L'EPDB adotta un parere sui modelli consenso/pagamento delle piattaforme online

Scritto da Lorenzo Rovati

Il Comitato europeo per la Protezione dei Dati (EDPB), su richiesta delle Autorità di protezione dei dati personali olandese, norvegese e tedesca, ha emesso un parere sulle circostanze e le condizioni in cui i modelli di "consenso o pagamento", relativi alla pubblicità comportamentale, possono essere implementati da grandi piattaforme online in modo da costituire un consenso valido e liberamente prestato (Parere n. 8/2024).

Il parere è focalizzato sui modelli implementati dalle “grandi piattaforme online”. Considerando che il GDPR (Regolamento UE n. 679/2018) non dà una precisa definizione di questi intermediari, il comitato, per definire l’ambito applicativo del parere, ha fatto innanzi tutto riferimento all’art. 3 lett. i) del Digital Service Act (Regolamento UE n. 2065/2022), che definisce la “piattaforma online” come un servizio di hosting che, su richiesta di un destinatario del servizio, memorizza e diffonde informazioni al pubblico di un altro servizio (o una funzionalità minore del servizio principale) il quale, per ragioni oggettive e tecniche, non può essere utilizzato senza quell'altro servizio. L'EDPB ha, però, evidenziato ulteriori elementi da valutare, caso per caso e in via non esclusiva, utili a determinare se un titolare del trattamento debba essere considerato una “grande piattaforma online” ai fini del presente parere, tra cui: la capacità di attrarre un gran numero di utenti, la posizione di mercato e la capacità di effettuare trattamenti "su larga scala”, valutata sul numero di utenti interessati, sul volume dei dati e sull'estensione geografica dell'attività di trattamento. Possono rientrare nella definizione di "piattaforme online di grandi dimensioni", anche i "gatekeeper", secondo la definizione del Digital Market Act (Regolamento UE n. 1925/2022), ovvero aziende che (i) hanno un impatto significativo sul mercato interno; (ii) forniscono un servizio di piattaforma principale, che è un importante passaggio per gli utenti commerciali per raggiungere gli utenti finali; (iii) godono di una posizione consolidata e duratura, nelle loro operazioni, o è prevedibile che godranno di tale posizione nel prossimo futuro.

Nel modello c.d. “pay or okay”, ideato da Meta, il titolare del trattamento offre agli interessati una scelta tra due opzioni per ottenere l'accesso a un servizio online: l'interessato può dare il proprio consenso al trattamento dei propri dati personali per una finalità specifica (“okay”), o decidere di pagare un contributo economico e accedere al servizio online senza che i propri dati personali vengano trattati per tale finalità (“pay”). 

L’EDPB, nel suo parere, ha evidenziato la necessità di rispettare tutti i requisiti del GDPR, in particolare quelli relativi al valido consenso, tenendo conto degli elementi di specificità della fattispecie concreta: in ogni caso, infatti, l’ottenimento del consenso non esenta il titolare dal rispetto di tutti i principi delineati nell’art. 5 GDPR, nonché degli altri obblighi del regolamento - in particolare, i principi di necessità e proporzionalità, limitazione delle finalità, minimizzazione dei dati ed equità.

Sulla base di queste considerazioni, l'EDPB ha ritenuto che, nel momento in cui le piattaforme mettono gli utenti di fronte all’alternativa tra il consenso al trattamento dei dati personali per finalità di pubblicità comportamentale e il pagamento di un compenso, nella maggior parte dei casi non sarà possibile soddisfare i requisiti del GDPR per un consenso valido. Secondo il comitato infatti, offrire solo un’alternativa a pagamento ai servizi che comportano il trattamento di dati personali a fini di pubblicità comportamentale non dovrebbe essere la soluzione predefinita per i titolari del trattamento, dovendosi invece prendere in considerazione la possibilità di fornire un'alternativa gratuita e priva di pubblicità comportamentale (cioè, una forma di pubblicità che comporti il ​​trattamento di pochi o nessun dato personale).  

Stessa situazione si verifica qualora gli interessati non consenzienti non paghino un compenso e vadano incontro all'esclusione dal servizio (soprattutto qualora abbia un ruolo preminente). Il presidente dell'EDPB, a tal proposito, ha ricordato che: “i titolari del trattamento dovrebbero fare sempre attenzione a evitare di trasformare il diritto fondamentale alla protezione dei dati in una caratteristica di cui le persone devono pagare per godere. Gli individui dovrebbero essere pienamente consapevoli del valore e delle conseguenze delle loro scelte”.

Tra le altre condizioni riprese dall’EPDB perché il consenso sia prestato conformemente al GDPR, vi sono:

  • la “granularità”, qualora venisse presentato un modello " pay or okay ", l'interessato dovrebbe essere libero di scegliere quale finalità del trattamento accettare, anziché trovarsi di fronte a una richiesta di consenso che ne raggruppa diverse;

  • la non ingannevolezza, perché affinché il consenso sia informato, il processo informativo predisposto dai titolari dovrebbe consentire agli interessati di avere piena e chiara comprensione del valore, della portata e delle conseguenze delle loro possibili scelte, tenendo conto della complessità dei trattamenti connessi ai comportamenti;

  • la limitazione temporale, perché seppur il GDPR non fissi un limite temporale specifico riguardo alla frequenza con cui il consenso dovrebbe essere rinnovato, o per quanto tempo si può considerare che il consenso esprima la volontà dell'interessato, il comitato ha affermato che questa valutazione deve essere fatta caso per caso; infine,

  • la revocabilità, in ogni momento, con conseguente necessaria cessazione di tutte le attività di trattamento consentite dal consenso dell'interessato.

Lorenzo Rovati
Indietro

La mancata registrabilità del marchio “Pablo Escobar”: la recente decisione del Tribunale UE
Avanti

‘GENQUILA’, TEQUILA e l’ambito del concetto di evocazione secondo l’EUIPO