È cosa nota la continua crescita delle attività economiche che hanno come fulcro la raccolta e il successivo trattamento dei dati personali, spesso attraverso ambienti digitali (es. i social network). Tale trattamento non di rado è volto ad acquisire conoscenze sugli interessati che servono a influenzarne le scelte, comprese quelle di natura economica, come sottolineato anche dal Comitato Europeo per la Protezione dei Dati (d’ora in avanti: EDPB) in relazione alla profilazione e il targeting (EDPB, Linee guida 8/2020 sul targeting degli utenti di social media, 13 aprile 2021).

In questo contesto, come affrontare dal punto di vista giuridico la crescente rilevanza economica del trattamento dei dati personali è una questione cruciale. In tema, in particolare con riguardo al rapporto tra l’interessato e il titolare del trattamento, la dottrina, la giurisprudenza e il legislatore europeo, hanno guardato, alle intersezioni tra il diritto dei consumatori e quello della protezione dei dati, spesso con un approccio volto a valorizzarne la complementarità.

In via preliminare, occorre rilevare che, perché un’intersezione fra diverse discipline ci sia, l’interessato (sulla definizione v. cap. Le definizioni fondamentali, § 2) deve essere qualificato anche come consumatore, cioè come «la persona fisica che agisce per scopi estranei all’attività imprenditoriale, commerciale, artigianale o professionale eventualmente svolta» (art. 3, co. 1, lett. a), d.lgs. 206/2005, d’ora in avanti: cod. cons.).

A fronte di tale quadro, in questo capitolo si illustreranno alcune delle intersezioni più evidenti fra il diritto dei consumi e la disciplina in materia di trattamento dei dati personali.

Come si è visto nell’analisi delle basi giuridiche del trattamento (v. supra cap. La disciplina dell’attività di trattamento, sez. I), quest’ultimo può avere rilevanza nell’ambito dell’esecuzione di un contratto. Invero, se un trattamento dei dati personali è necessario a tale esecuzione, sussiste una condizione che rende lecito tale trattamento (art. 6, par. 1, lett. b), Reg. UE 2016/679 (d’ora in avanti: GDPR). Al di là di questa previsione, già presente nella direttiva 95/46/CE, il legislatore, tanto europeo quanto nazionale, per diverso tempo non ha prestato attenzione ai rapporti che possono intercorrere fra un trattamento di dati personali e una vicenda contrattuale.

L’approccio è cambiato in virtù della crescente presa di coscienza, da un lato, del valore patrimoniali dei dati personali e, dall’altro, della funzione svolta da determinati trattamenti nell’ambito di relazioni economiche.

Il caso più emblematico è rappresentato da quei servizi digitali (ad esempio, servizi di social networking, di archiviazione cloud) o contenuti digitali (ad esempio, programmi informatici, applicazioni per smartphone) che vengono forniti, da un professionista (cioè, un operatore economico), senza la richiesta di un corrispettivo monetario, bensì per ottenere, di solito a fini economici, i dati personali degli utenti.

Il legislatore europeo ha deciso di occuparsi di tale fenomeno all’interno del diritto dei consumatori, scelta che è stata criticata da parte della dottrina in quanto esclude la possibilità di una disciplina unitaria dei rapporti patrimoniali relativi ai dati personali (Angiolini, 2023). Guardando al dettato normativo, l’art. 3 della direttiva 2019/770/UE prevede che si applichino le tutele previste da tale direttiva anche nel caso in cui l’operatore economico fornisce o si impegna a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali all’operatore economico, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dall’operatore economico ai fini della fornitura del contenuto digitale o del servizio digitale a norma della direttiva 2019/770 o per consentire l’assolvimento degli obblighi di legge cui è soggetto l’operatore economico e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti.

Quando si applica la direttiva l’operatore economico sarà obbligato a fornire il contenuto o il servizio digitale promesso, in conformità a quanto previsto dal contratto e, in ogni caso, senza difetti oggettivi che ne impediscano il corretto funzionamento e utilizzo.

