traspongono gli articoli 6 e 7 della direttiva 2005/29/CE – quale quella effettuata dall’Autorità Garante della Concorrenza e del Mercato nel provvedimento impugnato, secondo cui sarebbe ipotizzabile un’omissione informativa ingannevole in una situazione in cui - in assenza peraltro di qualsivoglia attività di ‘patrimonializzazione’ da parte dell’impresa di cui trattasi - è acquisito che: a) l’asserita omissione ha ad oggetto informazioni attinenti al trattamento dei dati personali dell’interessato, quale il c.d. “ soft spam ”; b) tali informazioni sono state effettivamente comunicate all’interessato nell’ambito dell’informativa privacy resa all’interessato medesimo in vista della possibile fruizione del servizio di cui trattasi ”;

II) Error in iudicando: assenza dei presupposti per contestare una pratica commerciale scorretta. Violazione e falsa applicazione degli artt. 21 e 22, commi 1 e 2, d.lgs. 206/2005 e della direttiva 2005/29/CE. Violazione e falsa applicazione degli artt. 12, 13 e 14 del Regolamento (UE) 2016/679. Violazione degli artt. 13, comma 2, e 41 della direttiva 2002/58/CE e delle corrispondenti norme di trasposizione. Violazione degli artt. 5 e 6 della direttiva (UE) 2015/153. Eccesso di potere per carenza istruttoria, irragionevolezza e contraddittorietà. Difetto assoluto di motivazione su elementi decisivi dell’accertamento. Travisamento dei fatti. Il giudice di primo grado, erroneamente, non ha colto il difetto di motivazione e il travisamento dei fatti in cui è incorsa l’Autorità che, nel configurare l’esistenza di un’asserita pratica commerciale scorretta, non ha minimamente preso in considerazione il modello di business concretamente adottato da Telepass. Infatti, per come emerge da una semplice lettura del provvedimento sanzionatorio principalmente impugnato in primo grado, l’unico cenno di motivazione in argomento si rinviene nella parte in cui (in corrispondenza del paragrafo 52) richiamando un caso precedentemente affrontato (procedimento PS11112, Facebook-Condivisione dati con terzi , parzialmente confermato dalle sentenze del TAR Lazio del 10 gennaio 2020 nn. 260 e 261), l’Autorità fa riferimento alla circostanza che “ le società adottano un processo di ‘patrimonializzazione’ dei dati assoggettati a sfruttamento economico, di cui l’utente finale deve venire a conoscenza ”. Tuttavia nel caso che qui interessa l’AGCM non ha espresso alcuna descrizione del processo di “patrimonializzazione” asseritamente svolto da Telepass, senza poi dimenticare che il precedente segnalato dall’Autorità si presenta decisamente diverso da quello qui in esame e ciò in ragione di circostanze obiettive che l’Autorità non contesta e che la stessa Autorità e il TAR hanno omesso di considerare;

III) Error in iudicando: violazione delle competenze e delle prerogative del Garante per la protezione dei dati personali (violazione del combinato disposto del comma 1, lett. a) e f) ovvero del comma 4 dell’art. 154 d.lgs. 30 giugno 2003, n. 196 e dell’art. 27, comma 1- bis del Codice del consumo). Violazione dei principi di buon andamento dell’azione amministrativa e di leale collaborazione. La sentenza qui oggetto di appello si pone in evidente contraddizione – e prima di essa il provvedimento sanzionatorio impugnato – con l’art. 27, comma 1- bis , del Codice del consumo, dal quale discende il principio per cui nei settori regolati la competenza dell’AGCM ad intervenire nei confronti delle condotte dei professionisti integranti una pratica commerciale scorretta deve essere esercitata “ acquisito il parere dell'Autorità di regolazione competente ”. Nel caso di specie è mancata, nel corso del procedimento concluso con il provvedimento sanzionatorio impugnato, l’acquisizione del parere del Garante privacy, essendo indubbio che lo stesso si rendesse necessario al cospetto della contestazione di un comportamento anticonsumeristico che deriva proprio da un’asserita condotta violativa del trattamento di dati personali e quindi delle disposizioni recate dal d.lgs. 196/2003 (Codice in materia di protezione dei dati personali);

