GUIDA NORMATIVA

Cookie wall e pay wall: dalla Francia regole più chiare per poter “monetizzare” i dati personali

La CNIL francese è intervenuto sul tema dei cookie wall pubblicando un’interessante guida che fornisce diversi criteri per poterli utilizzare lecitamente. Criteri del tutto “importabili” nel contesto nostrano, in attesa di una presa di posizione chiarificatrice anche da parte del nostro Garante

19 Mag 2022
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Cookie wall, cioè banner del tipo “prendere o lasciare” tutti i cookie su un sito web, quale condizione per potervi accedere. Spesso si sente affermare che siano contrari alla normativa privacy dell’UE. Nondimeno l’autorità di controllo privacy francese – la CNIL, ovvero Commission Nationale de l’Informatique et des Libertés – ha recentemente pubblicato, il 16 maggio, un’interessante guida sul tema, fornendo diversi criteri per poter utilizzare lecitamente un cookie wall. E come sfruttarlo anche per “monetizzare” le alternative all’uso dei dati personali degli utenti.

Vediamo di illustrare la mappa di legittimità tracciata dall’autorità e come sia attuabile anche dalle nostre parti.

Consenso privacy e cookie wall, le nuove linee guida EDPB: quali impatti

Alla ricerca di una definizione di cookie wall

Va inteso senza equivoci cosa sia sotto la nostra lente, cioè un cookie wall. È una particolare tipologia di cookie banner, strumento di gestione dei consensi utente per cookie e simili strumenti di tracciamento degli utenti di un sito web.

candidatura
Passione per il diritto dell’informatica? Candidati per il team Legal di P4I!
Legal
Privacy

Nel caso di cookie analytics e di profilazione, comunque non strettamente funzionali alla resa tecnica del sito web al navigatore, il titolare del sito deve utilizzare la base giuridica del consenso per poter trattare i dati raccolti tramite cookie.

L’interfaccia per raccoglierlo è solitamente quella del cookie banner, una voluta interferenza nell’esperienza utente per poterlo avvisare, rendere edotto e consapevole delle sue scelte. Nella prassi si è spesso tramutata in una insopportabile fonte di “click fatigue”, scarsamente considerata dalla massa degli utenti.

Dall’altro lato, i cookie analytics e di profilazione permettono di concretizzare scambi pubblicitari di dati con terzi, di studiare e proporre all’utente profilato le offerte più indicate, di far comparire i propri annunci al momento giusto e nel posto giusto grazie agli ad network eccetera.

Alcuni siti web hanno utilizzato questa imposizione normativa a proprio vantaggio: di solito l’utente deve rendere un consenso libero per essere valido, selezionando o meno alcune tipologie di cookie, potendo pure rifiutarle tutte (tranne quelle “tecniche”, essenziali per l’uso del sito stesso).

Perché allora non imporre all’utente una scelta radicale? Tu utente puoi accettare o rifiutare i cookie, hai una scelta, ma è solo quella estrema del “prendere o lasciare”. Se non accetti in blocco tutti i cookie, non potrai accedere (al sito o a determinati contenuti); se li accetti tutti, allora potrai procedere e fruire dei servizi e dei contenuti offerti.

È un business model che ha trovato diffusione ad es. nel settore editoriale online, alla ricerca di modalità per compensare il crollo reddituale della carta stampata e cercando di avvantaggiarsi del ritorno in termini di marketing e introiti annessi.

La lettura di articoli e contenuti di qualità è rimessa non all’acquisto di abbonamenti o altri pagamenti monetari, bensì alla possibilità di sfruttare i dati personali degli utenti per fini solitamente di marketing, profilato o meno che sia.

L’autorizzazione al trattamento dei dati personali degli utenti (non già dei dati stessi, per la precisione) diviene così, secondo vari inquadramenti, un palese corrispettivo, una forma alternativa di controprestazione. Un consenso condizionato: altresì libero?

