Negli ultimi anni, la navigazione online è stata sempre più influenzata dalla presenza di banner che chiedono il consenso al trattamento di dati personali e/o all’installazione di cookie. Una pratica che ha sollevando molte discussioni è quella del pay or consent, che consiste nel subordinare l’accesso dell’utente ad alcuni contenuti (a) al suo assenso al trattamento dei propri dati personali (in genere, per finalità pubblicitarie) oppure (b) al pagamento di un certo importo o abbonamento. Ma questa pratica è legittima? Quali sono le implicazioni legali e i rischi associati?
Sono Erika Bonollo, avvocato che presta consulenza ad imprese e professionisti e, in questo articolo, approfondiremo la questione analizzando la posizione dell’European Data Protection Board.
Cos’è il Cookie Paywall?
Il cookie paywall è una strategia adottata da alcuni siti web che, come anticipato, pone l’utente di fronte alla scelta tra:
- acconsentire al trattamento dei propri dati personali, ad esempio per pubblicità mirate;
- pagare un abbonamento o una tariffa per accedere ai contenuti, senza fornire il consenso.
In altre parole, ove l’utente non desiderasse pagare, dovrebbe accettare che i propri dati personali vengano trattati per finalità specifiche. Questi modelli sollevano un importante interrogativo: i nostri dati personali devono essere considerati una merce di scambio?
Dati personali come merce di scambio?
La crescente tendenza a trattare i nostri dati personali come beni negoziabili solleva questioni legali ed etiche. È accettabile che soltanto chi è disposto a pagare possa scegliere se e come tutelare i propri dati personali?
Subordinare l’accesso a specifici contenuti all’accettazione ad un determinato trattamento di dati personali mette a rischio una serie di principi previsti dal GDPR, tra cui quello di libertà del consenso. Gli utenti, infatti, potrebbero sentirsi costretti a cedere i propri dati personali per evitare di pagare, compromettendo così la genuinità del loro consenso. Questo modello presenta criticità anche sotto il profilo del principio di uguaglianza, con conseguenze in tema di disparità economiche.
L’opinione dell’EDPB
Queste e molte altre considerazioni hanno portato l’European Data Protection Board ad esprimersi, nel corso della plenaria del 17 aprile 2024, con un parere ai sensi dell’art. 64 (2) del GDPR.
In tale occasione, l’EDPB ha chiarito che, nella maggior parte dei casi, i sistemi “pay or consent” non possono soddisfare i requisiti per un consenso valido se offrono agli utenti solo queste due tipologie di opzioni. Le grandi piattaforme dovrebbero considerare di fornire un’”alternativa equivalente” che non comporti né il pagamento di una tariffa né il trattamento dei dati per finalità pubblicitarie. Ad esempio, offrire forme di pubblicità meno invasive che richiedono il trattamento di un minor numero di dati personali o nessuno.
Un altro importante aspetto da tenere in considerazione, e che l’EDPB ha avuto la premura di sottolineare con riferimento a questa tematica, è che l’ottenimento di un eventuale consenso non esonera i titolari dalla necessità di rispettare tutti i principi delineati nell’articolo 5 del GDPR, come la limitazione delle finalità, la minimizzazione dei dati, la limitazione della conservazione, la responsabilizzazione, solo per citarne alcuni. Sono altresì da considerare i principi di necessità e proporzionalità e, comunque, si ricorda che i titolari di dati personali devono essere in grado, in qualsiasi momento, di dimostrare di operare in conformità al GDPR.
Per quanto riguarda la libertà del consenso, l’EDPB evidenzia l’importanza di valutare criteri come la condizionalità, il possibile pregiudizio per l’utente, lo squilibrio di potere e la granularità del consenso. Ad esempio, la tariffa eventualmente addebitata non dovrebbe far sentire gli individui costretti a dare il proprio consenso. Altro aspetto da tenere in considerazione è l’eventuale esistenza di uno squilibrio di potere tra i titolari e gli utenti, tenendo conto della posizione di mercato delle piattaforme, della dipendenza dell’individuo dal servizio e del pubblico a cui il servizio è rivolto.
Tra i fattori da considerare nel valutare se il consenso è informato, specifico ed inequivocabile, l’EDPB cita (i) la posizione delle grandi piattaforme online nel mercato, (ii) la misura in cui l’individuo fa affidamento sul servizio e (iii) il pubblico principale del servizio.
Rendono chiaro il concetto e si ritiene pertanto di menzionare, le parole di Anu Talus, presidente dell’EDPB, secondo cui ” I titolari del trattamento devono sempre fare attenzione a non trasformare il diritto fondamentale alla protezione dei dati in una caratteristica per cui gli individui devono pagare per goderne. Gli utenti devono essere pienamente consapevoli del valore e delle conseguenze delle loro scelte.”
In conclusione
Alla luce delle considerazioni di cui sopra e della posizione dell’European Data Protection Board, non vi è dubbio che il modello “pay or consent” debba considerarsi non conforme alla normativa GDPR, con la conseguenza che la sua applicazione rende i titolari delle piattaforme suscettibili alle sanzioni previste dalla legge.
Ciò, tuttavia, non implica che non vi siano altre modalità e strategie, rispettose della normativa vigente, che possono essere studiate ed applicate per finalità di marketing e/o pubblicitarie. Tuttavia, quando entra in gioco il trattamento dei dati personali, è opportuno consultare un esperto in materia per assicurarsi di agire in modo lecito
Sei un’azienda o un professionista e desideri una consulenza legale personalizzata in materia di trattamento dei dati personali? Non esitare a contattarmi.
