Lo scorso 17 aprile l’EDPB ha pubblicato una importante opinion, richiesta da alcune autorità di regolazione, con capofila il Garante Olandese, al fine di comprendere come procedere nella valutazione della validità del consenso al trattamento dei dati personali per finalità di pubblicità comportamentale reso dagli utenti delle grandi piattaforme online (come Google, Facebook, YouTube, LinkedIn) nell’ambito degli schemi consenti o paga che tali controller hanno introdotto massicciamente in ultimo.
Il modello consenti o paga e la sua rilevanza ai fini della tutela delle libertà fondamentali delle persone fisiche
In cosa consiste il modello consenti o paga e perché la sua implementazione può essere critica per la liceità del trattamento dei nostri dati personali e per la salvaguardia delle nostre libertà fondamentali e dei nostri diritti?
In breve, il modello consenti o paga si sostanzia nella seguente alternativa binaria, offerta all’utente di una piattaforma online: se mi conferisci i tuoi dati personali per finalità di pubblicità comportamentale puoi godere del mio servizio gratis; in caso contrario, ti accontenti di una versione depotenziata del servizio, oppure mi paghi per godere della versione equivalente a quella a disposizione di coloro che mi hanno dato il consenso al trattamento, ma priva di pubblicità comportamentale (e dunque, prima ancora, edulcorata da qualsiasi trattamento riconducibile al concetto di profilazione).
Quando ci si trova di fronte a soggetti in posizione dominante nel rispettivo mercato di riferimento, come lo sono le grandi piattaforme web sopra nominate (ma altre ne esistono di analoga tipologia), ci si trova, come persone fisiche, in una evidente asimmetria; e si tratta di una asimmetria decisamente importante allorché essa si associa alla possibilità di dare o meno il consenso trattamenti dei dati personali assai invasivi, come quelli finalizzati alla generazione di pubblicità comportamentale, di per sé impossibile senza la profilazione: la profilazione è dunque il trattamento del quale tenere conto e del quale valutare l’impatto.
L’orientamento generale del EDPB
La prima indicazione di ordine generale che EDPB indirizza ai controller toglie quasi il fiato: le grandi piattaforme online devono fare in modo che il consenso al trattamento prestato loro dagli utenti goda di tutti senza esclusione i requisiti posti dagli artt. 5 e 7 del GDPR.
EDPB giustifica una indicazione apparentemente così ovvia, considerando che, a suo giudizio, l’alternativa binaria consenti o paga impedisce oggettivamente alle piattaforme web di ottenere consensi al trattamento in linea con i principi posti al riguardo dal GDPR.
E allora, la conseguente indicazione operativa che EDPB fornisce immediatamente, anticipando per così dire le sue conclusioni, è la seguente: se i controller desiderano utilizzare il consenso per legittimare la pubblicità comportamentale, essi devono uscire dallo schema binario del quale stiamo parlando (consenti o paga) predisponendo una terza opzione, a titolo gratuito, che preveda la possibilità di indirizzare all’utente pubblicità non comportamentale e comunque basata su trattamenti meno invasivi o addirittura in grado di fare a meno di qualsivoglia trattamento dei dati personali.
I requisiti del consenso
Ma se si prescinde dalla terza opzione sopra menzionata, quali caratteristiche deve avere il consenso al trattamento dei dati per finalità di pubblicità comportamentale, ai fini della sua conformità a principi posti dal GDPR?.
Il consenso deve essere libero; e ciò, nel contesto in oggetto, significa che il controller non deve/non può esporre l’utente ad alcun svantaggio o danno (detriment) se e quando esso nega il consenso al trattamento.
In questa prospettiva: è detriment il trovarsi di fronte a un canone, richiesto come alternativa, di entità tale da spingere surrettiziamente a dare il consenso al trattamento, ma detriment è anche l’esclusione dal servizio, conseguente al mancato pagamento del canone, come alternativa secca al consenso (esclusione particolarmente grave quando non esiste alternativa al servizio, o il servizio è pressoché insostituibile per garantire partecipazione sociale o accesso a un network professionale).
