Una recente sentenza della Corte Federale di Giustizia Tedesca (BGH) richiama la nostra attenzione su una questione interessante: la violazione della normativa sulla privacy può integrare anche una forma di concorrenza sleale tra imprese.

Con sentenza del 28 maggio 2020, infatti, la Corte tedesca ha sottoposto alla Corte di Giustizia UE la questione se le associazioni a tutela dei consumatori o, addirittura, imprese concorrenti possano agire nei confronti di un’azienda in caso di mancato rispetto del Regolamento europeo n. 2016/679 sulla protezione dei dati personali (il c.d. GDPR).

Nel caso in esame, la Corte tedesca era chiamata a pronunciarsi sui requisiti del consenso informato nel contesto dei giochi online che Facebook mette a disposizione degli utenti attraverso il suo centro app. 

La Corte ha sospeso la propria decisione, chiedendo in via pregiudiziale alla Corte UE di chiarire se il GDPR confligga con le normative nazionali degli Stati membri, che consentono a soggetti terzi diversi dall’interessato (come, appunto, i concorrenti o delle associazioni di tutela dei consumatori) la possibilità di avviare azioni legali contro una società che viola il GDPR.

L’art. 3 della legge tedesca contro la concorrenza sleale (Gesetz gegen den unlauteren Wettbewerb), infatti, prevede che commetta un atto di concorrenza sleale “chiunque violi una disposizione di legge destinata, tra l’altro, a regolamentare il comportamento sul mercato nell’interesse dei suoi operatori, quando la violazione sia di natura tale da ledere in modo sensibile gli interessi dei consumatori, degli altri operatori del mercato o dei concorrenti” e l’art. 8 della stessa legge stabilisce che legittimati a richiedere un provvedimento inibitorio contro qualsiasi pratica commerciale illecita ai sensi dell’articolo 3 cit. sono, tra gli altri, anche le associazioni per la tutela dei consumatori.

L’art. 2 della Legge tedesca in materia di azione inibitoria (Unterlassungsklagegesetz), inoltre, prevede la possibilità di ottenere un provvedimento inibitorio contro chiunque violi disposizioni volte a tutelare i consumatori (legge sulla tutela dei consumatori), tra cui le norme che “disciplinano l’ammissibilità a) della raccolta dei dati personali di un consumatore da parte di un’impresa oppure b) del trattamento o dell’utilizzo di dati personali di un consumatore raccolti da un’impresa, qualora i dati siano raccolti, trattati o utilizzati per fini pubblicitari, per ricerche di mercato e sondaggi, gestione di un’agenzia di informazioni, realizzazione di profili personali o profili utente, qualsiasi altro commercio di dati o per scopi commerciali analoghi”.

La questione è molto dibattuta in Germania tanto che, già nel 2019, la Corte di Giustizia europea si era già pronunciata (sempre in un caso che riguardava Facebook) nel senso che l’allora direttiva 95/46 non ostava a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali. La Corte UE è chiamata a chiarire se ciò valga anche con riferimento al GDPR, che ha abrogato e sostituito la direttiva 95/46[1].

La sentenza offre, in ogni caso, lo spunto per riflettere sul fatto che un’azienda, quando opera sul mercato senza il rispetto della normativa privacy, non solo lede i diritti dei singoli, ma potrebbe avvantaggiarsi illecitamente nei confronti dei concorrenti che invece rispettano quella normativa.

Pensiamo ai vantaggi commerciali che potrebbe avere un’azienda che utilizzi delle banche dati a scopi di marketing senza l’osservanza del GDPR.

La questione aveva già originato, ormai alcuni anni fa, una vertenza tra alcune compagnie telefoniche italiane: Telecom accusava alcune aziende concorrenti, tra cui Wind, di svolgere attività di telemarketing nei confronti dei propri abbonati senza acquisirne preventivamente il consenso (Wind si difendeva dicendo di acquisirne il consenso all’inizio della telefonata); le compagnie resistenti, invece, contestavano il modo in cui in cui Telecom acquisiva il consenso dei propri abbonati ad essere inseriti nei pubblici elenchi per essere contattati da imprese terze a scopi commerciali (era emerso che la compagnia inviava ai propria abbonati un modulo precompilato in cui era già spuntato il rifiuto del consenso: così facendo, dunque, Telecom “blindava” i propri abbonati, impedendo alla concorrenza di contattarli con altre offerte).