IV) Error in iudicando: violazione e falsa applicazione degli artt. 21 e 22, commi 1 e 2, del Codice del consumo. Eccesso di potere per carenza istruttoria, irragionevolezza, errata qualificazione delle condotte oggetto del provvedimento. Violazione del contradditorio e del principio di legittimo affidamento. Nel corso del primo grado di giudizio le società oggi appellanti avevano ampiamente dimostrato l’assenza dell’ingannevolezza della condotta rispetto alla comunicazione di informazioni asseritamente insufficienti sui partner commerciali di Telepass e sulle modalità di individuazione del preventivo proposto al consumatore, ma ciò – erroneamente - non è stato condiviso dal primo giudice. Né è stata rilevata la violazione del diritto di difesa e del principio del contradditorio, in quanto la contestazione in merito alla sussistenza di un’opzione commerciale a favore di particolari partner in sede di rinnovo della polizza era contenuta solo nel provvedimento conclusivo e la relativa questione non era stata avanzata dall’Autorità all’avvio della procedura contestativa, come invece avrebbe dovuto fare, minando quindi, irreparabilmente, il diritto di difesa delle società incolpate;

V) Error in iudicando: in via subordinata, violazione e falsa applicazione dell’art. 27, comma 9, del Codice del consumo e violazione dell’art. 11 della l. 689/1981. Eccesso di potere e violazione del principio di proporzionalità. L’ultima censura inerisce alla contestazione dell’entità della sanzione pecuniaria inflitta, ritenendosi la stessa illogica e del tutto sproporzionata e senza che siano stati adeguatamente espressi i criteri in base ai quali si è giunti ad individuare l’ammontare della sanzione dovuta.

5. – Si è costituita in giudizio l’Autorità garante della concorrenza e del mercato contestando analiticamente le avverse prospettazioni e chiedendo la reiezione dell’appello.

L’Autorità ha sostenuto la piena correttezza della procedura svolta e per contro l’assoluta infondatezza dei motivi di censura (nuovamente) dedotti nel grado di appello.

Si è costituito nel presente giudizio di appello anche il Garante privacy (intervenuto nel corso del giudizio di primo grado) che ha anzitutto segnalato l’esistenza di un errore “strutturale” nella sentenza qui oggetto di appello, in quanto il Garante per la protezione dei dati personali è autorità generalista preposta alla tutela trasversale di un diritto fondamentale e non un’Autorità regolatoria di settore.

Fermo quanto sopra la difesa del Garante privacy ha sottolineato come il mancato coinvolgimento dell’Autorità nella vicenda qui in questione si pone come una evidente violazione del principio di leale collaborazione fra amministrazioni, imponendosi il rispetto del principio di coordinamento delle competenze poste in capo ad Autorità soprattutto nei casi, non infrequenti, in cui la condotta illecita contestata a soggetti che avrebbero violato discipline di settore alle quali sono preposte distinte Autorità possa attivare più apparati sanzionatori e dunque plurimi procedimenti di irrogazione.

Pur “evitando di entrare nel merito specifico della richiesta di annullamento” (così, testualmente, a pag. 10 dell’atto di costituzione), il Garante privacy, conclusivamente, “ non può non rimarcare che mentre l’Autorità garante della concorrenza e del mercato ha previamente audito il parere della Autorità per le garanzie nelle comunicazioni e dell’IVASS, non ha ritenuto di richiedere il parere del Garante per la protezione dei dati personali, in una fattispecie che nei suoi tratti tipologici rientra pienamente nella previsione di cui all’art. 130 Codice privacy e che attiene alla “libera circolazione dei dati” da chi li ha raccolti verso soggetti terzi. Si tratta dunque di fattispecie che sia in astratto che in concreto ricadeva sotto la vigilanza del Garante ” (così ancora, testualmente, a pag. 10 dell’atto di costituzione).

E’ intervenuta, infine, ad opponendum , l’Associazione nazionale agenti professionisti di assicurazione rete impresagenzia – ANAPA, che in veste di soggetto che aveva segnalato all’AGCM la condotta illecita tenuta dalle due società instava per la reiezione dell’appello proposto da Telepass e da Tb.

Le parti hanno quindi depositato memorie, anche di replica, confermando le conclusioni già rassegnate negli atti processuali precedentemente prodotti.

6. – Ritiene il Collegio che la questione contenziosa da esaminare in via preliminare sia costituita dal mancato coinvolgimento del Garante privacy nella procedura svolta dall’AGCM che ha condotto all’adozione del provvedimento sanzionatorio principalmente impugnato in primo grado anche perché, laddove la relativa censura (la terza nell’elenco dei motivi di appello dedotti in questo grado di giudizio e più sopra elencati) dovesse rivelarsi fondata, l’effetto sarebbe costituito dall’inevitabile annullamento del ridetto provvedimento sanzionatorio, indipendentemente dallo scrutinio degli ulteriori motivi di appello, la cui valutazione ne resterebbe logicamente assorbita.

Occorre prendere le mosse dall’oggetto delle condotte anticonsumeristiche contestate alle due società oggi appellanti dall’AGCM allo scopo di evidenziare, nello specifico, le modalità comportamentali che le hanno caratterizzate.