Va menzionata una variante, il c.d. pay wall, in cui l’utente è posto di fronte alla scelta se pagare l’accesso al sito web con una somma di denaro oppure concedendo l’utilizzo dei propri dati personali, tracciati tramite cookie.

Una equipollenza chiara che permette al titolare di “monetizzare” comunque, vuoi da subito tramite una somma di denaro oppure derivando un profitto dallo sfruttamento commerciale dei dati.

Per un esempio chiaro e ben fatto, si consulti il sito del tedesco Der Spiegel e se ne verifichi il banner, qui riprodotto, ove l’utente può scegliere tra l’uso di cookie traccianti con relativa pubblicità e un regolare abbonamento a pagamento.

Le linee guida EDPB sul consenso: un divieto assoluto?

Il meccanismo del consenso cookie è previsto dalla vigente Direttiva ePrivacy 2002/58 – ripresa a livello nazionale in Italia direttamente nel Codice per la protezione dei dati personali, nel Regno Unito nella PECR (Privacy and Electronic Communications Regulations), in Francia nella LIL (Loi Informatique et Libertés), ecc.

Dopo diverse prese di posizione in vari Stati membri, senza una regia unica e precisa, si è arrivati alle linee guida EDPB 5/2020 sul consenso, quelle che dovrebbero rappresentare la bussola di orientamento di tutti gi Stati membri per arrivare a coerenza applicativa e alla tanto bramata armonizzazione. In tale documento si affrontava proprio il tema del cookie wall di cui giova riportare testualmente il riferimento:

39. Affinché il consenso sia prestato liberamente, l’accesso ai servizi e alle funzionalità non deve essere subordinato al consenso dell’utente alla memorizzazione di informazioni o all’ottenimento dell’accesso a informazioni già memorizzate nell’apparecchiatura terminale dell’utente (i cosiddetti “cookie wall“).

40. Esempio 6 bis: Un fornitore di un sito web predispone uno script che blocca la visualizzazione del contenuto e fa apparire solo la richiesta di accettare i cookie, le informazioni sui cookie che verranno installati e le finalità per le quali i dati saranno trattati. Non è possibile accedere al contenuto senza cliccare sul pulsante “Accetto i cookie”. Poiché all’interessato non è offerta una scelta effettiva, il suo consenso non è espresso liberamente.

41. In questo caso il consenso non è valido, in quanto la prestazione del servizio è subordinata al fatto che l’interessato clicchi sul pulsante “Accetto i cookie”. Non è offerta una scelta effettiva.”

La lettura non pare lasciare scampo: non vengono fatti distinguo e contro il muro dei cookie si erige un muro di intransigenza.

Eppure nel medesimo documento si precisa che “sussiste una presunzione forte secondo cui il consenso a un trattamento di dati personali non necessario non può essere considerato un corrispettivo obbligatorio dell’esecuzione di un contratto o della prestazione di un servizio”.

Quindi, a ben vedere, non si tratterebbe di un divieto assoluto bensì solo di una presunzione, da “smontare” con prova di forti e convincenti argomenti contrari: il consenso può allora essere condizionato ma restare libero, valido. Un importante esercizio di accountability.

Per completare il sostrato normativo, si deve richiamare parimenti la Direttiva 2019/770 sulla vendita al consumo di contenuti e servizi digitali (recepita nel nostrano Codice del Consumo) che all’art. 3 prevede una serie di tutele consumeristiche anche nel caso in cui “l’operatore economico fornisce o si impegna a fornire contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali all’operatore economico, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dall’operatore economico ai fini della fornitura del contenuto digitale o del servizio digitale a norma della presente direttiva o per consentire l’assolvimento degli obblighi di legge cui è soggetto l’operatore economico e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti”.

Norma di compromesso politico (basti pensare alle varie versioni in bozza dove si parlava di dati personali come “controprestazione”, bacchettata dalle autorità di controllo), dall’incastro incerto col GDPR e la Direttiva ePrivacy, tuttora oggetto di accessi dibattiti sulle possibilità applicative. Certamente il caso dei cookie wall può rientrarvi e far scattare le tutele consumeristiche (obbligo di fornitura e diritto alla conformità) spettanti all’utente.

