Il Garante privacy del Regno Unito (ICO, Information Commissioner’s Office) ha diffuso il sei marzo scorso una “call for views” al fine di acquisire spunti e pareri dai soggetti interessati sul modello di business basato sul “consent or pay” in relazione a cookie e strumenti di profilazione per finalità di marketing adottato da numerosi portali online.
L’iniziativa dell’ICO (la consultazione è aperta fino al prossimo 17 aprile 2024) fa presumere che l’Autorità inglese sia pronta ad adottare un provvedimento sul punto, una volta acquisiti i pareri dagli stakeholders.
Del resto, l’ICO stessa afferma di essere intenzionata a dare agli operatori linee guida chiare al fine di consentire loro di orientare correttamente i loro investimenti.
Nel lanciare la call for views, il Garante britannico fa presente che in linea di principio la strategia di proporre un’alternativa fra consenso e pagamento agli utenti non è vietata, ma chi gestisce il portale deve assicurarsi che l’utente sia stato compiutamente informato del trattamento e che il consenso sia una libera manifestazione di volontà.
Atteso che la protezione dei dati nel Regno Unito è normata in maniera pressoché identica rispetto a quanto accade in UE, le considerazioni dell’ICO sono sicuramente significative e un provvedimento sul punto avrebbe sicura eco anche nell’Unione Europea.
Indice degli argomenti
L’avvento dei cookie paywall
Tutti ricordiamo quando, nell’ottobre 2022, sui portali web di numerose testate giornalistiche hanno iniziato a comparire degli avvisi per cui o l’utente consentiva ad essere profilato a fini pubblicitari, oppure poteva sostenere il quotidiano pagando una certa somma.
Subito il Garante privacy italiano si è attivato promettendo di provvedere, e infatti nel gennaio 2023 Guido Scorza, componente del Garante, indicava tra i temi centrali dell’anno trascorso proprio il nodo cookie wall: “ci sarà da risolvere, in un modo o nell’altro, la questione sollevata dai grandi editori di giornali sul finire del 2022 quando hanno deciso di chiedere ai loro lettori di scegliere se prestare un consenso all’installazione di cookie di profilazione o pagare un abbonamento per continuare a leggersi un giornale. Qui servirà tanto equilibrio, dialogo, capacità di confronto e, soprattutto, laicità tecnico giuridica.”
La questione presenta, però, evidentemente, complessità così elevate che il Garante non ha risolto nel 2023 la questione e siamo ancora in attesa del suo pronunciamento.
Questo silenzio, cui fa eco un sostanziale silenzio negli altri stati UE, rotto solo da alcune prese di posizione (delle autorità francese[1], tedesca, austriaca, danese[2] e spagnola[3]) che comunque ribadiscono la legittimità (in teoria) dello strumento del cookie paywall, puntellandolo però di presidi (tra cui l’obbligo di una alternativa ragionevole e di un prezzo modesto), hanno spinto altri player ad adottare questo modello.
Tra questi, in particolare, Meta ha preso spunto da questo audace escamotage introducendo, nel novembre 2023, un paywall di 9,99 € al mese per chi volesse continuare ad utilizzare il social network senza pubblicità profilata.
La schermata che consente la selezione fra la versione free e la versione a pagamento non profilata a fini commerciali di Facebook.
Cookie paywall: un problema aperto
Il problema quindi rimane aperto, specialmente se si considera che la normativa ammetterebbe sia la risposta positiva che quella negativa circa la legittimità dei cookie paywall.
Se, ad esempio, guardiamo alle Linee Guida EDPB sul consenso 05/2020, vediamo infatti che la spinosa questione della libertà del consenso può essere interpretata sia nel senso di vietare l’uso di cookie paywall (che questo consenso di fatto lo estorcono), sia nel senso di ammetterlo (visto che viene offerta una ragionevole alternativa alla prestazione del consenso).
In particolare, l’EDPB afferma:
“L’elemento della manifestazione di volontà “libera” implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati. Come regola generale, il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva o si sente obbligato ad acconsentire oppure subirà conseguenze negative se non acconsente, il consenso non sarà valido. Se il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio. Il regolamento generale sulla protezione dei dati ha preso in considerazione anche la nozione di squilibrio tra titolare del trattamento e interessato”.
Le linee guida riecheggiano quel che già dispone il considerando 42 del GDPR, che dispone: “Il consenso non dovrebbe essere considerato liberamente prestato se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”.
È chiaro che la definizione di “pregiudizio” cui va incontro chi rifiuta il consenso, sia davvero centrale. Mentre molte Autorità garanti (e l’ICO sembra potersi annoverare tra queste) affermano che il pregiudizio non c’è (e quindi il consenso è libero) se il consenso è informato, granulare e l’utente ha una alternativa ragionevole per accedere comunque al servizio.
È però evidente che un simile ragionamento priva di significato il termine “consenso” e finisce per snaturare uno dei concetti chiave del GDPR. Il consenso, per come previsto dalla normativa, non dovrebbe infatti poter essere estorto in questo modo, ma dovrebbe piuttosto essere effettivamente libero e volontario.
Nel caso, ad essere davvero onesti, più che di consenso paghiamo il corrispettivo di un contratto. Posso pagare un portale web con una porzione della mia identità digitale, puntualmente profilata a fini commerciali, oppure versare il tantundem in moneta corrente.
Parlare di consenso in questo caso sembra quindi improprio, è opportuno ammettere che siamo di fronte ad una mercificazione del dato personale e, se ragioniamo in questi termini, risulta più difficile assentire alla ricostruzione delle varie Autorità garanti coinvolte, specie perché parliamo di una mercificazione che va a detrimento delle fasce più deboli della popolazione, ed è particolarmente drammatica quando pensiamo al fatto che questi paywall spesso precludono l’accesso a portali di informazione.
Un individuo che non ha risorse per accedere alle fonti di informazione più autorevoli, rischia di non avere altra scelta se non quella di “vendere” i suoi dati personali, mentre le persone più abbienti potranno consentirsi il “lusso” di tutelare maggiormente la loro privacy online.
A ciò si aggiunge il grave rischio che la “malattia” del cookie paywall si diffonda a macchia d’olio una volta ottenuta la “patente di legittimità” da parte delle Autorità garanti.
Di fronte ad un dilemma interpretativo di questo genere, è evidente la difficoltà di adottare una soluzione definitiva, specie perché da un lato la gratuità di internet si fonda sull’advertisement (potenziato dalla profilazione), dall’altro l’imposizione di una concessione di dati personali cozza con i principi inerenti al nostro sistema giuridico, specie per le sperequazioni sociali che questo comporta.
Conclusioni
Il provvedimento di ICO (e del Garante nostrano quando verrà emesso), salvo sorprese, contribuirà quindi a puntellare di garanzie per gli interessati questa nuova modalità di fruizione dei portali web, rendendola, se non illegittima, quantomeno molto garantita.
Al netto di queste garanzie però sembra chiaro che dovremo in futuro abituarci a questa nuova modalità di fruizione dei portali online.
NOTE
[1] Linee guida del maggio 2022
[2] Linee guida del febbraio 2023
[3] Linee guida aggiornate a gennaio 2024