In quella occasione, Wind aveva contestato che la violazione delle norme del Codice della Privacy potesse integrare una condotta di concorrenza sleale ai sensi dell’art. 2598 n. 3 codice civile (norma di chiusura che prevede che compie atti di concorrenza sleale “chiunque si vale direttamente o indirettamente di ogni altro mezzo non conforme ai principi della correttezza professionale e idoneo a danneggiare l’altrui azienda”) evidenziando come le norme sulla privacy siano dirette a protezione del consumatore sì, ma come persona e non come attore del mercato, e sostenendone quindi l’irrilevanza per la integrazione di una fattispecie di illecito concorrenziale tra imprese.

Il Tribunale di Roma (ordinanza 03.07.2007), invece, ha evidenziato come “il Codice della privacy costituisce un esempio di legge pluridirezionale nei suoi scopi, giacché essa è diretta alla protezione dei dati personali a tutela dei diritti della persona, ma in differenti contesti ambientali, e in particolare alcune norme, tra cui quelle degli artt. 7[2], 129 e 130, che fanno riferimento all’invio di materiale pubblicitario, vendita diretta, ricerche di mercato e comunicazione commerciale, sono dirette alla protezione dei dati personali del consumatore quale soggetto di diritto del mercato economico[3]. […] Il rispetto di norme pubblicistiche preordinate alla protezione dei diversi attori del mercato, tra cui i consumatori, opera quale limite di utilità sociale all’esercizio del diritto di impresa, posto dall’art. 41 Cost.”.

Nel merito della vertenza, il Tribunale di Roma ritenne che le modalità di acquisizione del consenso tanto di Telecom quanto di Wind non fossero conformi alle norme poste a tutela della privacy e che integrassero, al contempo, una condotta scorretta nei confronti della concorrenza ai sensi dell’art. 2598 c.c.  

Pensiamo anche semplicemente al caso, tutt’altro che infrequente, di un ex collaboratore o socio che si appropria dell’elenco clienti dell’azienda con cui lavorava per intraprendere un’attività concorrente: i dati di quei clienti, se si tratta di persone fisiche, non rappresentano soltanto un know how dell’azienda ma sono, innanzitutto, dati personali (talvolta anche particolari, come potrebbe essere nel caso di uno studio medico) e l’appropriarsi di quei dati per scopi diversi (un’attività in concorrenza) da quelli per i quali sono stati legittimamente acquisiti integra una violazione sanzionabile anche dal punto di vista della privacy. L’ex collaboratore o l’ex socio, dunque, potrebbe essere chiamato a rispondere di quella condotta anche nei confronti dei clienti, la cui privacy è stata violata.

In tutti questi casi, dunque, un’azienda potrebbe essere ritenuta responsabile e sanzionata non solo per non avere trattato in modo corretto i dati personali dei propri clienti (o dei clienti altrui) ma anche per aver agito in modo sleale a scapito dei propri concorrenti.

I rimedi esperibili, dunque, di fronte a simili condotte possono essere molteplici, non solo quelli previsti dal GDPR ma anche quelli previsti dalle normative nazionali in materia di concorrenza sleale (nel nostro caso, innanzitutto, l’art. 2598 codice civile) e in materia di tutela dei consumatori.

[1] In realtà, l’art. 80 del GDPR prevede espressamente che gli Stati membri possano consentire alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali: è verosimile, dunque, che la Corte UE confermerà l’interpretazione già accolta nel 2019.

[2] Oggi abrogato.

[3] È noto, del resto, come i dati dei consumatori abbiano assunto un enorme valore economico.