Peraltro la CNIL stessa era già intervenuta in passato sul tema, ragionando sui due rischi principali, di tipo discriminatorio, quando si adottano dati personali come mezzo di scambio e dunque si innestano ragionamenti di tipo economico e relative sperequazioni sociali. La privacy cambierebbe pelle, da diritto fondamentale a commodity di lusso, sulla base di due scenari:

  1. le persone più vulnerabili forniscono i loro dati per accedere gratuitamente ai servizi o ricevere una remunerazione aggiuntiva, mentre altre, più facoltose, potrebbero pagare un abbonamento che consente loro di accedere a un servizio senza fornire dati personali o monetizzarli;
  2. la possibilità di preservare l’anonimato nei confronti dei terzi si garantisce ad alcuni e la si esclude per altri, anche qui differenziando economicamente il livello di privacy raggiungibile.

Il caso nostrano: linee guida del Garante e sentenza del Consiglio di Stato

In ultima analisi, le prese di posizione delle varie autorità nazionali si è rivelata d’aiuto, rivelando possibili aperture e criteri applicativi che citeremo di seguito. Un esempio è quello del nostro Garante e le sue linee guida sui cookie del giugno 2021.

Menzionando la fattispecie, il Garante ribadisce sì la generale illiceità dei cookie wall ma fa salva l’ipotesi – da verificare caso per caso in base ai principi del GDPR – “nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti”.

In linea con una importante pronuncia del 29 marzo 2021 del Consiglio di Stato, per la quale il consenso prestato ai fini della fornitura può ritenersi valido se legato a un servizio fungibile e/o rinunciabile per l’utente-interessato.

Per arrivare a qualificare il consenso al trattamento dei dati personali come corrispettivo non pecuniario di una diversa prestazione caratteristica se e solo se tale prestazione sia fungibile e rinunciabile. Come affermato dal Garante, in tal modo i dati personali “rappresenteranno solo indirettamente una controprestazione del servizio fornito, restando, tuttavia, estranei al sinallagma contrattuale”, invocando la disciplina consumeristica combinata con quella dei dati personali.

I dubbi si spostano così tutti sul perimetro applicativo: in quali casi si può considerare il consenso condizionato ma libero? Quale controprestazione in dati può dirsi “indiretta”? Al momento poco d’altro è stato precisato dal Garante, vediamo se dalla Francia è possibile estrapolare alcuni suggerimenti utili.

La CNIL e la guida ai criteri per i cookie wall

Arriviamo dunque alle recenti e utili indicazioni della CNIL per aiutare chi voglia sfruttare lo spiraglio su esaminato e, di concerto, implementare un cookie wall. Si badi che si tratta di indicazioni applicabili, in punta di diritto, al solo territorio francese però che paiono offrire una ragionevole sponda al quadro nazionale e all’auspicata armonizzazione dell’Unione. Precisando che comunque si potranno avere certezze solo con indicazioni dirette della nostra autorità, da parte di EDPB/EDPS, in sede giudiziaria o con novità normative.

Giova ricordare che anche la Francia ha avuto una pronuncia del proprio Consiglio di Stato nel 2020, molto simile a quella nostrana suindicata, a rafforzare le possibili similitudini applicative. Inoltre la CNIL ha emanato proprie linee guida sui cookie al pari del nostro Garante. È la CNIL stessa a precisare che si attendono chiarimenti normativi o della Corte di Giustizia sul punto, proponendo nel frattempo la propria interpretazione.

