PRESIDENZA DEL PRESIDENTE
SIMONE BALDELLI

La seduta comincia alle 11.10.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso impianti audiovisivi a circuito chiuso nonché via streaming sulla web-tv della Camera dei deputati.

(Così rimane stabilito).

Audizione del presidente dell'Autorità garante della protezione dei dati personali, Pasquale Stanzione.

PRESIDENTE. L'ordine del giorno reca l'audizione del presidente dell'Autorità garante per la protezione dei dati personali, Pasquale Stanzione sulle tematiche inerenti alla profilazione on line del consumatore.
Ricordo che la seduta odierna si svolge nelle forme dell'audizione libera ed è aperta alla partecipazione da remoto dei componenti della Commissione.
Ringrazio i componenti della Commissione collegati da remoto e in presenza.
Saluto e ringrazio il presidente Stanzione, che ha accettato il nostro invito, e gli do subito la parola.

PASQUALE STANZIONE, presidente dell'Autorità garante per la protezione dei dati personali. Grazie presidente. Sono grato alla Commissione per l'attenzione riservata al tema della protezione dei dati, così determinante per la tutela dei consumatori, in un contesto socio-economico inevitabilmente sempre più proiettato verso la dimensione virtuale, che tuttavia ha, come a voi noto, implicazioni drammaticamente concreta sulla vita delle persone. Sono grato in particolare per il confronto oggi reso possibile su di un tema, quello della tutela della privacy online, che costituisce uno dei punti qualificanti della disciplina europea. Tale tutela sottende la esigenza di impedire che i dati sul comportamento in rete siano sfruttati attraverso il micro-targeting a fini commerciali e, poi, consapevolezza più recente, persino sul piano politico-elettorale, come dimostra il caso di Cambridge Analytica, cui si rifà il draft di regolamento UE sul targeting politico. Attraverso la indebita raccolta dei dati sulla navigazione, infatti, si può realizzare quel pedinamento digitale che alimenta il capitalismo, definito «estrattivo», delle piattaforme e soprattutto il potere di condizionamento delle scelte, non solo commerciali, degli utenti della rete, esercitato suggerendo contenuti, prodotti, servizi, con il rischio di anticiparne e orientarne le scelte.
Uno degli strumenti con i quali si realizza tale forma di controllo e allo stesso tempo di nudging, è rappresentato proprio dai cookies, in particolare dai cookies di profilazione, di natura non strettamente tecnica, perché varie sono le loro possibili configurazioni. Se infatti possono assolvere a funzioni essenzialmente tecniche, consentendo tra l'altro alle pagine web di caricarsi più velocemente, tali cookies possono anche veicolare pubblicità comportamentale, restituendo informazioni sulla efficacia del messaggio promozionale o conformando tipologia e modalità dei servizi resi ai comportamenti tenuti dall'utente. Rispetto a tale contesto, la direttiva UE n. 58 del 2002 ha sancito in capo agli Stati membri l'obbligo di garantire all'utente la possibilità di Pag. 4rifiutare l'installazione dei cookies, fatte salve le esigenze tecniche e quelle strettamente derivanti da adempimenti di oneri contrattuali. La direttiva n. 136 del 2009, dunque successiva alla prima, ha ulteriormente rafforzato le garanzie in materia, trasposte nel testo – che da allora è rimasto invariato – dell'articolo 122 del Codice italiano della privacy che, conformemente alla direttiva, sceglie per la manifestazione di volontà dell'utente il più garantista paradigma dell'opt-in. Esso infatti esige la previa espressione, sia pure con modalità semplificate, del consenso informato per l'attivazione dei cookies non tecnici.
Con il provvedimento n. 229 del maggio del 2014, seguito dai chiarimenti del 2015, il Garante della privacy ha ritenuto opportuno fornire indicazioni utili a «individuare le modalità semplificate per rendere l'informativa on line agli utenti sull'archiviazione dei cosiddetti cookies sui loro terminali da parte dei siti internet visitati come pure sulle modalità con le quali procedere all'acquisizione del consenso degli stessi laddove richiesto dalla legge». In particolare, il Garante ha chiarito la necessità di acquisire il consenso preventivo e informato degli utenti all'installazione di cookies utilizzati per finalità diverse da quelle meramente tecniche, senza che la mancata accettazione precluda l'accesso ai contenuti del sito, introducendo dunque importanti misure di semplificazione. In quella sede si chiariva anche come il luogo di espressione della manifestazione di volontà dell'utente fosse il banner, la cui comparsa nella home page del sito consentiva anche una prima informazione sulle finalità del trattamento, così da consentire l'assunzione di una determinazione consapevole sul tipo di navigazione successiva. Si delineava in tal modo per i provider l'obbligo di creare un bivio con due possibilità: da una parte, una navigazione profilata liberamente accettata dall'utente in cui, tramite l'impiego dei cookies, si potessero veicolare messaggi pubblicitari mirati sulle singole abitudini di uso dei servizi della società dell'informazione, dall'altra, una navigazione non profilata con invio di messaggi pubblicitari non mirati e più contestuali, cioè basati sul contenuto generale del sito e non sull'osservazione dello storico dei comportamenti dell'utente, senza penalizzazioni nell'accesso alle risorse per la sola scelta effettuata.
