AGCM e GDPR: Sovrapposizione in E-commerce

Un e-commerce italiano è regolato simultaneamente da due autorità: il Garante per la Protezione dei Dati Personali (GDPR e Codice Privacy) e l’AGCM (Autorità Garante della Concorrenza e del Mercato — Codice del Consumo, pratiche commerciali scorrette, pubblicità ingannevole). I due regimi spesso si sovrappongono: una stessa condotta può configurare contemporaneamente una violazione GDPR e una pratica commerciale scorretta. Le sanzioni si cumulano: una multa AGCM fino a 5 milioni di euro per pratica scorretta, una multa GDPR fino al 4% del fatturato globale.

Nel 2026, AGCM e Garante hanno consolidato la prassi di intervenire congiuntamente o successivamente sugli stessi casi. Questo articolo spiega dove avvengono le sovrapposizioni più frequenti, come gestire le richieste delle due autorità, e quali documenti permettono di ridurre l’esposizione a entrambi i fronti. Per il quadro generale degli obblighi GDPR e-commerce, vedi GDPR E-commerce: 7 errori che attivano un controllo del Garante.

Le competenze di AGCM e Garante

AGCM (Autorità Garante della Concorrenza e del Mercato):

• Pratiche commerciali scorrette (Codice del Consumo, Artt. 18-27)
• Pubblicità ingannevole o comparativa illecita (D.Lgs. 145/2007)
• Concorrenza sleale (Legge 287/1990)
• Conformità informazione precontrattuale (D.Lgs. 21/2014)
• Recensioni online false (D.Lgs. 26/2023)

Sanzioni: amministrative fino a 5 milioni di euro per pratica (in casi gravi). Procedure: istruttorie con possibilità di impegni o di sanzione.

Garante Privacy:

• Trattamento di dati personali (GDPR + Codice Privacy)
• Consenso valido per finalità marketing
• Trasferimenti extra-UE
• Sicurezza dei dati
• Diritti dell’interessato

Sanzioni: fino a 20 milioni di euro o 4% del fatturato globale, oltre alla pubblicazione del provvedimento.

Per i casi recenti del Garante, vedi Multe Garante 2026: casi recenti e lezioni.

Le quattro aree di sovrapposizione più frequenti

Area 1 — Cookie banner e consenso al marketing

Un cookie banner che usa dark patterns può configurare:

• Per il Garante: consenso non libero/specifico/informato (violazione GDPR Art. 7, Art. 4.11)
• Per l’AGCM: pratica commerciale aggressiva o ingannevole (Codice del Consumo Artt. 24-26) se induce il consumatore a un consenso che non avrebbe dato con informazione chiara

Esempi di pattern problematici:

• Pulsante “Accetta tutto” prominente vs “Rifiuta tutto” nascosto
• Pre-spunta delle caselle di consenso
• Pop-up che si chiude automaticamente registrando il silenzio come consenso
• Promesse marketing veicolate dal banner (“Accetta per scoprire offerte personalizzate”)

L’AGCM ha recentemente sanzionato grandi piattaforme per dark patterns nei processi di registrazione/sottoscrizione, e il Garante per i banner cookie. Casi cumulati esistono.

Per banner conformi: Banner cookie gratuito conforme GDPR — WebLegal CCB.

Area 2 — Recensioni online

La gestione delle recensioni clienti è un terreno di sovrapposizione intenso:

• Per il Garante: i dati dei recensori sono dati personali. La pubblicazione richiede base giuridica (in genere consenso o legittimo interesse). I dati di geolocalizzazione, IP, identificativi di acquisto possono essere coinvolti.
• Per l’AGCM: il D.Lgs. 26/2023 ha attuato la direttiva UE su “trasparenza e rafforzamento del consumatore”. Impone agli e-commerce che pubblicano recensioni:
  • Verificare che provengano da consumatori che hanno effettivamente acquistato/utilizzato il prodotto
  • Indicare chiaramente se le recensioni sono verificate o no
  • Non manipolare le recensioni (es. nascondere quelle negative)
  • Non pubblicare recensioni acquistate o false

Sanzioni AGCM frequenti: fino a 2 milioni di euro per pratiche di recensioni false.