Prendendo spunto da quest’intervento, il legislatore europeo ha altresì esteso le norme previste dalla direttiva 2011/83/UE (che stabiliscono, in particolar modo, diversi obblighi informativi precontrattuali a carico del professionista) anche ai contratti di fornitura di contenuti e servizi digitali nei quali il consumatore non paga un prezzo, ma fornisce dati personali (v. art. 4, n. 2), lett. b), direttiva 2019/2161/UE: c.d. direttiva omnibus). Infatti, l’art. 3 della direttiva 2011/83, come novellata, prevede che

Il pagamento di un prezzo da parte del consumatore, dunque, non costituisce più un requisito indefettibile per l’applicazione di determinate regole di tutela nei suoi confronti, potendo ormai essere sostituito dalla fornitura di dati personali. Alla base di tali modifiche normative vi è, come si è anticipato, la consapevolezza che il trattamento di dati personali con finalità economiche può rappresentare una fonte remunerativa.

Da una prima lettura dei testi appena richiamati emergono almeno tre questioni rilevanti: i) l’interpretazione del termine «fornisce i dati»; ii) le basi giuridiche del trattamento in presenza delle quali si applica la dir. 2019/770 e la dir. 2011/83; iii) il rapporto fra applicazione della direttiva, trattamento dei dati personali e contratto.

Rispetto al primo profilo, anche alla luce dell’interpretazione data della medesima espressione dall’art. 20 GDPR in materia di diritto alla portabilità, l’espressione «fornisce» deve essere interpretata come relativa anche alle ipotesi in cui i dati sono raccolti dal titolare del trattamento attraverso l’osservazione dell’interessato, ma non include i dati inferiti a partire da quelli raccolti (sul diritto alla portabilità v. cap. I diritti dell’interessato).

Venendo alla seconda questione, l’art. 3 delle due direttive non fa riferimento al trattamento dei dati compiuto in virtù di una specifica base giuridica, seppur, se letto congiuntamente con il GDPR, si può escludere dall’ambito di applicazione della direttiva le ipotesi di dati raccolti e trattati secondo le basi giuridiche b) e c) previste dall’art. 6 GDPR, e dunque il caso in cui i dati siano necessari per l’esecuzione di un contratto, e l’ipotesi di adempimento di un obbligo legale (sulle basi giuridiche v. cap. La disciplina dell’attività di trattamento, sez. I). Dunque, la direttiva sarà applicabile quando il trattamento dei dati personali, che consiste nella raccolta dei dati «forniti», abbia come base giuridica il consenso dell’interessato e nei casi in cui la base giuridica sia il legittimo interesse ex art. 6, paragrafo 1, lett. f) GDPR. Risulta evidente come le basi giuridiche di cui all’art. 6, paragrafo 1, lettere d) ed e) GDPR, rispettivamente relative ai trattamenti necessari alla salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica e all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, siano di difficile applicazione in queste ipotesi.

Rispetto al rapporto fra applicazione della direttiva, trattamento dei dati personali e contratto, occorre sottolineare che la «fornitura» di dati personali o il relativo impegno da parte del consumatore – cui corrisponde un trattamento da parte del professionista, che consiste, almeno, nella raccolta di tali dati –, accanto alla fornitura o all’obbligo di fornitura da parte del professionista di un contenuto digitale (nella dir. 2011/83 mediante un supporto non materiale) o un servizio digitale sono elementi necessari e sufficienti ai fini dell’applicazione delle direttive sopra richiamate indipendentemente dalla sua attrazione o non attrazione nella sfera del contratto nel diritto nazionale.

Le nuove previsioni introdotte dall’UE sono state recepite, nell’ordinamento nazionale, all’interno del codice consumo (v. art. 46, par. 1-bis e artt. 135-octies e ss., d.lgs. 206/2005). La circostanza che una normativa, come il codice del consumo, diversa dal GDPR e dal codice privacy, prenda in considerazione alcuni aspetti relativi alla rilevanza economica del trattamento di dati personali, rischia di creare delle interferenze fra fonti legislative. In quest’ottica, l’art. 135-novies, co. 6, cod. cons. stabilisce che, in caso di conflitto fra le disposizioni consumeristiche e quelle in materia di protezione dei dati personali, la prevalenza va accordata a queste ultime.

L’ordine di preferenza che vede prevalere le norme di protezione dei dati personali può essere giustificato non tanto in ragione della superiorità di grado della fonte (la prevalenza, infatti, vale anche a prescindere da norme costituzionali), quanto in virtù di una gerarchia che può definirsi assiologica (il valore delle norme di protezione dei dati personali è giudicato superiore a quello delle norme di tutela del consumo).

Mentre le antinomie, cioè i contrasti fra norme esistenti, possono risolversi in virtù del criterio sopra richiamato, rimangono dubbi per la presenza di casi non disciplinati da alcuna norma, tanto consumeristica quanto di protezione dei dati personali.

In un contratto come quello di fornitura di contenuti o servizi digitali, che si fonda sul trattamento di dati personali del consumatore, non si chiarisce, ad esempio, quali siano gli effetti sul contratto qualora il consumatore eserciti, nella qualità di interessato, il diritto di revocare il proprio consenso al trattamento (art. 7, par. 3 GDPR). L’unico punto fermo è che la revoca non può rivelarsi pregiudizievole per l’interessato, il quale, altrimenti, sarebbe scoraggiato dall’esercitare un proprio diritto (v. considerando 42, GDPR e EDPB, Linee guida n. 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679). Pertanto, il professionista non può certamente richiedere al consumatore un indennizzo, per la perdita di guadagni causata dall’impossibilità di continuare a trattare i dati personali per fini commerciali.

Sempre nell’ambito dei contratti di fornitura di contenuti o servizi digitali, può accadere che il fornitore violi, durante l’esecuzione del contratto, le regole in materia di protezione dei dati personali (ad esempio, tratta più dati di quelli necessari per il perseguimento delle finalità del trattamento). In tal caso, il consumatore può indubbiamente esercitare i rimedi previsti dal GDPR contro il trattamento illecito dei dati personali, ma, dato il contesto contrattuale, la violazione delle norme di data protection può configurarsi, altresì, come un difetto di conformità del contenuto o servizio digitale. Il risultato pratico è che, in una situazione del genere, il consumatore può quindi avvalersi anche dei rimedi contro i difetti di conformità. Vale a dire: può richiedere il ripristino della conformità del contenuto o servizio digitale e, nei casi più gravi, così come nel caso in cui il ripristino fallisca oppure risulti impossibile o sproporzionato, il consumatore può richiedere la risoluzione del contratto di fornitura (v. considerando 48, direttiva 2019/770).

Nello studio delle intersezioni fra disciplina del trattamento dei dati personali e diritto dei consumatori è di particolare interesse l’ambito delle pratiche commerciali scorrette, regolato a livello europeo dalla dir. 2005/29, recepita sul piano nazionale con gli artt. 18 ss. cod. cons.. Tale disciplina è rilevante anche perché non è limitata all’ambito contrattuale, come risulta evidente in primis dall’articolo 3, par. 1, della dir. 2005/29/CE, secondo cui: «La presente direttiva si applica alle pratiche commerciali sleali tra imprese e consumatori […] poste in essere prima, durante e dopo un’operazione commerciale relativa a un prodotto».

Rispetto agli intrecci fra le regole in materia di dati personali e quelle del codice del consumo, è utile chiedersi se e in quali casi il trattamento dei dati possa essere qualificato come pratica commerciale, e poi interrogarsi sulla possibile configurazione di ipotesi di scorrettezza.

Con riguardo al rapporto fra trattamento dei dati e pratiche commerciali, si può partire dalla definizione data dall’art. 18 cod. cons., secondo cui si definisce come pratica commerciale fra professionisti e consumatori: «qualsiasi azione, omissione, condotta o dichiarazione, comunicazione commerciale ivi compresa la pubblicità e la commercializzazione del prodotto, posta in essere da un professionista, in relazione alla promozione, vendita o fornitura di un prodotto ai consumatori».

Guardando alla giurisprudenza, il Consiglio di Stato ha affermato che per pratiche commerciali

Anche alla luce di quanto detto, occorre affrontare due aspetti:

1) le ipotesi in cui la disciplina in materia di pratiche commerciali scorrette risulterà applicabile;

2) i profili legati alla valutazione della scorrettezza della pratica.

Con riguardo al primo profilo, bisogna domandarsi se le condotte consistenti nel trattamento dei dati relativi ai consumatori possano essere qualificate in alcune ipotesi come «pratica commerciale» ai sensi del codice del consumo.

A tale interrogativo occorre dare risposta positiva, quando il trattamento dei dati da parte dei professionisti sia posto in essere in relazione alla promozione, vendita o fornitura di un prodotto ai consumatori.