Tale soluzione è stata di recente rivista, integrata e attualizzata, considerando sia il tempo trascorso sia soprattutto l'avvento del GDPR, quindi del regolamento n. 679 del 2016, che, oltre a inscrivere le principali garanzie della stessa configurazione e l'impostazione di sistemi e dispositivi – la nota privacy by design and by default – rafforza il potere dispositivo e, in senso lato, le garanzie di autodeterminazione in cui si esprime il diritto alla protezione dei dati. In particolare, con il regolamento, al novero dei requisiti richiesti per una valida manifestazione di volontà si aggiunge, alle già note libertà, la specificità e, previa informazione, la inequivocabilità. Tale requisito era stato del resto valorizzato dalla giurisprudenza, in particolare con la sentenza della Corte di Giustizia europea del 1° ottobre 2019 resa nel caso Planet49. In quella sede, infatti, la Corte aveva valorizzato le implicazioni della natura necessariamente esplicita del consenso come tale, frutto dunque di un'attività e di una specifica manifestazione di volontà dell'utente da escludersi nel caso di «casella pre-spuntata». Anche il Comitato europeo per la protezione dei dati, con le linee guida n. 5 del 2020, appunto sul consenso, aveva fornito indicazioni importanti circa il rapporto tra non condizionalità del consenso e ambiente online. In quella sede, in particolare, si era precisato che, al fine di garantire la libertà di autodeterminazione individuale – il profilo più rilevante in materia – l'accesso ai servizi e alle funzionalità non dovesse essere subordinato al rilascio del consenso dell'utente alla memorizzazione delle informazioni o all'accesso a informazioni già memorizzate nel suo terminale. Ebbene, non è stato ritenuto conforme al regolamento – questo è importante – l'utilizzo del cookie-wall, ossia di quelle barriere digitali che consentono la fruizione del sito da parte dell'utente solo a condizione dell'accettazione dei cookies, che, nella maggior parte dei casi, come in Pag. 5quello di specie, sono cookies di profilazione.
Nello stesso 2020, il primo ottobre, anche l'autorità francese, la Commission nationale de l'informatique et des libertés (CNIL), ha pubblicato una versione aggiornata delle linee-guida sui cookies e tecnologie similari, congiuntamente alle raccomandazioni finali sulle modalità pratiche per ottenere il consenso degli utenti alla memorizzazione o all'utilizzo di cookies non essenziali e tecnologie simili sui propri dispositivi. Tra i contenuti essenziali delle linee-guida si annoverano in particolare: la possibilità di rifiutare i cookies con la stessa facilità con cui si presta il consenso; una maggiore flessibilità per le condizioni di esenzione dal consenso rispetto ai cookies analitici; valutazione, caso per caso, della ammissibilità del cookie-wall, che costituisce proprio uno sbarramento per l'utente a procedere nella navigazione se non presta il consenso.
Il rafforzamento delle garanzie introdotte dal GDPR, come pure l'evoluzione della realtà tecnologica considerata – in particolare pensate al crescente uso di tracciatori particolarmente invasivi, la moltiplicazione delle identità digitali degli utenti che favorisce l'incrocio dei loro dati e la creazione di profili sempre più dettagliati – hanno dunque suggerito un aggiornamento, con deliberazione n. 231 del 10 giugno 2021, delle precedenti linee-guida del 2014, pur nella invarianza del loro impianto sostanziale. Il ricorso, anche in tal caso, a uno strumento di soft law che è maggiormente percorribile, come a voi noto, rispetto a una soluzione di hard law, quindi con la previsione di un termine ampio per l'adeguamento – che è scaduto solo a gennaio scorso – è parso particolarmente opportuno a fronte della complessità del contesto di riferimento e dell'esigenza di valorizzare il principio di responsabilizzazione, guidando tuttavia i provider all'adempimento degli obblighi loro imposti. Inoltre, si è valorizzato il principio partecipativo sottoponendo lo schema di deliberazione a consultazione