Le condotte che hanno provocato l’adozione del provvedimento sanzionatorio principalmente impugnato in primo grado sono di due tipologie (ved. il par. 5 del provvedimento sanzionatorio):

A) in un primo caso la condotta (sostenuta come contraria al Codice del consumo) delle due società si sostanzierebbe nell’assenza di informativa circa la gestione, la conservazione e il trasferimento dei dati dei clienti dalle compagnie assicurative partner a Telepass, la quale quindi ne ha potuto fare un uso commerciale;

B) in un secondo caso la condotta (anch’essa ritenuta contraria al Codice del consumo) è costituita dall’assenza di indicazioni sulle modalità, sulle procedure, sui parametri di riferimento e di selezione del preventivo RC Auto proposto ai clienti. L’operazione anticonsumeristica si sostanzierebbe nell’avere enfatizzato la particolare facilità e convenienza della proposta effettuata attraverso l’APP, senza indicare i criteri, i parametri di riferimento e le procedure di scelta della compagnia e del preventivo proposto.

La vicenda in estrema sintesi e limitando il presente approfondimento alle sole questioni che ridondano sul “trattamento dei dati personali” del consumatore, può riassumersi come segue (tenendo con di quanto indicato nei paragrafi illustrativi che compongono il provvedimento sanzionatorio impugnato):

- si verte in materia di predisposizione di preventivi di polizze RC auto attraverso la App di Telepass, con la messa a disposizione di un servizio, espressamente dichiarato “semplice e veloce”, per la particolare utenza composta dai clienti titolari di un contratto di “Telepass Family ” o “Telepass Viacard”, pubblicizzato sulla stessa App ovvero sul sito di Telepass, grazie al quale, attraverso alcune fasi guidate (in particolare la richiesta e la fornitura del preventivo), il cliente poteva decidere di aderire alla polizza preventivata;

- la preventivazione, la sottoscrizione e il pagamento dei premi della polizza assicurativa RC Auto si svolgono unicamente tramite la APP Telepass. Nella medesima APP il servizio era pubblicizzato come segue: “ Assicurazione RC Auto Non ti ricordi la data di scadenza della tua polizza? Devi rinnovare e non trovi tutte le informazioni per richiedere il preventivo? Con il servizio RC Auto di Telepass hai un modo semplice e veloce per rinnovarla: ti basta aprire la tua APP Telepass e in pochi semplici passi potrai visualizzare il preventivo e acquistarla, con addebito sul conto Telepass. Inoltre, hai sempre uno sconto su misura per te ”;

- l’Autorità pone l’attenzione sulla circostanza che il consumatore, nel corso dell’intera procedura digitale, sebbene tramite l’APP Telepass procedesse all’adempimento degli obblighi informativi privacy e ai fini del rispetto della regolazione IVASS, non era informato in merito alla raccolta e all’utilizzo a fini commerciali dei suoi dati, che Telepass otteneva (di volta in volta) dalle compagnie assicurative in fase di preventivo. L’utente interessato al preventivo RC Auto veniva reso edotto di tale acquisizione di dati (e, peraltro, limitatamente ai dati inerenti ai dati anagrafici, ai dati del veicolo (la marca), il modello, la tipologia, la classe e il codice dell’apparato Telepass associato alla targa del veicolo, nonché gli estremi bancari (codice IBAN), e l’attestato di rischio degli ultimi dieci anni) soltanto all’interno della c.d. informativa privacy , cui veniva fatto meramente rinvio all’inizio del funnel di preventivazione e, in particolare, della circostanza che le società raccoglievano e trattavano le informazioni minime necessarie per il calcolo del preventivo;

- con particolare riferimento all’attività di acquisizione e di raccolta dei dati dei clienti durante la preventivazione e il collocamento delle polizze, è emerso che Telepass disponesse già di tutti i dati del titolare del contratto del dispositivo Telepass, inclusi i dati fiscali e bancari del cliente e della e-mail ;

- è stato comprovato in atti che le società Telepass e Telepass Broker e le Compagnie di assicurazioni partner condividessero un data base dedicato per la gestione e l’acquisizione dei dati assicurativi, separato rispetto alla piattaforma attraverso la quale Telepass gestiva i dati degli utenti titolari dei dispositivi per i servizi di pagamento in mobilità (es. transiti, parcheggi, ecc.). Nel data-base insurance erano quindi ospitate tutte le informazioni dei clienti che avevano stipulato una polizza assicurativa o salvato un preventivo;

