“Paga o consenti”. Consenso privacy valido solo se c’è una “alternativa equivalente” senza profilazione

L’EDPB il diritto alla protezione dei dati personali è un diritto fondamentale garantito a tutti e non può essere trasformato dal modello “paga o consenti” in un privilegio acquistabile con il denaro. Occorre dunque riportare al centro la questione del valore del consenso privacy e dei requisiti necessari affinchè sia valido.

Un consenso prestato perché non ci sono alternative è invalido in quanto non costituisce il frutto di una libera scelta. Dunque, il sistema binario “paga o consenti” dev'essere cambiato. Occorre che le VLOP introducano una “ulteriore alternativa equivalente” senza consenso alla profilazione e alla pubblicità comportamentale. Come? Alcuni suggerimenti vengono esposti dall'EDPB nel Parere in esame Parere numero 8 del 17.04.24 ma il Comitato ha già annunciato delle prossime linee guida in materia. Presentazione Il modello “paga o acconsenti” adottato dalle piattaforme di grandi dimensioni VLOP implica l'applicazione sia della disciplina antitrust sia della data protection, intersecate a tal punto che nei mercati “zero-price” l'Autorità Antitrust può evincere l'abuso di posizione dominante a seconda delle modalità di trattamento dei dati personali dei clienti-utenti es. l'illecito trattamento dati costituisce un abuso della posizione dominante e il Garante Privacy può evincere il trattamento illecito dati ove individui un abuso di posizione dominante. In definitiva, l'Antitrust nel perseguimento dei fini di propria competenza può anche dissertare sulla correttezza o meno del trattamento dati e viceversa, lasciando però l'ultima parola all'Autorità di controllo specifica per il settore secondo il principio della cooperazione. Tale argomento è stato oggetto di una pronunzia della Corte di Giustizia diventata di riferimento in materia ovvero la CGUE 4 luglio 2023, Meta Platforms Inc. and Ors v Bundeskartellamt, Causa C‐252/21 sollecitata a seguito del contenzioso tra l'Antitrust Tedesco e Meta Platforms. Tale causa sorge proprio in merito alla domanda, posta da Meta, sull'ammissibilità della valutazione data protection espressa dall'Antitrust tedesco per riscontrare l'abuso di posizione dominante di Zuckerberg. Adesso il modello “paga o consenti” viene posto sotto la lente del Comitato dei Garanti Privacy UE EDPB chiamato dalle Autorità norvegese, tedesca e olandese a pronunciarsi sul quesito in quali circostanze e a quali condizioni i modelli paga o consenti” relativi alla pubblicità comportamentale possono essere implementati da grandi piattaforme online in modo da costituire un valido e in particolare liberamente prestato consenso, tenendo conto anche della sentenza della Corte di giustizia dell'Unione europea CGUE nella causa C-252/21? Modello binario bocciato dall'EDPB L'EDPB risponde al quesito con il Parere del 17.04.24. Attualmente le VLOP e anche molti gruppi editoriali forniscono i rispettivi servizi ponendo l'utente di fronte ad un'alternativa secca pagare con il denaro o pagare con i propri dati. Se vuoi fruire del servizio senza profilazione e pubblicità comportamentale devi pagare in denaro. Se vuoi fruire del servizio senza pagare in denaro devi pagare con i tuoi dati personali profilazione . Si tratta di un modello binario che desta molte preoccupazioni sulla validità del consenso privacy prestato dall'utente. Probabilmente quest'ultimo ha acconsentito perché non aveva scelta e quindi non ha prestato un consenso libero ma condizionato da questo sistema binario. Inoltre, si consideri anche l'ipotesi in cui l'utente, sebbene abbia bisogno del servizio, decida di non accedervi perché non vuole né pagare in denaro né pagare con i propri dati. Così si auto-espunge autoesclusione dal servizio da un contesto di relazioni interpersonali di cui per ragioni personali partecipazione alla vita sociale o di lavoro accesso alle reti professionali non possiamo più fare a meno anche a maggior ragione in presenza di effetti di lock-in o di rete. Pertanto il sistema binario risulta addirittura anti-inclusivo. L'EDPB boccia il sistema binario «L'offerta di solamente un'alternativa a pagamento al servizio che comprende il trattamento a fini di pubblicità comportamentale non dovrebbe essere la soluzione predefinita per i titolari del trattamento». L'EDPB indica un altro sistema in cui sia garantita una ulteriore alternativa equivalente senza pubblicità comportamentale. La “ulteriore alternativa equivalente” L'EDPB evidenzia che i dati personali non possono essere considerati un bene commerciabile e che le grandi piattaforme online dovrebbero tenere presente la necessità di evitare che il diritto fondamentale alla protezione dei dati si trasformi in una funzionalità che gli interessati devono pagare per usufruirne. Proprio per questo l'alternativa della fruizione del servizio pagando con i dati personali profilazione non dovrebbe essere ammessa. Nello sviluppo dell'alternativa alla fruizione del servizio con pagamento in dati personali, le VLOP dovrebbero prendere in considerazione la possibilità di fornire agli interessati una ulteriore alternativa equivalente che comporti l'esposizione soltanto a una pubblicità non mirata oppure che comporti il trattamento di minori informazioni personali o anche di nessuna «le grandi piattaforme online dovrebbero prendere in considerazione la possibilità di fornire agli interessati una “alternativa equivalente” che non comporti il pagamento di una tariffa […] dovrebbero considerare anche la possibilità di offrire un'ulteriore alternativa, gratuita, senza pubblicità comportamentale, ad esempio con una forma di pubblicità che comporti il trattamento di una quantità minore o nulla di dati personali». Queste valutazioni devono essere eseguite caso per caso i titolari del trattamento devono valutare se in quella specifica situazione sia più appropriato un compenso maggiore o minore sia preferibile introdurre forme di pubblicità non mirata che comportano il trattamento di meno dati personali nonché di posizione degli interessati. I titolari del trattamento dovrebbero garantire che il compenso non sia tale da impedire agli interessati di effettuare una scelta effettiva alla luce dei requisiti di valido consenso e dei principi di cui all'articolo 5 GDPR, in particolare l'equità. I modelli paga o consenti” garantiscono un valido consenso? L'EDPB conclude che il consenso raccolto dalle grandi piattaforme online nel contesto dei modelli paga o consenti relativi alla pubblicità comportamentale può essere considerato valido solo nella misura in cui tali piattaforme possano dimostrare, in linea con il principio di accountability, che siano soddisfatti tutti i requisiti per un consenso valido, vale a dire che il consenso è prestato liberamente alternativa equivalente senza profilazione è informato è una manifestazione di volontà inequivocabile è specifico.   Impresa assai ardua almeno allo stato attuale.

EDPB Parere 8/2024