Dopo i siti giornalistici sono le grandi piattaforme online come Meta ad introdurre il modello “pay or consent”. Nel novembre 2023, Meta, per Instagram e Facebook, ha adottato il concetto "paga l’abbonamento o accetti la pubblicità personalizzata" (pubblicità comportamentale). La pubblicità personalizzata permette di tracciare le attività online degli utenti (il loro comportamento) al fine di creare dei profili con lo scopo di offrire pubblicità mirata. Questa tecnica di profilazione permette ai titolari del trattamento di monetizzare il rifiuto di tracciamento sul sito web degli utenti.
Il consenso per essere valido deve soddisfare le seguenti condizioni:
Di fronte alla sola scelta di prestare il consenso al trattamento dei dati personali per finalità di pubblicità
comportamentale o al pagamento di un compenso per non essere tracciato/profilato, l’utente
esprime davvero un valido consenso ai sensi del GDPR, soprattutto quando l’operatore si trova in
una posizione dominante sul mercato dei social media online?
La CGUE, nella sua sentenza Bundeskartellamt1 del 4 luglio 2023, ha affrontato la questione della validità del consenso per finalità di pubblicità personalizzata ed in particolare il fatto che possa essere prestato liberamente di fronte ad una posizione dominante di un operatore di social network online. La CGUE ha chiarito che la posizione dominante di un operatore sul mercato dei social network non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire al trattamento dei loro dati personali effettuato da tale operatore. Spetta tuttavia all’operatore dimostrare che l’utente ha prestato il proprio consenso al trattamento dei suoi dati personali. Inoltre, la posizione dominante dell’operatore è suscettibile di creare uno squilibrio evidente di potere tra l’utente e l’operatore (titolare del trattamento) che può favorire l’imposizione di condizioni non strettamente necessarie all’esecuzione del contratto2. Pertanto, un consenso separato deve esser richiesto per tutti i trattamenti non necessari all’esecuzione del contratto e che tale consenso deve essere prestato liberamente ai sensi del GDPR3. La CGUE afferma inoltre che agli utenti che rifiutano di prestare il consenso a operazioni particolari di trattamento di dati non necessari all’esecuzione del contratto deve essere offerta, “se del caso a fronte di un adeguato corrispettivo, un’alternativa equivalente non accompagnata da simili operazioni di trattamento di dati”4.
Alla luce di questa sentenza, l’unica base giuridica che può essere utilizzata per la pubblicità personalizzata è il consenso. Né il legittimo interesse, né il contratto possono essere utilizzati come fondamento di liceità del trattamento. Inoltre, agli utenti che rifiutano il trattamento ai fini di pubblicità personalizzata deve essere offerto una versione alternativa del servizio che non comporta la profilazione, se del caso a fronte di un adeguato corrispettivo.
Su richiesta delle autorità garanti olandesi, norvegesi e di Amburgo e anche alla luce della sentenza
Bundeskartellamt della CGUE, l’EDPB nella sua riunione plenaria del 17 aprile 2024 ha adottato una
linea guida5 nella quale affronta il tema della validità del consenso al trattamento dei dati personali ai fini di pubblicità personalizzata nel contesto del modello “dai il consenso o paga” adottato dalle grandi piattaforme (large online platforms ai sensi del Digital Service Act6).
In particolare, l’EDPB spiega nel suo parere che i principali criteri per valutare la validità del consenso
sono:
In altri termini, come già evidenziato dall’EDBP, l’utente deve sempre avere il controllo dei suoi dati e deve essere in grado di valutare e acconsentire liberamente al trattamento dei dati. Nel caso in cui l’interessato si senta obbligato a dare il proprio consenso o possa subire delle conseguenze negative se non acconsente, il consenso non sarà valido7.
Il consenso è valido soltanto se l’interessato sia in grado di operare realmente una scelta e non ci sia il rischio di raggiri, intimidazioni, coercizioni o conseguenze negative significative (ad es. costi aggiuntivi sostanziali) in caso di rifiuto a prestare il consenso. Il consenso non sarà considerato liberamente
espresso qualora vi sia qualsiasi elemento di costrizione, pressione o incapacità di esercitare il libero arbitrio.
Il presidente dell’EDPB Anu Talus ha dichiarato “Le piattaforme online dovrebbero offrire una scelta reale quando utilizzano modelli come “dai il consenso o paga”. I modelli adottati attualmente richiedono di solito che le persone forniscano tutti i loro dati o paghino. Di conseguenza, la maggior parte degli utenti acconsente al trattamento per utilizzare un servizio e non comprende tutte le implicazioni delle proprie scelte.”
