Audizione del Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione
Disegno di legge as 1578 recante “legge annuale per il mercato e la concorrenza per il 2025

Senato della Repubblica - 9a Commissione
(11 settembre 2025)

 - IL VIDEO DELL'AUDIZIONE

Ringrazio, anzitutto, la Commissione, per aver inteso acquisire l’avviso del Garante in ordine al disegno di legge. Sono, infatti, profonde e rilevanti le vicendevoli implicazioni tra protezione dei dati, disciplina antitrust e tutela consumeristica, soprattutto in un contesto di sempre più marcata digitalizzazione dell’economia, delle transazioni commerciali e degli stessi servizi ad esse complementari.

Preciso sin d’ora che il disegno di legge, così come articolato, non presenta particolari criticità in materia di protezione dei dati. Mi parrebbe, però, utile riflettere sulla possibilità d’inserire, in sede emendativa, talune disposizioni suscettibili tanto di avere un impatto pro-concorrenziale quanto di  rafforzare, al contempo, le garanzie sottese alla protezione dei dati personali. Si tratta, peraltro, di alcune proposte che erano state suggerite al Governo lo scorso gennaio, in riscontro a una specifica richiesta di schemi di norme da inserire all’interno del disegno di legge stesso, cui il Garante ascrive la massima importanza.

Rinviando al testo, trasmesso alla Commissione, il dettaglio redazionale delle disposizioni, mi limito in questa sede a descriverne contenuto e ratio, attinenti rispettivamente alla tutela amministrativa del diritto alla protezione dei dati, ai poteri di indagine dell’Autorità e alla disciplina della profilazione della controparte contrattuale.

Sotto il primo profilo, si suggerisce di introdurre modifiche al Codice in materia di protezione dei dati personali volte a rimodulare i termini per la definizione dei procedimenti innanzi al Garante. La norma risponde all’esigenza di adeguare lo svolgimento dei procedimenti al grado di complessità che, sempre più, li caratterizza e ancor più li caratterizzerà con la diffusione dell’intelligenza artificiale, oltre che con l’incremento del quantitativo delle istanze che si è registrato negli ultimi anni.  

La rimodulazione proposta è volta a calibrare le tempistiche procedimentali in funzione delle peculiarità della realtà di riferimento, sempre più caratterizzata dall’incidenza della data economy e delle esigenze di tutela della reputazione aziendale, certamente rilevanti anche in termini concorrenziali. I termini attualmente previsti si sono, infatti, rivelati eccessivamente ristretti rispetto alla complessità che caratterizza le istruttorie e all’esigenza di approfondimento che molti trattamenti di dati personali manifestano, soprattutto nel settore economico-produttivo.

La proposta estensione dei termini per la definizione dei procedimenti innanzi al Garante mira, dunque, a garantire un accertamento più organico dei fenomeni correlati ai singoli trattamenti, consentendo di cogliere connessioni suscettibili anche di determinare la riunione di procedimenti altrimenti unitari, auspicabile anche a tutela dei soggetti passivi dell’accertamento.

Inoltre, l’ampliamento dei termini procedimentali consentirebbe alle imprese di fruire di tempi maggiori per l’articolazione delle proprie difese e favorirebbe, al contempo, una più ampia ed equa partecipazione dei titolari al contraddittorio procedimentale, a beneficio della completezza dell’accertamento e, dunque, degli stessi interessi di tutte le parti coinvolte. 

Una seconda norma riconosce, poi, al Garante poteri ispettivi (noti anche come “mistery shopping”) strumentali al più efficace esercizio delle proprie funzioni.

– conformemente all’art. 58, par. 6, del GDPR – attribuisce al Garante la facoltà di ispezionare, analizzare e testare specifici beni, applicativi, prodotti e servizi al fine di verificarne la conformità, sotto il profilo dei relativi trattamenti, alla disciplina in materia di protezione dei dati personali.

Analogamente all’art. 9, par. 3, lett. d), Regolamento (UE) 2017/2394 – che attribuisce all’AGCM “il potere di acquistare beni o servizi effettuando acquisti a campione, ove necessario in forma anonima, al fine di individuare infrazioni di cui al presente regolamento e raccogliere prove, compreso il potere di ispezionare, osservare, esaminare, smontare o testare beni o servizi” –, la disposizione mira a rafforzare i poteri di indagine del Garante per garantire una tutela effettiva agli interessati, nella maggior parte dei casi anche consumatori, promuovendo anche così maggiore lealtà e correttezza nel mercato.

