NEWS

Piattaforme online, per gli utenti che non vogliono essere profilati è necessaria una terza via in alternativa al modello «Pay or Ok»

Il Comitato dei Garanti europei (Edpb) ha approvato a larga maggioranza il 17 aprile l’attesa opinione sul modello di business “Pay Or Ok”, che alcune piattaforme hanno adottato negli ultimi mesi. Si tratta dell’opzione offerta all’utente, nel caso in cui questi non voglia essere profilato con pubblicità personalizzata, di poter pagare un prezzo mensile e usufruire del servizio senza vedere pubblicità.

Il tema della legittimità di questo modello è stato sollevato dalle Autorità della protezione dei dati olandese, norvegese e tedesca.

Quest’ultime hanno chiesto all’Edpb di pronunciarsi quando tale modello viene adottato dalle grandi piattaforme (“large online platforms”, LOPs), definite dall’Edpb come piattaforme con un elevato numero di utenti, una posizione rilevante sul mercato e che trattano dati personali su larga scala. E infatti l’opinione riguarda solo queste, avendo l’Edpb rimandato a un secondo momento la pubblicazione di linee guida per le altre imprese, come i tanti giornali online che da più di un anno si sono spostati in questa direzione. Sia per le piattaforme che per i giornali questo cambio di passo è il frutto delle diverse decisioni che hanno messo nero su bianco che per profilare gli utenti non si può usare né la base giuridica del legittimo interesse né quella del contratto ma solo quella del consenso, tutti presupposti di liceità previsti dal Gdpr ma la cui scelta deve essere giustificata e legittima.

Un modello sostenuto dalla Corte di Giustizia - Dal momento in cui sono venuti meno gli introiti della raccolta pubblicitaria profilata, visto che l’utente, chiamato ad acconsentire alla profilazione ha spesso scelto di non farlo, le aziende hanno deciso di recuperare i mancati introiti iniziando a chiedere una fee mensile per usufruire dei propri servizi. A sostenerle in questa scelta c’è stata la sentenza della Corte di Giustizia europea del 4 luglio 2023 che, in un caso che riguardava Meta, ha detto che, ove appropriato, la piattaforma avrebbe potuto chiedere un pagamento per offrire un servizio alternativo ed equivalente, senza profilazione.

Secondo alcuni Garanti europei questa modalità, di fatto, non rende il consenso dell’utente libero in quanto questi, dovendo scegliere tra profilazione e pagamento, sceglierà quasi sempre la profilazione. E poiché, secondo il Gdpr, se il consenso non è libero allora non è valido, le Autorità hanno richiesto l’opinione dell’Edpb per garantire una uniforme applicazione delle regole sul territorio dell’Unione.

Evitare un sistema binario - In realtà, a differenza di quanto titolato da molti giornali nei giorni passati, non si tratta di un divieto tassativo dell’Edpb alle LOPs di adottare questo modello, ma è vero che si elencano una serie di motivazioni e circostanze che rendono per queste più difficile, ma non impossibile, provarne la legittimità. Si usano infatti spesso espressioni come «nella maggior parte dei casi», «è probabile», che non sono chiusure in senso assoluto ma sottolineano come la valutazione sia da farsi caso per caso e tenendo in considerazione diversi elementi.

Non a caso, si sottolinea l’importanza del principio di responsabilizzazione (“accountability”) che impone all’azienda (“controller”) di fare, portandone le prove, le valutazioni necessarie nel bilanciare i propri interessi commerciali e i diritti dell’utente, valutazione che sarà poi soppesata dalle autorità garanti. L’indicazione per le LOPs è che queste valutino in primis se sia opportuno prevedere un’opzione a pagamento, quindi quale sia l’ammontare. Il suggerimento è dunque di evitare un sistema binario (consenso alla profilazione o pagamento) ma di offrire una terza opzione, sempre gratuita, che non preveda la profilazione ma una pubblicità generica o, al più, contestuale, basata sugli interessi indicati dall’utente, quindi con un grado di invasività molto inferiore rispetto alla profilazione comportamentale.Soprattutto nel caso delle LOPs, che offrono un servizio usato da una larga fetta della popolazione e sono molti rilevanti sul mercato, sarà più difficile dimostrare la validità del consenso, per via dello squilibrio di potere tra le parti.