L’EDPB a sostegno della sua linea guida, ichiama la sentenza Bundeskartellamt e chiarisce la sua interpretazione inerente alla soluzione alternativa offerta agli utenti che rifiutano di prestare il loro consenso. L’EDPB precisa che per alternativa equivalente si intende un’alternativa realmente equivalente8 che non implichi il consenso al trattamento dei dati ai fini di pubblicità personalizzata. Invece per quanto riguarda “l’adeguato corrispettivo”, l’EDPB sottolinea che qualsiasi costo addebitato non può fare sentire l’utente obbligato ad acconsentire al trattamento dei propri dati personali e ricorda che i dati personali non possano essere considerati un bene commerciale9. Il diritto fondamentale alla protezione dei dati non deve diventare un privilegio riservato ai ricchi.
Spetterà, pertanto, ai titolari del trattamento di valutare caso per caso, se il compenso richiesto sia
o meno adeguato, tenendo conto delle circostanze (ad esempio della loro posizione sul mercato, della
misura in cui la persona interessata dipende dal servizio) ed evitando di far subire conseguenze negative
agli utenti che negano il loro consenso, come ad esempio ridurre i servizi offerti o escluderli da una funzione importante.
In ogni caso, l’EDPB ritiene che offrire soltanto un’alternativa a pagamento ai servizi che comportano
il trattamento dei dati personali ai fini di pubblicità personalizzata non dovrebbe essere la soluzione
predefinita. Il titolare del trattamento dovrebbe fornire altre alternative equivalenti e gratuite: vale a dire alternative che non comportino né il pagamento di un compenso né una profilazione. Questo è un fattore particolarmente importante nella valutazione del consenso ai sensi del GDPR.
Oltre a spiegare quali sono i criteri di valutazione per il rilascio di un consenso valido, l’EDPB ricorda
che anche nel caso in cui il consenso sia stato rilasciato in modo valido, il Titolare del trattamento
non sia esentato dal rispetto dei principi generali di trattamenti sanciti dal GDPR come, per esempio,
i principi di limitazione delle finalità, di minimizzazione dei dati, di liceità, correttezza e trasparenza10.
Questo articolo è stato redatto da Isabel Costa, Manager Privacy di Fidinam & Partners.
Clicca qui per contattarci e rivolgerci domande specifiche sulla tematica in oggetto.
[1] In questa sentenza la CGUE ha affrontato diverse questioni che traevano origine da una domanda di pronuncia pregiudiziale nel procedimento Meta contro l’autorità di concorrenza tedesca. In particolare,l’oggetto della contestazione del Bundeskartellamt era la raccolta e il trattamento dei dati esterni alla piattaforma, i dati cc.dd. “Off Facebook”: derivanti dalla consultazione di pagine Internet e applicazioni di terzi collegate al servizio Facebook o riguardanti l’utilizzo degli altri servizi appartenenti al gruppo Meta come Instagram, WhatsApp. Meta considerava la raccolta dei dati “Off Facebook “necessari al servizio offerto all’utente e pertanto ne disciplinava la raccolta e l’utilizzo all’interno delle sue condizioni generali, utilizzando l’esecuzione del contratto come fondamento di liceità del trattamento.
Tuttavia, dato che le condizioni generali sono un documento che l’utente può solo accettare o rifiutare, il trattamento di tutti i dati ulteriori a quelli prodotti della piattaforma è sottratto a specifica valutazione ed autorizzazione dell’utente.[2] Il Comitato per la protezione dei dati (EDPB) nella sua Linee guida 2/2019 sul trattamento dei dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b) del GDPR, ha dichiarato che “Anche qualora la profilazione sia espressamente menzionata nel contratto, ciò di per sé non rende la profilazione «necessaria» all’esecuzione del contratto. Se il rivenditore al dettaglio online desidera effettuare tale profilazione, deve fare affidamento su una base giuridica diversa”.
[3] Art. 7§ 4 del GDPR (condizionalità) e considerando 43 del GDPR ove viene affermato: “[…] Si presume
che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato
a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.
[4] Paragrafo 150 della sentenza.
[5] Linea guida 08/2024 sul consenso valido nel contesto del modello “dai il consenso o paga” utilizzato dalle grandi piattaforme online al seguente link: https://www.edpb.europa.eu/system/files/2024-
04/edpb_opinion_202408_consentorpay_en.pdf
[6] Il Digital Services Act (DSA) - Regolamento (UE) 2022/2065 al seguente link : https://eurlex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022R2065
[7] § 13 della Linea guida 5/2020/ sul consenso ai sensi del GDPR versione 1.1. adottate il 4 maggio 2020 al seguente link https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_it.pdf
[8] Per equivalente, ossia dello stesso valore, si intende un’alternativa che non possa essere di qualità inferiore o meno ricca di funzionalità rispetto alla versione con pubblicità personalizzata, ma non significa che debbano essere identiche.
[9] EDPB linea guida 2/2019 sul trattamento dei dati ai sensi dell’Art. 6(1)(b) GDPR, § 54;
Il primo settembre 2024 è entrata in vigore la nuova legge sulla protezione dei dati personali. La tua azienda è adempiente alla nLPD?
