Il garante per la Protezione dei Dati Europeo, European Data Protection Board (EDPB) ha recentemente preso una posizione ferma contro le pratiche di monetizzazione dei dati personali nella sua Opinion n. 08/2024 del 17 aprile ultimo scorso, con la quale ha analizzato i modelli di business cosiddetti “pay or consent“, sollevando questioni di legalità e etica nel trattamento dei dati degli utenti.
Indice
1. Il dibattito e l’Opinion del Garante UE
All’interno del dibattito sulla privacy, emerge il dilemma morale: i nostri dati personali devono essere considerati una merce scambiabile? O in altre parole, la privacy degli interessati può essere considerata un diritto “premium” accordabile solo a chi è disposto a pagare? E soprattutto, gli utenti, posti dinnanzi alla scelta se pagare o acconsentire a un trattamento invasivo (profilazione commerciale) sono realmente resi edotti di quello che stanno scegliendo, o sono portati a compiere la scelta più immediata, ossia quella di non pagare per qualcosa che fino a ieri si è avuto (apparentemente) gratis?
La risposta dell’EDPB alla questione della legittimità del cookie paywall è un no categorico. La scelta imposta dalle grandi piattaforme digitali tra la privacy e il pagamento per accesso a contenuti (che viene tipicamente presentata sotto forma di cookie paywall, un toll gate digitale che impedisce l’accesso a meno che l’utente non scelga tra il consenso all’uso dei propri dati per pubblicità mirata o il pagamento di una tariffa) è stata definitivamente etichettata come non conforme ai principi del GDPR.
L’Opinion 08/2024 chiama le grandi piattaforme digitali a rivedere i loro modelli di accesso, enfatizzando la non equivalenza tra dati personali e beni commerciali. Invece di relegare la privacy a un bene di lusso, l’EDPB propone lo sviluppo di alternative “equivalenti” che non coinvolgano il trattamento di dati personali per pubblicità comportamentale. Un esempio potrebbe essere la presentazione di pubblicità generica che non richiede il tracciamento dell’utente.
Oltre alla tutela dei diritti degli utenti, l’EDPB segnala come fondamentale la consapevolezza del valore e delle conseguenze delle scelte fatte in materia di dati personali. La protezione dei dati non deve diventare un lusso, ma un diritto accessibile a tutti. L’accesso a informazioni e servizi online non può dipendere dalla volontà o dalla capacità di un individuo di pagare per la propria privacy.
In questo scenario, il Digital Service Act e il Digital Markets Act si presentano come baluardi legislativi che lavorano in sinergia con le posizioni dell’EDPB, formando così un corpus legislativo coerente per la protezione dei consumatori nell’era digitale.
L’EDPB ha quindi tracciato una linea nella sabbia, segnalando che i diritti alla privacy degli utenti non sono negoziabili. La decisione lascia aperta la porta a future interpretazioni giuridiche e, potenzialmente, a un’ulteriore legislazione che potrebbe rinforzare queste posizioni.
Potrebbero interessarti anche:
2. Il modello di business “Pay or Consent”
Il modello di business “pay or consent” rappresenta un crocevia per la privacy digitale e solleva interrogativi etici significativi. Nelle sue forme più pervasive, recentemente introdotto anche da Meta e molto utilizzato, in Italia, dalle principali testate giornalistiche online, questo modello offre agli utenti un’apparente scelta: fornire consenso al trattamento dei propri dati personali per finalità di marketing, in particolare pubblicità comportamentale, o pagare una quota per accedere a servizi o contenuti senza che i propri dati vengano utilizzati per tale scopo.
3. Che cosa significa “Pay or Consent”?
Il termine “pay or consent” si riferisce a una dicotomia presentata agli utenti delle piattaforme online: acconsentire al trattamento dei dati personali (spesso in maniera invasiva) o pagare per evitare questo trattamento. In pratica, gli utenti si trovano di fronte a un muro, che non consente di navigare il sito, a meno di non effettuare la scelta tra una delle due opzioni suddette. Scelta che spesso si rivela fittizia, perché una volta cliccato sul famigerato tasto “acconsenti” succede che il contenuto risulti lo stesso inaccessibile.
Aziende come Meta hanno implementato tale modello, proponendo abbonamenti che consentono agli utenti di sfruttare le piattaforme senza pubblicità basata sulla profilazione, a fronte di un pagamento mensile in abbonamento. Tale approccio è stato osservato anche in alcuni giornali online, dove l’accesso ai contenuti è vincolato alla stessa scelta.
Le criticità di questo modello sono molteplici. Primo, si sollevano questioni sulla genuinità del consenso: può considerarsi veramente libero e informato se l’alternativa è il pagamento? Questo approccio mina uno dei pilastri fondamentali del GDPR, che prevede un consenso dato liberamente, specifico, informato e univoco come base per il trattamento legittimo dei dati personali.
Secondo, esiste il rischio di creare una società digitale a due velocità, dove la privacy diventa un lusso per chi può permettersi di pagare. Tale situazione va contro il principio di equità e l’accesso universale ai servizi digitali, concetti fortemente radicati nella legislazione europea.
Il modello “pay or consent” si scontra con diverse normative, in particolare con il GDPR. Le seguenti disposizioni sono al centro della questione:
Libertà di consenso: secondo l’articolo 4 e l’articolo 7 del GDPR, il consenso deve essere un atto di libera volontà. Un “cookie wall” pone in discussione questa libertà, potenzialmente trasformando il consenso in una merce.
Non discriminazione: l’articolo 8 della Carta dei Diritti Fondamentali dell’Unione Europea garantisce la protezione dei dati personali. La pratica del “pay or consent” potrebbe violare questo principio, discriminando gli utenti in base alla loro capacità o volontà di pagare.
Accessibilità e equità: norme come il Digital Service Act puntano a rendere i servizi digitali più giusti e accessibili per tutti. Il modello “pay or consent” potrebbe erodere questo obiettivo, creando barriere all’accesso.
In conclusione, il modello “pay or consent” presenta una sfida significativa per i regolatori, in quanto pone gli utenti di fronte a una scelta che potrebbe compromettere il carattere fondamentale del consenso libero e informato. Da un lato, vi è la necessità di finanziare i servizi digitali e il desiderio delle imprese di capitalizzare sul vasto serbatoio di dati generati dagli utenti. Dall’altro, si trova il diritto inalienabile degli individui alla privacy e alla protezione dei dati.
Per affrontare questa sfida, potrebbe essere necessario un ripensamento del framework normativo che rafforzi il diritto alla privacy senza ostacolare l’innovazione e la crescita digitale.
L’approccio attuale dell’EDPB si muove in questa direzione, ponendo un’enfasi rinnovata sull’autonomia degli utenti e sulla necessità di preservare la fiducia nel tessuto digitale della nostra società. L’opinion in commento non si limita a effettuare un semplice esame di conformità di un comportamento alle regole sulla protezione dei dati, ma costituisce un’esortazione a ripensare il modo in cui si valutano i dati personali all’interno delle economie digitali. Non più una commodity, ma un’estensione della personalità individuale, che deve essere protetta e rispettata.
Il messaggio dell’EDPB è inequivocabile: i dati personali non sono solo byte, ma rappresentano la digitalizzazione della nostra identità, dei nostri comportamenti e delle nostre scelte. Consentire che questi dati vengano monetizzati senza un consenso chiaro, libero e informato, o peggio ancora, sotto la coercizione di un pagamento, costituisce violazione di tutte le norme sottese alla visione europea di società informata e protetta.
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia.
Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento