IL CONSENT OR PAY NELLA PUBBLICITA’ COMPORTAMENTALE SECONDO L'EDPB: TERTIUM DATUR
Oggi avrei anche fatto un post serio, se non fosse che la vignetta mi fa più ridere del solito.
Lo scorso 17 aprile, mentre i quotidiani nazionali annunciavano la discesa in campo di Mario Draghi, l’European Data Protection Board (EDPB) adottava il tanto atteso parere sulla validità del consenso nel contesto dei modelli di “consent or pay” implementati dalle grandi piattaforme online con riferimento alla pubblicità comportamentale.
Il parere merita di essere letto tutto d’un fiato, impresa che in tempi recenti non riesce neanche con i libri di G. R. R. Martin, ma causa mancanza di tempo (ed anche un po' di voglia), ci ho messo qualche giorno.
Facciamo un passo indietro.
Il parere dell’EDPB nasce da una richiesta di parere ai sensi dell’art. 64 (2) GDPR avanzata dalle autorità di controllo olandesi, norvegesi e tedesche, preoccupate dalla mancanza di un approccio uniforme al tema da parte degli Stati membri. In particolare, le autorità di controllo promotrici della richiesta di parere, anche alla luce delle "Linee guida 05/2020 dell'EDPB sul consenso ai sensi del Regolamento 2016/679", avevano a più riprese sottolineato l'importanza di valutare se i soggetti interessati che si trovano di fronte a modelli "consent or pay” siano effettivamente in grado di esercitare una scelta reale, tenendo conto del rischio di decettività, coercizione, costrizione o pressione che tali modelli comportano.
L'EDPB definisce i modelli di "consenso o pagamento" come modelli in cui un titolare del trattamento offre ai soggetti interessati una scelta tra almeno due opzioni per accedere a un servizio online: 1) acconsentire al trattamento dei propri dati personali per una finalità specifica, oppure 2) decidere di pagare una tariffa e accedere al servizio online senza che i propri dati personali siano trattati per tale finalità. Il Parere 2/2010 del WP29 sulla pubblicità comportamentale online già definiva la pubblicità comportamentale come pubblicità basata sull'osservazione del comportamento degli individui nel tempo. Questa forma di pubblicità, nell’opinione del WP29, cerca di studiare le caratteristiche del comportamento degli utenti attraverso l’analisi delle loro azioni, quali ad esempio visite ripetute ai siti, interazioni, parole chiave e produzione di contenuti online, al fine di sviluppare un profilo specifico e fornire agli interessati annunci pubblicitari su misura.
Secondo l’EDPB, la pubblicità comportamentale è da considerarsi una forma particolarmente invasiva di pubblicità, poiché può fornire ai titolari del trattamento un quadro molto dettagliato della vita personale degli individui. Inoltre, solleva rischi significativi per i diritti e le libertà fondamentali dei soggetti interessati, tra cui la possibilità di discriminazione ed esclusione e la possibile manipolazione degli utenti.
L'EDPB osserva che nel tempo sono proliferati meccanismi che consentono la fornitura di pubblicità online personalizzata agli interessati, elemento chiave di determinati modelli di business nel mercato online.
Volete privarvi del piacere di leggere tutto il post? Siete stanchi ed avete poca voglia anche voi? Va bene vi accontento, ma in cambio aggiungere una reazione al post o lasciate il vostro indirizzo e-mail. Anzi: se non aggiungerete una reazione non potrete proseguire nella lettura. Oppure potrete proseguire ma vi reindirizzerò verso una versione edulcorata di questo post in cui potrei anche esprimere opinioni diverse. Questo è il mio personale “consent or pay”, ma vi ho dato varie opzioni quindi dovrei essere al riparo da censure. Del resto, è noto che tertium datur e che pagare o non pagare non sono due ipotesi contrapposte nella logica aristotelica (dovrò smettere di scrivere i post a notte fonda…).