Schematizzando, la CNIL elenca questi criteri:

  1. un’alternativa reale ed equa all’accesso web senza dover consentire al trattamento dei dati: il titolare dovrebbe provare che un terzo sito web offre tale alternativa senza condizionare l’accesso al suo servizio all’accettazione del cookie wall; questo criterio pare riferirsi al caso in cui l’utente non possa scegliere un’alternativa pay wall ma soltanto se fornire i suoi dati personali o non avere accesso;
  2. il rapporto con l’utente interessato non deve essere squilibrato, improntato alla facilità di accesso per l’utente all’alternativa dei terzi; la CNIL elenca alcuni casi in cui è da considerarsi squilibrato il rapporto, ad es. per contenuti/servizi offerti in esclusiva dal titolare, oppure se il titolare sfrutta una posizione dominante (o quasi monopolistica?) sul mercato;
  3. nel caso del pay wall: il corrispettivo monetario richiesto deve essere “ragionevole”, da valutarsi caso per caso (si incoraggiano i titolari a pubblicare le proprie analisi a supporto); la CNIL non ritiene sostenibile una forma sistematica di abbonamento (si pensi all’attuale pagina del Der Spiegel, vista sopra), mentre lo può essere il micropagamento mediante portafoglio virtuale (c.d. virtual wallet) che permetta un accesso fluido ai contenuti e senza che per l’utente sia necessario registrare i dati della sua carta di credito per il pagamento; qui la CNIL pare concretizzare i principi di minimizzazione e proporzionalità con un indirizzo non granchè argomentato nell’escludere, pare in radice, la fattispecie dell’abbonamento;
  4. richiedere all’utente di registrare un account dovrà essere giustificato dagli scopi, come ad es. se il sottoscrittore di un abbonamento vuole fruirne su più dispositivi; l’eventuale riutilizzo per altri fini dei medesimi dati dovrà essere soggetto, invece, a separato consenso se necessario; anche in questo caso, potrebbero darsi ambiguità nel giustificare l’obbligo di registrazione e sul punto la CNIL pare più laconica;
  5. il titolare deve essere in grado di dimostrare che le finalità del cookie wall sono quelle strettamente necessarie per ottenere un equo corrispettivo dai dati; non si deve effettuare un “bundle” in cui impacchettare svariate (o tutte le) finalità e sottoporle al regime di cookie wall; la CNIL precisa che se un titolare “ritiene che la remunerazione del suo servizio dipenda dai ricavi che potrebbe ottenere dalla pubblicità mirata, solo il consenso a tale scopo dovrebbe essere necessario per accedere al servizio: il rifiuto di acconsentire ad altre finalità (personalizzazione dei contenuti editoriali, ecc.) non dovrebbe impedire l’accesso al contenuto del sito”; si precisa ulteriormente che va distinta la pubblicità profilata dalla personalizzazione dei contenuti web, finalità diverse che è necessario differenziare nel determinare quelle condizionanti l’accesso “take it or leave it”;
  6. se l’utente opta per il pagamento monetario dell’accesso, allora nessun cookie (tranne quelli tecnici) andrà scaricato sul dispositivo utente; tuttavia fa eccezione il caso dei contenuti in siti di terze parti a cui si deve accedere (ad es. per video ospitati da piattaforme terze) e in tal caso è possibile richiedere il consenso per l’uso dei cookie, oppure per fornire un servizio richiesto dall’utente (ad es. per l’accesso ai pulsanti di condivisione dei social media) – l’utente andrà debitamente informato con apposito banner, reso edotto che l’attivazione di contenuti esterni (o l’uso di pulsanti di condivisione) richiedono un consenso, oltre a un link all’informativa privacy del fornitore terzo esterno; si ripropone peraltro la necessaria sorveglianza sul possibile trasferimento di dati extra-UE da parte del terzo e delle garanzie adeguate, come già visto ad es. per il caso attualissimo dei cookie di Google Analytcs, cosa che potrebbe limitare di molto la rosa dei servizi terzi utilizzabili con relativi cookie.

In definitiva, i criteri appena visti paiono del tutto “importabili” nel contesto nostrano, scontando una certa genericità in alcuni frangenti ove si invoca una “ragionevolezza” che potrebbe diventare incerta allontanandosi dagli esempi svolti dalla stessa CNIL.

Una presa di posizione chiarificatrice anche da parte del Garante nazionale, oltre alle predette linee guida, sarebbe opportuna.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4