Per individuare le ipotesi concrete, è di interesse la Comunicazione «Orientamenti sull’interpretazione e sull’applicazione della direttiva 2005/29/CE» del 29 dicembre 2021, dove la Commissione Europea evidenzia il valore economico derivante da alcuni trattamenti dei dati personali e afferma che la violazione della disciplina in materia di protezione dei dati personali non porta con sé necessariamente l’esistenza di una pratica commerciale scorretta, ma che tale violazione deve essere tenuta in considerazione nella valutazione della scorrettezza di una pratica, in particolare nel caso in cui il trattamento avvenga «a fini di invio di materiale pubblicitario o per qualsiasi altra finalità commerciale, come la profilazione, i prezzi personalizzati o le applicazioni relative ai megadati» (Commissione Europea, Orientamenti sull’interpretazione e sull’applicazione della direttiva 2005/29/CE, 29 dicembre 2021, p. 19).

In ambito nazionale il tema è stato affrontato da varie decisioni dell’Autorità Garante per la Concorrenza e del Mercato (d’ora in avanti: AGCM) in cui l’Autorità esamina le condotte dei titolari del trattamento alla luce della disciplina sulle pratiche commerciali scorrette (AGCM, 25 gennaio 2017, n. 10207; dec. 29 novembre 2018, n. 27432, e 11 maggio 2017, n. 26597). In particolare, si possono richiamare due decisioni, del 29 novembre 2018, n. 27432 e dell’11 maggio 2017, n. 26597 in cui l’AGCM ha affermato che tali norme vanno applicate laddove i dati personali relativi agli utenti, nell’un caso di Facebook e nell’altro di Whatsapp, acquisiscano valore economico perché trattati a fini commerciali, anche in assenza di un prezzo pagato per l’utilizzo commerciale di tali dati.

Rispetto all’applicabilità della disciplina, l’AGCM afferma che:

Tale indirizzo è stato poi confermato da successivi provvedimenti dell’Autorità (ad. es.: AGCM, 9 novembre 2021, n. 29888). A tal riguardo il Tribunale Amministrativo Regionale per il Lazio, nelle sentenze del 10 gennaio 2020, nn. 260 e 261 e il Consiglio di Stato (Consiglio di Stato, sentenze del 29 marzo 2021 nn. 2631 e 2630) hanno confermato l’applicabilità della disciplina in materia di pratiche commerciali scorrette in relazione a condotte relative all’informazione dell’interessato.

Venendo al profilo della scorrettezza della pratica, una pratica commerciale è scorretta, secondo quanto dispone l’art. 20 cod. cons.:

Il codice del consumo individua poi le pratiche scorrette che si definiscono come «ingannevoli» e «aggressive». In proposito, senza poter illustrare la disciplina nel dettaglio, si può qui semplicemente richiamare l’art. 21 cod. cons., rubricato «azioni ingannevoli» e l’art. 24 cod. cons. relativo alle pratiche aggressive.

L’analisi casistica, da svolgere anche sulla base delle decisioni dell’AGCM e della giurisprudenza in materia, è particolarmente utile per comprendere in concreto le intersezioni fra la disciplina in materia di protezione dei dati personali e le regole relative alle pratiche commerciali scorrette.

Si possono individuare i seguenti gruppi di ipotesi:

1) Casi relativi alla carenza di informazioni all’interessato circa le finalità commerciali del trattamento.

In proposito, nella decisione del 29 novembre 2018, n. 27432 l’AGCM ha valutato la pratica alla luce della disciplina in materia di pratiche commerciali ingannevoli. In particolare, l’AGCM ha qualificato come pratica commerciale ingannevole la mancanza, durante la prima fase di registrazione dell’utente a un noto social network, di un’informativa chiara, completa e immediata circa la propria attività di raccolta e utilizzo, a fini commerciali, dei dati relativi ai propri utenti. L’AGCM ha ritenuto che l’informativa fornita dal social network fosse generica e incompleta e che non distinguesse adeguatamente tra l’utilizzo dei dati per realizzare campagne pubblicitarie mirate dalle altre finalità del trattamento, relative alla «socializzazione» fra gli utenti. La pratica è considerata ingannevole in quanto:

Tale interpretazione è stata confermata sia dal TAR Lazio nelle sentenze del 10 gennaio 2020, nn. 260 e 261, che dal Consiglio di Stato con le due sentenze del 29 marzo 2021, nn. 2630 e 2631.

