7 Maggio 2024• byGiulio Coraggio
Il Comitato europeo per la protezione dei dati (EDPB) ha recentemente dato indicazioni sulla conformità alle leggi privacy del modello di gestione dei cookie Pay or Ok da parte delle grandi piattaforme online, che sta diventando piuttosto comune sul mercato.
Questo parere segna una pietra miliare significativa nel campo della protezione dei dati, con implicazioni di vasta portata per una moltitudine di aziende che operano nella sfera digitale.
Le indicazioni fornite dall’EDPB sottolineano la necessità di una valutazione approfondita e contestualizzata della validità del consenso ottenuto dagli interessati nell’ambito dei modelli Pay or Ok. Ciò comporta un esame meticoloso di vari aspetti del consenso, tra cui il fatto che questo sia: (i) libero, (ii) informato e (iii) specifico.
Il consenso è libero con il modello di gestione dei cookie Pay or Ok?
Al centro dell’analisi dell’EDPB c’è il principio del consenso libero. Il Comitato europeo per la protezione dei dati sottolinea l’importanza di garantire che gli interessati abbiano una reale possibilità di scelta quando si tratta di acconsentire al trattamento dei loro dati personali. A questo proposito, i titolari del trattamento sono invitati a fornire una versione alternativa gratuita che non preveda il trattamento dei dati personali per la pubblicità comportamentale. Anche se non è obbligatorio, l’offerta di tale alternativa rafforza l’argomentazione che il consenso è effettivamente libero.
Inoltre, l’EDPB sottolinea il potenziale pregiudizio che gli interessati potrebbero subire negli scenari in cui il consenso viene presentato come unica opzione, insieme al pagamento. Questa scelta binaria può imporre oneri finanziari o impedire l’accesso a servizi ritenuti essenziali, soprattutto nel caso di piattaforme online che sono diventate parte della vita quotidiana. Ad esempio, le piattaforme di social media svolgono un ruolo fondamentale nel facilitare le interazioni sociali, mentre le piattaforme di networking professionale possono essere cruciali per l’avanzamento di carriera. Il rifiuto di pestare il consenso o di pagare in tali circostanze potrebbe avere conseguenze di vasta portata, tra cui l’esclusione sociale o limitazioni nell’accesso alle opportunità di lavoro.
Anche la questione dello squilibrio di potere è un punto focale delle linee guida dell’EDPB. Infatti, nel caso in cui vi sia un chiaro squilibrio di potere tra il titolare del trattamento e l’interessato, il consenso potrebbe non essere considerato liberamente prestato. Nel caso di grandi piattaforme online, vi sono alcuni elementi che devono essere attentamente valutati per identificare una possibile situazione di squilibrio di potere, come la posizione dominante sul mercato, la presenza di effetti cd. lock-in e la vulnerabilità di specifici target di pubblico, come i bambini.
Un ulteriore punto esaminato dall’EDPB riguarda le alternative fornite agli interessati, in particolare per quanto riguarda potenziali versioni alternative dello stesso servizio offerte dallo stesso titolare del trattamento. Sebbene tali alternative non debbano necessariamente essere repliche esatte del servizio originale, dovrebbero offrire funzionalità comparabili. L’EDPB sottolinea che quanto maggiore è la differenza tra la versione alternativa e quella con pubblicità comportamentale, tanto minore è la probabilità che sia considerata realmente equivalente.
L’EDPB fornisce indicazioni anche sull’imposizione di un pagamento come alternativa al consenso. In particolare, i titolari del trattamento dovrebbero valutare, caso per caso, se tale pagamento sia necessario e appropriato e quale sia l’importo da richiedere in base alle circostanze, tenendo presente che i dati personali non possono essere considerati un bene commerciabile. I titolari del trattamento dovranno quindi valutare se offrono una scelta autentica agli interessati, rispettando la loro autonomia; a tal fine, occorre prestare particolare attenzione ai principi enunciati nell’articolo 5 del GDPR, in particolare per quanto riguarda i principi della trasparenza, correttezza e responsabilizzazione.
Infine, secondo l’EDPB anche la granularità del consenso è importante per valutare se questo è stato dato liberamente, quindi gli interessati dovrebbero essere liberi di scegliere le singole finalità per cui acconsentire al trattamento dei loro dati personali piuttosto che acconsentire a un insieme di finalità di trattamento.
Questi principi sono applicabili solo alle grandi piattaforme online?
Una domanda importante che molti clienti ci rivolgono è se i principi sopra citati si applichino unicamente alle grandi piattaforme online o a qualsiasi azienda che adotti il sistema di gestione dei cookie Pay o Ok. Le linee guida fanno continuamente riferimento alle grandi piattaforme online, che non è una definizione specifica del GDPR, ma deriva dal Digital Services Act e dal Digital Markets Act. La ratio di questo riferimento è che gli utenti non dispongono di alternative valide a questi servizi a causa della posizione dominante della piattaforma; per questo motivo l’EDPB richiede che ai clienti sia concessa una terza opzione che non richieda alcun pagamento o consenso alla profilazione.
Tuttavia, il rischio è che le autorità di regolamentazione, come il Garante per la protezione dei dati personali, tendano ad estendere i medesimi principi a qualsiasi piattaforma o almeno alle piattaforme di grandi dimensioni che non rientrano nelle definizioni del DMA e del DSA. Riteniamo che vi siano validi argomenti contro questa posizione. In effetti, nelle sue linee guida in materia, la CNIL non fa riferimento alla necessità di offrire un’ulteriore terza alternativa.
Si prevede che l’EDPB pubblichi in futuro delle linee guida generali sul modello di gestione dei cookie Pay or Ok; nel frattempo, si auspica che i Garanti europei mantengano un approccio flessibile che tenga conto delle peculiarità di ogni situazione, piuttosto che cercare di imporre una soluzione unica per tutti.
Su un argomento simile può essere di interesse l’articolo “Le cookie wall di alcuni siti editoriali al vaglio del Garante privacy”
Autori: Giulio Coraggio e Roxana Smeria