- quindi le informazioni condivise dai due data base , quello di Telepass e quello dedicato alla preventivazione assicurativa sono così descrivibili: a) la targa del cliente Telepass, b) la data di nascita dell’intestatario del contratto Telepass, c) il suo indirizzo di residenza. I dati venivano conservati per le finalità connesse alla valutazione del rischio, alla definizione del preventivo economico e al miglioramento del servizio e venivano trattati sino alla soddisfazione della richiesta del cliente e per il periodo prescrizionale applicabile. Nel caso di mancato perfezionamento del contratto assicurativo all’atto della ricezione del preventivo, i dati dei clienti venivano conservati per un periodo di 15 giorni, mentre per finalità di marketing i dati erano mantenuti per i 13 mesi successivi alla cessazione del rapporto, salva la previa opposizione espressa;

- dalle risultanze dell’indagine di AGCM e di quanto sopra si è segnalato, emerge l’esistenza di una condivisione di dati tra le società Telepass, Tb e le Compagnie assicurative al fine di fornire il preventivo richiesto mediante l’algoritmo di selezione della polizza più conveniente, grazie alla fornitura di informazioni attraverso il data base insurance gestito dalla società Telepass;

- lo scambio di informazioni era garantito attraverso accordi commerciali con due principali società di intermediazione assicurativa società partner , che operavano in qualità di intermediari collocando polizze, in prevalenza RC Auto (di non individuate compagnie emittenti) “ attraverso tecniche di comunicazione a distanza ”. Il controllo e la gestione del prodotto assicurativo venivano esercitati dai partner della società Tb (questi individuati) che operavano quali produttori assicurativi. Questi ultimi, congiuntamente con la compagnia emittente, identificavano per singolo prodotto il gruppo di clienti a cui il tipo prodotto avrebbe potuto adattarsi, tenendo conto delle caratteristiche di ogni strumento assicurativo. La società Tb, in siffatto contesto, utilizzava meccanismi di distribuzione coerenti con la strategia suggerita dalle società assicuratrici partner , adottando procedure volte a monitorare costantemente il prodotto assicurativo, favorendone la revisione periodica e fornendo ai rispettivi partner assicurativi le informazioni necessarie a valutare le esigenze dei clienti (potenziali contraenti assicurativi). Le partership di Telepass e Tb come altre intese commerciali, si è appurato inoltre, sono state estese nel corso del tempo a numerose altre società del settore delle polizze RC auto.

Il sistema appena descritto ha avuto un sicuro successo sia sotto il profilo del numero delle polizze RC auto stipulate con detto meccanismo sia sotto il profilo del fatturato ricavato. Tale duplice aspetto positivo è stato puntualmente descritto, ai paragrafi 37 e 38 del provvedimento sanzionatorio, dall’AGCM, che nello specifico ha riferito, testualmente, quanto segue:

A) (par. 37) “ Dal mese di giugno 2019 a maggio 2020, risulta che il numero di preventivi richiesti è aumentato a livello mensile da [7.500-30.000] (giugno 2019) a [50.000-100.000] (maggio 2020);
il numero di Polizze distribuite è incrementato a livello mensile da [0-1.000] (giugno 2019) a [1.000-10.000] (maggio 2020), con una crescita del rapporto Polizze distribuite/preventivi richiesti da [0%-5%] nel giugno 2019 [1%-10%] nel maggio 2020 ”;

B) (par. 38). “ A livello mensile, i premi RC Auto relativi alle polizze intermediate, al lordo delle tasse e del contributo SSN, dal mese di giugno 2019 al mese di maggio 2020, sono saliti da [0-50.000] a [100.000-5.000.000], con un aumento delle commissioni percepite da Telepass Broker nel periodo interessato da [€0-€10.000] a [€10.000-€500.000], registrando una crescita delle commissioni a favore di TB in percentuale sui premi lordi da [0%-10%] nel giugno 2019 a [0%-10%]29 nel maggio 2020 ”.

7. – Orbene, riepilogate come sopra, succintamente, le condotte contestate come anticonsumeristiche alle due società oggi appellanti dall’AGCM, con particolare riferimento ai comportamenti che davano evidenza al trattamento dei dati riferiti ai clienti titolari di un contratto di “Telepass Family ” o “Telepass Viacard”, che costituivano il parterre dei consumatori ai quali si rivolgevano i meccanismi di proposta di preventivazione e di successiva stipulazione di polizze RC auto, è non contestato:

- che quelle sopra descritte fossero le condotte poste in essere dalle due società;

- che nel corso dell’istruttoria l’AGCM non ha ritenuto di dover ricevere alcun parere dal Garante privacy, ritenendo invece di acquisire, ai sensi dell’art. 27, comma 6, del Codice del consumo, quello dell’Autorità per le garanzie nelle comunicazioni e, ai sensi dell’art. 27, comma 1- bis , del ridetto Codice, quello dell’IVASS - Istituto per la vigilanza sulle assicurazioni, che venivano resi, rispettivamente, il 4 marzo 2021 e il 5 marzo 2021.