2) Casi relativi al consenso al trattamento «preimpostato».

Il Tribunale Amministrativo Regionale per il Lazio, nella decisione del 18 novembre 2022 n. 15326, ha qualificato come pratica aggressiva la «preimpostazione, da parte di Google, del consenso alla cessione dei dati personali relativi alla navigazione in internet», in quanto in questo caso il meccanismo di accettazione prevedeva che nella fase di creazione dell’account il consumatore trovasse preselezionata, in via generalizzata e preventiva, la casella dell’accettazione del trasferimento e/o utilizzo dei propri dati per fini commerciali.

3) Casi relativi al consenso «condizionato»

Un altro tipo di condotte concerne la previsione di un consenso al trattamento cui è condizionato il conseguimento di un vantaggio da parte del consumatore, particolarmente rilevante anche, come noto, sotto il profilo della protezione dei dati personali (sul consenso al trattamento, v. cap. La disciplina dell’attività di trattamento, § 2). In proposito, fra le varie decisioni si può richiamare la del 10 febbraio 2017, n. 10207, in cui l’AGCM ha affermato l’aggressività della pratica commerciale secondo cui, dopo l’acquisto di un prodotto, al fine di accedere a dei premi/vantaggi, è richiesto al consumatore di esprimere il consenso al trattamento dei dati personali. Secondo l’AGCM questa pratica configura un indebito condizionamento tale da indurre il consumatore ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso. Il Consiglio di Stato ha seguito l’impostazione dell’AGCM, qualificando la pratica come aggressiva ex art. 24 cod. cons. in quanto

4) La valutazione del trattamento dei dati in quanto attività.

Occorre sottolineare che nei casi che si sono ripercorsi non emerge la questione della valutazione del trattamento dei dati, in quanto attività, come pratica commerciale scorretta. Ciononostante, questo profilo non è da trascurare. Ad esempio, si immagini che un professionista tratti i dati personali del consumatore per la finalità di comunicare informazioni pubblicitarie personalizzate, violando il principio di compatibilità delle finalità, posto dall’art. 5, par. 1, lett. b) GDPR (v. cap. La disciplina dell’attività di trattamento, § 2). In proposito, è opportuno considerare che il trattamento dei dati personali – specie se di grandi quantità di dati personali, e con tecniche avanzate – crea uno squilibrio di potere conoscitivo fra l’interessato e chi tratta i dati, e che in alcuni casi tale potere diviene una vera e propria capacità di indirizzare le scelte, anche commerciali, dell’interessato, come ha riconosciuto anche il Comitato Europeo per la Protezione dei Dati con riguardo al targeting degli utenti dei social media (EDPB, Linee guida 8/2020 sul targeting degli utenti di social media del 13 aprile 2021, p. 7). In tale contesto, a fronte di un trattamento operato oltre quanto lecito ai sensi della disciplina, non è da escludersi che potrebbe ritenersi, in ragione del caso concreto, che vi sia un indebito condizionamento del consumatore capace di rendere applicabile la disciplina delle pratiche aggressive di cui agli artt. 24 ss. cod. cons. Se non fosse questo il caso, si potrebbe valutare la possibilità della scorrettezza della pratica ex art. 20 cod. cons., e dunque giudicare se questa sia contraria alla diligenza professionale – contrarietà che si potrebbe affermare di fronte all’illiceità del trattamento ai sensi del GDPR – e se sia falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che essa raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta a un determinato gruppo di consumatori.

Infine, in alcune ipotesi è possibile qualificare il trattamento dei dati personali in quanto tale come pratica commerciale. Tale interrogativo potrebbe risultare utile nelle ipotesi in cui il trattamento illecito, pur svolto per finalità commerciali – ad esempio la profilazione a fini di marketing – sia svolto da un’impresa, e la strategia pubblicitaria da una diversa azienda.

La disciplina in materia di clausole vessatorie è dettata dalla dir. 1993/13/CEE e recepita nell’ordinamento italiano agli artt. 33 ss. cod. cons. Senza poter qui dar conto della complessità della disciplina, si può partire dalla definizione di clausole vessatorie e dal rimedio della nullità previsto in caso di vessatorietà, per poi guardare alle intersezioni fra questa disciplina e le regole in materia di trattamento dei dati personali.

