Meta condannata a inserire l’opt-in per la pubblicità comportamentale. Dal 2018 ha aggirato il GDPR fondando sull’adesione ai termini e condizioni tale trattamento dati che invece si pone ben oltre il necessario per l’attivazione del contratto di accesso al servizio Facebook e Instagram. Sullo sfondo la cruciale questione della “monetizzazione” dei dati personali affrontata attualmente dal Garante italiano per le testate giornalistiche telematiche.
La vicenda. Nel 2018 Noyb, l'associazione fondata da Max Schrems, aveva presentato due reclami da parte di un utente austriaco e da parte di uno belga al Garante Privacy irlandese contro Facebook e Instagram per inosservanza del GDPR . La tesi sostenuta dai reclamanti si incentra sulla mancanza di trasparenza nella richiesta del consenso privacy in quanto viene richiesta un'autorizzazione privacy per il trattamento derivante dal contratto ma il contratto cela al suo interno delle clausole che introducono l'ulteriore trattamento della pubblicità comportamentale per il quale l'utente dovrebbe prestare un apposito e separato consenso privacy. Tuttavia, se l'utente non viene debitamente avvisato di questa ulteriore attività non può comprende che il proprio consenso al contratto termini e condizioni del servizio autorizza anche la pubblicità comportamentale. Il Garante Privacy irlandese si dimostra molto tiepido di fronte a questi reclami perché attiva tutta una serie di istruttorie che ritardano di ben 4 anni il provvedimento definitivo emesso in data 31 dicembre 2022 dopo un serrato braccio di ferro con le altre Autorità UE e perfino con l'EDPB cercando – a detta di Noyb - di influenzarne le «Linee Guida 2/2019 sul trattamento di dati personali ai sensi dell' articolo 6, paragrafo 1, lettera b , GDPR nel contesto della fornitura di servizi online agli interessati» ovvero cercando di far comprendere nella base giuridica del contratto sia il trattamento dati necessario per l'esecuzione dello stesso sia il trattamento della pubblicità comportamentale. Le altre Autorità UE non hanno fatto passare la tesi del Garante irlandese in queste Linee Guida e ancora non lo hanno permesso nella decisione finale adottata sul caso dall'EDPB nel dicembre 2022. L' EDPB adotta una decisione vincolante ex articolo 65 GDPR di risoluzione della disputa tra Autorità e così blinda la tesi prevalente delle Authorities europee contro quella dell'Omonima irlandese. Non abbiamo ulteriori notizie riguardo questa decisione dell'EDPB che verrà pubblicata unitamente alla pubblicazione del provvedimento definitivo del Garante Irlandese, anche questo soltanto annunciato da un comunicato stampa del 4 gennaio 2023 ma non ancora reso pubblico. Tra le varie tesi avversatrici dell'opinion irlandese, ne campeggia una centrale ovvero quella della monetizzazione dei dati personali senza il consenso dell'interessato. La monetizzazione dei dati personali senza consenso. La pubblicità comportamentale o personalizzata si costruisce secondo le tracce della navigazione dell'utente all'interno del social media. Il flusso informativo derivante dalla condotta dell'iscritto all'interno della piattaforma non attiene ai dati necessari per concludere il contratto adesione ai Terms and Conditions ma costituisce una nuova base di informazioni che viene patrimonializzata dal gestore applicando la pubblicità comportamentale o personalizzata. Ormai l'articolo 135 octies commi 3 e 4 del codice del consumo, così come novellato dal d.lgs 173/2021 in attuazione della direttiva UE 2019/770 sui contratti di fornitura di contenuti e servizi digitali, ha introdotto una sorta di valorizzazione economica dei dati personali perché ammette che l'utente consapevolmente possa scegliere di “pagare” con i propri dati l'accesso a un servizio digitale o a un contenuto digitale che altrimenti dovrebbe pagare con i propri denari ad. esempio l'abbonamento a una testata telematica . Tuttavia tale attività dev'essere consapevolmente e quindi liberamente autorizzata dall'interessato. Nel caso del servizio Facebook e Instagram forniti da Meta, la patrimonializzazione del flusso informativo derivante dagli itinerari digitali dell'utente è avvenuta all'insaputa dello stesso e quindi in piena violazione del