A fronte della specifica contestazione (nell’atto di appello corrispondente al terzo motivo) da parte di Telepass e di Tb del mancato coinvolgimento del Garante privacy, in quanto doveroso perché la vicenda atteneva a questione riferibile al trattamento di dati personali e, quindi, del rilievo che tale deficit procedurale costituisse una fonte di illegittimità della intera procedura e del provvedimento sanzionatorio conclusivo, la difesa erariale nelle memoria depositata nel fascicolo digitale del presente processo ha confermato la correttezza della procedura svolta da AGCM, fondando tale assunto sulle seguenti considerazioni:

a) il punctum pruriens della vicenda consiste nella contestazione, a carico di Telepass e di Tb, di una condotta anticonsumeristica che si sostanzia nell’avere ricevuto, senza che il consumatore ne fosse adeguatamente informato e nell’ambito dell’attività di collocamento di servizi assicurativi per conto delle compagnie partner , flussi di informazioni attinenti ai dati dell’utente che richiedeva il preventivo di una polizza RC auto, peraltro spinto alla richiesta dall’enfatizzata informazione della convenienza e semplicità della procedura di accensione della ridetta polizza;

b) ne consegue che l’AGCOM ha circoscritto l’ambito di valutazione dell’operato imputato alle due società nella misura in cui la surriferita condotta si presentasse violativa delle regole e delle tutele derivanti dalle norme del Codice del consumo, assumendo che le modalità con le quali le informazioni relative al trattamento dei dati personali erano state portate a conoscenza dei consumatori fossero tali da indurre in errore il consumatore e ciò in disparte da qualsiasi valutazione in merito alla correttezza o meno dell’informativa resa ai sensi del Regolamento europeo privacy o del Codice italiano privacy e senza operare alcuna contestazione sulla correttezza del trattamento dei dati con riferimento alle norme di detto specifico settore da parte dei due “professionisti”;

c) tanto meno l’Autorità ha inteso contestare la correttezza dell’informativa ai sensi del Regolamento n. 679/2016, concentrando invece lo scrutinio sulla condotta e, in particolare, esclusivamente sulle modalità con le quali le relative informazioni erano state portate a conoscenza dei consumatori (tardivamente e con inadeguata evidenza) in contrasto, così, con gli obiettivi di prudenza e cautela dei diritti della clientela per come discendono dalle norme del Codice del consumo;

d) siffatta modalità di indagine, sviluppata nella specie dall’Autorità, consegue dalla condizione di naturale complementarità che caratterizza il rapporto tra la disciplina volta alla tutela del consumatore e quella che inerisce alla tutela della c.d. privacy , come del resto è stato ben sottolineato nella sentenza di primo grado qui oggetto di appello e come rimbalza evidente anche dal contenuto sostanziale delle censure dedotte dalle due società nei confronti del provvedimento sanzionatorio impugnato, sebbene esse tentino (anche nel secondo grado di giudizio) di confondere il rapporto di complementarietà appena espresso in un inesistente rapporto di alternatività tra i settori in questione.

In conclusione, ad avviso della difesa dell’AGCOM (si vedano, in particolare, le pagg. 4, 5, 6 e 7 della memoria difensiva):

1) “ il rispetto di uno dei due plessi normativi non si traduce necessariamente nel rispetto dell’altro, come pretenderebbero in concreto le Appellanti quando sottolineano (incessantemente) di aver rispettato la disciplina in materia di privacy, come se ciò solo bastasse ad escludere una violazione del codice del consumo. A ben vedere, infatti, le Società non si preoccupano di rispondere alla preoccupazione concreta sottesa all’accertamento dell’Autorità, relativa all’impatto della pratica commerciale sul livello di consapevolezza del consumatore nel momento in cui assume una decisione commerciale, curandosi esclusivamente di riaffermare la conformità della propria condotta alla disciplina specifica dettata dal GDPR ”;

2) ma l’eventuale compatibilità della condotta mantenuta dai due professionisti con la disciplina della tutela dei dati personali non conta, nello scenario di indagine e di valutazione operato da AGCOM, in quanto circostanza “ che alle condotte poste in essere dalle ricorrenti sia applicabile la normativa sulla privacy non le esonera dal rispettare le norme in materia di pratiche commerciali scorrette ”, essendo diversi gli obiettivi di tutela, visto che “ la disciplina della privacy garantisce la protezione dei dati personali, definiti come informazioni relative ad una persona (fisica o giuridica), allo scopo di tutelare dette posizioni giuridiche che si qualificano, quali diritti fondamentali della persona umana attinenti alla vita privata dell’individuo. La disciplina sulle pratiche commerciali scorrette, diversamente, intende tutelare il consumatore rispetto al compimento di scelte economiche indotte da pratiche ingannevoli e aggressive, che non trovano regolazione in specifiche discipline ”;

