Privacy in soccorso delle imprese. Vanno risarcite le aziende che subiscono danni da una concorrente, la quale violando il Gdpr (regolamento Ue sulla privacy n. 2016/679), lucra un indebito vantaggio commerciale.
In effetti, non osservare il Gdpr può, almeno nel breve periodo, far conquistare fette di mercato abusando dei diritti di clienti, attuali e potenziali, ma le aziende ligie alle regole non sono costrette a rimanere con le mani in mano.
È questo l’effetto della decisione di un tribunale spagnolo, specializzato nelle materie commerciali (sentenza n. 98 del 19/11/2025 del Juzgado de lo Mercantil n.15 di Madrid), che ha condannato Meta a risarcire oltre 481 milioni di euro (più 60 milioni di interessi) a 87 società del settore “media”, per avere sottratto loro fette del mercato pubblicitario online e ciò a causa dell’utilizzo senza consenso e in maniera illecita dei dati personali degli utenti presenti sulle piattaforme social riconducibili alla stessa Meta.
La sentenza spagnola. Il giudice ha dato ragione ad editori di giornali, agenzie di stampa e stazioni radio, accertando che dal 25/5/2018 (data di inizio di applicabilità del Gdpr) Meta ha trattato illegittimamente i dati personali degli utenti di Facebook e Instagram per pubblicità personalizzata.
A Meta è stato rimproverato, innanzi tutto, di avere disatteso il principio di minimizzazione dei dati degli utenti, trattando grandi volumi di dati non strettamente necessari alla fornitura del servizio di social network. In secondo luogo, Meta ha violato il Gdpr, perché ha trattato dati degli utenti senza consenso e senza un’altra valida base giuridica (la profilazione per comunicazioni pubblicitaria non è necessaria per adempiere l’obbligo contrattuale di fornire il servizio di rete sociale. Infine, Meta non ha fornito agli interessati informative chiare ed esaustive, soprattutto a riguardo delle finalità commerciali sottese al trattamento dei dati.
Secondo il tribunale, queste azioni erano dirette a creare profili utente dettagliati e a inviare pubblicità personalizzata più efficace rispetto ai suoi concorrenti. La violazione delle leggi sulla protezione dei dati ha consentito a Meta di profittare di un indebito vantaggio commerciale.
Privacy nel gioco concorrenziale. La pronuncia fa emergere un aspetto della normativa sulla protezione dei dati che può tornare molto utile a imprese ed operatori economici di tutti i settori merceologici.
Il punto è questo: nonostante quel che generalmente si crede, il Gdpr offre strumenti di tutela non solo alle persone fisiche per proteggersi da illeciti commessi dalle imprese ai loro danni; in realtà, la disciplina della privacy consegna anche alle imprese strumenti di tutela delle prerogative aziendali e, pertanto, il Gdpr può essere utilizzato anche nei rapporti B2B (business to business).
Per comprendere questo aspetto, si mettano a confronto due aziende, ipotizzando che la prima sia in regola con il Gdpr al 100% e che la seconda sia del tutto inadempiente. La prima società ha reclutato consulenti legali e informatici, ha revisionato la propria organizzazione e i processi produttivi e non ha usato dati in violazione del Gdpr, ha mandato i dipendenti a seguire corsi di formazione, ha ingaggiato un Dpo (responsabile della protezione dei dati), ha investito in sicurezza informatica e ha predisposto tutte le misure a presidio dei clienti, ad esempio istituendo un oneroso software gestionale per la raccolta dei consensi e così via. La prima società ha, dunque, speso molti quattrini e non è detto che ci sia un ritorno immediato di tutti questi investimenti. La seconda società, al contrario, non ha fatto niente di tutto ciò e non si è fatta scrupoli di usare dati personali in barba alla privacy: di conseguenza non solo non ha avuto esborsi, ma ha anche sfruttato indebitamente dati personali per massimizzare i profitti.
La violazione della privacy è, dunque, deleteria per la lealtà concorrenziale, allo stesso modo come lo è la violazione delle norme sulla sicurezza dei lavoratori, a tutela dell’ambiente o a tutela di interessi generali.
