Memoria del Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione
Esame congiunto dei disegni di legge as 1484-37-565 (legge annuale sulle piccole e medie imprese)

Senato della Repubblica - 9a Commissione
(30 luglio 2025)

Ringrazio, anzitutto, la Commissione, per aver inteso acquisire l’avviso del Garante in ordine al disegno di legge adottato – per la prima volta - ai sensi dell’art. 18 della legge 180 del 2011.

La trasversalità e ampiezza del provvedimento impone, naturalmente, una selezione ratione materiae dei temi suscettibili di attenzione da parte del Garante. Per tale ragione, quest’analisi si concentrerà sulla disciplina delle false recensioni nell’ambiente digitale, di cui agli articoli da 12 a 17 del testo (AS 1484) assunto come testo base per l’esame dei disegni di legge in titolo.

Quello delle false recensioni rappresenta, come noto, un fenomeno complesso che, in ragione delle dimensioni assunte e del livello di condizionamento suscettibile di esercitare sugli utenti, solleva questioni rilevanti in termini regolatori, come si evince anche dalle risposte dei Commissari Europei alle interrogazioni parlamentari presentate negli ultimi anni (v. E-000703/2023 Mr. Breton e E-001221/2024 Mr. Reynders).

Il tema ha infatti, certamente, implicazioni importanti in termini consumeristici, in particolare connesse al pregiudizio reputazionale derivante dalla diffusione di informazioni non autentiche, se non addirittura volutamente mistificatorie. Tale fenomeno incide, tuttavia, anche sul diritto alla protezione dei dati personali, almeno nella misura in cui gli interessati siano persone fisiche, ad esse soltanto essendo riferibile il concetto di “dato personale” nel Regolamento (UE) 2016/679 (cfr. art. 4, n.1).

Le norme del Capo IV del disegno di legge mirano a disciplinare il fenomeno della pubblicazione delle recensioni online relative a prodotti, prestazioni e servizi offerti da imprese di ristorazione e strutture turistiche situate in Italia, a fini di tutela dei consumatori da condizionamenti derivanti da recensioni false mediante l’identificazione dell’autore e la verifica di attendibilità della recensione stessa.

Tali norme si inseriscono in una cornice normativa caratterizzata, da un lato, dai Regolamenti UE 2022/2065 (cd. Digital Services Act) e 2019/1150 (cd. Platform to Business), volti peraltro a contrastare la diffusione di contenuti “illegali” sul web e a garantire maggiore trasparenza nei confronti degli utenti commerciali dei servizi di intermediazione online. Sulla materia insiste anche la Direttiva 2019/2161 (c.d. Omnibus), recepita in Italia con il d..lgs n. 26/2023 (sul cui schema il Garante è stato audito il 10 gennaio 2023), che ha ricondotto nel novero delle pratiche commerciali sleali la pubblicazione di recensioni qualificate come “veritiere” in assenza dell’adozione di misure ragionevoli e proporzionate per verificarne l’effettiva autenticità (art. 3, par. 1, n. 7), lett. b)).

In disparte la questione – non direttamente incidente sulle competenze del Garante e oggetto della Comunicazione C(2025) 2452 final del 14 aprile 2025 della Commissione europea– inerente la compatibilità del capo IV del disegno di legge con il Regolamento (UE) 2022/2065, in termini di protezione dei dati si formulano le seguenti osservazioni.

L’articolo 13 del disegno di legge, in particolare include, tra i requisiti necessari per il rilascio della recensione, la dimostrazione, da parte del consumatore, della propria identità. Sul punto, la Commissione europea, nella sua Comunicazione 2021/C 526/01 del 29 dicembre 2021 (“Orientamenti sull'interpretazione e sull'applicazione della direttiva 2005/29/CE del Parlamento europeo e del Consiglio relativa alle pratiche commerciali sleali delle imprese nei confronti dei consumatori nel mercato interno”) ha incluso, tra le misure “ragionevoli” e “proporzionate” suscettibili di adozione, da parte dei professionisti, per la verifica della provenienza delle recensioni tra le altre, l’obbligo di registrazione per gli autori delle recensioni; l’utilizzo di mezzi tecnici per verificarne la qualità effettiva di consumatore (controllo dell'indirizzo IP; verifica via e-mail); l’utilizzo di strumenti che consentano di individuare automaticamente le attività fraudolente.

L’articolo 13, tuttavia, non prevede modalità specifiche di identificazione degli utenti e di verifica della loro esperienza reale, demandandone la regolamentazione essenzialmente ai codici di condotta adottati ai sensi dell’articolo 15.

Per garantire che le operazioni di identificazione degli autori e di verifica dell’attendibilità delle recensioni si conformino al canone di minimizzazione (art. 5, par. 1, lett. c), del Regolamento (UE) 2016/679), valutandone l’effettiva necessità e proporzionalità in rapporto allo scopo perseguito, sarebbe opportuno coinvolgere il Garante nella procedura di adozione dei codici di condotta, oltre che delle linee guida di cui al comma 4 dell’articolo 15.

Il coinvolgimento del Garante in sede di predisposizione dei codici di condotta contribuirebbe, infatti, alla migliore individuazione di un adeguato bilanciamento tra le esigenze di autenticità delle recensioni on-line e quelle di riservatezza degli interessati, conferendo alla fonte coregolatoria maggiore organicità.

Inoltre, sarebbe opportuno integrare il disposto di cui all’articolo 15, c.3, lett.a) e b), prevedendo che le misure identificative oggetto di regolazione mediante i codici di condotta debbano, comunque, rispettare le norme e le garanzie sancite dal Regolamento (UE) 2016/679.

Un più puntuale coordinamento con la disciplina di protezione dei dati personali meriterebbe, del resto, l’istituto della cancellazione delle recensioni “ingannevoli, non veritiere o eccessive” (attributo, quest’ultimo, di difficile interpretazione) previsto dall’articolo 13, comma 2, del disegno di legge. Esso andrebbe, infatti, coordinato (anche con una clausola di salvaguardia) con il diritto alla cancellazione (“all’oblio”) di cui all’articolo 17 del Regolamento (UE) 2016/679, per evitare antinomie o rischi di sovraqualificazione della fattispecie.

Per fugare dubbi interpretativi, sarebbe anche opportuno chiarire forme e termini di azionabilità del diritto alla cancellazione di cui all’articolo 13, oltre che adeguate tutele remediali in caso di inerzia o diniego opposti all’istanza di cancellazione.

I suggerimenti su esposti contribuirebbero a rendere la disciplina proposta maggiormente efficace rispetto all’esigenza di contrasto di un fenomeno – quale quello delle false recensioni on-line- suscettibile di alterare profondamente la fisiologica dinamica concorrenziale adottando, tuttavia, misure conformi alla disciplina di protezione dei dati personali.