(Nella foto: l'Avv. Rocco Panetta, che quest'anno aprirà il Privacy Day Forum il 7 giugno ad Arezzo)

Disegnare una terza via - Spetta alla piattaforma dimostrare che il mancato consenso non comporti alcun pregiudizio per l’utente. Per l’Edpb il tipo di servizio offerto dalle piattaforme è talmente radicato nella vita degli utenti che il non poterle usare causerebbe sicuramente un danno, complici anche i network e lock-in effects, per cui tutti i propri contatti sono su una piattaforma ed è difficile abbandonarla o spostarsi su una alternativa. Per questo l’Edpb suggerisce che offrire una terza via permetterebbe di superare quella presunzione di invalidità del consenso in caso di chiaro sbilanciamento di poteri tra le parti.

Altro punto da segnalare è che, per l’Edpb, la possibilità di offrire un servizio con meno funzionalità, ma gratuito, e uno con più funzionalità, ma con profilazione, non potrebbe considerarsi “equivalente”, e quindi il consenso prestato non sarebbe comunque valido. Nel giudicare la scelta della piattaforma, l’Autorità garante dei dati potrà consultarsi con altre autorità competenti per materia come quella di tutela dei consumatori e della concorrenza (in Italia Agcom e Agcm). Sul punto giova evidenziare come, con il diffondersi della data economy, il perimetro di attività di queste tre autorità, in Italia come altrove in Europa, sia andato col tempo sovrapponendosi. Basti pensare che il caso giudicato dalla Corte di giustizia precedentemente citato nasce da un provvedimento dell’autorità per la concorrenza tedesca, non del garante privacy. Sarà sempre più necessario in futuro fare considerazioni che tengano conto di tutte queste circostanze, a maggior ragione vista la stretta correlazione che intercorre tra Gdpr, Dsa e Dma.

Le piattaforme dovranno dunque, oltre scegliere un giusto prezzo che non faccia diventare il diritto alla protezione dei dati personali un lusso per pochi, anche informare in modo appropriato gli utenti sulle conseguenze del prestare o meno il consenso alla profilazione, evitando formule ambigue e dark pattern visto che anche il consenso non informato è da considerarsi invalido. Quello di fornire sufficienti informazioni all’utente sappiamo essere un nodo difficile da sciogliere, considerato anche che le informazioni da darsi sono diverse, ma devono essere date in modo semplice e chiaro, spesso sullo schermo di un telefono, dove c’è poco spazio e, di certo, sempre poca voglia di leggere contenuti considerati “noiosi”.

Si può dire che la partita non sia ancora chiusa e che le piattaforme, seppur in un perimetro ancor più limitato, hanno ancora qualche spazio di manovra per trovare la quadra. Il principio di responsabilizzazione resta comunque molto elastico quando si tratta di trovare delle soluzioni, purché siano poi giudicate legittime dall’Autorità. Per quanto riguarda i giornali, forse questi avranno qualche carta in più da giocarsi, in attesa delle prossime linee guida, ma non è ancora arrivato il loro momento.

a cura di Rocco Panetta e Vincenzo Tiani (Fonte: Il Sole 24 Ore)

Note Autore

Rocco Panetta Rocco Panetta

Avvocato esperto di privacy, internet e diritto delle nuove tecnologie, Country Leader Italy e membro del Board of Directors della International Association of Privacy Professionals (IAPP), managing partner dello Studio Legale Panetta & Associati, data protection officer

Prev L’Intelligenza Artificiale nel campo della sanità: gli effetti delle recenti modifiche al Codice Privacy
Next La proroga della sezione 702 del FISA: implicazioni per la privacy dei cittadini europei e il nuovo Data Privacy Framework

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy