Il Garante privacy nel dirimere il caso dei cookie wall dei giornali dovrà pronunciarsi un nodo giuridico: la contraddizione fra GDPR e Direttiva 2019/770 sulla liceità di pagare un servizio con i propri dati personali.
Facebook, i dati personali possono essere corrispettivo di un servizio? Lecito dubitarne
Le Linee guida del Garante sui cookie
Il Garante, nelle sue Linee guida cookie e altri strumenti di tracciamento emanate il 10 giugno 2021, affronta nello specifico il problema del c.d. cookie wall, affermando che:
“Ulteriori chiarimenti appaiono opportuni con riferimento al cd. cookie wall, intendendosi con tale espressione un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga cioè obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.
Tale meccanismo, non consentendo di qualificare l’eventuale consenso così ottenuto come conforme alle caratteristiche imposte dal Regolamento, e segnatamente al suo art. 4, punto 11 con particolare riferimento al requisito della “libertà” del consenso, è da ritenersi illecito, salva l’ipotesi da verificare caso per caso nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.
E ciò alla irrinunciabile condizione della conformità dell’alternativa proposta ai principi del Regolamento codificati al suo art. 5, paragrafo 1, ed innanzitutto a quello di cui alla lettera a), che esige che i dati personali siano trattati in modo lecito, corretto e trasparente (principio di “liceità, correttezza e trasparenza”); in difetto, il cookie wall non potrà essere reputato in linea con la disciplina vigente.”
Il caso dei cookie wall dei giornali
Nei giorni scorsi su numerose testate giornalistiche sono comparsi dei banner che impongono agli utenti di accettare i cookie delle piattaforme e subordinano il rifiuto (anche selettivo) alla creazione dei cookie e degli altri strumenti di tracciamento al pagamento di un abbonamento.
Molti si sono domandati se queste iniziative siano legittime in quanto sembrano cozzare con le disposizioni sui cookie e sugli altri strumenti di tracciamento emanate dal Garante Privacy ed in vigore dal 9 gennaio 2022 e il Garante stesso, interessato dalla questione, ha diffuso un comunicato in cui afferma:
“Negli ultimi giorni diverse testate giornalistiche on line, siti web e aziende operanti su Internet nel settore televisivo, hanno messo in campo sistemi e filtri, che condizionano l’accesso ai contenuti alla sottoscrizione di un abbonamento (il cosiddetto paywall) o, in alternativa, al rilascio del consenso da parte degli utenti all’installazione di cookie e altri strumenti di tracciamento dei dati personali (il cosiddetto cookie wall).
L’Autorità, anche a seguito di alcune segnalazioni, sta esaminando tali iniziative alla luce del quadro normativo attuale, anche al fine di valutare l’adozione di eventuali interventi in materia.”
La disciplina offerta dal Garante sembra deporre per l’illegittimità di questi nuovi cookie banner promossi da varie testate giornalistiche, specie se si legge il provvedimento del Garante in paio con il Considerando 42 del GDPR secondo cui: “Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.”
La direttiva 2019/770
L’esame della sola normativa privacy però è parziale nell’affrontare la questione di questi nuovi “cookie wall”. Va infatti considerato il portato di cui al recente D.Lgs. 173 del 4 novembre 2021, decreto di attuazione della direttiva (UE) 2019/770, che ha introdotto nel codice del consumo il nuovo capo I-bis del titolo III (con articoli che vanno dal 135 novies , dedicato ai contratti di fornitura di contenuto digitale e di servizi digitali.
Secondo questa disciplina è possibile che un consumatore “paghi” un contenuto digitale o un servizio digitale con i propri dati personali, con l’applicazione di una serie di garanzie.
La disciplina prevede esplicitamente la prevalenza del Reg. UE 679/2016 nel caso di contrasto con le disposizioni del D.Lgs. 173/2021, ma è evidente che questa nuova normativa (anch’essa di matrice europea e quindi di pari grado rispetto al GDPR) pone una breccia, quantomeno formale, nel concetto di dati personali come beni non commerciabili.
L’introduzione della Direttiva 2019/770 aveva infatti sollevato da più parti severe critiche, riassunte anche nel parere negativo del Garante Europeo, sia perché apre al mercimonio dei dati personali, sia perché inquina il consenso al trattamento dei dati personali, rendendolo meno “libero” e più condizionato.
L’intenzione del legislatore europeo era però quella di rendere accessibili servizi normalmente non fruibili gratuitamente attraverso una modalità di pagamento alternativa e meno gravosa, consentendo un più esteso accesso a servizi normalmente accessibili solo una volta superato un paywall (similmente a ciò che accade con la più recente proposta di abbonamento introdotta da Netflix, che propone uno sconto agli abbonati che accettino di vedere inserzioni pubblicitarie) e quindi la Direttiva, pur affrontando un percorso legislativo travagliato, ha infine visto la luce mantenendo questa contestata disciplina in tema di servizi forniti in cambio di dati.
L’istruttoria del Garante
La tensione fra GDPR e Direttiva 2019/770 sarà quindi centrale in questa nuova istruttoria del Garante, rendendola di sicuro interesse per gli operatori.
Ma se il Garante dovrà rispondere alla domanda se il comportamento assunto da numerosi giornali online (che peraltro è l’ultima eco di un fenomeno già diffuso in altri paesi europei) è legittimo o meno, nelle sue concrete modalità di esecuzione, la domanda a monte, ovvero se sia lecito pagare un servizio con i nostri dati, ha già trovato una risposta cristallizzata nella normativa: ed è positiva.
Quel che invece dovrà decidere il Garante è se è lecito implementare simili servizi mediante cookie wall e se il consenso alla generazione di questi strumenti di tracciamento sia davvero libero a mente del GDPR nonostante il rifiuto del consenso provochi un pregiudizio (recte un pagamento).
Altro profilo invece è quello dell’efficacia in termini pratici del cookie/paywall implementato da molte testate giornalistiche, che non sembra lo strumento più adeguato per dar corso alle previsioni introdotte nel Codice del Consumo con il D.Lgs. 173/2021. Le possibilità di aggirare gli strumenti di tracciamento generati sono infatti molte (es. vpn, cancellazione periodica dei cookie, impostazioni browser limitative del tracciamento) e possono di fatto frustrare gli obiettivi di ritorno economico pubblicitario che hanno in mente gli editori, comportando quindi uno strumento di fatto poco incisivo se gli obiettivi di questi siti sono quelli di monetizzare in termini economici o, in alternativa, sui dati personali.