***
Vabbè la faccio breve: no il modello di “consent or pay” come lo conosciamo non va bene per le grandi piattaforme online, la possibilità di scelta è fittizia ed il consenso eventualmente ottenuto dalla piattaforma non è valido. Per esser valido, questo modello deve prevedere almeno una terza alternativa “equivalente”.
***
L'EDPB ricorda che ottenere il consenso non esonera i responsabili del trattamento dall'aderire a tutti i principi delineati nell'articolo 5 del GDPR, così come da altre obbligazioni del GDPR e richiama all’ordine i titolari circa la necessità di rispettare i principi di necessità e proporzionalità, limitazione della finalità, minimizzazione dei dati e equità, anche in presenza del consenso dell’interessato. La domanda (retorica) fondamentale che si pone l’EDPB è se sia possibile per le grandi piattaforme online ottenere un un consenso valido se gli utenti si trovano solo di fronte a una scelta binaria tra acconsentire al trattamento dei dati personali per scopi pubblicitari comportamentali e pagare un corrispettivo. Siccome la domanda è retorica, la risposta che da l’Opinion 8/2024 è che serve una scelta alternativa, di talché il consenso eventualmente prestato dall’interessato possa essere considerato valido.
Secondo l’EDPB, nello sviluppare un'alternativa al servizio con pubblicità comportamentale, le grandi piattaforme online dovrebbero considerare di fornire ai soggetti interessati un’“alternativa equivalente" che non comporti il pagamento di una somma di denaro. In particolare, ove sia previsto una tariffa di accesso, i titolari del trattamento dovrebbero offrire un'ulteriore alternativa, gratuita, senza pubblicità comportamentale, ad esempio con una forma di pubblicità che comporti il trattamento di una minore quantità di dati (o, addirittura, di nessun dato). L’EDPB enfatizza come questo sia un fattore particolarmente importante nella valutazione di esistenza dei criteri per determinare la validità del consenso ai sensi del GDPR.
L'EDPB sottolinea anche l'importanza del principio di responsabilizzazione: i titolari del trattamento dovrebbero valutare, caso per caso, se esista o meno uno squilibrio di potere tra l'interessato e il titolare, sulla base della posizione della piattaforma online sul mercato, dell'esistenza di vincoli o effetti di rete, della pervasività del servizio nella vita dell’interessato.
Leggendo quanto sopra vi viene in mente una piattaforma online in particolare?
L'EDPB fornisce inoltre elementi che possono contribuire a garantire che l'alternativa sia effettivamente “equivalente”. A titolo esemplificativo, sarebbe considerata equivalente una versione ove le uniche differenze fossero dettate dall’assenza di pubblicità comportamentale (beh, grazie tante).
Per quanto riguarda l'imposizione di una tariffa per accedere alla versione "alternativa equivalente" del servizio, l'EDPB ricorda che i dati personali non possono essere considerati come una merce di scambio (per un attimo ci avevamo creduto). Inoltre, ammonisce i titolari del trattamento a valutare se la tariffa di accesso proposta sia appropriata, tenendo conto delle possibili alternative alla pubblicità comportamentale nonché della posizione degli interessati.
Infine, l'EDPB sottolinea l'importanza della granularità e della specificità nel consenso valido. Nei modelli "consent or pay", i titolari del trattamento dovrebbero valutare attentamente come chiedere agli interessati di fornire il loro consenso, garantendo che gli utenti non siano soggetti a dark patterns.
Attenzione anche a non considerare “eterno” un consenso liberamente prestato. Secondo l’EDPB, infatti, il consenso va “rinfrescato” di anno in anno.
Vita difficile, quindi, per le grandi piattaforme online rispetto alla pubblicità comportamentale. Ma quali conseguenze per il resto del mercato?
E poi, riflessione finale (temo generazionale): quando smetteremo di barattare i nostri dati con servizi e contenuti di dubbia utilità?