Il protocollo d’intesa sottoscritto il 29 luglio 2025 tra il Garante per la protezione dei dati personali e l’Autorità Garante della Concorrenza e del Mercato segna un passo importante nel rafforzamento della cooperazione istituzionale.
Esaminiamo di seguito il tema relativo alle sfere di competenza delle due autorità e la loro collaborazione, mettendo in luce come la tutela della privacy e la disciplina delle pratiche commerciali scorrette si sovrappongano in settori significativi, come quello del marketing digitale.
In particolare, si esaminerà il doppio profilo di illiceità dell’invio di comunicazioni promozionali: da un lato, come trattamento non conforme dei dati personali; dall’altro, come pratica commerciale scorretta idonea a ledere i diritti dei consumatori.
Indice degli argomenti
Marketing digitale e nuove sfide per la tutela dei dati
Negli ultimi anni il marketing digitale è diventato la principale leva commerciale per le piccole e grandi imprese. Piattaforme di social media, motori di ricerca e sistemi di advertising basati sui dati hanno radicalmente cambiato il modo in cui i consumatori vengono raggiunti, profilati e influenzati dagli operatori del mercato. L’efficacia di queste pratiche si fonda sull’uso massivo delle informazioni personali, raccolte e trattate in maniera sempre più esponenziale, impensabile fino a pochi anni fa.
Questa rivoluzione digitale ha sicuramente prodotto enormi opportunità per le imprese e per l’economia in generale, tuttavia, allo stesso tempo, ha comportato la nascita di rischi prima inediti per i diritti degli utenti. Il consumatore, infatti, non è più solo destinatario di messaggi pubblicitari, bensì oggetto di un processo costante di analisi e categorizzazione. L’esperienza di navigazione online, le scelte di acquisto e persino i comportamenti quotidiani vengono monitorati e tradotti in profili commerciali, utilizzati per prevedere e orientare decisioni future, fino a influenzare le scelte finali del consumatore.
La crescente interconnessione tra dati personali e strategie di mercato ha reso inevitabile una convergenza anche sul piano istituzionale. Questa esigenza, infatti, ha trovato un punto di svolta nel protocollo d’intesa del 29 luglio 2025, sottoscritto dal Garante per la Protezione dei Dati Personali e dall’Autorità Garante della Concorrenza e del Mercato.
Tale accordo rappresenta certamente un tentativo per affrontare le nuove sfide del mercato digitale attraverso un approccio coordinato tra due autorità con competenze complementari.
Le competenze istituzionali delle due Autorità garanti
Il Garante per la Protezione dei Dati Personali (GPDP), istituito con la legge n. 675/1996 e oggi disciplinato dal D.Lgs. n. 196/2003 (c.d. Codice della Privacy), come modificato dal D.Lgs. n. 101/2018, esercita le funzioni attribuitegli dal Regolamento (UE) 2016/679 (GDPR).
Tra i compiti più rilevanti figurano: vigilare sull’osservanza della normativa in materia di protezione dei dati personali, fornire consulenza al Parlamento e al Governo, decidere sui reclami presentati dagli interessati e irrogare sanzioni amministrative pecuniarie. Svolge, inoltre, importanti attività di indirizzo, promuove la cultura della protezione dei dati e si confronta con le imprese per favorire l’adozione di misure di sicurezza adeguate.
L’Autorità Garante della Concorrenza e del Mercato (AGCM), invece, istituita con la Legge n. 287/1990, è l’autorità indipendente preposta alla tutela della concorrenza e del mercato. Essa esercita poteri di attuazione e controllo sia in materia antitrust, sia in materia di pratiche commerciali scorrette, in applicazione del Codice del Consumo. L’AGCM può adottare misure inibitorie e sanzioni pecuniarie significative, svolgendo un ruolo essenziale nella protezione del consumatore contro condotte ingannevoli, aggressive o contrarie ai principi di diligenza professionale, garantendo un mercato equo e privo di distorsioni.
Le due autorità, dunque, operano su piani distinti ma oggi sempre più interconnessi. Il mondo digitale, nonché le nuove tecnologie, hanno reso labile il confine tra trattamento lecito dei dati e correttezza delle pratiche commerciali. Ad esempio, una campagna di marketing che utilizzi dati personali raccolti senza il consenso da parte dell’utente/consumatore non viola solamente le norme in materia di privacy, ma anche il principio di trasparenza nei confronti dell’utente/consumatore stesso. Di qui la necessità di una collaborazione strutturata da parte delle due Autorità Garanti.
Perché la collaborazione istituzionale è indispensabile
Nel quadro attuale, dato dalla rapida trasformazione digitale della società e del mercato, ha reso evidente che la sola divisione delle competenze non fosse più bastevole.
Tra le pratiche che, ad esempio, hanno reso evidente la necessità di tale collaborazione, vi è il fenomeno della profilazione online. Costantemente piattaforme social e motori di ricerca raccolgono dati su preferenze, abitudini, localizzazione e interessi degli utenti. Queste informazioni alimentano algoritmi che determinano quali contenuti mostrare, quali prodotti suggerire e persino a quale prezzo offrire un determinato prodotto o servizio. In questo contesto, il confine tra legittima personalizzazione del servizio/prodotto e manipolazione occulta è sottile.
