La Commissione europea ha pubblicato una lettera di impegni programmatici per migliorare la consapevolezza dei consumatori nelle scelte che riguardano i cookie ed i modelli basati sul tracciamento.
I punti programmatici sono stati elaborati nel corso del 2023, in seguito ad audizioni e tavole rotonde effettuate alla presenza dei maggiori stakeholder, in particolare di tutti i colossi del web che impiegano strumenti di tracciamento degli utenti. I punti, contenenti principi di “alto livello”, sono otto (lettere da A ad H), e l’EDPB ha dato indicazioni – anche molto chiare – sul come attuarli. Vediamoli nel dettaglio.
Come cambia la richiesta di consenso
La richiesta di consenso non conterrà informazioni relative ai cosiddetti cookie essenziali né il riferimento alla raccolta di dati basata sul legittimo interesse.
Il principio è abbastanza chiaro in sé ma, secondo l’EDPB, nella sintetica spiegazione fornita dalla Commissione, andava indicato con chiarezza che la non necessità del consenso per i cookies essenziali non determina il venir meno dell’obbligo di informativa all’utente ai sensi degli articolo 12-14 del GDPR.
In altri termini: bene aver chiarito che non serve il consenso per i cookies essenziali, ma non è un “libera tutti”, perché il titolare deve comunque assolvere l’obbligo di informativa. Il tema della raccolta dei dati sulla base del legittimo interesse, invece, è delicatissimo, e l’EDPB lo sottolinea ancora una volta, visto che la Commissione aveva “sorvolato”.
Il tracciamento può avvenir solo con il consenso dell’interessato e nel 2023 l’EDPB ha messo parecchi “paletti” sul punto: si veda la sanzione a Meta del 31 ottobre 2023.
La segnalazione dei contenuti pubblicitari
Quando il contenuto è finanziato almeno in parte dalla pubblicità, verrà spiegato in anticipo agli utenti accedere al sito/app per la prima volta. Qui il tema è delicato, perché riguarda il cookie pay wall in particolare ed il divieto di utilizzo dei dark patterns contenuto nel Digital Service Act.
Merita, quindi, riportare il testo del draft: “Dal momento in cui un’azienda ottiene ricavi i) esponendo i consumatori a sistemi di tracciamento pubblicitario raccogliendo e utilizzando informazioni sul comportamento online dei consumatori attraverso tracker o ii) vendendo ai partner il diritto di inserire tracker sui dispositivi dei consumatori attraverso il loro sito web, il i consumatori devono essere informati del modello di business in questione almeno contemporaneamente a quando è richiesto il consenso ai cookie. Chiedere ai consumatori di leggere cookie banner complessi e solo dopo averlo fatto non acconsentire a confrontarli con un ultimatum “paga o esci”, potrebbe essere considerato manipolativo”.
Le raccomandazioni dell’EDPB
Qui l’EDPB si è dichiarato “d’accordo” in linea di principio, salvo enucleare svariate raccomandazioni: “L’EDPB rileva che un modello di business che utilizza la pubblicità contestuale non è menzionato nella bozza del principio B come mezzo con cui un’impresa può ottenere entrate. Tale modello commerciale può comportare l’accesso o l’archiviazione di informazioni nelle apparecchiature terminali e il trattamento di dati personali, sebbene generalmente molto più limitato di un modello commerciale che si basa sul tracciamento degli utenti e sulla presentazione loro di pubblicità comportamentale o personalizzata”.
E prosegue: “L’EDPB ritiene che, proprio come per i modelli di business attualmente menzionati nella bozza del principio B, gli utenti dovrebbero essere informati di un modello di business che utilizza la pubblicità contestuale almeno contemporaneamente alla richiesta del consenso per l’uso dei cookie, e quindi raccomanda che il tipo di pubblicità utilizzata sia spiegato chiaramente (ad esempio pubblicità comportamentale o contestuale). In altre parole, l’EPDB raccomanda di fare riferimento anche alla pubblicità contestuale nel principio B”.
Interessante notare come l’EDPB richieda un livello di informazione all’utente sul modello di business: si richiede, in altri termini, di esplicitare “come” il titolare del trattamento “mette a resa” i dati derivanti dal tracciamento.
Spiegazioni chiare
Ogni modello di business sarà presentato in modo conciso, chiaro e facile da scegliere. Ciò includerà spiegazioni chiare delle conseguenze dell’accettazione o della non accettazione dei tracker.
