Il Garante Privacy ha pubblicato l’audizione del proprio Presidente, in Senato, in occasione dell’esame del DDL n. 1578 sulla legge annuale per il mercato e la concorrenza per il 2025 (DDL concorrenza 2025).
Il Garante, preso atto che il DDL non presenta particolari criticità in materia di protezione dei dati, coglie l’occasione per proporre, in sede emendativa, alcune disposizioni che potrebbero avere un impatto pro-concorrenziale e rafforzare le garanzie sottese alla protezione dei dati personali.
Estensione dei termini di conclusione del procedimento innanzi al Garante
Il Garante propone di introdurre modifiche al Codice in materia di protezione dei dati personali, per estendere i termini per la definizione dei procedimenti:
- garantendo un accertamento più organico dei fenomeni correlati ai singoli trattamenti
- consentendo alle imprese di fruire di tempi maggiori per l’articolazione delle proprie difese
- favorendo una più ampia ed equa partecipazione dei titolari al contraddittorio procedimentale
Mystery shopping del Garante negli emendamenti al DDL Concorrenza 2025
Il Garante propone di riconoscere all’Autorità poteri ispettivi (“mistery shopping”) strumentali al più efficace esercizio delle proprie funzioni, analogamente all’art. 9, par. 3, lett. d), Regolamento (UE) 2017/2394, che attribuisce all’AGCM un analogo potere ispettivo:
- rafforzando i poteri di indagine del Garante, per garantire una tutela effettiva agli interessati, nella maggior parte dei casi anche consumatori, promuovendo anche così maggiore lealtà e correttezza nel mercato
- favorendo la trasparenza e l’effettiva competitività del mercato, si rafforzerebbero al contempo le garanzie per i consumatori
Profilazione della clientela
Il Garante propone di disciplinare le modalità e limiti relativi alle attività di profilazione della clientela, particolarmente rilevanti ove frequente è il ricorso alla valutazione, con processi algoritmici, dell’affidabilità e solvibilità della controparte contrattuale.
La disposizione proposta introduce “misure adeguate” a tutela degli interessati, in conformità con quanto disposto dall’art. 22 del GDPR, richieste dalla Corte di giustizia UE con sentenza del 7 dicembre 2023 (causa C 634/21), per cui lo “scoring”, ovvero la valutazione dell’affidabilità e solvibilità dell’interessato e di suoi particolari comportamenti futuri, costituisce un processo decisionale automatizzato, in quanto funzionale a determinare in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale.
Caratteristiche che riconducono l’attività di scoring alla disciplina di cui all‘art. 22 del GDPR, che esige alcune garanzie e requisiti specifici.
La sentenza ha prodotto effetti significativi sul “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (Provv. Garante 324/2022) e sul “Codice di condotta in materia di informazioni commerciali” (Provv. Garante 181/2021), in particolare, sui “trattamenti di scoring” ivi previsti, determinando la necessità di individuare un presupposto di liceità del trattamento diverso da quello cui sinora si è fatto ricorso (legittimo interesse del titolare del trattamento: art. 6, par. 1 lett. f), GDPR).
Tale presupposto di liceità non può che essere individuato, in conformità alle previsioni tassative di cui al citato art. 22, in una norma di legge che precisi “le misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato”: a ciò provvede la norma proposta dal Garante, prevedendo limiti, presupposti e garanzie rispetto all’attività di profilazione della controparte contrattuale e colmando la lacuna determinatasi a seguito della pronuncia della Corte, garantendo continuità ai trattamenti di dati personali effettuati nell’ambito delle attività di “scoring”.
