protezione dati

Cookie wall dei giornali, non è questione di “prendere o lasciare”: ecco perché

Il Garante privacy e il Codice del Consumo non pongono divieti o limitazioni all’utilizzo del cookie wall, fermo restando l’adozione di un sistema che rispetti le caratteristiche del consenso e la corretta ed esaustiva informazione al consumatore. Su un tema tanto dibattuto serve tuttavia una riflessione strutturata

Pubblicato il 27 Ott 2022

Fabiola Iraci Gambazza

Studio Legale E-Lex

Giovanni Maria Riccio

Professore di Diritto comparato nell'Università di Salerno e socio dello Studio Legale E-Lex (Roma)

linee guida cookie garante privacy

Nell’ultima settimana, alcune tra le più note testate giornalistiche hanno introdotto sui loro siti web un filtro che condiziona l’accesso ai contenuti. L’utente, alternativamente, può visualizzare il contenuto del sito scegliendo di sottoscrivere un abbonamento (paywall) o rilasciare il consenso all’installazione di cookie e/o strumenti di tracciamento di dati personali (cookie wall).

In particolare, l’iniziativa ha acceso un’ampia discussione con riguardo alla dubbia liceità dell’adozione dei cookie wall, tema ampiamente discusso – e frutto di già numerosi contrasti – in ambito europeo da parte delle Autorità garanti per la protezione dei dati personali. I maggiori critici dell’iniziativa sostengono che tale tecnica non consentirebbe di fornire una scelta libera all’utente, introducendo una sorta di politica del “prendere o lasciare?”, in contrasto con la normativa privacy vigente.

Cookie wall sui siti dei giornali, ecco il nodo privacy da chiarire

I cookie wall sono leciti o illeciti?

Ma è davvero così?

Per fornire una risposta al dibattuto quesito “i cookie wall sono leciti o illeciti?”, si ritengono necessari alcuni chiarimenti, sia con riguardo alla normativa vigente e alle relative posizioni dei Garanti europei, sia con riferimento all’attuale disciplina consumeristica, in seguito alla recentissima modifica dello scorso anno.

Che cos’è un cookie wall

Innanzitutto, giova ricordare che cosa si intende per cookie wall.

Semplificando, per cookie wall si intende qualsiasi tecnica, tra cui un blocco, un popup, che permette la visualizzazione del contenuto del sito web solo previo consenso all’uso dei cookie o altre tecnologie di tracciamento di dati personali. Il cookie wall, quindi, agirebbe come un vero e proprio muro, impedendo la fruibilità del sito, se non a valle di una prestazione del consenso al trattamento dei dati personali.

La condizione sarebbe quindi la seguente: o rilasci il consenso al trattamento dei dati per il tramite dei cookie o non accedi al sito.

Cosa prevede la normativa sulla protezione dei dati in materia di consenso

Sorge, pertanto, spontaneo domandarsi se il rilascio del consenso alle condizioni imposte dal cookie wall sia conforme alla normativa sul trattamento dei dati personali, di cui al Regolamento UE 679/2016 (GDPR).

Il consenso rappresenta una delle basi giuridiche di cui all’art. 6 del Regolamento, le cui caratteristiche sono precisate all’art. 7 e al considerando 32 dello stesso Regolamento, nonché nelle Linee guida sul consenso 5/2020 pubblicate dall’European Data Protection Board (“EDPB”) nel 2020. Quando un trattamento si fonda sul consenso, il titolare del trattamento deve essere capace di provare che l’interessato abbia prestato il proprio consenso, la cui validità è condizionata dall’aver reso un’informativa sul trattamento dei dati, ai sensi degli artt. 13 e 14 del GDPR, nonché dall’aver espresso la manifestazione della volontà in modo libero, specifico, informato e inequivocabile. L’EDPB chiarisce che l’interessato deve essere posto nella condizione di compiere una scelta effettiva, senza alcuna imposizione o obbligo, in modo libero, con la possibilità di rifiutarsi o revocare il consenso in un momento successivo.

Le finalità per le quali l’interessato rende il consenso devono essere precisate da parte del titolare e, inoltre, se ne sussiste più di una, il consenso deve essere reso distintamente per ognuna di esse. Non è tantomeno permesso un consenso tacito o presunto o implicito.

Pertanto, chiarite le caratteristiche essenziali del consenso, queste ultime sono rispettate nel modello di cookie wall adottato dalle testate giornalistiche?

