Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione - Disegno di “legge annuale per il mercato e la concorrenza 2022” (AC 1555)

Camera dei deputati - Commissione X

(29 novembre 2023)

Il Garante non può che apprezzare l’intenzione della Commissione di acquisire l’avviso dell’Autorità – già espresso nell’ambito dell’esame in prima lettura, al Senato - su di un testo che conferma quanto profonde siano le vicendevoli implicazioni tra protezione dei dati, disciplina antitrust e tutela consumeristica. Queste interrelazioni sono tanto più marcate in un contesto di sempre più accentuata digitalizzazione dell’economia, delle transazioni commerciali e degli stessi servizi ad esse complementari.

L’interrelazione tra la protezione dati e la disciplina della concorrenza è, infatti, strettissima: i dati sono la materia con cui l’economia digitale è alimentata ma, in quanto espressione di un diritto fondamentale, sono soggetti a uno statuto di garanzie (in primo luogo l’attribuzione delle competenze a un’autorità indipendente: artt. 8 CDFUE e 16 TFUE) che non può essere attenuato, pena la violazione di tali norme europee di rango primario.

Il disegno di legge interessa la protezione dei dati, in modo particolare, sotto un duplice profilo. Da un lato, infatti, l’articolo 2 interviene sul rapporto, sempre più stretto, tra protezione dei dati e tutela consumeristica; dall’altro l’articolo 18, nell’adeguare l’ordinamento interno al Digital Markets Act, delinea un quadro regolatorio denso di interrelazioni tra protezione dati e disciplina, appunto, dei mercati digitali.

In particolare, le norme di cui all’articolo 2 disciplinano l'utilizzo dei contatori intelligenti di seconda generazione regolando l’accesso ai dati di consumo tramite il Sistema informativo integrato.

Novellando il d.lgs 4 luglio 2014, n. 102, di recepimento della direttiva 2012/27/UE si prevede, in particolare, che:

- Acquirente unico S.p.A., in qualità di gestore del Sistema informatico integrato - tramite il Portale dei consumi di energia elettrica e di gas naturale istituito ai sensi dell'articolo 1, comma 8, della legge 27 dicembre 2017, n. 205-  metta i dati del contatore di fornitura a disposizione del cliente finale o, su sua richiesta formale, di un soggetto terzo univocamente designato, “nel rispetto della normativa in materia di protezione dei dati personali”, in un formato facilmente comprensibile che possa essere utilizzato per confrontare offerte comparabili ovvero per l'erogazione di servizi da parte di tali soggetti terzi;

- sia istituito presso Acquirente unico S.p.A. un registro informatico recante l'elencazione dei soggetti terzi che accedono ai dati del cliente finale, teso a garantire a titolo gratuito la messa a disposizione dei clienti finali di ciascuna informazione concernente gli accessi ai dati da parte dei soggetti terzi, compresa la loro cronologia e la tipologia di dati consultati.

Tale novella interviene su di un tema già da tempo sottoposto al Garante, nel quadro dell’istituzione, nel 2019, da parte di ARERA, del Portale consumi mediante cui il cliente finale, previa autenticazione via SPID, può accedere ai dati inerenti le forniture di energia elettrica e gas naturale di cui è titolare, ivi compresi i propri dati di consumo storici e le relative informazioni tecniche e contrattuali. Tale previsione consente al cliente finale l’esercizio del diritto di disporre dei propri dati di prelievo per individuare la propria “impronta energetica”.

La novella proposta necessiterebbe, tuttavia, di alcune precisazioni e integrazioni che, al di là del richiamato vincolo al rispetto della disciplina di protezione dati, ne assicurino la conformità già in sede definitoria, prima ancora che applicativa.

In particolare, andrebbero definiti i limiti di ordine oggettivo e soggettivo dell’accesso al Portale, specificando, sotto il primo profilo, il novero delle “terze parti” abilitate a fruire della messa a disposizione dei dati di consumo dei clienti finali, nonché, sotto il secondo, le tipologie di dati  “relativi all'immissione” e al “prelievo” di energia elettrica e al prelievo di gas naturale.  Il Portale consumi contiene, infatti, una molteplicità di dati personali (es. dati anagrafici, POD e PDR, pratiche di switching, dati contrattuali, ecc.) la cui ampia disponibilità, da parte di soggetti diversi dall’interessato, potrebbe determinare implicazioni importanti sulla riservatezza (si pensi al fenomeno diffuso dell’attivazione fraudolenta di utenze nel mercato libero dell’energia).  Andrebbero, inoltre, più dettagliatamente individuate le finalità dell’accesso, con una formulazione più circoscritta rispetto a quella relativa al confronto tra “offerte comparabili” o “all’erogazione di servizi da parte dei predetti soggetti terzi”, di per sé inadeguata a escludere scopi ulteriori (es. profilazione dei clienti, elaborazione di dati statistici, etc.) rispetto a quelli più strettamente connessi alla valutazione dell’impronta energetica del cliente finale o del confronto di offerte comparabili perseguite dalla normativa (v. in merito anche le direttive nn. 2019/944/UE e 2012/27/UE).

L’ampliamento delle possibilità di accesso ai dati di consumo degli utenti finali da parte di terzi imporrebbe, infatti, proprio per le sue possibili implicazioni, una valutazione più analitica dell’opportunità di ridefinire il ruolo del Portale consumi all’interno del Sistema informativo integrato, secondo un congruo bilanciamento tra l’interesse alla promozione dell’efficienza energetica e il diritto alla protezione dei dati personali.

L’articolo 18 adegua, invece, l’ordinamento interno al regolamento (UE) 2022/1925 (cd Digital markets act), la cui Autorità designata per l’esecuzione è individuata nell’Autorità garante della concorrenza e del mercato. La norma fa correttamente fatte salve le competenze generali di supervisione e controllo del Garante, con particolare riguardo ad alcuni dei profili disciplinati dal regolamento, di maggiore rilievo per la protezione dei dati personali.

L’esplicitazione di tale clausola di salvaguardia, pur ricavabile dall’ordinamento sovranazionale, si rende necessaria – come sottolineato dal Garante nelle interlocuzioni preliminari con il Governo- al fine di evitare, sul piano interno, potenziali conflitti e sovrapposizioni di competenze tra le Autorità coinvolte. L’esigenza di un adeguato coordinamento e, quindi, della leale collaborazione tra Autorità per la concorrenza e per la protezione dei dati è, del resto, stata affermata in linea generale dalla Cgue nella sentenza del  4 luglio scorso (C 252/21), osservando anche come le prime debbano consultare le seconde laddove, nell’ambito di proprie istruttorie, vengano in rilievo profili incidenti sulla protezione dei dati. La connessione procedimentale così resa possibile è, del resto, tanto più necessaria per evitare il bis in idem censurato, rispetto al diritto punitivo in senso convenzionale, dalla Corte stessa.

L’importanza dei profili di protezione dati in questa materia è dimostrata, del resto, dalla previsione di cui all’art. 15 del DMA, relativa all’obbligo, sancito in capo alla Commissione, di trasmissione, al Comitato europeo per la protezione dei dati, della descrizione (sottoposta ad audit indipendente) delle tecniche di profilazione dei consumatori applicate dai gatekeepers ai servizi di base da loro offerti.

La clausola di salvaguardia di cui al comma 8 dell’articolo 18 è, dunque, opportuna, salvo integrarla con riferimento anche all’articolo 6, parr. 10, ultimo periodo e 11. Tali disposizioni riguardano, infatti, l’accesso, che i gatekeepers devono consentire agli utenti commerciali e ai terzi da questi autorizzati, ai dati personali connessi con l’uso effettuato dagli utenti finali, con il loro consenso, in relazione a prodotti o servizi offerti dall’utente commerciale mediante la piattaforma e ai dati, anonimizzati, relativi a ricerche, click e visualizzazioni cui devono poter accedere i motori di ricerca. Gli obblighi descritti presuppongono, infatti, altrettanti doveri di correttezza nel trattamento dei dati degli utenti finali, il cui rispetto deve poter essere accertato dal Garante.

Con l’integrazione suggerita, l’articolo 18 del disegno di legge può fornire una risposta regolatoria adeguata alle sfide poste dall’economia digitale, inscrivendo la collaborazione tra le Autorità in una cornice normativa essenziale, suscettibile di precisazioni e sviluppi ulteriori anche con atti convenzionali successivi.