L’impiego dei cookie sta raggiungendo una criticità sempre maggiore nell’era digitale, sollevando questioni riguardanti la privacy e la sicurezza personale.
È il sistema del “consent or pay” a destare molte perplessità: offre agli utenti la scelta tra consentire il trattamento dei propri dati personali per fini di pubblicità comportamentale e pagare per accedere ai servizi. Lo European Data Protection Board (“EDPB” o “Comitato”) si è espresso sul punto con il parere n. 08/2024 del 17 aprile 2024, tenuto conto dell’implementazione di tale sistema da parte delle principali piattaforme online.
I cookie e il modello “consent or pay”
Come noto, i cookie sono “stringhe di testo” attraverso le quali i gestori delle piattaforme online raccolgono i dati degli utenti (nome e cognome, indirizzo IP, indirizzo e-mail, ID univoco di navigazione) con finalità di profilazione. Le potenzialità offerte dai cookie di profilazione per valutare il comportamento degli utenti nel corso della loro esperienza online sono state richiamate dalle “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento” pubblicate dal Garante per la protezione dei dati personali nel giugno 2021: l’installazione dei cookie (e di altri strumenti di tracciamento) che profilino l’utente è possibile, previa acquisizione del consenso, comunque informato, dell’utente. E ciò in base alla norma, tuttora applicabile alla fattispecie, ossia l’art. 122 d.lgs. n. 196/2003 (“Codice Privacy”).
Pertanto, in ossequio al principio di trasparenza e alla libertà di scelta dell’utente, anche i titolari dei siti web che offrano servizi editoriali/giornalistici sono tenuti ad inserire un banner che informi sinteticamente (con rinvio al testo dell’informativa estesa) circa la richiesta di installazione di tali cookie/strumenti di tracciamento. Il punto cruciale è che, per la fattispecie del “consent or pay”, laddove l’utente rifiuti la prestazione del consenso, non potrà accedere al prodotto editoriale. Non si tratta, dunque, semplicemente di mantenere le impostazioni di “default”.
Allora il cookie banner diventa un vero e proprio “cookie wall”, un meccanismo vincolante di “take it or leave it”, dinanzi al quale l’utente ha due opzioni:consentire la creazione di un proprio profilo (essere eventualmente attinto da messaggi pubblicitari personalizzati) e leggere gli articoli oppure abbandonare la navigazione. Questa è la ragione per cui, oltre a discorrere di “cookie wall”, si è accennato al “pay wall”, dal momento che, ove l’utente prestasse il consenso, accetterebbe di accedere ai contenuti presenti online, dopo aver pagato un corrispettivo che, nel caso di specie, sarebbe rappresentato dai propri dati personali. Di qui l’obiezione circa l’assenza di libertà del consenso: l’utente è posto innanzi ad un “aut aut”: pagare (con i propri dati personali) o abbandonare il proposito di leggere l’articolo.
Le criticità del “consent or pay”: il parere dell’EDPB
La diffusione del “consent or pay” ha mostrato il fianco a significative perplessità: i dati personali possono essere considerati merce di scambio? Su tale aspetto, si era già pronunciata, nel 2022, la “Commision nationale de l’informatique e des libertè” (“CNIL”), autorità di protezione dei dati personali francese, che aveva riconosciuto la legittimità della “data monetization” solo in presenza di determinati presupposti: la necessità di definire un prezzo ragionevole da determinare – al fine di rispettare il principio di accountability – caso per caso; una volta individuato il prezzo, l’editore dovrebbe essere in grado di giustificare la somma stabilita o quantomeno i criteri impiegati nella determinazione; la dimostrazione che il cookie wall sialimitato alle finalità che consentono un’equa remunerazione del servizio offerto.
Con il parere 08/2024 del 17.4.2024, l’EDPB – su impulso delle autorità di controllo olandese, norvegese e tedesca – si è espresso sulla legittimità del “consent or pay”, focalizzandosi su una serie di elementi. L’opinion dell’EDPB si colloca nel contesto della sentenza emessa dalla Corte di Giustizia dell’UE (“CGUE”) nella causa C-252/21 del 4.8.2023, la quale era stata chiamata a valutare la questione se il consenso espresso dall’utente di una piattaforma online potesse considerarsi prestato validamente anche in presenza di posizione dominante del gestore sul mercato. Il ragionamento condotto dalla CGUE si collega a quanto espresso dal Comitato nel parere: se la piattaforma assume una posizione dominante, il consenso eventualmente espresso può essere viziato; l’utente potrebbe trovarsi “costretto” ad acconsentire al trattamento dei propri dati personali per il timore di subìre conseguenze negative coincidenti, ad esempio, con l’impossibilità di usufruire del servizio. La Corte, pertanto, ha ribadito che spetta all’operatore online dimostrare che la sua posizione non assuma valenza determinante nella scelta dell’utente.
Tale profilo si collega strettamente alla pratica del “consent or pay”: anche secondo il Comitato, se gli operatori decidessero di garantire la fruizione dei propri servizi/prodotti fondando il trattamento dei dati personali sul consenso – quindi permettendo l’accesso solo a chi accetti di essere profilato – dovrebbero valutare se si collochino in posizione dominante.
L’EDPB, dunque, pur ammettendo la possibilità che il consenso rappresenti la base giuridica idonea per tale trattamento, non ha esitato ad esprimere preoccupazione, precisando che il “consent or pay” dovrebbe costituire un’opzione, non l’unica alternativa: basti pensare ad una versione del servizio “semplificata” con annunci pubblicitari generalisti, che comporti un trattamento meno “invasivo”.
Inoltre, l’EDPB sottolinea l’importanza di veicolare le informazioni in maniera trasparente, evitando di ricorrere a “dark patterns” o ad un linguaggio ambiguo, ingannevole, che impedisca all’utente medio di comprendere il trattamento dei propri dati personali, con precipuo riferimento alle finalità.
Conclusioni
Si può discutere sulla circostanza che invocare il consenso quale base giuridica di questo trattamento sia l’unica strada percorribile. Sembra che tanto la CGUE quanto l’EDPB navighino in questa direzione, seppure solo in presenza di opportuni accorgimenti; quel che è certo è che il consenso deve essere libero, informato, inequivocabile, specifico (quindi granulare): per raggiungere tale risultato, gli editori devono porsi nelle condizioni di individuare soluzioni mirate ad un livello ottimale di trasparenza. Un utente adeguatamente informato può scegliere liberamente di “pagare” un servizio/prodotto con i propri dati personali. Del resto, se il “consent or pay” è stato paragonato ad una compravendita, sarà necessario applicare anche quei principi di buona fede e di correttezza posti a fondamento dell’autonomia contrattuale.