Ma il consenso non è libero anche quando esiste uno squilibrio di potere (imbalance of power) tra il controller e il titolare dei dati: anche in questo caso, il consenso sarà, al contrario, ritenuto libero qualora la piattaforma web sia in grado di provare che l’utente che nega il consenso è esente da conseguenze avverse (adverse consequences); il che ci riporta a quanto riferito sopra.
Affinché il consenso sia libero, inoltre è necessario che, nell’ambito della alternativa binaria secca, consenti o paga, quanto offerto a pagamento costituisca una effettiva e reale alternativa equivalente (equivalent alternative) al servizio offerto gratuitamente, previo consenso al trattamento dei dati per finalità di pubblicità comportamentale.
Si tratta allora di capire quando questa equivalenza esista: essa esiste, ad esempio, quando il servizio offerto a pagamento differisce da quello gratuito (ma ricompensato dal conferimento dei dati per finalità di pubblicità comportamentale) solo nella misura rappresentata dalla mancanza di ciò che non sarebbe possibile offrire senza il trattamento dei dati (per esempio, manca solo la pubblicità comportamentale, mentre il servizio offerto è identico nella sostanza, ovvero assai simile all’alternativa erogata sulla base del consenso al trattamento dei dati).
Ancora, il consenso è libero se il canone previsto per l’alternativa priva di pubblicità comportamentale può essere ritenuto appropriato (appropriate).
Questo aspetto ha due implicazioni: il canone è appropriato se, sulla base di una indagine caso per caso, è ipotizzabile un compenso per il servizio dato in senso assoluto (e non lo è, per converso, se per il medesimo servizio non ha senso chiederne alcuno); ma contemporaneamente il canone è appropriato se, di nuovo sulla base di una indagine ad hoc, è ritenuta tale anche la sua entità.
L’adeguatezza del canone, in senso assoluto e con riferimento alla sua entità, è un aspetto assai importante perché i principi informatori del GDPR sono incompatibili con una idea di tutela dei dati personali che ne faccia un bene di lusso (premium future), disponibile solo per i più abbienti in grado di pagare un compenso per sottrarsi alla profilazione e alle sue conseguenze.
Il consenso inoltre è libero quando è granulare; vale a dire: specifico per ogni singola finalità per la quale viene chiesto il conferimento dei dati personali.
Gli ulteriori requisiti del consenso nel contesto del modello consenti o paga
Il consenso deve essere informato: questo significa che il controller deve documentare il procedimento informativo atto a fare comprendere al titolare dei dati il valore, lo scopo e le conseguenze delle scelte possibili con riferimento a ogni specifica finalità di trattamento (e ciò ci riporta al concetto di granularità sopra evidenziato).
In altre parole, il controller deve predisporre quanto serve affinché, prima di ogni specifica scelta, il titolare dei dati sia consapevole e a giorno di ogni specifico aspetto correlato alle scelte che può compiere, e deve essere in grado di documentare tutto questo.
Il consenso inoltre deve essere specifico: si tratta, di nuovo, di una particolare declinazione della granularità, in forza della quale il consenso ottenuto con riferimento alla pubblicità comportamentale non può surrettiziamente riguardare anche altre finalità (should not be bundled with other purposes), in relazione alle quali, ove presenti, devono essere richiesti, previe specifiche e dedicate informative, specifici e dedicati consensi.
La rilevanza dell’opinion va oltre il suo ambito specifico
Abbiamo parlato all’inizio dell’importanza e della rilevanza della opinion della EDPB sottolineandone gli aspetti più evidenti.
Tuttavia, ora, avendone spacchettato il contenuto, è possibile e utile tornare su questo aspetto.
Il modello consenti o paga è destinato a diffondersi ben oltre il pur centrale ambito delle grandi piattaforme; nulla infatti osta a che esso venga adottato da realtà di dimensione inferiore, come piattaforme web dedicate ai più svariati ambiti/servizi/beni.
In questa luce, naturalmente con i necessari adattamenti, i principi e le riflessioni espressi dal EDPB nella opinion sono e saranno preziosissimi per consentire a tutti i controller di impostare la loro attività in modo da essere compliant rispetto alle disposizioni rilevanti del GDPR nel più vasto ecosistema dei servizi erogati attraverso il web.