Informativa agile, chiara ed esaustiva: questo è in concetto, con l’aggiunta della richiesta di esplicitazione dello scopo per cui è effettuato il tracciamento.
L’EDPB, ancora una volta, si dichiara d’accordo in line adi principio, con raccomandazioni e preoccupazioni esplicitate chiaramente.
Nulla di particolarmente innovativo, peraltro, salvo quanto di dirà con riferimento al Draft D.
La scelta della forma di pubblicità
Se vengono proposte pubblicità basate sul tracciamento o un’opzione a pagamento, i consumatori avranno sempre un scelta aggiuntiva di un’altra forma di pubblicità meno invasiva della privacy.
Qui si entra in pineo nel cookie paywall e nel mondo del business dell’editoria online: merita riportare nel dettaglio sia il commento della Commissione al principio che la posizione dell’EDPB per un confronto.
“In considerazione del numero estremamente limitato di consumatori che accettano di pagare per contenuti online di vario tipo e del fatto che i consumatori possono navigare quotidianamente su decine di siti web diversi, chiedere ai consumatori di pagare non sembra un’alternativa credibile al monitoraggio del loro comportamento online per scopi pubblicitari che potrebbero legalmente necessari per ottenere il consenso”.
Incredibile – se non lo si leggesse scritto a chiare lettere – che il mito della “libera scelta” tra pagare o essere tracciati sia stato sgretolato in questo modo, in cinque righe.
La Commissione prende atto della natura del business legato alla fruizione dei contenuti online e “stronca”, di fatto, la “scelta secca”, imponendo, per ora solo in termini di principio, la necessità di una terza via, tutta da scrivere, peraltro. Anche l’EDPB, su questo, entra a gamba tesa, suscitando reazioni da tifo da stadio per la chiarezza con cui viene chiarito il punto.
L’analisi
“La bozza del principio D si riferisce a “un’altra forma di pubblicità meno invasiva della privacy”. L’EDPB comprende in questo contesto che i servizi che utilizzano i tipi/forme di pubblicità menzionati non sono offerti a pagamento e raccomanda di chiarirlo esplicitamente nei principi. L’EDPB raccomanda di aggiungere ad entrambi i progetti di principi (C e D) un riferimento alla pubblicità contestuale come esempio di un altro tipo/forma di pubblicità in cui viene gestito un simile modello di business. L’EDPB ricorda che i titolari del trattamento che sono gatekeeper ai sensi della legge sui mercati digitali devono rispettare i rispettivi requisiti relativi all’offerta di servizi alternativi. Il considerando 36 della legge sui mercati digitali prevede che i gatekeeper dovrebbero consentire agli utenti di scegliere liberamente di acconsentire al trattamento dei propri dati personali, offrendo un’alternativa meno personalizzata ma equivalente. Il considerando 37 spiega che, in linea di principio, l’alternativa meno personalizzata non dovrebbe essere diversi o di qualità scadente”.
Anche queste poche righe contengono un mondo intero.
Se il principio B evocava, contemporaneamente, Direttiva ePrivacy, GDPR e Digital Service Act, qui si dice che i considerando del Digital Markets Act devono essere presi in considerazione ed attuati nel contesto della soft law dell’Unione.
In pratica un condensato di diritto della data protection letto alla luce del diritto dei servizi e dei mercati digitali, in uno con la teoria generale del Diritto dell’Unione europea.
Consenso non necessario per ogni singolo tracker
Il consenso ai cookie per scopi pubblicitari non dovrebbe essere necessario per ogni singolo tracker. Per gli interessati, in un secondo livello, dovrebbero essere fornite maggiori informazioni sulle tipologie di cookie utilizzati a fini pubblicitari, con la possibilità di effettuare una selezione più mirata.
Avete mai visto elenchi interminabili di cookies quando viene richiesto il consenso? Bene, la Commissione pone il principio; come applicarlo si capirà in seguito.
“Quando gli utenti accettano di ricevere pubblicità, è opportuno che sia loro chiaro allo stesso tempo come ciò avviene e in particolare se sul loro dispositivo vengono inseriti cookie, inclusi eventualmente cookie di terze parti. Non dovrebbe essere necessario controllare ogni singolo tracker. In effetti, ciò potrebbe richiedere il controllo di uno o duemila partner diversi, rendendo la scelta totalmente inefficace e dando l’illusione della scelta o scoraggiando le persone a leggere oltre, portandole a premere i pulsanti “accetta tutto” o “rifiuta tutto”. Questo principio non dovrebbe pregiudicare norme più rigorose contenute in altre normative settoriali, come il DMA”.
