Dopo mesi di “sentito dire”, è arrivata da Meta la conferma ufficiale. Con una nota del 30 ottobre 2023, la società che controlla Facebook e Instagram (e Whatsapp, dove da qualche settimana sono nati i canali tematici) offrirà agli utenti una scelta in merito alla “gratuità” dei propri servizi. Dopo la spunta blu a pagamento, tutto l’utilizzo dei servizi social diventerà a pagamento, a meno che non si acconsenta ad essere oggetto di marketing “personalizzato” (leggasi: profilato).
Si tratta di una scelta di business del tutto legittima, che tuttavia pone enormi problemi dal punto di vista giuridico, quanto meno qui in Europa, per il contrasto con le norme in materia di protezione dei dati personali previste dal Reg. UE 679/2016.
Indice
1. In principio fu il paywall (la privacy a pagamento)
Quella di offrire la scelta tra pagamento di una somma o accettazione del marketing personalizzato (o profilazione, se vogliamo chiamare le cose col loro nome) non è un’invenzione di Meta.
Verso la metà dell’anno scorso (ne abbiamo parlato in questo articolo e anche in questo) sui siti delle maggiori testate giornalistiche online sono comparsi particolari banner che non si limitano a informarci, come siamo abituati, sull’uso dei cookie e sulla possibilità di acconsentire o meno: una volta che abbiamo negato il nostro consenso appare un secondo banner detto paywall, che ci chiede di ripensarci, di accettare i cookie, perché i cookie sono l’anima e la linfa che permette al sito di rimanere online, e che in mancanza di consenso gli articoli verranno erogati solamente a pagamento.
Dunque, delle due l’una: o si accettano i cookie, accedendo al sito “gratuitamente” (le virgolette sono d’obbligo), o si paga per leggere gli articoli: do ut des.
Il Garante della Privacy ha avviato immantinente un’istruttoria sulla liceità di questo metodo (che però al momento non sembra giunta ad alcuna conclusione, perché il paywall continua a campeggiare sulla maggior parte dei siti di informazione), ma il quesito permane: è lecito offrire questa alternativa, che, di fatto, monetizza un diritto fondamentale riconosciuto dall’Europa e lo subordina in qualche modo ad un pagamento in denaro?
Cioè, è sicuramente lecito dire: non mi paghi il servizio, non ti fornisco il servizio. Fino a qui tutto bene. Ma è siamo ancora nell’ambito del lecito quando facciamo un ulteriore passo e diciamo: ok, se non vuoi o non puoi pagare ti offro una alternativa, cioè di regalarmi il tuo consenso per una maxi-profilazione? È qui che il mistero si infittisce, come si suol dire: è lecito chiedere di pagare per un diritto che si possiede già? E questo sistema non creerà diseguaglianze tra chi si potrà permettere di pagare e chi invece no e quindi non avrà altra scelta che fornire il proprio consenso, che tutto sarà fuorché libero e certamente non revocabile? La privacy diventerà un diritto ad esclusivo beneficio dei ricchi?
Vediamo innanzi tutto che cosa ci dice la normativa in materia.
2. L’art. 25 del GDPR: privacy by default
L’art. 25 GDPR prevede l’ormai noto principio di privacy by default, ossia che per impostazione predefinita, non sia svolto un trattamento di dati personali ulteriore rispetto a quello minimo necessario.
Dal momento che tutti i servizi offerti dalle piattaforme social si basano, anch’essi di default, sulla profilazione degli utenti, che è l’unica cosa che ha permesso per oltre un decennio di essere “gratuiti” e allo stesso tempo di fatturare svariate decine di miliardi di dollari, appare evidente che delle due è l’una: o si cambia il modello di business e si fanno pagare i servizi dei social, oppure non si potrà mai rispettare il principio sancito dall’art. 25 del GDPR. Come afferma l’avv. Enrico Pelino, con definizione quanto mai azzeccata, “la profilazione by default costituisce l’ossimoro della data protection by default”.