Un altro esempio di pratica costantemente attuata nel mondo digitale è rappresentato dai cosiddetti dark patterns. Si tratta di interfacce progettate per indurre l’utente a compiere scelte non realmente volute, come accettare cookies invasivi o abbonarsi a servizi a pagamento senza nemmeno rendersene conto. Tali pratiche al contempo rientrano nella sfera della privacy degli utenti, in quanto coinvolgono il consenso al trattamento dei dati, nonché in quella della concorrenza, poiché sfruttano la vulnerabilità del consumatore.
In tale contesto, l’intervento frammentato da parte delle istituzioni rischia di lasciare zone grigie, con il risultato che né la riservatezza né la correttezza commerciale sarebbero pienamente garantite.
La cooperazione, quindi, risulta essere una soluzione assolutamente necessaria.
Il protocollo del 2025 risponde a questa esigenza, ponendo le basi azioni future più coordinate ed efficaci.
Il protocollo d’intesa del 2025: contenuti e obiettivi
L’accordo firmato dal GPDP e dall’AGCM non rappresenta un documento meramente formale. Esso delinea strumenti concreti di cooperazione, idonei a rafforzare l’applicazione delle norme a tutela dei consumatori e della concorrenza. In primo luogo, prevede scambi sistematici di informazioni: le segnalazioni ricevute da un’autorità potranno essere utili anche all’altra, evitando duplicazioni e garantendo una visione d’insieme. Inoltre, il protocollo stabilisce la possibilità di avviare indagini coordinate, in cui i due organi lavorano fianco a fianco su casi che presentano profili di competenza incrociati.
Ma l’aspetto certamente più innovativo riguarda la redazione di linee guida comuni. La possibilità di ricevere indicazioni condivise da entrambe le autorità, in un contesto in cui le imprese lamentano spesso l’incertezza normativa, può rappresentare un punto di svolta. Non meno importante è la dimensione culturale: le attività di formazione congiunta e le campagne di sensibilizzazione rivolte a cittadini e aziende contribuiscono a diffondere consapevolezza, riducendo il rischio di violazioni involontarie e promuovendo buone pratiche.
Appare, pertanto, del tutto evidente che i benefici di questo approccio siano molteplici. Per i consumatori significa maggiore protezione contro abusi e manipolazioni. Per le imprese, sebbene il quadro regolatorio diventi più stringente, si apre l’opportunità di costruire un rapporto di fiducia con i clienti, trasformando la compliance da obbligo a valore aggiunto.
Il protocollo, oltretutto, si inserisce in una tendenza più ampia di coordinamento interistituzionale a livello europeo. Si pensi, ad esempio, al ruolo del Comitato europeo per la protezione dei dati (EDPB) o alla collaborazione tra le autorità nazionali di tutela dei consumatori nel Consumer Protection Cooperation Network.
Questioni aperte e sfide future
Il protocollo del 2025 rappresenta certamente un passo avanti, ma lascia intravedere alcune criticità. La prima riguarda il rischio di duplicazione sanzionatoria: se lo stesso comportamento integra sia una violazione della privacy, sia una pratica commerciale scorretta, si pone il problema del rispetto del principio del ne bis in idem sancito dall’art. 50 della Carta dei diritti fondamentali dell’UE, nonché dall’art. 39 del Codice di Procedura Civile e dall’art. 649 del Codice di Procedura Penale. Si renderà, pertanto, necessario sviluppare prassi di coordinamento tra le Autorità che evitino sanzioni sproporzionate e/o duplicate.
La seconda questione concerne l’impatto che tale impostazione può avere sulle imprese. L’obbligo di conformarsi contemporaneamente alle disposizioni del GDPR e del Codice del Consumo comporta oneri di compliance elevati. Tuttavia, una gestione normativamente adeguata da parte delle imprese, può rappresentare un vantaggio competitivo, poiché la trasparenza e il rispetto dei diritti fondamentali costituiscono fattori di fiducia per gli utenti del mercato digitale.
Infine, le sfide legate alle nuove tecnologie impongono un aggiornamento costante. L’intelligenza artificiale generativa e le piattaforme di influencer marketing, solo per accennare a qualche esempio, sollevano costantemente questioni inedite, sia in termini di trattamento dei dati, sia di tutela del consumatore. La collaborazione tra GPDP e AGCM si renderà, pertanto, assolutamente fondamentale per affrontare tali fenomeni, con l’obiettivo di assicurare la massima tutela dei diritti degli utenti/consumatori.
Verso un ecosistema digitale equilibrato e responsabile
La sottoscrizione del protocollo d’intesa del 29 luglio 2025 segna un passaggio significativo verso una tutela più organica e coordinata dei diritti fondamentali nell’ecosistema digitale.
La sinergia tra il Garante per la Protezione dei Dati Personali e l’Autorità per le Garanzie nelle Comunicazioni consentirà, infatti, di affrontare le pratiche di marketing digitale con un approccio multidisciplinare, capace di contemperare esigenze di protezione dei dati personali e di correttezza commerciale, garantendo maggiori tutele per i consumatori.
In una prospettiva futura, il successo di questa collaborazione dipenderà dalla capacità delle due Autorità Garanti di agire in modo coordinato, di aggiornare costantemente le proprie strategie alla luce dell’evoluzione tecnologica e di coinvolgere attivamente tutti i soggetti coinvolti, dalle piccole alle grandi imprese, nonché i consumatori e le relative associazioni di categoria.
Solo un simile approccio potrà assicurare uno sviluppo equilibrato dell’ecosistema digitale, fondato sul rispetto dei diritti delle persone e delle regole del mercato.