GDPR . La patrimonializzazione dei dati personali è ormai un modello di business delle piattaforme . Non possiamo voltarci dall'altra parte, dobbiamo guardare in faccia la realtà. Non è stata l'introduzione dell'articolo 135- octies del codice del consumo a determinare la mercificazione delle informazioni dell'interessato questa disposizione ha solo vestito la realtà, come spetta da sempre al diritto. Altra cosa è ritenere - civicamente e umanamente - la monetizzazione dei dati personali una pratica molto pericolosa . Appurato che la disciplina consumeristica ammette il consenso dell'utente a “pagare” con una parte del proprio patrimonio informativo l'accesso a un servizio o a un contenuto digitale che altrimenti avrebbe dovuto pagare, dobbiamo capire come si pone questo consenso nell'ambito della data protectionumero La vicenda in oggetto insieme a molti altri casi chiarisce che tale consenso dev'essere consapevole e liberamente prestato . Nell'attuale questione, il gestore addirittura ha perfino bypassato la fase del consenso però esistono mostre altre situazioni in cui questo tipo di consenso viene richiesto espressamente ai sensi del GDPR però si tratta di un consenso libero? Il consenso libero alla patrimonializzazione dei dati personali. La nostra Cassazione Cass., sez. I civ., sent. numero 17278 del 2/7/2018 ha ammesso la liceità della valorizzazione economica dei dati personali - nei casi in cui il servizio sia fungibile e rinunciabile - enunciando il seguente principio di diritto «In tema di consenso al trattamento dei dati personali, la previsione dell' articolo 23 del Codice della privacy , nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l'utente possa rinunciare senza gravoso sacrificio nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro , di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell'indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti». Alla luce di tutto quanto sopra osservato, la questione della eventuale valorizzazione economica dei dati personali ormai assodata in materia consumeristica dall'articolo 135- octies commi 3 e 4, in materia privacy è una questione di consenso consenso prestato liberamente oppure consenso ingiustamente condizionato se il servizio non è fungibile e non è rinunciabile ad es. l'home banking . Sarà possibile capire in pratica gli elementi fondamentali di tale tipo di consenso seguendo la vicenda attualmente sotto la lente del nostro Garante Privacy relativa a molte testate telematiche che hanno introdotto l'accesso ai propri contenuti condizionato alla cessione temporanea dei dati di navigazione dell'utente. Il Garante ha aperto molte istruttorie nei confronti di vari editori proprio per valutare se abbiano ottenuto un consenso libero oppure un consenso invalido a causa di mancata chiarezza sul tipo di profilazione perché eseguita senza specificare a quali settori sarebbe stata destinata la pubblicità fondata sui dati dell'utente. Consenso invalido per le modalità dispersive di raccolta ad esempio l'atterraggio in un box che poi però rinvia a un altro box determinando confusione nella scelta. Attualmente sulla questione possiamo soltanto leggere i comunicati stampa del Garante, tutti riuniti nell'ultimo del 12 novembre 2022 “ Cookie wall prosegue l'istruttoria del Garante privacy su alcune testate giornalistiche online ” dai quali si evince che il nodo centrale è la raccolta del consenso «L'Autorità ha infatti rivolto ai maggiori gruppi editoriali nazionali specifiche richieste di informazioni in grado di chiarire, in particolare, le modalità di funzionamento del meccanismo in questione e le diverse tipologie di scelte a disposizione dell'utente. Ma ha chiesto anche di fornire tutti gli elementi utili a dimostrare che la normativa in materia di protezione dei dati personali sia stata rispettata, innanzitutto riguardo alla correttezza e alla trasparenza dei trattamenti e al fondamentale requisito della libertà del consenso». Sempre per valutare la correttezza dei trattamenti di profilazione, l'Autorità ha anche richiesto di visionare le valutazioni di impatto DPIA eventualmente adottate nonché i criteri usati per valutare il prezzo dell'abbonamento alternativo alla prestazione del consenso.