Area 3 — Pubblicità targetizzata e profilazione

L’invio di pubblicità mirata basata sul comportamento dell’utente combina obblighi:

• Per il Garante: profilazione = trattamento di dati personali, richiede base giuridica (consenso o legittimo interesse documentato), informativa specifica (Art. 13.2.f GDPR), eventuale DPIA (Art. 35)
• Per l’AGCM: la pubblicità ingannevole o aggressiva resta vietata. La personalizzazione che induce comportamenti non desiderati può configurare pratica scorretta.

L’AI Act europeo aggiunge un terzo livello a partire dal 2025-2026: i sistemi IA di profilazione comportamentale possono rientrare nella categoria “rischio alto” e richiedere obblighi aggiuntivi.

Area 4 — Newsletter e marketing diretto

L’invio di newsletter senza opt-in valido è un classico delle violazioni cumulate:

• Per il Garante: violazione dell’Art. 130 Codice Privacy (consenso preventivo per il marketing, salvo soft opt-in per clienti esistenti su prodotti analoghi)
• Per l’AGCM: pratica commerciale aggressiva se gli invii sono persistenti o non rispettano l’opt-out richiesto

Veda anche Politica dei cookie: regole e sanzioni per il consenso cookie e Informativa sulla privacy: elementi obbligatori per la base giuridica del trattamento.

Come AGCM e Garante coordinano gli interventi

Le due autorità hanno firmato dal 2017 un protocollo d’intesa per il coordinamento delle competenze. In pratica:

• Quando AGCM apre un procedimento per pratica commerciale scorretta che coinvolge anche aspetti di protezione dei dati, può:

  • Coordinare con il Garante per evitare sanzioni multiple sullo stesso fatto (principio del ne bis in idem applicato con cautela)
  • Trasmettere informazioni al Garante perché valuti aspetti specificamente privacy

• Quando il Garante apre un procedimento che coinvolge anche aspetti consumeristici:

  • Trasmette all’AGCM se necessario
  • Le sanzioni possono cumularsi se riguardano violazioni di norme diverse

In pratica, il consumatore o l’associazione di consumatori che denuncia un comportamento può rivolgersi all’una, all’altra, o a entrambe. Le segnalazioni dei consumatori sono in genere instradate verso l’autorità competente.

I documenti che riducono l’esposizione a entrambi i fronti

Un e-commerce italiano ben configurato dal punto di vista documentale riduce significativamente i rischi su entrambi i fronti regolamentari.

Documento 1 — Informativa privacy completa. Deve coprire:

• Categorie di dati raccolti
• Finalità del trattamento (incluse profilazione, marketing, recensioni)
• Basi giuridiche per ciascuna finalità
• Eventuali sub-fornitori
• Trasferimenti extra-UE
• Tempi di conservazione
• Diritti dell’interessato

Documento 2 — Termini di servizio. Vedi Generatore Termini Servizio Gratuito Italia per il dettaglio. Devono includere:

• Identificazione del titolare
• Modalità di uso del sito
• Diritti di proprietà intellettuale
• Procedure di reclamo

Documento 3 — Condizioni Generali di Vendita (CGV). Specifiche per l’e-commerce:

• Identificazione del venditore (ragione sociale, sede, P.IVA, REA)
• Caratteristiche essenziali del prodotto
• Prezzo (con specifica dei costi accessori)
• Modalità di pagamento e consegna
• Diritto di recesso (14 giorni per i consumatori, Codice del Consumo Art. 52)
• Garanzia legale di conformità (2 anni)
• Foro competente
• ODR (Online Dispute Resolution): link alla piattaforma UE

Per il dettaglio: Condizioni di vendita conformi: 5 errori costosi.

Documento 4 — Politica dei cookie. Veda Politica dei cookie: regole e sanzioni.

Documento 5 — Note legali / Information legali. Veda Note legali: multa di 75 000 € se assenti per gli obblighi specifici italiani (REA, P.IVA, capitale sociale, direttore della pubblicazione).

Documento 6 — Policy interna sulle recensioni. Documento interno (non pubblicato) che descrive:

• Come vengono raccolte le recensioni (solo da clienti verificati o anche da non clienti)
• Come vengono moderate (criteri di pubblicazione, gestione delle negative)
• Termini di conservazione

In caso di controllo AGCM, questo documento è la prima cosa richiesta.

I sei errori frequenti

Errore 1 — Ignorare l’AGCM perché si pensa “siamo in regola GDPR”. La conformità GDPR non protegge dai controlli AGCM. Le due autorità hanno competenze parallele.

Errore 2 — Recensioni pubblicate senza verificare l’acquisto. Dal 2023, è obbligatorio precisare se le recensioni sono verificate. La mera pubblicazione di recensioni senza verifica può configurare pratica ingannevole.

Errore 3 — Pubblicità su social senza segnalazione. Le campagne pubblicitarie pagate sui social devono essere segnalate come tali. Le influencer e le aziende sono sanzionati con frequenza dall’AGCM per content sponsorizzato non dichiarato.

Errore 4 — Pricing scorretto. Indicare un prezzo “barrato” come riferimento senza che il prodotto sia stato venduto a quel prezzo nei 30 giorni precedenti è una pratica scorretta (direttiva UE Omnibus, recepita in Italia).

Errore 5 — Cookie banner che spinge al consenso. Dark patterns nei banner sono sanzionati sia dal Garante (consenso non libero) sia dall’AGCM (pratica commerciale aggressiva).

Errore 6 — Promesse marketing non documentate. “Spedizione gratis sempre”, “garanzia soddisfatti o rimborsati”, “il prezzo più basso d’Italia” sono affermazioni verificabili. Se non documentate, configurano pubblicità ingannevole.

Verifica gratuita

Prima di affrontare un controllo, fate il punto sulla vostra conformità. Il WebLegal Scanner di conformità analizza un sito e-commerce in 30 secondi e identifica:

• Documenti legali mancanti o incompleti
• Cookie banner non conformi
• Trasferimenti extra-UE non documentati
• Pattern problematici nella raccolta del consenso

Permette di identificare i punti deboli prima che lo facciano le autorità.

FAQ

Una stessa condotta può essere sanzionata sia dal Garante sia dall’AGCM? Sì, se viola norme distinte. Il principio del “ne bis in idem” si applica con cautele alla materia amministrativa. In pratica, AGCM e Garante coordinano ma possono entrambi sanzionare violazioni di norme di loro competenza.

Quale autorità è più severa? Entrambe sanzionano severamente. L’AGCM ha massimali specifici per pratica (fino a 5 milioni), il Garante ha massimali calcolati sul fatturato (4% globale). In termini assoluti, le sanzioni GDPR possono essere più elevate per le grandi imprese; per le PMI le due autorità infliggono sanzioni di ordine di grandezza comparabile.

Come distinguere quando un comportamento è “pratica scorretta” e quando è “violazione GDPR”? Spesso lo stesso comportamento può configurare entrambi. La pratica scorretta riguarda la relazione commerciale (cosa il consumatore acquista, come è indotto a farlo). La violazione GDPR riguarda il trattamento dei dati personali (chi raccoglie cosa, con quale base, dove va a finire). Un dark pattern in un cookie banner viola probabilmente entrambi.

Devo notificare separatamente le due autorità in caso di problema? No. Il GDPR (Art. 33) impone la notifica al Garante in caso di data breach. L’AGCM non riceve notifiche generali ma può aprire un’istruttoria a seguito di segnalazioni dei consumatori, di altre autorità (incluso il Garante stesso) o di propria iniziativa.

Le sanzioni AGCM sono pubbliche? Sì. L’AGCM pubblica i provvedimenti sul proprio sito (agcm.it). Come per il Garante, l’esposizione reputazionale è una componente importante della sanzione.

Cosa fare se ricevo un’istruttoria AGCM o Garante?

1. Risposta nei termini (in genere 15-30 giorni)
2. Coinvolgimento di un avvocato specializzato
3. Trasmissione dei documenti probatori (registro trattamenti, informativa, log consensi, policy interne)
4. Eventuale offerta di impegni (AGCM permette di chiudere l’istruttoria con impegni vincolanti)

---

Articolo aggiornato il 5 giugno 2026. I riferimenti normativi citati sono al GDPR (Reg. UE 2016/679), al Codice del Consumo (D.Lgs. 206/2005), al D.Lgs. 145/2007 sulla pubblicità ingannevole, al D.Lgs. 26/2023 sulla direttiva Omnibus, e al protocollo d’intesa AGCM-Garante.