3) la disciplina di tutela consumeristica e la disciplina di tutela dei dati personali delle persone fisiche ben possono “sopportare” che la medesima condotta possa essere rilevante per l’una ovvero per l’altra disciplina ma, al tempo stesso, ciò non esclude che una condotta possa rilevare con riguardo alla compatibilità o meno con una sola delle due normative. Tanto ciò è possibile in quanto “(…) le due discipline hanno diversi obiettivi di tutela, che si pongono in rapporto di complementarità e, conseguentemente, la valutazione circa la conformità di una condotta ai due plessi normativi deve essere condotta alla luce delle disposizioni e dei parametri che ciascuna normativa prevede . In altri termini, dal momento che è pacifico (…) che il codice del consumo si applichi all’attività svolta da Telepass, è evidente che il parametro da utilizzare per verificare la legittimità della condotta ai sensi di tale disciplina non possono che essere le norme del codice del consumo e i criteri interpretativi adottati in tale ambito, così come avallati dalla giurisprudenza amministrativa, e non le norme del GDPR, che, infatti l’Autorità non ha applicato ”;

4) del resto il sopra illustrato principio di autonomia tra i settori oggetto di tutela di distinte discipline normative è condiviso sia dalla giurisprudenza amministrativa che da quella della Corte di giustizia UE, avendo quest’ultima ribadito in un noto precedente proprio in materia di c.d. privacy , che “ le autorità di controllo (…) , da un lato, e le autorità nazionali garanti della concorrenza, dall’altro, esercitano funzioni diverse e perseguono obiettivi e compiti ad esse propri ”. Da ciò deriva anche la non necessità di sottoporre la questione, in via pregiudiziale, alla Corte di giustizia UE.

8. – Nel costituirsi in giudizio nel presente grado di appello, il Garante privacy, pur non intendendo prendere posizione circa la necessità di annullare o meno il provvedimento sanzionatorio assunto dall’AGCM nei confronti delle società Telepass e Tb e circoscrivendo la propria richiesta conclusiva all’affermazione, da parte di questo Consiglio di Stato, del “ principio, pienamente rispettoso delle rispettive competenze, della necessaria leale collaborazione fra Autorità il cui compasso regolatorio è suscettibile di coprire casi e situazioni che si sovrappongono ” (così, testualmente, a pag. 15 della memoria di costituzione depositata dalla difesa del Garante privacy), ha nondimeno inteso puntualizzare con forza che:

a) sulla scorta di fonti europee (art. 8 del Trattato di Nizza e art. 16 TFUE nonché degli’ artt. 51, 57 e 58 del Regolamento europeo sul trattamento dei dati personali n. 679/2016) e nazionali (art. 153 e ss. del Codice della privacy italiano), è acclarato e indiscutibile che spetti al Garante privacy “ verificare se un determinato trattamento – e quanto ad esso è connesso – sia oppure no conforme all’articolato plesso normativo vigente e rappresentato, in primis (per via della sua posizione gerarchica), dal citato RGDP, dal c.d. Codice privacy (D.Lgs. 196/2003) e dai provvedimenti di natura regolamentare che, in base alla legge, il Garante è legittimato ad emanare ” (così, testualmente, a pag. 6 dell’atto di costituzione del Garante), così determinandosi una indubbia “ primazia dei poteri del Garante ”;

b) in siffatto quadro normativo europeo e nazionale “ il Garante ha come mandato euro-unitario non solo la protezione dei diritti individuali nella elaborazione dei dati personali (e dunque nella autodeterminazione informativa del singolo), ma anche la “libera circolazione dei dati”, che non a caso è scolpita nel titolo della legge europea, fin dalla Direttiva 46/1995. E pertanto ogni qualvolta si esplichino poteri istruttori, ispettivi, conformativi o sanzionatori suscettibili di incidere su tale “libera circolazione” il ruolo del Garante è necessariamente chiamato in causa ” (così, testualmente, a pag. 7 dell’atto di costituzione del Garante);

c) a ciò si aggiunga che in numerose discipline settoriali (credito, telecomunicazioni, società dell’informazione, consumatori) la regolazione della protezione dei dati personali gioca un ruolo essenziale se non anche primario. Si pensi, per restare al settore consumeristico, alla previsione della “ L. 106/2011 (Legge per il Semestre Europeo dell’Italia) di conversione del D.L. 70/2011 ha aggiunto all’art. 67-sexiesdecies del Codice del Consumo (dedicato alle “Comunicazioni non richieste”) un comma 3-bis secondo cui “ È fatta salva la disciplina prevista dall'articolo 130, comma 3-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, per i trattamenti dei dati inclusi negli elenchi di abbonati a disposizione del pubblico ” (così, testualmente, alle pagg. 8 e 9 dell’atto di costituzione del Garante).