In particolare, l’art. 33 cod. cons. prevede che: «Nel contratto concluso tra il consumatore ed il professionista si considerano vessatorie le clausole che, malgrado la buona fede, determinano a carico del consumatore un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto».

Sono poi elencate alcune clausole che sono da considerare vessatorie, divise in una lista nera di clausole sempre vietate (art. 36 cod. cons.) e clausole vietate che si presumono vessatorie fino a prova contraria (art. 33 cod. cons.).

La conseguenza della vessatorietà della clausola è stabilita in primis dall’art. 36 cod. cons., secondo cui: «Le clausole considerate vessatorie ai sensi degli articoli 33 e 34 sono nulle mentre il contratto rimane valido per il resto».

Nel valutare le intersezioni fra regole in materia di clausole vessatorie e disciplina in materia di dati personali occorre valutare diversi aspetti (Angiolini, 2024), fra cui alcuni particolarmente rilevanti sono:

1) i rapporti fra il contratto e il trattamento dei dati personali o la sua pianificazione, in quanto gli artt. 33 ss. cod. cons. si applicano soltanto ai contratti conclusi fra professionisti e consumatori;

2) La declinazione del giudizio di vessatorietà nei casi relativi al trattamento dei dati personali.

Nel diritto dei consumatori, un’area tradizionalmente rilevante riguarda la tutela degli interessi collettivi. Spesso, infatti, l’illecito di un professionista non lede solo l’interesse di un singolo consumatore, ma colpisce contemporaneamente gli interessi di un gruppo di consumatori.

Per far fronte a questo tipo di illeciti, che possono procurare pregiudizi di entità non particolarmente significativa per la singola persona fisica, ma che assumono una rilevanza ben diversa se considerati nel complesso dei loro effetti lesivi, il legislatore europeo concede, ad alcuni enti legittimati (ad esempio, le associazioni di consumatori), la possibilità di esercitare azioni rappresentative a tutela degli interessi collettivi (v. direttiva 2020/1828/UE che abroga la precedente direttiva 2009/22/CE). Per quel che rileva ai nostri fini, occorre segnalare che, tra gli illeciti che giustificano l’esercizio di tali azioni, si menzionano anche le violazioni delle disposizioni contenute nel GDPR e nella direttiva 2002/58/CE, (d’ora in avanti: direttiva e-privacy) (v. art. 2, par. 1 e allegato I, nn. 10) e 56), dir. 2020/1828).

L’art. 2, ppar. 1, dir. 2020/1828 ne delinea in modo piuttosto complesso l’ambito di applicazione, prevedendo che la direttiva si applichi alle azioni rappresentative intentate nei confronti di professionisti per violazioni delle disposizioni del diritto dell’Unione di cui all’allegato I, che ledono o possono ledere gli interessi collettivi dei consumatori. Il secondo paragrafo dispone che la direttiva non pregiudica le disposizioni del diritto dell’Unione di cui all’allegato I. In detto allegato, per quel che qui interessa, sono inclusi sia il Reg UE 2016/679 sia la direttiva 2002/58/CE del 12 luglio 2002, relativa alla vita privata e alle comunicazioni elettroniche. Il considerando 16 della direttiva prevede che qualora i provvedimenti contenuti nell’allegato I contengano disposizioni che non attengono alla protezione dei consumatori, tale allegato dovrebbe fare riferimento alle disposizioni specifiche che tutelano gli interessi dei consumatori, e che tuttavia «siffatti riferimenti non sono sempre possibili a causa della struttura di determinati atti giuridici, in particolare nel settore dei servizi finanziari». Sul punto, per quanto riguarda la direttiva 2002/58 l’allegato I richiama gli artt. da 4 a 8 e l’articolo 13 in materia di comunicazioni indesiderate, includendo quindi l’art. 5, particolarmente rilevante in materia di protezione dei dati personali perché relativo ai c.d. cookies, e l’art. 6 relativo ai dati sul traffico (v. sui cookies il cap. La disciplina dell’attività di trattamento, sez. I). Il regolamento UE 2016/679 è incluso nell’allegato I, ma non sono indicate specifiche norme. Quindi, un nodo interpretativo chiave riguarda l’individuazione delle ipotesi in cui la Dir. 2020/1828 risulterà applicabile di fronte ad una violazione delle norme del GDPR. In questo caso, la definizione dei confini del diritto dei consumatori rispetto alla protezione dei dati personali si gioca sull’interpretazione della nozione di «interessi collettivi dei consumatori». In proposito, l’art. 3 della direttiva, che dà una definizione di tale nozione, non è di grande aiuto, in quanto definisce gli interessi collettivi dei consumatori come «gli interessi generali dei consumatori e, in particolare ai fini dei provvedimenti risarcitori, gli interessi di un gruppo di consumatori». La definizione di cui al nuovo art. 140-ter, comma 1, lett. c) cod. cons., adottata in sede di recepimento non introduce elementi di innovazione rispetto al testo adottato in sede europea. Tirando le somme rispetto alla questione interpretativa oggetto di analisi, alla luce della rilevanza del trattamento a fini profittevoli nell’economia contemporanea, una strada interpretativa è quella di considerare che, di fronte a un trattamento funzionale allo svolgimento di un’attività economica che ha uno sbocco su un mercato cui accedono i consumatori, le violazioni del GDPR possono ledere gli interessi collettivi di questi ultimi.