Ancora una volta viene evocato, esplicitamente, il Digital Markets Act, ricordando a tutti come il tracciamento dei dati per finalità di mercato sia, a tutti gli effetti, “mercato”.
L’EDPB, dal canto suo, coglie la palla al balzo per affrontare il tema del consenso in questo contesto.
“Il progetto di principio E si riferisce anche ai requisiti di un consenso valido. L’EDPB richiama le sue Linee guida 05/2020, come menzionate anche nel suo feedback alla bozza dei principi B-D. Più in particolare, l’EDPB sottolinea che, affinché il consenso sia valido, esso deve essere prestato liberamente e deve essere specifico. L’EDPB raccomanda di confermare esplicitamente nella bozza di principi che agli individui dovrebbe essere data la possibilità di “rifiutare” tutti i cookie che non sono strettamente necessari sul primo livello del banner. Come minimo, dovrebbe essere chiarito che se su qualsiasi livello viene presentato un pulsante “accetta” (o “accetta tutto”), allora dovrebbe essere presentato anche un pulsante “rifiuta” (o “rifiuta tutto”) poiché questo sarebbe un elemento essenziale a favore della validità del consenso. Inoltre, come discusso sopra, affinché il consenso sia valido, l’utente deve essere informato, tra l’altro, dell’identità del responsabile del trattamento che richiede il consenso per accedere o archiviare informazioni nell’apparecchiatura terminale, di quali informazioni si tratta e per quale scopo”.
Da qui si capisce che il parallelismo tra i pulsanti “accetta tutto” e “rifiuta tutto” è diventata relazione, anche giuridicamente, biunivoca.
No al consenso separato per il modello scelto dal consumatore
Nessun consenso separato per i cookie utilizzati per gestire il modello pubblicitario scelto dal consumatore (ad esempio i cookie per misurare le prestazioni di un annuncio specifico o per eseguire pubblicità contestuale) dovrà essere richiesto in quanto i consumatori hanno già espresso la loro scelta verso uno dei modelli di business.
Alleggerimento delle informative e dei modelli di consenso: questo è il senso – e l’esigenza – espresso dal principio F.
L’EDPB su questo si era già espresso in precedenza, limitandosi a porre l’attenzione – ancora una volta – sui requisiti del consenso richiesto all’utente, con un’ulteriore precisazione.
“L’EDPB rileva inoltre che la bozza del principio F si riferisce a un modello di business “concordato” dal consumatore e a un modello di pubblicità al quale il consumatore ha “acconsentito”. Ai sensi dell’articolo 5, paragrafo 3, della direttiva e-Privacy, viene prestato il consenso all’accesso o all’archiviazione delle informazioni (ad esempio i cookie) nell’apparecchiatura terminale dell’utente. L’EDPB riconosce che per un modello commerciale pubblicitario possono essere utilizzati i cookie e raccomanda, per motivi di chiarezza, di chiarire la spiegazione della bozza del principio F, facendo riferimento al consenso per l’uso dei cookie per uno specifico modello di pubblicità, anziché al consenso a un modello di pubblicità”.
Non richiedere il consenso entro un anno dall’ultima volta
Non dovrebbe essere chiesto al consumatore di accettare i cookie nell’arco di un anno dall’ultima richiesta. Il cookie per registrare il rifiuto del consumatore è necessario per rispettare la sua scelta.
Imposizione – di fatto – di registrare una volta per tutte il rifiuto dell’utente all’utilizzo dei cookies, con obbligo di mantenimento annuale dell’informazione. In pratica, invece di cliccare “rifiuta” ad ogni accesso, la scelta dovrebbe essere mantenuta ferma per un anno: 90 minuti di applausi.
“Uno dei motivi principali dell’affaticamento dei cookie, particolarmente sentito dalle persone più interessate alla loro privacy, è che le scelte negative non vengono registrate e devono essere ripetute ogni volta che visitano un sito web o addirittura ogni pagina di un sito web. La registrazione di tale scelta è indispensabile per una gestione efficiente di un sito web e per rispettare le scelte dei consumatori. Inoltre, per ridurre l’affaticamento dei cookie, un periodo ragionevole ad es. occorrerebbe attendere un anno prima di chiedere nuovamente il consenso dei consumatori”.
