Concorrenza e privacy: il protocollo d’intesa tra AGCM e Garante Privacy

Il 29 luglio 2025, presso la sede dell’Autorità Garante della Concorrenza e del Mercato (AGCM), è stato firmato un protocollo d’intesa con il Garante per la protezione dei dati personali. Due Autorità indipendenti, due aree giuridiche distinte – la tutela della concorrenza da un lato, la protezione dei dati personali dall’altro – che decidono di stringere un patto triennale per affrontare in modo coordinato le questioni in cui potere economico e potere informativo si sovrappongono. Firmatari dell’accordo: Roberto Rustichelli, presidente AGCM, e Pasquale Stanzione, presidente del Garante Privacy.
Un comunicato congiunto diffuso il giorno stesso ne sintetizza gli obiettivi: favorire un costante dialogo istituzionale nei casi in cui pratiche commerciali scorrette, abusi di posizione dominante o concentrazioni rilevanti abbiano effetti diretti sulla riservatezza degli utenti e sull’uso dei loro dati personali. Per approfondire questi temi abbiamo organizzato il corso di formazione Master in Cybersecurity e compliance integrata

1. La struttura dell’intesa tra AGCM e Garante privacy: meccanismi operativi, non buone intenzioni

Il protocollo si articola su più livelli operativi. Il primo riguarda lo scambio di segnalazioni: se durante un’indagine l’AGCM si imbatte in comportamenti che sembrano violare il Regolamento (UE) 2016/679 o il Codice Privacy (d.lgs. 196/2003, come modificato dal d.lgs. 101/2018), trasmette il fascicolo al Garante. Viceversa, se l’Autorità per la protezione dei dati rileva pratiche potenzialmente anticoncorrenziali, ne informa tempestivamente l’AGCM. L’obiettivo è chiaro: evitare doppioni, contrasti, e soprattutto buchi regolatori.
Secondo asse del protocollo: l’aggiornamento reciproco sulle strategie generali d’intervento, anche tramite accesso incrociato a informazioni di sintesi, rapporti periodici e dati non sensibili. Una forma di coordinamento che, in teoria, dovrebbe tradursi in coerenza tra linee guida, sanzioni e orientamenti.
Terzo elemento, decisivo sul piano strategico: la possibilità di indagini conoscitive congiunte e segnalazioni comuni al Parlamento e al Governo. Un’arma politica che potrebbe fare la differenza su temi caldi come la profilazione online, l’uso dell’intelligenza artificiale nei servizi commerciali, le piattaforme digitali che accumulano dati in posizioni dominanti.
Infine, il protocollo istituisce un tavolo tecnico operativo, composto da dirigenti designati da entrambe le Autorità, con il compito di monitorare l’efficacia dell’accordo, proporre modifiche e coordinare eventuali interventi congiunti.

Potrebbero interessarti anche:

• AI Act: nuovi adempimenti entro il 2 agosto 2025 – Guida pratica per imprese e professionisti
• La Commissione Europea sanziona Meta e il modello “Pay or Consent”
• Licenziamento per controllo sui social: violazione della privacy

2. Oltre il documento: un segnale chiaro alle big tech (e non solo)

La scelta di formalizzare questa collaborazione non arriva in un vuoto normativo. Negli ultimi cinque anni, numerosi casi di rilevanza europea hanno mostrato quanto sia difficile tracciare un confine tra violazione della privacy e alterazione della concorrenza.
Citiamo due esempi emblematici:

• La sanzione da 1,2 miliardi di euro comminata a Meta dall’EDPB nel maggio 2023, per trasferimenti illeciti di dati verso gli Stati Uniti (caso Meta Ireland / Facebook Ireland), ha avuto effetti anche sul piano competitivo: il trattamento illecito dei dati generava vantaggi strutturali nel mercato pubblicitario.
• Il caso Apple–Amazon in Italia (provvedimento AGCM n. 29889 del 16 novembre 2021), in cui l’Autorità ha accertato un’intesa verticale restrittiva della concorrenza nella selezione dei rivenditori autorizzati su Amazon Marketplace, con l’uso dei dati come leva per escludere il mercato grigio.

