È in corso un acceso dibattito sui cosiddetti pay wall, cioè il particolare tipo di cookie wall che le maggiori testate online hanno adottato alla fine dello scorso anno, in cui chiedono, in caso di mancato consenso all’utilizzo dei cookie per finalità di profilazione, il pagamento di un abbonamento. Si è quindi finalmente (o purtroppo, secondo alcuni) arrivati a dare un valore economico ai dati personali. Ma è lecito? E quel consenso è valido?
Proteggere e valorizzare i dati personali con un “privacy new deal” digitale: le basi giuridiche
I consensi attuali
Diciamoci la verità: se in un modulo di consenso privacy sul web, per il trattamento a fini di profilazione e marketing, fosse indicato espressamente:
- quali saranno tutte le effettive conseguenze per l’utente/interessato (cioè che verrà profilato in ogni modo, gli verrà inviata pubblicità di ogni tipo, in ogni momento e in ogni modo; e se dovesse fornire anche il numero di telefono, riceverebbe telefonate a qualsiasi ora);
- che i suoi dati verranno utilizzati da agenzie di ogni tipo (quando non addirittura trasferiti ad altri soggetti, poco chiari);
- che dando quel consenso, l’utente/interessato non avrà alcun vantaggio, tantomeno per l’ottenimento del servizio che sta chiedendo o al quale si sta iscrivendo (ad esempio chiedendo il prezzo di una auto in vendita su un sito o scaricando la app di un gioco), che quindi gli verrebbe dato comunque, anche senza quel consenso;
- che proprio per tali motivi, il consenso è assolutamente facoltativo e, se non lo desse, non vi sarebbe alcun pregiudizio verso di lui, perché otterrebbe comunque e nel medesimo modo quello che ha chiesto o l’accesso al contenuto che vuole;
ebbene, se tutto questo fosse indicato chiaramente e ben evidenziato (compresa la tecnica utilizzata per comunicarcelo, a livello di dimensioni, caratteri, colori, ecc.), in modo che non vi possano essere dubbi, probabilmente il 99,5% degli utenti/interessati (per scrupolo, voglio salvare lo 0,5% di masochisti) non presterebbe quel consenso.
Cosa significa questo? Significa, a mio avviso, almeno due cose:
- che la quasi totalità dei consensi dati attualmente in questo modo non è realmente libero e consapevole, ma è ottenuto grazie a tecniche di marketing, oltretutto spesso illecite (testi lunghissimi, complicati, magari in inglese; messaggi non chiari, difficoltà a scorrere il testo, lentezza dello scorrimento dello stesso, per sfruttare la fretta dell’utente; pulsanti di rifiuto nascosti o non ben funzionanti, ecc.);
- che se si rispettasse realmente il dettato del GDPR, non si otterrebbe (quasi) nessun consenso, perlomeno con le attuali tecniche di marketing.
Per non parlare delle questioni di potenziale concorrenza sleale verso gli operatori che trattano i dati seguendo la legge (magari rinunciando a chiedere quel tipo di consenso, per non violare il GDPR), ma non affronteremo qui il problema.
La fine della profilazione a fini di marketing?
E quindi? Per rispettare la legge, non si potranno più effettuare operazioni di marketing profilato? In teoria sì, se questa fosse l’unica tecnica, ma in pratica no.
Semplicemente è finita (o meglio, deve finire) l’epoca in cui i nostri dati, la nostra riservatezza, le nostre persone vengono sfruttati economicamente, più o meno occultamente, senza la nostra reale consapevolezza e senza alcun vantaggio per noi (o peggio, facendoci credere che sia obbligatorio).
Se però, oltre alle informazioni che ho indicato in premessa, il titolare aggiungesse che, in caso di consenso, l’utente otterrebbe vantaggi (economici, ma non sono da escludersi altri di tipo diverso, come ad esempio accessi preferenziali a certi contenuti o a contenuti non in vendita) allora la percentuale di consensi comincerebbe probabilmente a salire.
E si tratterebbe (sempre alla luce delle condizioni indicate in premessa) di consensi informati e finalmente consapevoli, per cui liberi.
I paywall dei giornali sotto la lente del Garante
Occorre quindi chiedersi se sia lecito che, a certe condizioni, una persona possa concedere a terzi alcuni diritti sui propri dati: che è una delle domande che si sta ponendo il Garante per la protezione dei dati personali, esaminando l’iniziativa di diverse testate giornalistiche on line e siti web, che hanno messo in campo sistemi e filtri, per condizionare l’accesso ai contenuti alla sottoscrizione di un abbonamento (c.d. pay wall) o, in alternativa, al rilascio del consenso da parte degli utenti all’installazione di cookie e altri strumenti di tracciamento dei dati personali (c.d. cookie wall), ponendo, di fatto, la questione della liceità di una valorizzazione economica (cioè la monetizzazione) dei dati personali.
Monetizzazione dei dati personali, gli orientamenti di Ue e Italia
Il legislatore europeo sembrerebbe andare in questa direzione (con la direttiva UE 770/2019), ovviamente a condizione che l’utente consumatore sia pienamente consapevole (e quindi informato, ma in senso sostanziale) della propria decisione.
Il legislatore italiano, modificando nel 2021 il Codice del Consumo (in attuazione della Direttiva UE 2019/770 sui contratti di fornitura di contenuti digitali e di servizi digitali), ha introdotto l’art. 135 octies, commi 3 e 4, che prevedono la possibilità di utilizzare i dati personali quali corrispettivo per i servizi digitali.
Lo stesso GDPR, al Considerando 4, specifica che “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.
Anche la CNIL (la Commission Nationale de l’Informatique et des Libertés, cioè l’Autorità di controllo francese, equivalente al nostro Garante), a maggio del 2022, ha optato per l’ammissibilità di questo sistema, nel rispetto di una serie di requisiti e di limiti che ha elencato.
