Sezioni Unite della Cassazione: il Garante privacy vince

Sezioni Unite della Cassazione: il Garante privacy vince

 

di Fulvio Sarzana di S. Ippolito, Avvocato, Studio Legale Sarzana e Associati

Le Sezioni Unite della Cassazione a fine giugno hanno confermato una regola destinata a pesare su ogni istruttoria AGCM che tocchi dati personali: se una pratica commerciale scorretta passa anche attraverso un trattamento di dati, l’Autorità garante della concorrenza deve coinvolgere il Garante privacy prima di decidere.

La Corte richiama la sentenza della Corte di Giustizia UE del 4 luglio 2023 (causa C-252/21, Meta Platforms), che ha imposto alle autorità antitrust nazionali di cooperare con le autorità di controllo dati ogni volta che una loro decisione tocchi la conformità al RGPD.

Il caso riguardava Telepass.

L’AGCM aveva sanzionato la società con 2 milioni di euro per non aver informato gli utenti sulla condivisione dei loro dati con le compagnie assicurative partner, nell’ambito del servizio di preventivazione RC Auto in app. Il Consiglio di Stato aveva annullato la sanzione: l’Autorità aveva istruito il procedimento senza mai interpellare il Garante privacy, nonostante il trattamento dei dati fosse al centro della contestazione.

L’AGCM ha impugnato in Cassazione.

La tesi: l’art. 27, comma 1-bis, del Codice del consumo impone il parere obbligatorio solo per le autorità di regolazione “di settore” (energia, credito, assicurazioni). Il Garante privacy, disciplina trasversale, resterebbe fuori da questo obbligo. Il Consiglio di Stato avrebbe quindi creato una regola procedimentale inesistente, sconfinando nelle competenze del legislatore.

 

Le Sezioni Unite hanno respinto il ricorso.

 

Il punto di diritto è questo: quando le condotte contestate a un’impresa intercettano il trattamento di dati personali, l’obbligo di consultare il Garante privacy non nasce da una norma scritta ad hoc, ma discende dal principio di leale collaborazione dell’art. 4, par. 3, TUE.

 

Le Sezioni Unite chiariscono che questo non è un caso di eccesso di potere giurisdizionale. Il Consiglio di Stato non ha inventato una norma: ha applicato un obbligo di cooperazione già insito nel sistema, desumibile dal diritto unionale anche in assenza di un richiamo espresso nel Codice del consumo. La lettura restrittiva dell’art. 27, comma 1-bis, proposta dall’AGCM non trova peraltro riscontro nei lavori preparatori: la Relazione illustrativa al D.Lgs. 21/2014 parla genericamente di “autorità di regolazione”, senza escludere il Garante privacy.

 

La conseguenza pratica: l’AGCM non può più istruire un procedimento su pratiche commerciali scorrette che coinvolgano dati personali ignorando il Garante privacy. Deve verificare se esistono già decisioni di quest’ultimo sulla stessa condotta e, in assenza, deve consultarlo prima di decidere. Solo se il Garante non risponde in tempi ragionevoli, o non solleva obiezioni, l’Autorità può proseguire autonomamente.

 

Non è un dettaglio procedurale. Per le imprese che ricevono una contestazione AGCM legata a dati e privacy, la mancata consultazione del Garante è ora un vizio che può portare all’annullamento dell’intero provvedimento, sanzione compresa.