3. L’art. 6 del GDPR: trattamento legittimo dati
L’art. 6 del GDPR, a sua volta, stabilisce quali sono le basi giuridiche che rendono legittimo un determinato trattamento.
La profilazione è un trattamento che può essere effettuato solo sulla base del consenso. Ma il consenso, per sua natura, deve essere libero, informato e revocabile, cosa che non appartiene al modello di business Meta (e non solo al suo, tutti i servizi web “gratuiti” hanno lo stesso modello). Acconsentire ad essere profilati è l’unico modo per accedere ai servizi, perché diversamente Meta, che non è una ONLUS, non avrebbe i suoi profitti miliardari. Ma il GDPR vieta espressamente (art. 7.4) di subordinare un servizio “alla prestazione del consenso al trattamento di dati personali non necessario alla sua esecuzione”. Quindi un consenso così ottenuto non è valido e pertanto il trattamento, in assenza di altra base giuridica, potrebbe risultare illegittimo.
Non pare possibile utilizzare come base giuridica l’interesse legittimo, perché essendo in contrasto con l’art. 25, non può essere considerato legittimo l’interesse alla profilazione, e nemmeno il contratto stipulato tra la società e l’utente, perché la profilazione è un trattamento ulteriore rispetto all’utilizzo della piattaforma stessa.
4. Il marketing e la base giuridica
Anche il trattamento dei dati a fini di marketing parrebbe attualmente svolto in contrasto con diversi principi normativi: sia con l’art. 25 GDPR, sia con la Direttiva 2002/58 (anziana, ma sempre valida), che richiede il consenso per l’invio di comunicazioni elettroniche di marketing e che impone che tale consenso sia libero e privo di conseguenze negative sia il rifiuto a prestarlo, ed infine con il Digital Services Act, che al considerando 68 prevede che “Le prescrizioni del presente regolamento… lasciano impregiudicata l’applicazione delle pertinenti disposizioni del regolamento (UE) 2016/679… e specificamente la necessità di ottenere un consenso dell’interessato prima del trattamento di dati personali per la pubblicità mirata”.
5. Conclusioni
Dunque, tornando alla questione alla base, è lecito offrire agli utenti l’alternativa o mi paghi o mi dai i dati per ottenere un servizio, cioè subordinare il riconoscimento di diritti che già esistono e sono inalienabili e in capo ad ogni essere umano al pagamento di una somma?
Parrebbe che la risposta sia negativa, a voler interpretare in maniera letterale la normativa vigente. La privacy, quindi, non può essere un servizio premium, deve essere per tutti.
Tuttavia, vivendo nel mondo reale, non si può non considerare come le leggi siano interpretabili e come la delicata tematica della protezione dei dati si scontri, nella pratica, con una ineluttabile verità, e cioè che alla più parte delle persone che quotidianamente utilizzano i servizi offerti dal web, di questo diritto fondamentale e inalienabile non pare importare granché.
La protezione dei dati personali e la privacy non sono più un valore assoluto, ancorché espressione di un diritto inviolabile. E l’adagio “quando qualcosa è gratis in rete il prodotto siamo noi” ormai lo conosciamo tutti. Ma se proliferano ugualmente prodotti gratuiti che ci chiedono in cambio solo una piccola spunta al termine di una informativa che nessuno legge, evidentemente la realtà ci sta dicendo qualcos’altro.
Qui non si cerca di dare soluzioni, che competono ad altri organi, né si vuole prendere una posizione a favore dell’una o dell’altra tesi. Tuttavia, la consapevolezza e la conoscenza restano, a parere di chi scrive, la base fondamentale per operare una scelta con cognizione di causa.
Ed è nel tentativo di aiutare a divulgare consapevolezza e conoscenza, che questa breve riflessione è stata scritta.
Vuoi restare aggiornato?
Con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Iscriviti alla newsletter
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento