Paywall, monetizzazione dei dati e il rischio della privacy come lusso per pochi
L'Autorità Garante per la protezione dei dati personali ha presentato la Relazione annuale sull'attività del 2022, menzionando anche la recente tendenza che vede subordinare l'accesso ai contenuti web all'accettazione di tutti i cookie o, in alternativa, al pagamento di un prezzo.
"Un'ulteriore criticità del capitalismo delle piattaforme riguarda la tendenza alla remunerazione del consenso al trattamento dei dati personali, assunto come parte di uno scambio tra dati e servizi".
Il 6 luglio 2023 il Presidente dell'Autorità Garante per la protezione dei dati personali ha presentato la Relazione annuale sull'attività del 2022 e ha così introdotto uno dei temi in essa contenuti.
Si tratta del "cookie-or-pay wall" o semplicemente "paywall": una recente modalità con cui l'utente è messo in condizione di accedere a determinati contenuti web, potendo scegliere tra le alternative del consenso ai cookie - compresi quelli di profilazione – o del pagamento di un prezzo. Soprattutto le testate giornalistiche ne stanno facendo uso per gli articoli diffusi sul web. Sarà infatti capitato a tutti di imbattersi in un articolo online la cui lettura è inizialmente oscurata da un banner che, al fine di permettere la visualizzazione dell'articolo, richiede all'utente di 1) accettare tutti i cookie o di 2) abbonarsi, secondo le varie modalità predisposte da ciascun editore.
Ebbene non è chiaro se il paywall sia da considerarsi una modalità adeguata e conforme alla normativa sulla protezione dei dati personali, in particolare il Regolamento UE 679/2016 ("GDPR") e il novellato d.lgs. 196/2003. Ciò che è noto è che lo scorso ottobre 2022 il Garante per la protezione dei dati personali ha rilasciato due comunicati stampa in cui informava di aver aperto delle istruttorie per accertare la conformità della citata modalità alla normativa europea, premettendo espressamente "che la normativa europea sulla protezione dei dati personali non esclude in linea di principio che il titolare di un sito subordini l'accesso ai contenuti, da parte degli utenti, al consenso prestato dai medesimi per finalità di profilazione (attraverso cookie o altri strumenti di tracciamento) o, in alternativa, al pagamento di una somma di denaro." L'attività istruttoria è stata poi confermata dall'Autorità con successivo comunicato del 12 novembre 2022. D'altro canto, è stata ormai confermata l'illegittimità del "cookie wall", inteso come quel più generale meccanismo atto a condizionare l'accesso a determinati contenuti web alla mera accettazione di tutti i cookie.
La "wall" sarebbe concretamente data dal banner che non consente di accedere al contenuto e contiene il pulsante di accettazione cookie; il banner si chiude, permettendo l'accesso al contenuto, solo dopo che sono stati accettati i cookie. Si tratta di un meccanismo chiaramente in contrasto con quella modalità granulare di accettazione di cookie ripetutamente indicata come quella legittima dai Garanti Europei.
Secondo infatti le Linee Guida 05/2020 sul consenso, l'European Data Protection Board ("EPDB") ha stabilito che, nel caso in cui non sia permesso all'interessato di accedere ai contenuti senza aver fatto clic sul pulsante "accetta i cookie", non essendo presentata all'interessato una vera e propria scelta, il suo consenso non è da ritenere come liberamente reso e pertanto non è valido.
Proprio il consenso, in particolare la libertà con cui lo stesso deve essere conferito, è il principale elemento di valutazione per le autorità competenti per decretare l'eventuale legittimità del paywall.
Il trattamento di dati personali in tale ambito è infatti finalizzato ad attività di marketing e profilazione. La base giuridica connessa a tale trattamento sarebbe dunque il consenso dell'interessato ai sensi dell'art. 6, par. 1, lett. a) del GDPR.
La normativa di riferimento – e in particolare i Considerando 42-43 del GDPR – stabilisce che il consenso debba essere informato, specifico e liberamente prestato. Tali Considerando indicano i casi in cui il consenso non si ritiene liberamente prestato:
• se l'interessato non è in grado di operare una scelta autenticamente libera o è nell'impossibilità di rifiutare revocare il consenso senza subire pregiudizio;
• qualora esista un evidente squilibrio tra titolare del trattamento e interessato (es. datore e lavoratore);
• se non è possibile prestare un consenso separato a distinti trattamenti di dati personali;
• se l'esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.Con riferimento alla modalità paywall è opportuno approfondire se il consenso ai cookie, come condizione alternativa al pagamento di un prezzo per accedere a un contenuto web, possa ritenersi come liberamente conferito. Potrebbe ritenersi che trattandosi di una scelta alternativa e non necessaria, come lo è nel meccanismo "take it or leave it" del cookie wall, vi siano maggiori margini di libertà per l'interessato.
La Corte di Cassazione italiana ha precisato che l'ordinamento italiano non vieta la cessione di dati personali in cambio di un servizio fungibile, purché il consenso sia legittimo in base alle sopracitate condizioni.
In particolare, secondo gli ermellini "In tema di consenso al trattamento dei dati personali, la previsione dell'art. 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l'utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell'indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti" (Cass. Civ., Sez. I, 02/07/2018, n.17278). Tale pronuncia si riferisce al contesto normativo precedente che per la parte di riferimento non ha subito modifiche dalla più recente normativa.
Di certo un'eventuale mancanza di effettivi controlli su tali modalità potrebbe agevolmente dare spazio a illegittimi consensi coartati, tali da permettere anche lo sfruttamento di condizioni di fragilità, come spiegato dal Garante al Senato, in audizione sul recepimento della direttiva (UE) 2161/2019 (cd. "omnibus").
Un ulteriore rischio sarebbe dato dalla degradazione dei dati personali da oggetto di un fondamentale diritto di libertà a una risorsa economica. Con tale meccanismo infatti la cessione dei dati personali è posta allo stesso livello del pagamento di un prezzo: per accedere a determinati contenuti web o si paga o si cedono i propri dati. Secondo il Garante tale rischio andrebbe scongiurato demarcando "un confine tra data-economy e monetizzazione della privacy, con tutti i rischi, in termini di libertà ed eguaglianza, suscettibili di derivarne"; è infatti necessario "evitare ogni deriva che renda la privacy un lusso per pochi, contraddicendo quel percorso che l'ha resa, da tradizionale prerogativa borghese, uno straordinario presidio di tutela di tutte e tutti, soprattutto dei più vulnerabili."
Nel frattempo, alcune autorità di altri paesi europei si sono già espresse sul meccanismo non prevedendone un rigido divieto o un'incondizionata ammissione.
L'Autorità francese (CNIL) ha pubblicato dei criteri di riferimento del "DOs" e "DON'Ts" al fine di valutare la legittimità di simili sistemi: l'alternativa tra accettazione dei cookie e pagamento di un prezzo potrebbe essere consentita se, per esempio, il pagamento è ragionevole, proporzionato all'alternativo conferimento dei dati e determinato caso per caso.
Dati anche i contenuti dei citati comunicati stampa sulle proprie istruttorie, sembrerebbe che anche il Garante italiano sia vicino a questo approccio non restrittivo.
Non resta che attendere l'esito di tali istruttorie e conoscere la posizione del Garante sul paywall.
a cura di Avv. ti Gerolamo Pellicanò e Anna Iorio – Studio CBA
Avv. Filippo Fonzi, Avv. Leonardo Cornacchia
RivisteFilippo Fonzi, Leonardo Cornacchia
Il Sole 24 Ore