pubblica, nel corso della quale sono pervenuti circa 50 contributi da parte di soggetti appartenenti al mondo dell'imprenditoria, delle telecomunicazioni elettroniche, ma anche dall'accademia, da movimenti di tutela del consumatore nonché da privati cittadini. Nel documento si precisa anzitutto, con riguardo all'informativa, che essa dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e, cosa importante, i tempi di conservazione delle informazioni. Si è anche chiarito che l'informativa può essere resa su più canali e con diverse modalità – pensate ad esempio ai pop-up, a video e a interazioni vocali e così via. Per quanto invece concerne le garanzie di autodeterminazione dell'utente, si è sottolineato come il meccanismo di acquisizione del consenso online debba innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso a un sito web, non siano posizionati, all'interno del dispositivo dell'utente, cookies o strumenti analoghi né venga utilizzata altra tecnica di tracciamento attivo, ad esempio cookies di terze parti, o passive, ad esempio il fingerprinting. Sono state inoltre fornite alcune indicazioni relative allo scrolling, ovvero l'azione consistente nel lasciar scorrere la pagina così da mostrarne sullo schermo la parte sottostante al banner, contenente la cosiddetta informativa breve, e alla reiterazione delle richieste di consenso agli utenti. Con specifico riferimento allo scrolling, le linee-guida ne sottolineano la inidoneità alla raccolta di un idoneo consenso, salvo il caso in cui si inserisca in un processo articolato nell'ambito del quale l'interessato generi un evento registrabile e documentabile presso il server del sito, qualificabile come azione positiva idonea a manifestare inequivocabilmente il consenso al trattamento. Si è chiarito che l'installazione di cookies o di altri strumenti di tracciamento, necessita ineludibilmente del consenso, essendo inadeguato a tal fine il presupposto di liceità del legittimo interesse, conformemente a quanto dispone il draft di regolamento e-privacy. Peraltro il Garante ha ribadito la illiceità – ne abbiamo parlato poc'anzi – del cookie-wall, quindi dello sbarramento, salva l'ipotesi in cui il sito offra all'utente la possibilità di accedere, senza prestare il consenso all'installazionePag. 6 e all'uso dei cookies, a un contenuto o a un servizio equivalenti, in sostanziale analogia con quanto previsto appunto dal draft di regolamento che vi ho citato, quello sulla e-privacy.
In termini di semplificazione, si è chiarito come la ripresentazione del banner a ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l'abbiano negato, non abbia fondamento normativo e determini quella consent fatigue da cui rischia di derivare una percezione scorretta delle garanzie della privacy. La scelta dell'utente dunque dovrà essere debitamente registrata e non più sollecitata, salvo che – è ovvio – non mutino significativamente le condizioni del trattamento, non si riesca ad accertare l'eventuale già avvenuta memorizzazione del dispositivo di determinati cookies, siano trascorsi almeno sei mesi. Queste sono le condizioni. Resta in ogni caso fermo il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato, principio di carattere generale. Le linee-guida auspicano inoltre una codifica universalmente accettata dei cookies, che per la verità oggi è assente. Tale codifica consente di distinguere in maniera oggettiva i cookies tecnici da quelli di carattere analitico o di profilazione che hanno, come abbiamo visto, una disciplina più attenta alla identificazione della persona. In assenza di tale previa codificazione, il Garante ha invitato i publisher a indicare nell'informativa i parametri di codifica dei tracciatori rispettivamente adottati così da rafforzare le garanzie di trasparenza. Poiché il 9 gennaio 2022 è scaduto il termine per l'adeguamento delle linee-guida, ne sarà progressivamente verificata la compiutezza, nella consapevolezza di quanto sia rilevante per la sostenibilità della data economy l'osservanza degli obblighi gravanti sui provider in punto di tutela dell'autodeterminazione degli utenti. La tutela della privacy comportamentale infatti ruota tutta intorno al più forte presidio dell'autodeterminazione, il consenso informato, che per essere tale, deve essere anzitutto consapevole. Ecco perché, oltre all'attività di enforcement, il Garante promuove da tempo un'ampia azione di educazione digitale come necessario presupposto di scelte libere e appunto consapevoli, tanto difficili quanto indispensabili al tempo della zero-price economy in cui i servizi apparentemente gratuiti sono invece pagati, presidente l'abbiamo detto tante volte, al caro prezzo dei nostri dati e quindi della nostra libertà. Vi ringrazio dell'attenzione.

PRESIDENTE. Ringraziamo lei, presidente Stanzione. Chiedo ai colleghi se intendano intervenire per domande o richieste di chiarimento.
Do la parola all'onorevole Battilocchio.

ALESSANDRO BATTILOCCHIO. Dovrebbe essere in corso un piano ispettivo, promosso dalla Autorità garante, relativo a cookies, smart-toys e trattamento delle app, in collaborazione con la Guardia di finanza. Il termine inizialmente previsto era giugno 2022. Volevo solo sapere se tale termine verrà rispettato oppure se il piano richiederà più tempo per la sua definizione.

PASQUALE STANZIONE, presidente dell'Autorità garante per la protezione dei dati personali. È ancora in corso, data la delicatezza della materia. Ha fatto bene a ricordare la collaborazione, non soltanto dal punto di vista ispettivo, della Guardia di finanza, con la quale abbiamo in essere uno specifico protocollo di collaborazione. Come sa, ci serviamo abbondantemente dell'attività istituzionale del Corpo.

PRESIDENTE. Do la parola all'onorevole Zanella.

FEDERICA ZANELLA. La ringrazio per la relazione, molto interessante ed esaustiva. Lei parlava della non possibilità della ripresentazione del banner a ogni accesso dell'utente e di un'opportuna registrazione senza continuare a sollecitare. Questo è riportato nel draft del regolamento sulla e-privacy? Al netto delle vostre attività di enforcement, come legislatori possiamo aiutarvi con qualche norma finalizzata a una maggiore tutela dei consumatori sotto il Pag. 7profilo delle indebite profilazioni commerciali, del microtargeting e così via?

PASQUALE STANZIONE, presidente dell'Autorità garante per la protezione dei dati personali. Grazie per le interessanti domande. Il potenziamento dell'enforcement che il Garante percepisce al riguardo attiene non soltanto al fatto della registrazione, in modo da evitarne la ripetitività, ma anche al profilo temporale, ovvero alla data retention, come viene chiamata, in modo da non estenderla eccessivamente nel tempo, fermo restando il fatto, come ho detto, che in ogni momento la revoca è sempre possibile. Mi riserverei, se lo ritenete opportuno, di far pervenire qualche indicazione di carattere più tecnico, interpellando anche i nostri dipartimenti competenti, in modo da rendere più efficace l'azione di intervento del Garante. Le sono grato di questa richiesta.

FEDERICA ZANELLA. Ne saremmo lieti.