In entrambi i casi, una collaborazione strutturata tra AGCM e Garante Privacy avrebbe potuto rafforzare l’impianto sanzionatorio e fornire un quadro interpretativo più solido.

3. Il contesto nazionale: dati come leva economica

Nel sistema italiano, il trattamento dei dati personali è sempre più spesso l’elemento trasversale che connette pratiche commerciali scorrette, profilazioni aggressive, dark patterns e posizioni dominanti di mercato. Il caso più recente è quello di TikTok: il 12 aprile 2024 l’AGCM ha avviato un’istruttoria sulla responsabilità della piattaforma per la diffusione di contenuti potenzialmente pericolosi per minori, mentre il Garante Privacy aveva già chiesto la rimozione di video lesivi della dignità delle persone e aveva contestato la trasparenza dei consensi raccolti.
Il protocollo firmato a fine luglio nasce anche per rispondere a queste ambiguità normative, laddove il dato personale diventa al contempo oggetto di mercato e indice di potere.

4. E le imprese?

Il segnale per il settore privato è inequivocabile: le Autorità non agiranno più come compartimenti stagni. Chi adotta modelli di business basati sull’accumulo e l’elaborazione massiva di dati dovrà considerare doppie soglie di vigilanza, anche in assenza di procedimenti unificati. Una valutazione d’impatto privacy potrà non essere sufficiente se le condotte incidono anche sulla struttura competitiva del mercato.
In prospettiva, potremmo assistere a indagini coordinate, ad esempio nei casi in cui:

• la raccolta dei dati si traduce in accessi privilegiati a informazioni strategiche (es. dinamiche di pricing, comportamento d’acquisto);
• la conservazione differenziata dei dati produce asimmetrie informative rilevanti per la concorrenza;
• la limitazione della portabilità dei dati tra piattaforme impedisce l’effettiva libertà di scelta per gli utenti.

Un’alleanza tra Autorità indipendenti non è mai un gesto banale. È un po’ come vedere un professore di diritto commerciale e un bioeticista firmare una tesi a quattro mani. Ma qui non si tratta di esercizi accademici: si tratta di potere istituzionale che si organizza, di regole che diventano rete, di enforcement che si struttura su due fronti. E chi gioca sporco, stavolta, rischia di trovare due fischietti invece di uno.

5. Conclusione: un precedente che vale

L’intesa tra AGCM e Garante Privacy non è solo un pezzo di carta firmato con intento cerimoniale. È un atto politico nel senso tecnico del termine: stabilisce una regola del gioco per il futuro. Una regola che rafforza la credibilità dell’ordinamento offre garanzie agli operatori economici corretti, tutela i diritti dei cittadini e fa capire a tutti che i dati non sono (solo) il nuovo petrolio, ma anche il nuovo terreno di scontro tra libertà economiche e diritti fondamentali.
Ora non resta che verificare se il tavolo tecnico funzionerà davvero o se resterà, come troppe volte accade, un elegante esercizio di diplomazia inter-istituzionale. Ma per una volta, almeno sulla carta, si è deciso di giocare d’anticipo.

Formazione per professionisti

Master in Cybersecurity e compliance integrata
Il Master è un percorso formativo avanzato per imprese e pubbliche amministrazioni, professionisti, DPO e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica e integrata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa gli step degli adempimenti richiesti, e la complessa interazione delle normative di riferimento, dalla Direttiva NIS 2 al GDPR, alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il Master esplora: 
•  L’evoluzione della strategia europea di cybersicurezza
•  L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori
•  Il perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato
•  Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA)
•  Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa
•  Ruoli e poteri dell’ACN: atti attuativi e misure tecniche
•  Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!