Tra questi criteri, particolarmente interessante risulta la necessità che le finalità del cookie wall siano limitate a quelle strettamente necessarie per ottenere un equo corrispettivo dai dati e che “il rifiuto di acconsentire al trattamento anche per altre finalità (personalizzazione dei contenuti editoriali, ecc.) non dovrebbe impedire l’accesso ai contenuti del sito”.
Secondo la CNIL, sarebbe pertanto vietato utilizzare questo sistema, chiedendo un solo consenso per un “pacchetto” di finalità (non “spacchettabili”), contenente anche quelle non strettamente necessarie.
Prendere o pagare?
Sul punto, la domanda che ci si sta ponendo è se sia realmente libero un consenso dato davanti all’alternativa “take it or leave it” di un pay wall.
La domanda però, a mio parere, è posta male, o in modo quantomeno superficiale.
Occorre intanto notare che il paywall chiede “take it or pay it”, che è ben diverso da “take it or leave it”.
Se poi si invertisse l’ordine dei fattori e si chiedesse “pay it or take it” (cioè “questo è un servizio a pagamento; per cui, se lo vuoi, paghi. Altrimenti, puoi darci il permesso di profilare alcuni tuoi dati personali in modo che noi otteniamo lo stesso vantaggio economico. Ma è una scelta tua, libera), la prospettiva cambierebbe.
Perché si partirebbe da una prospettiva normale per un servizio a pagamento (come un giornale, che per sua natura dev’esser pagato), per poi proporre all’utente una possibile alternativa, se di suo interesse.
Se a questo si aggiungessero informazioni chiare, complete senza essere inutilmente eccessive, allora il consenso prestato potrebbe considerarsi realmente libero e consapevole.
Trasparenza, correttezza e possibilità di controllo effettivo
Dovrebbero infatti essere chiare sia le finalità, che le modalità della profilazione, nonché le categorie di soggetti che tratterebbero i dati o comunque a cui sarebbero trasferiti (e, a richiesta, i loro nomi precisi, in linea con la recentissima sentenza della Corte di Giustizia Ue n.4/2023, del 12 gennaio 2023).
Il titolare dovrebbe poi dire chiaramente se, una volta scelta l’opzione del “pagamento in natura”, vi sarebbero poi ancora servizi interni a pagamento (ad esempio articoli premium all’interno di un giornale online): perché, in tal caso, un interessato potrebbe non accettare di cedere i suddetti diritti, se poi dovesse comunque pagare per alcuni contenuti, magari i più importanti. O potrebbe comunque porre attenzione al prezzo da pagare per un abbonamento con quelle condizioni (mentre spesso i pay wall pongono l’alternativa tra il pagamento del prezzo dell’abbonamento full/premium e la modalità gratuita con cookie di profilazione, quando invece le condizioni di quest’ultima modalità corrispondono ad un abbonamento base, ben meno caro).
Il consenso dovrebbe poi essere sempre realmente revocabile, anche in modo parziale, senza pregiudizi per entrambe le parti, per il pregresso e per il futuro.
Ed è chiaro che dovrà trattarsi di un servizio che per sua natura sia a pagamento, in modo che il sistema alternativo di remunerazione (cioè quello “in natura”, attraverso la concessione di sfruttare economicamente la profilazione dei propri dati di navigazione) sia realmente una scelta e non un obbligo mascherato.
Il valore economico dato alla profilazione dei dati dovrebbe infine essere equo e non dovrebbe riguardare servizi essenziali o monopolistici/oligopolistici, onde evitare che la riservatezza diventasse un privilegio per ricchi, che potrebbero permettersi di pagare il servizio, mentre gli altri sarebbero costretti a cedere i diritti sui propri dati, per non restare senza quel servizio.
È importante sottolineare che non si tratterebbe di un consenso ad alienare, cioè “vendere”, i propri dati; e tantomeno a “rinunciare” al diritto alla protezione degli stessi.
Bensì ad un utilizzo temporaneo (appunto revocabile) per determinate finalità, di alcune informazioni, in cambio di un vantaggio economico ponderato (che va dal risparmio di spesa – cioè, ad esempio, nel poter fruire di determinati prodotti o servizi senza pagare – al vero e proprio guadagno, cioè la monetizzazione dei dati).
Conclusioni
Come già detto, non solo questo consenso parrebbe realmente libero, consapevole e ponderato, ma forse sarebbe l’unico tipo di consenso realmente rispettoso di tali requisiti.
Addirittura, a ben vedere, ragionando in questi termini si potrebbe arrivare a superare gli angusti limiti del consenso, così come lo concepiamo, per avvicinarsi maggiormente all’interesse legittimo e alla sua ratio, laddove il bilanciamento tra gli opposti interessi (spostato nettamente verso quelli del titolare del trattamento, in caso di profilazione a fini di marketing) viene riequilibrato concedendo all’interessato la valorizzazione economica dei suoi dati personali, cioè condividendo con lui il risultato economico dell’operazione.
L’interesse legittimo, come ben spiegato da Luca Bolognini su queste colonne, potrebbe pertanto rappresentare il “ponte di varco e bilanciamento tra privacy e altri diritti/libertà fondamentali, perché permetterebbe l’incontro leale fra le volontà e le ragionevoli aspettative – esplicite o implicite – delle parti in gioco”.
Ed un controllo effettivo e completo dei propri dati da parte dell’interessato potrebbe essere garantito da servizi fiduciari, erogati da gatekeeper, terzi imparziali che possiedano determinate caratteristiche di sicurezza e affidabilità, come d’altronde avviene in sempre più settori della digital economy.
Ma questa è un’altra storia.
