carlo-impala-cookie
Professionals

Paga o accetta i cookie: cosa cambia con la decisione del Garante europeo

articolo di Antonio Ravenna

“Paga or Okay”. Paga, o accetta i cookie. Questo il banner che nell’ultimo anno ha capeggiato nella home page di numerose piattaforme e giornali online. Così gli utenti, al momento di accedere a un sito web o a uno specifico articolo, si sono trovati di fronte a una scelta secca: pagare un prezzo mensile, così da poter usufruire del servizio offerto senza pubblicità, o accettare i cookie, acconsentendo in questo modo alla pubblicità personalizzata.

Ma facciamo un passo indietro. I cookie sono piccoli file di testo che vengono salvati sui nostri dispositivi (ad es. computer o smartphone) quando navighiamo su un sito web. Ne esistono di vari tipi, ma quelli che qui ci interessano sono i cookie di profilazione.

Questi raccolgono le informazioni sulle abitudini di navigazione dell’utente, come i siti che visita, le pagine che visualizza e i link che clicca. Viene così realizzato un profilo dell’utente con i suoi gusti e le sue preferenze; profilo che sarà poi utilizzato dai siti web e dalle aziende per mostrare pubblicità e contenuti personalizzati che potrebbero essere di maggior interesse per lui o lei (e aumentare così la probabilità di vendere un prodotto o servizio).

Tuttavia, negli ultimi anni gli introiti derivanti dalla raccolta pubblicitaria profilata si sono ridotti. Gli utenti, infatti, messi di fronte alla scelta di acconsentire o rifiutare i cookie, hanno spesso deciso di non farlo. È così che siamo arrivati al modello Pay or Okay.

Modello che sembrava funzionare, almeno sino a che non è intervenuto l’European Data Protection Board (Edpb), il così detto Garante della Privacy europeo. Ne parliamo con l’avv. Carlo Impalà, socio dello Studio Legale Tributario Morri Rossetti e Associati, a capo del Dipartimento Tmt & Data Protection.

Avvocato Impalà, il modello “Pay or Okay” sembrava inizialmente sostenuto anche dalla Corte di Giustizia dell’Unione europea. In un caso che riguardava Meta, la Corte ha sostenuto che, ove appropriato, la piattaforma avrebbe potuto chiedere un pagamento per offrire un servizio alternativo ed equivalente, senza profilazione. Cosa è cambiato dal 4 luglio 2023, data della sentenza, ad oggi?

Nella sentenza citata, la Cgue si era limitata a chiarire che agli utenti che rifiutano di dare il proprio consenso a determinati trattamenti (basati sulla profilazione) deve essere offerta, se necessario, dietro pagamento di un corrispettivo adeguato, “un’alternativa equivalente non accompagnata da simili operazioni di trattamento di dati”. In tal modo, i titolari del trattamento eviterebbero un problema di condizionalità. Tuttavia, la Cgue non aveva approfondito la necessità di rispettare anche gli altri requisiti previsti dalla normativa per considerare il consenso prestato dall’utente per accedere al servizio, in alternativa al pagamento, come “liberamente dato”. Pertanto, sul punto è intervenuta l’Edpb con dei chiarimenti sollecitati dalle Autorità per la protezione dei dati personali di Paesi Bassi, Norvegia e Germania, le quali – richiamando i ragionamenti più ampi effettuati dalla Cgue – hanno sollevato fondati dubbi in merito alla legittimità del modello “Pay or Okay” sotto il profilo privacy, soprattutto con riferimento alle grandi piattaforme online. In estrema sintesi, le Autorità hanno sostenuto che il modello “Pay or Okay” non permetterebbe di ottenere un consenso veramente libero dal momento che l’utente medio, di fronte alla scelta tra pagamento e profilazione, tenderebbe quasi sempre a scegliere la seconda opzione, spinto da una sorta di costrizione psicologica implicita. Ciò andrebbe quindi contro ai principi sanciti dalla normativa europea che, ai sensi dell’articolo 4, paragrafo 11, del “Gdpr”, richiede che il consenso debba essere sempre libero, specifico, informato e inequivocabile. Ebbene, l’Edpb, nel suo Parere 08/2024, pubblicato il 17 aprile scorso, ha dato ragione alle Autorità nazionali, chiarendo che il modello “Pay or Okay”, inteso come sistema binario puro, non soddisfa effettivamente i requisiti previsti dalla normativa in tema di consenso.