PRESIDENTE. Alcune volte nella navigazione si trovano banner che «nascondono» il segno x per la chiusura del banner stesso o tale segno è di piccolissime dimensioni, oppure va ricercato accuratamente, mentre non si vede in modo chiaro la scritta cliccabile «continua senza accettare», che invece andrebbe apposta sempre. Come si procede adesso per verificare, come diceva lei poc'anzi, che un utente che naviga spesso in un sito, pur non avendo accettato una volta, non si trovi sempre di fronte il medesimo muro di cookies che gli chiede se accetta o meno? La manifestazione esplicita della volontà di non accettare dovrebbe infatti permanere in memoria per un certo periodo di tempo.
Come è possibile esprimere la revoca del consenso? Se un sito affronta questa parte dei cookies in maniera corretta è facile negare il consenso, ma altre volte è facile darlo perché si accetta per esasperazione, dato che non appare la formula «continua senza accettare», e appaiono invece tutte le varie numerose autorizzazioni, una in fila all'altra, anziché il «rifiuta tutto». Una volta che si accetta, cosa accade se si volesse ritirare il consenso? Ho la sensazione che la revoca diventi una procedura molto più complicata dell'accettazione tout-court. Su questa difficoltà a ritirare il consenso rispetto al darlo si gioca molta parte di questa partita.
Mi permetto di sollevare anche un argomento «fuori sacco». Approfittando della sua presenza e della sua disponibilità, per la quale ancora la ringrazio, le vorrei chiedere qualcosa in relazione a un tema che la Commissione sta seguendo e che anche a lei è molto caro – lo toccammo nella prima audizione – ovvero quello del telemarketing e del Registro delle opposizioni. So che lei si sta occupando anche della parte relativa al codice di condotta e le chiedo se ci sono novità in argomento. Abbiamo già ascoltato la sottosegretaria competente, l'onorevole Ascani, che tornerà prossimamente in questa sede, anche per aggiornarci sul processo di ascolto degli operatori del settore e sull'evoluzione della normativa che tutti noi ci auguriamo sia efficace. Si è fatta una scelta che, per citare un termine un po' più tecnico, è di opt-out anziché di opt-in, come accade in qualche Paese – penso all'Olanda – per cui si è fatta una scelta molto più complessa dal punto di vista dell'adeguamento. Una platea di 78 milioni di utenti di telefoni mobili infatti entreranno potenzialmente in questo mercato dell'opposizione. Anche su questo le chiedo una sua valutazione.

PASQUALE STANZIONE, presidente dell'Autorità garante per la protezione dei dati personali. Presidente ben volentieri. Come utente io stesso, e noi tutti, tante volte per disperata rassegnazione dato che dobbiamo procedere rapidamente nella ricerca, molto spesso clicchiamo su «accetto».
Per quanto riguarda la revoca, essa va fatta nelle medesime condizioni e nel medesimo luogo in cui è stato dato il consenso. Mi rendo conto che anche questa è materia da sottoporre all'attenzione dei publisher, nel senso che quelle crocette, quelle spunte che dovevano comparire, non si sa più dove riescono a metterle in modo tale da nasconderle o dover fare una ricerca puntigliosa. Questo è il momento della chiarezzaPag. 8 e della trasparenza, principi che vanno consigliati, sollecitati, se non talvolta – voi siete il legislatore – imposti ai publisher, in modo che ne risulti una chiarezza nella condivisione ovvero la consapevolezza, di cui abbiamo parlato, per dare o negare il consenso al riguardo.
Lei, presidente, sollecita il discorso sul codice di condotta. L'applicazione delle modifiche normative al Registro pubblico delle opposizioni ha un po' riacceso l'interesse degli operatori, e ovviamente degli utenti, riguardo anche a un possibile codice di condotta in materia di telemarketing. Il codice di condotta è uno strumento giuridico – non lo devo dire a voi ovviamente – diverso dalle regole deontologiche attuali o dai vecchi codici deontologici, in quanto non ha natura normativa ma ha una funzione però rilevante nella promozione del principio di responsabilizzazione su cui si fonda la disciplina della privacy, anche promuovendo l'introiezione di condotte virtuose. Nel settore del telemarketing, il codice di condotta sarebbe particolarmente di aiuto e di ausilio proprio per favorire standard uniformi di conformità delle condotte dei vari attori coinvolti nella filiera delle attività promozionali, non realizzabili forse neppure con la deterrenza esercitata dal quadro sanzionatorio, pur elevato. Il principio è il solito, la sanzione arriva dopo aver commesso l'illecito, meglio prevenire, mi pare evidente. Per questo il Garante, che ha il compito di approvare il progetto stilato dalle associazioni di categoria, oltre naturalmente a incoraggiarne la redazione, ha accolto favorevolmente l'intenzione manifestata dagli esponenti del settore di procedere alla stesura di tale codice di condotta, sollecitandone anche la conclusione in tempi stringenti. Al momento si è tenuta una prima riunione introduttiva e si è convenuto di estendere la partecipazione alla stesura del codice alle varie categorie di soggetti coinvolti nella complessa filiera del telemarketing, composta dalla committenza, ovvero gli operatori che intendono svolgere la propria attività di marketing mediante contatti telefonici, poi dai list provider, soggetti che reperiscono e costituiscono elenchi di persone contattabili, dai call center incaricati dalla committenza di effettuare le attività di contatto telefonico, oltre ovviamente ai destinatari del servizio, i consumatori-clienti. L'Ufficio del Garante ha anche fornito la propria disponibilità a partecipare ai lavori, laddove ritenuto utile, al fine di velocizzare i tempi di conclusione. Questa disponibilità del Garante è stata accolta dalle parti e pertanto le riunioni si terranno, salvo diversa successiva decisione, anche con la partecipazione della competente articolazione dell'Autorità al riguardo e quindi stiamo, sia pure in una fase iniziale ma fortemente determinati, procedendo lungo questo percorso che dovrebbe rendere più facile l'applicazione del Registro pubblico delle opposizioni. Come sapete, nell'ambito dell'opinione pubblica e anche a livello mediatico, ne è stata molto attesa con consapevolezza e anche con soddisfazione l'entrata in vigore operativa, e pertanto saluto come un'ipotesi positiva l'avvio di questo tavolo di concertazione circa il codice di condotta.

PRESIDENTE. Si tratta quindi di una iniziativa spontanea e positiva ma non vincolante per gli operatori, anche se tutto aiuta in un quadro di insieme.
Da ultimo, le volevo chiedere cosa dovrebbe fare un utente che, navigando, si trovi di fronte a cookies particolarmente insistenti, non conformi o non regolari, dove non appare la crocetta per chiudere. A chi si deve rivolgere l'utente e che sanzioni sono previste per quei siti, che magari potrebbero avere sede all'estero? Che sanzioni applicate, se le applicate voi, e con che forma? Per esempio, c'è la sanzione del 4 per cento del fatturato. Volevo capire meglio la parte sanzionatoria ma soprattutto a chi un utente, che si trovasse nella condizione reiterata di dover negare il consenso e ogni volta che entra nella stessa pagina si ritrovi il banner con il cookie-wall, possa rivolgersi. Sono già state irrogate sanzioni o sono state aperte istruttorie?
Do la parola all'onorevole Lombardo.

ANTONIO LOMBARDO. La mia domanda è sulla falsariga di quanto stava Pag. 9chiedendo il presidente Baldelli. Come si concilia con i diritti dell'interessato il consenso che viene dato sui cookies? Mi spiego meglio. Se, in qualità di interessato, si presta il consenso alla società che gestisce un sito come responsabile del trattamento, si possono esercitare i diritti secondo gli articoli 15 e 22 del codice?

PRESIDENTE. Aggiungo una questione, se a voi risulta. Quando si dà il consenso al trattamento, a parte il fatto che un utente medio non distingue un cookie tecnico da quello di profilazione, quali sono le conseguenze, al netto della operabilità dei dati che si forniscono nella navigazione? Chi ha una pagina social si ritrova quasi a seguire degli account pubblicitari di aziende con cui non ha mai avuto rapporti e che non ha mai seguito. Ad esempio, in un sito che parla di automobili si dà l'accettazione dei cookie, poi magari su un qualunque social arriva la pubblicità di una marca di automobili o se ne viene quasi considerato un follower, idem per quanto riguarda lavatrici, ferri da stiro o qualunque altra cosa. Quali possono essere dunque le conseguenze dell'accettazione? Arriva una pubblicità mirata o addirittura un account può essere considerato quasi seguace di un altro account commercialmente interessato?

PASQUALE STANZIONE, presidente dell'Autorità garante per la protezione dei dati personali. Quasi una sorta di filiera con sequenze inestricabili.