La dir. 2020/1828 è stata recepita nell’ordinamento nazionale con l’introduzione, nel codice del consumo, degli artt. 140-ter ss. In particolare, è l’allegato II-septies del codice, cui rinvia l’art. 140-ter, a indicare le discipline la cui violazione potrebbe danneggiare gli interessi collettivi dei consumatori. Stranamente, tra le discipline indicate nel suddetto allegato non è menzionato direttamente il GDPR, ma soltanto il d.lgs. n. 101/2018, come disciplina di attuazione dello stesso, oltre che il d.lgs. n. 196/2003, in attuazione della direttiva e-privacy. Nonostante tale anomalia, frutto presumibilmente di un poco accorto recepimento legislativo, la dottrina non dubita che gli interessi collettivi dei consumatori possano essere danneggiati dalla violazione di una disposizione contenuta nel GDPR, che costituisce la fonte primaria in materia di protezione dei dati personali (Angiolini 2023).

Si pensi, per ipotesi, a una piattaforma digitale che, nel fornire i propri servizi, tratti illecitamente i dati personali degli utenti contraenti: in virtù delle norme sopra richiamate, un’associazione consumeristica può richiedere all’autorità giudiziaria di emettere un ordine con cui vieti alla piattaforma digitale di proseguire nel comportamento antigiuridico e, laddove un gruppo di consumatori abbia subito pregiudizi a causa di tale comportamento, può avviare un’azione risarcitoria o un’altra azione che vi presti rimedio (ad esempio, un’azione di risoluzione del contratto).

Come già si è visto a proposito della direttiva 2019/770, anche le previsioni della direttiva 2020/1828 possono creare delle interferenze con il GDPR.

A dire il vero, quest’ultima normativa, a differenza della disciplina consumeristica, non contiene specifiche disposizioni in merito alla tutela degli interessi collettivi degli interessati al trattamento. Tuttavia, l’art. 80, par. 1 GDPR, disciplinando la «rappresentanza degli interessati», prevede che ciascuno di essi ha il diritto di dare mandato a un ente collettivo, debitamente costituito e attivo nel settore della protezione dei dati, per proporre un reclamo all’autorità di controllo o un ricorso all’autorità giurisdizionale, anche al fine di un risarcimento dei danni eventuali subiti dall’interessato. Tale previsione è completata dalla facoltà lasciata agli Stati membri di consentire agli enti collettivi, qualora ritengano che i diritti di un interessato siano stati violati, di prendere un’iniziativa processuale anche «indipendentemente dal mandato conferito dagli interessati», purché tale iniziativa non consista in un’azione risarcitoria, la quale richiede necessariamente il conferimento di un mandato (v. art. 80, par. 2 GDPR).

Alla luce di queste previsioni contenute nell’GDPR, l’interferenza con la disciplina a tutela dei consumatori può presentarsi nella misura in cui gli enti collettivi possano agire in giudizio sulla base di condizioni diverse rispetto a quelle indicate dall’art. 80, par. 1.