L’articolo 82 del Gdpr. La rilevanza del Gdpr nei rapporti B2B è avvalorata dall’articolo 82 dello stesso Gdpr. Quest’ultima disposizione, infatti, assicura il diritto di ottenere il risarcimento del danno a “chiunque” subisca un danno, materiale o immateriale, causato da una violazione dello stesso Gdpr commessa da un titolare/responsabile del trattamento. L’articolo 82 Gdpr, dunque, a proposito dei soggetti abilitati a ricevere il risarcimento non parla di “interessati” o di “persone fisiche”, ma scrive, al contrario, “chiunque” e tale termine comprende anche le persone giuridiche, gli enti e le associazioni. Pertanto, c’è una base testuale per sostenere che un’impresa può chiedere i danni subiti in conseguenza della condotta di altra impresa. In sostanza, basta l’articolo 82 Gdpr a fondare la richiesta danni nei rapporti B2B, senza, quindi, necessità imprescindibile di accertare la violazione di disposizioni specifiche della disciplina commerciale. Peraltro, se la violazione del Gdpr è elemento costitutivo della violazione delle regole della concorrenza, allora, avremo una doppia qualificazione dell’illecito, concorrente e convergente nel senso dell’emersione dell’obbligo di risarcire i danni cagionati dall’illecito.
Che la violazione della privacy sia contestabile quale violazione della concorrenza è stato affermato anche dalla sentenza della Corte di giustizia dell’Unione europea (Cgue) del 4 ottobre 2024, resa nella causa C-21/23. Nello stesso solco della decisione della Cgue citata si pone un’altra sentenza, sempre della Cgue, del 4 luglio 2023, causa C-252/21, nella quale si stabilisce che la violazione di una norma in materia di protezione dei dati personali può contemporaneamente costituire un indizio importante ai fini della valutazione dell’esistenza di un abuso di posizione dominante e può essere sanzionata amministrativamente dall’autorità Antitrust.
Le tattiche aziendali. A valle della pronuncia spagnola le imprese possono elaborare specifiche tattiche aziendali. Da un lato, l’analisi e la documentazione della propria conformità al Gdpr servono a mettere le mani avanti rispetto ad altrui contestazioni di condotte sleali. Da un altro lato, la scoperta di difformità al Gdpr delle imprese concorrenti serve a elaborare iniziative, anche conteziose, finalizzate a ottenere indennizzi e a rispristinare il corretto svolgimento dell’agone commerciale.
Si consideri, al riguardo, che l’obbligo di risarcire danni nei rapporti tra imprese potrà aversi a fronte di contestazioni della legittimità dell’operato di un’impresa concorrente per qualsiasi violazione del Gdpr e non solo della violazione delle norme sulla raccolta del consenso. Anzi, le fonti per l’innesco di azioni di questo tipo sono anche di facile e pronta reperibilità. Si pensi a notizie relative a un attacco informatico (data breach) subito da un’impresa, le quali possono essere un indizio del fatto che quella impresa non ha fatto investimenti in sicurezza dei sistemi e delle reti (come richiesto dal Gdpr): tale inadempimento potrebbe essere ricostruito come un atto intenzionale, teso a garantirsi un vantaggio concorrenziale. Pertanto, a ogni notizia di data breach, ci si potrebbe chiedere se l’impresa, presso cui si è verificata la violazione dei dati, abbia, prima dell’incidente, approfittato, ai danni delle concorrenti, della sua inosservanza del Gdpr.
In proposito, si deve, infine, rilevare anche che, seguendo la pronuncia spagnola, l’illecito civile (violazione della concorrenza) ha carattere permanente e, quindi, fintanto che dura l’infrazione delle regole della protezione dei dati continua a lievitare l’importo dei danni da risarcire: ciò significa che le tattiche aziendali hanno molto tempo per poter essere pianificate ed eseguite.
Gli effetti in Italia. L’orientamento del giudice spagnolo è valido anche in Italia. Al riguardo, si consideri l’articolo 2598, n. 3, del codice civile che considera sleale la concorrenza di chi si vale, direttamente o indirettamente, di ogni mezzo non conforme ai principi della correttezza professionale e idoneo a danneggiare l’altrui azienda.
La disposizione è aperta a contenere tutte le possibili azioni di un’impresa ai danni di altra impresa: questa ampia portata contiene, quindi, anche le violazioni della disciplina della protezione dei dati, da cui derivi un’ingiustificata posizione di vantaggio sul mercato. Allo stesso risultato si arriva inserendo le violazioni del Gdpr tra gli abusi di posizione dominante, punite dall’articolo 3 della legge n. 287/1990: è tenuto al risarcimento del danno l’operatore economico, che sfrutta la sua posizione commercialmente sovrana per coartare la platea dei suoi clienti, trasgredendo il diritto Ue e nazionale sulla privacy.