Il tema è delicatissimo e, quindi, l’EDPB non poteva non approfondirlo.
“Inoltre, la bozza del principio G sulla registrazione del “consenso negativo” richiede ulteriori dettagli per attuarlo efficacemente. In particolare, l’EDPB raccomanda di chiarire che il record del “consenso negativo” basato sui cookie non dovrebbe contenere un identificatore univoco, ma dovrebbe contenere informazioni generiche, un flag o un codice, comune a tutti gli utenti che hanno rifiutato il consenso. L’EDPB ricorda che i cookie che registrano la negazione del consenso possono essere cancellati dall’utente, o cancellati per modifica delle impostazioni tecniche, entro il termine di un anno. In tal caso, quando il titolare del trattamento non ha più accesso alla registrazione del rifiuto del consenso, l’EDPB ritiene ragionevole proporre all’utente una nuova richiesta di consenso.
L’EDPB ricorda inoltre che i gatekeeper soggetti alla legge sui mercati digitali sono già soggetti a norme sulla frequenza con cui viene chiesto agli utenti di dare il consenso, che inizialmente non hanno acconsentito o che hanno revocato il proprio consenso”.
Qui il DMA viene evocato come norma più “liberale” e meno tutelante rispetto al principio espresso dalla Commissione.
Rifiutare in anticipo
Saranno accettati segnali provenienti da applicazioni che offrono ai consumatori la possibilità di registrare in anticipo le proprie preferenze sui cookie con almeno gli stessi principi sopra descritti.
Qui la Commissione fa un’affermazione futurista e, ancora di più, è futurista il commento al principio: “I consumatori dovrebbero dire la loro se decidono di voler rifiutare sistematicamente determinati tipi di modelli pubblicitari. Dovrebbero avere il potere di farlo e la legislazione sulla privacy e sulla protezione dei dati non dovrebbe essere utilizzata come argomento contro tale scelta, a condizione che la scelta automatizzata sia stata fatta consapevolmente”.
L’EDPB, qui, non vola alto ma manifesta una certa qual pedanteria: “Al contrario, l’EDPB ritiene che sia necessaria cautela quando si intende utilizzare le impostazioni del software per esprimere un consenso affermativo. Affinché il consenso sia valido, l’utente deve effettuare una scelta attiva (ovvero un “sì” predefinito non costituirebbe un consenso valido) e deve, tra l’altro, essere specifico e informato, rispetto allo specifico contesto in cui tale consenso viene prestato. L’EDPB rileva di non aver ancora valutato alcun uso attuale di segnali provenienti da applicazioni o impostazioni di software riguardanti l’uso di cookie che offrono la granularità, la specificità e le informazioni per garantire che il consenso possa essere validamente prestato in anticipo. Infine, l’EDPB concorda sul fatto che la legislazione sulla privacy e sulla protezione dei dati non dovrebbe essere utilizzata come argomento per non dare effetto alla preferenza di un individuo di rifiutare sistematicamente determinati tipi di modelli pubblicitari”.
Va anche rimarcato un fatto, piuttosto ovvio: era anche difficile dire qualcosa di diverso.
Conclusioni
Dai Draft e dai commenti dell’EDPB si traggono due macro conclusioni: il cookie paywall sarà uno dei temi centrali del 2024 e, ormai, il diritto dei servizi e dei mercati digitali è inscindibilmente interconnesso al diritto alla protezione dei dati personali.
Quest’ultima è una tesi che chi scrive ha proposto (anche in “cartaceo[1]”) già mesi addietro e che trova piena conferma nei fatti, prima che nelle elaborazioni dottrinali e giurisprudenziali.
I principi espressi dalla Commissione sono, in ultima analisi, un enorme passo avanti nella salvaguardia dei diritti del consumatore e costituiscono, a loro modo, una conseguenza necessaria delle elaborazioni del 2023 nella materia.
L’ultimo principio tuttavia spicca perché non era necessario arrivare a determinate conclusioni: è, a tutti gli effetti, una scelta politica ed un passo avanti, più che l’esplicitazione di principio di qualcosa che già c’era, come invece sono i draft precedenti.
Note
[1] M. Borgobello, Manuale di diritto della protezione dei dati personali, dei servizi e dei mercati digitali, Milano, 2023.