In conclusione, ad avviso del Garante privacy, “ vi possano essere fattispecie alle quali si applicano più norme, con la esigenza di evitare conflitti che menomerebbero il principio – anch’esso di valore costituzionale ed euro-unitario – della certezza del diritto. Tale compresenza è particolarmente sensibile nella ipotesi di condotte pluri-offensive, ovverosia di condotte che sono suscettibili di violare più norme e beni giuridici la cui vigilanza è affidata a soggetti diversi ” (così, testualmente, alle pagg. 9 e 10 dell’atto di costituzione del Garante), di talché, partendo dal generale presupposto che “ è lo stesso principio – di valore costituzionale – di leale collaborazione fra amministrazioni ad imporre, erga omnes, la esigenza di risposte coordinate, soprattutto nei casi, non infrequenti, in cui condotta possa attivare più apparati sanzionatori e dunque plurimi procedimenti di irrogazione ”, non può non rimarcarsi, nel caso di specie, “ che mentre l’Autorità garante della concorrenza e del mercato ha previamente audito il parere della Autorità per le garanzie nelle comunicazioni e dell’IVASS, non ha ritenuto di richiedere il parere del Garante per la protezione dei dati personali, in una fattispecie che nei suoi tratti tipologici rientra pienamente nella previsione di cui all’art. 130 Codice privacy e che attiene alla “libera circolazione dei dati” da chi li ha raccolti verso soggetti terzi ”, con la palmare evidenza che si trattava “ dunque di fattispecie che sia in astratto che in concreto ricadeva sotto la vigilanza del Garante ” (così, testualmente, a pag. 11 dell’atto di costituzione del Garante).

9. – Osserva il Collegio, in via preliminare, che non si presenta necessario, nel caso in esame, disporre la rimessione in via pregiudiziale alla Corte di giustizia UE delle questioni di diritto, rilevanti in ambito eurounitario, che vengono in emersione in questo giudizio, atteso che gli argomenti giuridici qui in rilievo sono stati approfonditamente esaminati dalla stessa Corte di giustizia UE nella sentenza 4 luglio 2023 (causa c-252/21, Meta platforms e a. - Condizioni generali d’uso di un social network) in ordine alla quale tutte le parti in giudizio hanno espresso negli atti processuali depositati osservazioni e interpretazioni in merito, giungendo (si potrebbe dire “naturalmente”, stante le diverse prospettazioni propugnate) ad opposte conclusioni e sulla quale successivamente si dirà.

Sempre in via preliminare il Collegio osserva che la vicenda qui oggetto di contenzioso non attiene, in modo diretto e rilevante, alla possibilità o meno, da parte delle due società in questione, di patrimonializzare i dati personali dei clienti detenuti nei loro data base e trasferiti a terzi ai fini della svolgimento delle attività di preventivazione e stipulazione di polizze RC auto (nonché per le attività satellitari “di contorno”) né alla circostanza che esse abbiano agito in tale modo, venendo diversamente in rilievo la liceità della condotta, consistita nell’utilizzo di tali dati senza renderne edotti gli “interessati” [espressione qui utilizzata in senso “tecnico” e in conformità con la relativa definizione contenuta nell’art. 4, n. 1), Regolamento n. 679/2016, a mente del quale si intende per “ (…)«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato») (…) ”], ai fini del rispetto della disciplina recata dal Codice del consumo.

Puntualizzato quanto sopra ed entrando nel merito della vicenda controversa, non può non manifestarsi evidente l’intimo collante che lega la contestata condotta (anti)consumeristica imputata alle società Telepass e Tb e il trattamento dei dati personali della clientela già detenuti dalle ridette società (e quindi a loro disponibili) in quanto riferiti a soggetti già noti alle stesse perché clienti titolari di un contratto di “Telepass Family ” o di “Telepass Viacard” (nonché resi disponibili dalle e alle società partner ) e la legittimità o meno del corretto trattamento dei dati in loro possesso.

Su tale ultimo profilo appare opportuno precisare che con il termine “trattamento” l’art. 4, n. 2), del Regolamento europeo n. 679/2016 ha inteso riferirsi (con una declinazione dell’espressione, peraltro, già accolta dall’art. 4, comma 1, lett. a), d.lgs. 196/2003, oggi formalmente abrogato per effetto dall'art. 27, comma 1, lett. a), n. 1), d.lgs. 10 agosto 2018, n. 101, c.d. decreto innesto, a far data dal 19 settembre 2018, ma il cui contenuto sostanzialmente sopravvive nella su indicata previsione regolamentare europea) a “ qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione ”.