Analizzando la tecnica di wall utilizzata, l’accesso al sito è subordinato alla scelta alternativa dell’utente di sottoscrivere un abbonamento o di prestare il consenso ai mezzi di tracciamento. L’utente è immediatamente informato sulle modalità di visualizzazione e fruibilità del sito ed è posto nella posizione di scegliere, selezionando consapevolmente una delle due modalità alternative proposte.

La soluzione, pertanto, consentirebbe di rispettare le caratteristiche del consenso di cui alla normativa sulla protezione dei dati. Il consenso può dirsi sia libero ed inequivocabile, in quanto l’interessato dispone di una scelta effettiva, garantita dal fatto che il sito fornisce alternativamente la possibilità di scegliere se prestare o meno il consenso oppure sottoscrivere un abbonamento, sia specifico, in quanto è espresso per una determinata finalità, ossia quella di accedere ai contenuti del sito. Inoltre, l’utente è altresì informato per il tramite della cookie policy caricata sul sito, con riguardo all’identità del titolare del trattamento, alle finalità del trattamento per il quale il consenso è richiesto, alle tipologie di dati e all’esistenza del diritto di revocare il consenso, nel rispetto del principio di trasparenza di cui all’art. 5 del GDPR.

Di là da tali puntualizzazioni, giova ricordare che la disciplina in materia di protezione dei dati personali, al pari della normativa consumeristica, poggia su di una scelta di policy, spesso dimenticata dal formalismo di taluni interpreti. Il legislatore comunitario, per mezzo dell’informativa privacy, così come per mezzo delle informazioni da fornire obbligatoriamente al consumatore, ha inteso riequilibrare (o, almeno, tentare di riequilibrare) le asimmetrie informative tra chi raccoglie dati (o, in ambito consumeristico) tra chi mette in commercio beni e servizi e gli utenti/consumatori.

La questione dei cookie wall, quindi, a parere di chi scrive, dovrebbe essere affrontata partendo da questo assunto, in particolare dalla completezza delle informazioni fornite all’utente in merito alle modalità e alle finalità del trattamento: è possibile che l’utente sia consapevole nel momento in cui concede il proprio consenso?

Al tempo stesso, appare utile – nel bailamme delle opinioni talora frettolose che si sono susseguite negli ultimi giorni – evidenziare altri due aspetti. Il primo: il dato personale, di per sé, non è un diritto fondamentale, ma è un bene giuridico, ai sensi dell’art. 810 del Codice civile. È, cioè, una cosa che può formare oggetto di diritti. Il diritto fondamentale, di cui alla Carta di Nizza, è la protezione dei dati personali, non i dati in quanto tali.

Da tale primo punto, ne discende anche un secondo. I dati personali sono sottratti a qualsivoglia atto di disposizione negoziale? La questione, che è strettamente tecnico-giuridica (dove spesso i giuristi che si occupano di data protection dimenticano spesso di esserlo) e non può essere rimessa a valutazione emozionali e all’idea che i dati personali non possano, né debbano essere in nessun caso oggetto di un rapporto contrattuale.

Del resto, è appena il caso di ricordare che Stefano Rodotà, sicuramente il più grande studioso della materia, non solo italiano, in epoche oramai lontane, all’indomani dell’approvazione della Legge 675/96, che introduceva nel nostro ordinamento giuridico la prima legge sulla protezione dei dati personali, rispondeva in senso affermativo a tale domanda (per chi volesse leggerlo o rileggerlo, è la prefazione al volume curato da Cuffaro, Ricciuto e Zeno-Zencovich). Nello stesso senso, in anni recenti, si è espressa anche autorevole dottrina civilistica, ammettendo che i dati personali possano trovare cittadinanza nell’ambito di una fattispecie negoziale.

Al più, e qui la questione diviene ancora più tecnica, si potrebbe discutere se i dati personali possano essere controprestazione, all’interno di un rapporto contrattuale, o, al più, possano essere un elemento accessorio: sul punto, del resto, l’art. 6 GDPR non appare del tutto chiaro e si presta ad interpretazioni contrastanti. È tema complesso, tuttavia, che mal si presta ad un articolo divulgativo, pensato per una rivista generalista e che, quindi, ci vediamo costretti a rinviare ad altra sede.

Cookie wall degli editori? Cataleta: “Pratica ambigua, ben venga il Garante”

La posizione delle Autorità garanti europee in materia di cookie wall

In materia di cookie wall, le Autorità garanti per la protezione dei dati non hanno assunto, dal 2019 fino ad oggi, una posizione univoca, adottando differenti Linee guida dal tenore diverso.