Con l’uniformità, così realizzata, tra i poteri di intervento dell’Autorità e quelli dell’AGCM, si favorirebbero infatti la trasparenza e l’effettiva competitività del mercato, rafforzando al contempo le garanzie per i consumatori.

Si tratta di una modifica quantomai urgente, in quanto colma una lacuna sempre più significativa, soprattutto rispetto alla copertura, di cui è necessario disporre, ai fini dell’efficace controllo di siti ad accesso limitato (in particolare, a pagamento). La recente vicenda dei siti sessisti ha dimostrato, ancora una volta e sia pur sul versante specifico della garanzia dei diritti della personalità, quanto il controllo dei contenuti diffusi on line sia fondamentale per la tutela della persona ma, anche, della democrazia. In tal modo si possono, infatti, prevenire attività anche, lato sensu, commerciali volte a lucrare profitti spesso pure elevati sulla lesione di libertà e diritti fondamentali. Rafforzare l’azione del Garante riconoscendogli il potere di svolgere attività di controllo, anche in via anonima, contribuirebbe così, in maniera determinante, all’efficace contrasto dell’esercizio di attività economiche in violazione di norme determinanti per la tutela della persona e la correttezza del mercato.

La terza norma proposta intende disciplinare, complessivamente, le modalità e limiti relativi alle attività di profilazione della clientela, particolarmente rilevanti sotto il profilo della trasparenza dei rapporti economici e del mercato. In tali ambiti è, infatti, frequente il ricorso alla valutazione, con processi algoritmici, dell’affidabilità e solvibilità della controparte contrattuale: comprensibile ma indubbiamente invasiva rispetto alla riservatezza individuale, tanto da essere oggetto di pronunce giurisdizionali anche in sede europea. La disposizione introduce, dunque, quelle “misure adeguate” a tutela degli interessati, in conformità con quanto disposto dall’art. 22 del GDPR, richieste dalla Corte di giustizia UE con sentenza del 7 dicembre 2023 (causa C 634/21).

Quest’ultima, infatti, ha chiarito che lo “scoring” – ovvero la valutazione dell’affidabilità e solvibilità dell’interessato e di suoi particolari comportamenti futuri – costituisce un processo decisionale automatizzato, in quanto funzionale a determinare in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale. Tali caratteristiche riconducono l’attività di scoring alla disciplina puntuale sancita dall’articolo 22 del GDPR, che esige alcune garanzie e requisiti specifici.

La sentenza ha prodotto effetti significativi sul “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (Provv. Garante 6 ottobre 2022, n. 324) e sul “Codice di condotta in materia di informazioni commerciali” (Provv. Garante 29 aprile 2021, n. 181) e, in particolare, sui “trattamenti di scoring” ivi previsti, determinando la necessità di individuare un presupposto di liceità del trattamento diverso da quello cui sinora si è fatto ricorso (legittimo interesse del titolare del trattamento: art. 6, par. 1 lett. f), GDPR).

Tale presupposto di liceità non può che essere individuato, in conformità alle previsioni tassative di cui al citato articolo 22, in una norma di legge che precisi “le misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato”. A ciò provvede la norma proposta, mediante  la previsione di limiti, presupposti e garanzie rispetto all’attività di profilazione della controparte contrattuale.

La disposizione, dunque, mira a colmare la lacuna determinatasi a seguito della pronuncia della Corte, garantendo continuità ai trattamenti di dati personali effettuati nell’ambito delle attività di “scoring”. Attraverso tale modifica si perseguono, inoltre, finalità di tutela della trasparenza del mercato, in particolare attraverso il corretto esercizio di tali attività da parte delle imprese coinvolte, la certezza e trasparenza dei rapporti commerciali ed economici e l’incremento delle tutele a beneficio dei consumatori interessati. 

___

ALLEGATO

PROPOSTE EMENDATIVE AL DDL CONCORRENZA AS 1578

1. TUTELA AMMINISTRATIVA DEL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI 

Art. 1
(Modifiche al decreto legislativo 30 giugno 2003, n. 196 in materia di decisione del reclamo)

1. All’articolo 143, comma 3, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, al primo periodo, la parola: “nove” è sostituita dalla seguente: “diciotto”, la parola: “tre” è sostituita dalla seguente: “cinque” e al secondo periodo, la parola: “dodici” è sostituita dalla seguente: “ventiquattro”.