PRESIDENTE. Dove però uno non accetta di seguire un account, ma si ritrova a seguirlo «magicamente» per aver accettato cookies in tutt'altra pagina.

PASQUALE STANZIONE, presidente dell'Autorità garante per la protezione dei dati personali. Il problema che lei pone attiene indubbiamente – l'abbiamo detto nell'ultima parte di questo intervento – a una sorta di educazione, ancora una volta digitale, a una formazione di ognuno di noi, dai giovani ai maturi ai più anziani, tale da poter distinguere – cosa non semplice – tra cookies tecnici, che sono inevitabili, e cookies di profilazione, che portano alle note conseguenze di inquadramento della personalità e dei comportamenti dell'utente. Si tratta di un problema di lunga durata, non certo di medio tempore, nel senso che si deve sviluppare questa sorta di formazione, di «paideia» digitale, in modo che si sia più consapevoli. Quando però, nonostante tale consapevolezza, si è investiti da questa marea di messaggi pubblicitari, si può adire il Garante. Non voglio specificamente elencare i provvedimenti che abbiamo preso, ma alcuni sono stati veramente consistenti anche nei confronti di aziende italiane particolarmente importanti e la sanzione è stata di svariati milioni di euro. Il problema che poneva lei è che allorquando ci troviamo in presenza di aziende, operatori, publisher e così via, nazionali, la competenza di intervento del Garante è immediata e quindi, su sollecitazione degli utenti o anche attraverso notizie tratte aliunde, per esempio da un articolo di giornale o da una ricerca effettuata al riguardo, autonomamente si avvia un'istruttoria. Quando però ci troviamo in presenza – e può essere la maggior parte dei casi – di piattaforme che non hanno il domicilio legale in Italia, e succede molto spesso per quelle extraeuropee, si pongono, come sapete, delicati problemi di competenza per cui ci dobbiamo affidare a un'iniziativa leader da parte del Paese in cui la piattaforma ha stabilito il proprio domicilio legale – notoriamente l'Irlanda, talvolta l'Olanda, talaltra il Lussemburgo. Noi possiamo fare solamente da accompagnatori, per dir così, dell'iniziativa che deve essere presa per prima al riguardo.
Ciò peraltro, in altro campo, non ha impedito qualche coraggioso provvedimento da parte nostra. Vi cito su tutti – l'abbiamo assunto l'anno scorso – quello nei confronti di Tik Tok, in cui non avevamo nessuna competenza – si trattava della verifica dell'età dei minori che lo utilizzavano. Non avremmo potuto prendere questo provvedimento a forte impatto nei confronti di una piattaforma multinazionale perché doveva essere l'Irlanda, dove Tik Tok ha sede legale in Europa, ad assumere l'iniziativa. Di fronte alla tiepidezza e alla Pag. 10mancanza di iniziativa, ci siamo mossi coraggiosamente e, per la verità, abbiamo trovato una collaborazione dall'altra parte che ha aderito e si è messa a lavorare per risolvere il problema della effettiva verifica dell'età dell'utente, problema peraltro piuttosto difficile, perché i minori che intendono mettersi in contatto sulla piattaforma potrebbero dichiarare il falso e quindi bisogna individuare strumenti adeguati. Noi ci troviamo dunque davanti a queste difficoltà.
Ripeto, quello che avverto, non soltanto per la mia figura istituzionale, ma anche come cittadino, sono le lamentele per quei fastidi giornalieri e quotidiani che nessuno di noi vuol sopportare, delle telefonate del telemarketing, che ci raggiungono ovunque, mediante tutti gli strumenti. Ora, il Registro delle opposizioni, che sarà pienamente operativo a luglio, ha esteso la disciplina anche ai cellulari – ricordate che prima valeva solo per i telefoni fissi – e speriamo che possa risolvere, in parte o in gran parte, tutte queste difficoltà e criticità che avete avuto modo di sottolineare.

PRESIDENTE. Non essendoci altre domande, ringraziamo il presidente Stanzione per la disponibilità. Resteremo in contatto sulle diverse tematiche che via via affronteremo in Commissione. Grazie ancora ai colleghi in presenza e collegati da remoto.
Dichiaro conclusa l'audizione.

La seduta termina alle 11.55.