Nel marzo 2019, l’Autorità garante dei Paesi Bassi, in seguito a numerose denunce, ha assunto una posizione netta, dichiarando l’illiceità dell’approccio definito “take it or leave it” adottato dal cookie wall. L’Autorità ha chiarito che l’utente non è effettivamente libero di prestare il consenso al trattamento dei dati e, pertanto, il sistema non è conforme al GDPR [1]. Differentemente, l’Autorità garante per la protezione dei dati britannica (“ICO”), sempre nel 2019, ha sostenuto che, sulla base anche di quanto affermato dal Considerando 25 della Direttiva ePrivacy[2], non sempre il cookie wall può essere considerato “intrusive” o comportante un “high risk”. L’ICO ha sostenuto che la protezione dei dati personali deve pur sempre essere bilanciata con altri diritti fondamentali, inclusa la libertà di iniziativa economica[3].

La posizione dell’Autorità garante per la protezione dei dati spagnola (“AEPD”) si è conformata a quella adottata dall’Autorità olandese, ribadendo che – anche in seguito all’aggiornamento delle linee guida sui cookie alla luce delle sopracitate Linee guida sul consenso dell’EDPB – i muros de cookies sono da ritenere illeciti, nella misura in cui la mancata prestazione del consenso impedisce l’accesso al sito. L’AEPD ha aggiunto di prestare attenzione nei casi in cui l’impedimento potrebbe rappresentare altresì un ostacolo all’esercizio di un diritto da parte dell’interessato per il quale necessita utilizzare delle funzionalità del sito.

Per ultimo, in Francia, l’Autorità garante (“CNIL”) si è espressa negativamente circa l’utilizzo dei murs de traceurs. Tale posizione, tuttavia, è stata fortemente contestata dalle società di edizioni francesi, le quali hanno impugnato di fronte al Conseil d’État le decisioni della CNIL sul tema. Con la decisione del 19 giugno 2020, il Conseil d’État si è pronunciato affermando che, nonostante vi sia l’esigenza di un rilascio di un consenso libero, non può essere un’interdizione generale relativamente alla pratica dei cookie wall. I giudici francesi, difatti, hanno specificato che la libertà di prestare il consenso deve essere apprezzata caso per caso, tenendo conto dell’effettiva esistenza di un’alternativa reale e soddisfacente, proposta in caso di rifiuto all’uso dei cookie[4]. In seguito alla pronuncia da parte del Consiglio di Stato francese, la CNIL ha proceduto all’aggiornamento delle Linee guida sui cookie, precisando dei preliminari criteri di valutazione, quali ad esempio: i) nel caso di rifiuto, l’interessato deve avere un’alternativa reale ed equivalente all’utilizzo dei cookie; ii) un’alternativa consistente nel pagamento di una tariffa per un servizio è concessa, a patto che sia ragionevole il corrispettivo richiesto[5].

Cosa succede in Italia: l’intervento del Garante privacy

Anche l’Autorità italiana garante per la protezione dei dati è intervenuta sul tema cookie con le Linee guida aggiornate nel giugno 2021.

Con riguardo al cookie wall, il Garante italiano, in linea con il precedente provvedimento del maggio 2014, si è concentrato sulle caratteristiche del consenso, affermando che non è escluso che lo scrolling o il cookie wall possano rappresentare delle procedure di acquisizione del consenso lecite, se queste consistono in “una delle componenti di un più articolato processo” la quale permette al soggetto interessato di manifestare in modo inequivoco e consapevole, nonché registrabile, il proprio consenso. Rappresenta un’espressione della piena autonomia del titolare del trattamento, in conformità con il principio di accountability, l’individuazione di soluzioni adeguate e conformi alla disciplina sul trattamento dei dati. Con riferimento all’acquisizione del consenso online, i titolari del trattamento, pertanto, possono adottare delle modalità alternative ed equivalenti, tali da assicurare, in ogni caso, la non equivocabilità.

Alla luce dell’adozione del cookie wall da parte delle note testate giornalistiche, il Garante, con le relative comunicazioni del 18 e del 21 ottobre, ha avviato preliminarmente l’esame delle iniziative e, di seguito, una serie di istruttorie[6].

Sul punto, merita segnalare altresì che, in seguito alla modifica del Codice del Consumo, entrata in vigore con il Decreto legislativo del 29 ottobre 2021 e attuativo della Direttiva UE 2019/770 sui contratti di fornitura di contenuti digitali e di servizi digitali, è stata introdotta la possibilità di utilizzare i dati personali quali corrispettivo per i servizi digitali. L’art. 135 octies, commi 3 e 4 prevedono che la disciplina consumeristica si applica a qualsiasi contratto che ha ad oggetto un contenuto digitale o un servizio al consumatore e il relativo corrispettivo è costituito da dati personali dello stesso consumatore.