2. Dall'attuazione della disposizione di cui al comma 1 non derivano nuovi o maggiori oneri a carico della finanza pubblica. Il Garante vi provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

2. POTERI D’INDAGINE DEL GARANTE

Art. 2
(Modifiche al decreto legislativo 30 giugno 2003, n. 196 in materia di poteri del Garante)

1. All’articolo 154-bis, comma 1, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, dopo la lettera b), è aggiunta, in fine, la seguente:

“b-bis) ispezionare, analizzare e testare, ove necessario in forma anonima, specifici beni, applicativi, prodotti e servizi, al fine di verificare la conformità dei trattamenti ad essi correlati, al Regolamento e al presente Codice”.

2. Dall'attuazione della disposizione di cui al comma 1 non derivano nuovi o maggiori oneri a carico della finanza pubblica. Il Garante vi provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

3.  DISCIPLINA DELL’ATTIVITÀ DI SCORING

ART.3
(Modifiche al decreto legislativo 30 giugno 2003, n. 196 in materia di trattamenti automatizzati di dati personali nell’ambito delle attività di “scoring”)

1. Al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, sono apportate le seguenti modificazioni:

a)  dopo l’articolo 2-octies, è inserito il seguente: 
“Art. 2-octies.1
(Trattamento automatizzato di dati personali per finalità valutative dell’affidabilità e solvibilità degli interessati)

1. Il trattamento automatizzato di dati personali, compresa la profilazione, consistente nell’elaborazione di  un tasso di probabilità basato sull’applicazione di metodi o modelli matematici e/o statistici, in ordine all’affidabilità e solvibilità dell’interessato e a un suo particolare comportamento futuro, costituisce processo decisionale automatizzato, ai sensi e per gli effetti di cui all’articolo 22, paragrafo 1 del Regolamento qualora la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con l’interessato dipenda in modo decisivo  da tale tasso di probabilità.

2. Il trattamento di cui al comma 1 è autorizzato nel rispetto delle misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato previste dal presente articolo.

3. La decisione di cui al comma 1 non può essere basata su un trattamento automatizzato che abbia ad oggetto dati appartenenti alle categorie di cui agli articoli 9, paragrafo 1 o 10 del Regolamento, dati personali disponibili sui social network o relativi all'indirizzo di residenza o di domicilio dell’interessato, dati personali relativi a minorenni.

4. Nel rispetto dei principi di cui all’articolo 5 del Regolamento, il titolare del trattamento adotta misure tecniche e organizzative adeguate affinché i dati personali utilizzati siano adeguati, pertinenti e limitati a quanto necessario per l’elaborazione del tasso di probabilità di cui al comma 1, sulla base di un metodo matematico-statistico scientificamente riconosciuto, siano trattati esclusivamente ai fini di elaborazione del tasso di probabilità, siano esatti e aggiornati, garantendo la rettifica dei fattori che comportano inesattezze e la minimizzazione del rischio di errori; siano trattati tendendo conto dei rischi per gli interessi e i diritti dell’interessato tra i quali i potenziali effetti discriminatori.

5. Ai sensi degli articoli 13, paragrafo 2, lettera f) e 14, paragrafo 2, lettera g), del Regolamento, il titolare del trattamento che elabora e utilizza i tassi di probabilità di cui al comma 1 informa l’interessato circa l’esistenza di un processo decisionale automatizzato ai sensi dell’articolo 22 del medesimo Regolamento, fornendo informazioni significative sulla logica utilizzata, nonché sull’importanza e sulle conseguenze, per l’interessato, di tale trattamento

6. Il titolare del trattamento che elabora e utilizza tassi di probabilità ai sensi del comma 1 comunica, su richiesta dell'interessato, ai sensi dell’articolo 15, paragrafo 1, lettera h) del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, in un linguaggio chiaro e semplice i dati personali dell'interessato trattati per l’elaborazione del tasso di probabilità e i criteri utilizzati, la ponderazione delle categorie di criteri, nonché l’ incidenza dei singoli criteri sul tasso di probabilità e quella del tasso di probabilità ai fini del conseguimento della decisione di cui al comma 1, con le relative conseguenze per l’interessato.

7. Rispetto alla decisione di cui al comma 1, l'interessato ha il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione, di ottenere una spiegazione chiara e semplice della decisione conseguita dopo la valutazione, nonché di contestare la stessa decisione.”;

b) all’articolo 166, comma 2, dopo le parole: “2-octies” sono inserite le seguenti: “2-octies.1”.