L’aut aut secco “paga o presta il consenso al trattamento dei tuoi dati a fini di marketing” è sempre illecito perché non è conforme ai requisiti del GDPR, in particolare i requisiti per un consenso valido.
Un baratto che sta alla base degli abbonamenti Meta – come nota Noyb – ma anche dell’offerta di alcuni giornali online.
Lo ha messo nero su bianco lo European Data Protection Board (EDPB) esprimendosi sulla validità dei modelli di accesso ai contenuti online secondo lo schema pay or consent (cioè, paga o presta il consenso al trattamento dei tuoi dati a fini di marketing).
Il parere – molto atteso – è preciso dettagliato, e consolida gli orientamenti già tracciati dalla Commissione.
Vediamo, ora, in che termini.
Le novità dell’Opinion 08/2024
L’EDPB ha emesso il 17 aprile 2024, il Parere 08/2024 sul consenso valido nel contesto dei modelli di consenso o di pagamento attuati dalle grandi piattaforme online.
La definizione di consent or pay models
Spicca immediatamente, per novità e interesse, la definizione di consent or pay models, perché delinea – finalmente – in modo preciso, il tema di cui si discute.
Nello specifico: “I modelli di consent or pay possono essere definiti come modelli in cui un titolare del trattamento offre agli interessati una scelta tra almeno due opzioni per ottenere l’accesso a un servizio online fornito dal titolare del trattamento: l’interessato può 1) acconsentire al trattamento dei propri dati personali per una finalità specifica, oppure 2) decidere di pagare un contributo e accedere al servizio online senza che i propri dati personali vengano trattati per tale finalità. Il presente parere si concentrerà sui modelli in cui è possibile prestare il consenso al trattamento dei dati personali per finalità di pubblicità comportamentale”.
È evidente che il modello descritto prevede solo due opzioni per l’utente: questo è il punto cruciale della questione.
L’EDPB, infatti specifica quanto segue.
La validità del consenso richiesto dalle grandi piattaforme
“Sebbene sia opportuno ricordare che il concetto di consenso nel GDPR si applica a qualsiasi titolare del trattamento che cerca di fare affidamento su tale base giuridica, il presente parere si concentra sulle questioni specifiche che sorgono in relazione alla validità del consenso richiesto dalle grandi piattaforme online che utilizzano il consent or pay, come individuati nella richiesta. Queste piattaforme possono essere univocamente collocate nel contesto applicativo di alcuni dei criteri per un consenso valido, ad esempio rispetto all’esistenza di uno squilibrio di potere. L’uso del termine “responsabile del trattamento” nel presente parere dovrebbe essere inteso nel senso che copre le grandi piattaforme online come definite nella sezione 2.1.3”.
Alla luce di quanto sopra, il presente parere riguarda, e si limita a, la valutazione della validità del consenso quando utilizzato come base giuridica per trattare dati personali a fini di pubblicità comportamentale nel contesto dei modelli “consent or pay” utilizzati dalle grandi piattaforme online. I fattori evidenziati nel presente parere si applicheranno tipicamente alle grandi piattaforme online, ma non esclusivamente. Alcune delle considerazioni espresse nel presente parere possono rivelarsi utili più in generale per l’applicazione del concetto di consenso nell’ambito dei modelli “consent or pay”.
L’EDPB, infine, ha affrontato la questione anche alla luce di quanto disposto dal Digital Service Act e dal Digital Markets Act, a dimostrazione che questi regolamenti, ormai, costituiscono un corpus unitario[1] .
La validità del consenso come (unica) alternativa al pagamento
Nel Parere 8/2024, l’EDPB effettua una seria ricognizione dei requisiti di validità del consenso come base giuridica per il trattamento dei dati personali; la questione cruciale, infatti, è se il “baratto” tra dati personali e contenuti a pagamento possa essere considerato proporzionale o meno.
L’EDPB, su questo, è draconiano: l’aut aut secco è, praticamente, sempre illecito.
“Nel contesto dei modelli “consenso o pagamento” gestiti da grandi piattaforme online, l’EDPB evidenzia la necessità che i titolari del trattamento rispettino tutti i requisiti del GDPR, in particolare i requisiti per un consenso valido, come descritto in questo parere, valutando al contempo la specificità di ciascun caso.
Si deve concludere che, nella maggior parte dei casi, non sarà possibile per le grandi piattaforme online soddisfare i requisiti per un consenso valido se mettono gli utenti di fronte solo a una scelta binaria tra il consenso al trattamento dei dati personali per scopi di pubblicità comportamentale e il pagamento una fee”.
La ragione per cui l’EDPB arriva a questa conclusione è che i dati personali non possono essere equiparati ad una semplice commodity: “L’EDPB ricorda che i dati personali non possono essere considerati un bene commerciabile e che le grandi piattaforme online dovrebbero tenere presente la necessità di evitare che il diritto fondamentale alla protezione dei dati si trasformi in una funzionalità di cui gli interessati devono pagare per usufruire. Pertanto, l’offerta di (soltanto) un’alternativa a pagamento al servizio che comprende il trattamento a fini di pubblicità comportamentale non dovrebbe essere la soluzione predefinita per i titolari del trattamento. Al contrario, quando sviluppano l’alternativa alla versione del servizio con pubblicità comportamentale, le grandi piattaforme online dovrebbero considerare di fornire agli interessati una “alternativa equivalente” che non comporti il pagamento di un compenso (ad esempio includendo una diversa forma di pubblicità che non è pubblicità comportamentale)”.
La vera novità del parere, quindi, si colloca in questa affermazione, perché il resto è già stato detto e scritto e l’EDPB lo ha solo ribadito (ci si riferisce ai requisiti per la validità del consenso).
Evitare di trasformare il diritto alla protezione dei dati in una funzione a pagamento
Nel comunicato stampa, si legge una dichiarazione del Presidente dell’EDPB, Anu Talus: “I titolari del trattamento dovrebbero fare sempre attenzione a evitare di trasformare il diritto fondamentale alla protezione dei dati in una caratteristica di cui le persone devono pagare per godere. Gli individui dovrebbero essere pienamente consapevoli del valore e delle conseguenze delle loro scelte”.
Questa dichiarazione riassume plasticamente la questione: oltre a porre dei “paletti” (l’elenco dei quali si legge agevolmente nelle conclusioni del parare), l’EDPB ha posto un macroprincipio, forse esulando, anche, dal proprio mandato e dalle proprie competenze.
Questo perché l’organo ha competenza ad emanare pareri, anche vincolanti, che hanno natura sostanzialmente amministrativa – se così si può inquadrare la materia nel contesto dell’Unione europea – ma sostanzialmente normativi.
Il Parere 8/2024 non è direttamente impugnabile, se non da parte di altri organi dell’Unione avanti alla Corte di Giustizia; potrebbe essere impugnabile da singoli e società nel caso in cui fosse utilizzato come base giuridica per una sanzione, impugnata a sua volta.
Conclusioni
Se l’impostazione – del tutto condivisibile – posta dall’EDPB terrà o meno in futuro lo diranno, quindi, le sentenze della Corte di Giustizia europea o un intervento del legislatore dell’Unione.
Allo stato, comunque, questo parere mette la parola fine al cookie paywall secco: e lo ha fatto con una sequenza argomentativa convincente, ma – forse – forzando un po’ la mano a competenze e testi normativi.
Note
[1] Si veda, sul punto, M. Borgobello, Manuale di Diritto della protezione dei dati personali, dei servizi e dei mercati digitali, Milano, 2023.