Cosa intende nello specifico l’Edpb quando dice che bisogna evitare un sistema binario?

Che la presenza di due sole opzioni — profilazione o pagamento — non permette una scelta genuinamente libera. L’Edpb esorta, infatti, le piattaforme a prevedere sempre una terza opzione gratuita che includa pubblicità non personalizzata, in modo tale da assicurare che il consenso, quando scelto, sia veramente frutto di una decisione autonoma, eliminando qualsiasi forma di costrizione o pressione che potrebbe influenzare in modo inappropriato l’utente, sfruttando in questo modo anche lo squilibrio di potere sussistente tra piattaforma e utente. È stata, quindi, l’Edpb a specificare concretamente che per “alternativa equivalente” deve intendersi una versione alternativa del servizio proposto dallo stesso titolare del trattamento che non implichi necessariamente il consenso al trattamento dei dati personali per finalità di pubblicità comportamentale.

Cosa possono fare le piattaforme e i siti web, alla luce della decisione dell’Edpb?

Pur consapevole delle criticità derivanti, principalmente sotto il profilo commerciale, dall’implementazione dei suggerimenti del Garante europeo, ritengo che le piattaforme online e i siti web debbano adeguare maggiormente le proprie politiche e le loro pratiche al Gdpr, soprattutto per quanto riguarda la validità del consenso. Le piattaforme dovranno quindi esplorare nuove vie per interagire con gli utenti, assicurandosi di offrire opzioni che non solo rispettino la legge, ma che promuovano anche una maggiore fiducia e integrità nel rapporto con gli utenti. In termini generali, i titolari del trattamento dovrebbero sempre evitare di utilizzare delle soluzioni che trasformino necessariamente il diritto fondamentale alla protezione dei dati in uno “strumento di pagamento” equivalente al denaro, utilizzabile per accedere a servizi o godere di determinati vantaggi. Sebbene, infatti, i dati personali possano avere un valore significativo per alcune tipologie di aziende, questo non giustifica soluzioni che limitano o condizionano il diritto degli individui di proteggere i propri dati. In termini pratici, invece, ciò implica – anche alla luce dei recenti chiarimenti forniti dall’Edpb – fornire sempre agli utenti informazioni chiare e dettagliate sul trattamento dei loro dati personali, sulle conseguenze del trattamento, assicurando che ogni aspetto del consenso sia specifico e granulare, nonché offrire alternative reali e gratuite che non prevedano pubblicità comportamentale, dimostrando così la possibilità di una scelta realmente libera. È inoltre essenziale che le piattaforme documentino come garantiscano il rispetto dei requisiti di consenso e come applichino il principio di accountability previsto dal Gdpr, dimostrando che ogni decisione presa dall’utente sia effettivamente autonoma e libera da influenze esterne. Questo comprende anche la necessità di rivedere periodicamente le modalità con cui il consenso è raccolto e gestito, per assicurare che rimanga valido e conforme alle normative in continua evoluzione. In conclusione, la decisione dell’Edpb e le crescenti preoccupazioni sulla privacy degli interessati segnalano un cambiamento significativo nel modo in cui le piattaforme online devono approcciarsi al consenso e alla gestione dei dati personali. Le autorità regolatorie stanno, infatti, sempre più spingendo per una maggiore trasparenza e per un consenso più genuino, che non sia influenzato da condizioni imposte.

© RIPRODUZIONE RISERVATA

Per altri contenuti iscriviti alla newsletter di Forbes.it CLICCANDO QUI .

Forbes.it è anche su WhatsApp: puoi iscriverti al canale CLICCANDO QUI .