La disciplina consumeristica, pertanto, consentirebbe il pagamento di un determinato corrispettivo per il tramite di dati personali, così come proposto dalle stesse testate giornalistiche nel nuovo modello di cookie wall.

Peraltro, sorge spontaneo osservare, sia nell’ottica consumeristica e sia in quella di protezione dei dati, che per arginare l’asimmetria informativa intrinseca ed ineliminabile nei rapporti anzidetti è sufficiente informare in modo specifico il consumatore con riguardo alle attività svolte, garantendo la piena consapevolezza della parte debole.

Tenuto conto delle predette riflessioni, né la posizione del Garante né tantomeno la disciplina di cui al Codice del Consumo, porrebbero effettivi divieti o limitazioni all’utilizzo del cookie wall, fermo restando l’adozione di un sistema che consente al titolare del trattamento di rispettare quanto previsto sia con riguardo alle caratteristiche del consenso sia per quanto riguarda la corretta ed esaustiva informazione al consumatore.

Conclusioni

Alla luce delle considerazioni già emerse, sembrerebbe, quindi, che la risposta al quesito di cui al titolo del presente articolo non possa che essere negativa. Non si tratta di un prendere o lasciare, quanto, a ben vedere, di una vera e propria scelta consapevole.

Siano però consentite delle osservazioni conclusive, di sistema, in un “mondo”, quello della protezione dei dati, in cui gli interpreti si distinguono, troppo spesso, per un approccio squisitamente formalistico alla materia.

La prima è certamente l’assenza di un’armonizzazione nell’applicazione della disciplina applicabile, alla luce delle differenti posizioni assunte dalle Autorità garanti nazionali. Tale circostanza crea inevitabilmente una grossa problematica in tema di uniformità nell’applicazione del diritto e, di conseguenza, in termini di certezza del diritto. Questione che, tuttavia, per l’obbligatorietà e l’applicabilità di un Regolamento non dovrebbe prefigurarsi: il risultato potrebbe tradursi in un elevato rischio nella gestione dei flussi dei dati all’interno dell’Unione Europea.

Un secondo aspetto concerne il tema della “patrimonializzazione dei dati”, sorto, in seguito, alla nota vicenda che ha coinvolto Facebook dinanzi ai giudici amministrativi. Il Consiglio di Stato, in particolare con la sua pronuncia del 2021 n. 2631, ha ritenuto che non possa ritenersi allo stato lecito il meccanismo utilizzato da Facebook, a fronte del proprio modello di business, in quanto il trattamento dei dati rappresenterebbe solo indirettamente una controprestazione al servizio fornito. Difatti, Facebook informa che l’uso della piattaforma è gratuita, invero, sfrutta i dati degli utenti per finalità commerciali e, di conseguenza, remunerative. Appare, dunque, evidentemente dissimile l’uso dei dati nel caso che interessa il presente articolo, ove, invece, i dati stessi rappresentano un corrispettivo a tutti gli effetti e, soprattutto, gli utenti ne sono esaustivamente informati e consapevoli.

Probabilmente, se si riflette sulla differenza tra il caso Facebook e la vicenda attuale dei cookie wall, la risposta è da rinvenire nelle informazioni fornite all’utente, nella chiarezza e trasparenza con cui le stesse sono rappresentate e, di conseguenza, nella consapevolezza degli utenti. Un approccio dogmatico o sensazionalistico, come quello assunto da alcune associazioni a difesa dei consumatori, dovrebbe condurre esclusivamente alla negazione assoluta dell’utilizzo dei cookie, al loro aprioristico rigetto, per cui tanto varrebbe vietare aprioristicamente la possibilità di farvi ricorso.

Al contrario, a nostro avviso, serve una riflessione strutturata, scevra da contrapposizioni simili a Guelfi e Ghibellini, che conduca a ragionare se, nell’attuale assetto del diritto civile europeo, si possa ragionare o meno, come la direttiva del 2019 impone, sul rapporto tra dati personali e rapporti contrattuali.

  1. https://autoriteitpersoonsgegevens.nl/nl/nieuws/websites-moeten-toegankelijk-blijven-bij-weigeren-tracking-cookies
  2. https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32002L0058&from=IT
  3. https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/how-do-we-comply-with-the-cookie-rules/#comply12
  4. https://www.cnil.fr/fr/cookies-et-autres-traceurs-le-conseil-detat-rend-sa-decision-sur-les-lignes-directrices-de-la-cnil
  5. https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookie-walls/la-cnil-publie-des-premiers-criteres-devaluation
  6. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9815415 ; https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9816536

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4