In realtà, la Corte di giustizia dell’UE è già intervenuta chiarendo che «la violazione di una norma relativa alla protezione dei dati personali può simultaneamente comportare la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali» (CGUE, 28 aprile 2022, C-319/20, § 78).

Pertanto, vista la discrezionalità lasciata agli Stati membri dal par. 2 dell’art. 80, questi possono consentire a un’associazione a tutela dei consumatori di agire in giudizio,

Nel caso in esame, si discuteva della compatibilità con il GDPR di una disciplina nazionale relativa alla tutela collettiva dei consumatori, tramite l’esercizio di azioni inibitorie, contro eventuali violazioni di regole in materia di protezione dei dati personali. Come si è visto, in virtù dell’art. 80, par. 2 GDPR, la Corte si è espressa in senso favorevole.

In futuro, però, potrebbe riproporsi il problema in merito alla compatibilità con il GDPR di discipline nazionali che consentano alle associazioni consumeristiche di intentare, in assenza di un preventivo mandato degli interessati, non solo azioni inibitorie, ma anche azioni risarcitorie (è il caso, ad esempio, del nostro art. 140-septies, co. 1 cod. cons.) contro eventuali violazioni di regole in materia di protezione dei dati personali. Il problema sarebbe più complesso perché, ai sensi dell’art. 80, par. 1 GDPR, gli Stati membri hanno meno margini di autonomia nel regolare le condizioni di esercizio di un’azione risarcitoria da parte di un ente collettivo.

Ciò dimostra, ancora una volta, come le possibili sovrapposizioni tra il diritto dei consumatori e la disciplina di protezione dei dati rischino di creare problemi interpretativi che non sempre risultano di facile soluzione.

AA.VV. 2024. Collective Redress. Country Reports, Digital Freedom Fund, accessibile all’indirizzo: https://digitalfreedomfund.org/wp-content/uploads/2024/11/CRB_V4.pdf

Angiolini, Chiara. 2023. “Una riflessione critica sulla complementarità fra norme sulla protezione dei dati personali e il diritto dei consumatori nella disciplina dei profili patrimoniali del rapporto fra interessato e titolare del trattamento.” In Chiara Angiolini e Daniela Santarpia (a cura di), La fattispecie «liquida»: quattro casi sintomatici, 28 ss. Napoli: Edizioni Scientifiche Italiane.

Angiolini, Chiara. 2024. “Clausole abusive e circolazione dei dati personali.” In Stefano Pagliantini (a cura di), Le clausole abusive nei contratti dei consumatori. Trent’anni di direttiva 93/13 – Il foro italiano. Gli Speciali, fascicolo speciale n. 1/2024 della rivista Il Foro Italiano, Milano.

Bachelet, Vittorio. 2023. Il consenso oltre il consenso. Pisa: Pacini.

Magri, Geo, Thobani, Shaira (a cura di). 2022. Manuale di diritto privato delle nuove tecnologie. Torino: Giappichelli.

Pagliantini, Stefano. 2022. “L’attuazione minimalista della dir. 2019/770/UE: riflessioni sugli artt. 135 octies – 135 vicies ter c.cons. La nuova disciplina dei contratti b-to-c per la fornitura di contenuti e servizi digitali.” Le nuove leggi civili commentate 45, 6: 1499-522.

Resta, Giorgio. 2005. Autonomia privata e diritti della personalità. Il problema dello sfruttamento economico degli attributi della persona in prospettiva comparatistica. Napoli: Jovene.

Rott, Peter. 2017. “Data protection law as consumer law. How consumer organisations can contribute to the enforcement of data protection law.” In J. Eur: Consumer and Market L.

Versaci, Giuseppe. 2020. La contrattualizzazione dei dati personali dei consumatori. Napoli: Edizioni Scientifiche Italiane.

Versaci, Giuseppe. 2023. “Trattamenti illeciti dei dati personali e tutele collettive dei consumatori”. In Alessandro Palmieri e Francesca Altamura (a cura di), Class action e meccanismi di tutela collettiva. Torino: Giappichelli.

Zuiderveen Borgesius, Frederik, Helberger, Natali, Reyna, Agustin. 2017. “The perfect match? A closer look at the relationship between eu consumer law and data protection law.” In Common Market Law Review.