Deriva da ciò, che lo spettro amplissimo di ipotesi riconducibili all’attività di trattamento e dunque rilevanti in materia di dati personali delle persone fisiche e quindi ricadenti nella sfera di applicazione del GDPR, esclude, già da solo, che la sostenuta (dall’Autorità appellata) esistenza di compartimenti “stagni”, non permeabili tra di loro, tra l’ambito di competenza e dei poteri di AGCM rispetto a quelli di altre Autorità, in particolare del Garante privacy, possa validamente militare nel senso di escludere “a priori” qualsiasi forma di collaborazione tra le due Autorità nel corso di una indagine che, seppure fondamentalmente indirizzata all’esame circa la compatibilità o meno con la disciplina consumeristica di condotte sviluppate da professionisti, abbia indubitabilmente addentellati forti e robuste caratterizzazioni osmotiche con la tutela dei dati personali, potendosi, in thesi , sostenere addirittura una funzionalizzazione tra i comportamenti contestati e la violazione, contemporanea, di discipline normative differenti perché riferite a settori specialistici e quindi la doverosità della cooperazione tra Autorità.

Quando la difesa erariale sottolinea, con un ragionamento suggestivo e sicuramente capace di essere potenzialmente convincente, che “ dal momento che è pacifico (…) che il codice del consumo si applichi all’attività svolta da Telepass, è evidente che il parametro da utilizzare per verificare la legittimità della condotta ai sensi di tale disciplina non possono che essere le norme del codice del consumo e i criteri interpretativi adottati in tale ambito, così come avallati dalla giurisprudenza amministrativa, e non le norme del GDPR, che, infatti l’Autorità non ha applicato ” (così, testualmente, a pag. 6 dell’atto di costituzione), esprime una considerazione che “prova troppo”, non tenendo conto che quanto in essa rilevato costituisce (o può costituire) semmai l’esito (a valle) del confronto tra l’indagine sul merito (della vicenda e quando) svolta da entrambe le Autorità, sicché in assenza di tale preventivo confronto la valutazione conclusiva dell’Autorità procedente (nel caso di specie di AGCM) risulta essere il frutto di un incompleto e “egoistico” (in quanto sviluppato da una soltanto delle Autorità competenti) esame dell’incidenza del trattamento dei dati personali per come effettuato dal “professionista” e ciò anche al fine di avere un quadro completo circa l’influenza (e la latitudine di detta influenza) del comportamento sul rispetto della disciplina dettata dal Codice del consumo.

10. – Del resto, su altro versante, va sottolineato come, sotto il profilo della contaminazione normativa tra il settore consumeristico e quello della tutela dei dati personali, alcune disposizioni nazionali depongono per una non generale insensibilità di rapporti tra AGCM e Garante privacy laddove le condotte anticonsumeristiche contestate a “professionisti” intercettino – o addirittura consistano – in una illecita modalità di trattamento dei dati, tenuto presente che anche “ le modalità con le quali le relative informazioni (vale a dire quelle contenute nell’informativa resa alla clientela ai sensi del Regolamento privacy , n.d.r. ) sono state portate a conoscenza dei consumatori (tardivamente e con inadeguata evidenza) ai sensi del codice del consumo ” (così, testualmente, a pag. 4 dell’atto della memoria di AGCM), per l’ampia formulazione della definizione dell’espressione “trattamento” dei dati recata dal Regolamento europeo n. 679/2016 (e della quale sopra si è già riferito), ben possono coagularsi in una violazione delle regole sul trattamento dei dati personali e quindi della disciplina contenuta nel GDPR e nel c.d. Codice della privacy italiano, attivando la competenza dell’Autorità di controllo di cui all’art. 51 GDPR (e quindi, nel nostro Paese, del Garante privacy) incaricata “ di sorvegliare l'applicazione del (…) regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all'interno dell'Unione ”.

Rileva significativamente, nella specifica materia che qui ci occupa, la previsione recata dall’art. 67- sexdecies d.lgs. 206/2005 (Codice del consumo), nella versione modificata dall'art. 6, comma 2, lettera a- bis ) d.l. 13 maggio 2011, n. 70 convertito con modificazioni dalla l. 12 luglio 2011, n. 106 e che ha introdotto il comma 3- bis nel ridetto articolo, che ora così recita: “ 1. L'utilizzazione da parte di un fornitore delle seguenti tecniche di comunicazione a distanza richiede il previo consenso del consumatore: a) sistemi di chiamata senza intervento di un operatore mediante dispositivo automatico;
b) telefax.