Cookie paywall e intervento del garante: una riflessione sul valore dei dati

Che cosa sono i cookie ormai lo sappiamo tutti, perché da mesi, con la nuova disciplina, di cui abbiamo parlato in questo articolo e il “caso” di Google Analytics (qui un approfondimento) pare che gli addetti al marketing e i proprietari di siti web che monetizzano con le visite e le inserzioni pubblicitarie non abbiano altro per la testa.

>>>Leggi l’intervento del Garante<<<

     Indice

  1. Principi 
  2. Non solo GDPR
  3. Un servizio “gratuito” ed uno a pagamento possono davvero risultare equivalenti?

1. Principi

Il principio di privacy by design applicato al web prevede multe salatissime per chi installa cookie sui dispositivi degli utenti prima che sia stato espresso un valido consenso informato, ma gli standard di adeguatezza tardano ad arrivare.

In compenso, per ovviare al problema del mancato consenso e quindi alla perdita, in termini di profilazione marketing, conversioni e vendite, i siti che più si basano sulla pubblicità targettizzata, ovvero le testate giornalistiche online, si sono industriate con lo spirito imprenditoriale creativo, che ha reso il Bel Paese famoso in tutto il mondo.

Da diverse settimane stanno nascendo particolari banner che non si limitano a informarci, come siamo abituati, sull’uso dei cookie e sulla possibilità di acconsentire o meno: una volta che abbiamo negato il nostro consenso appare un secondo banner detto paywall, che ci chiede di ripensarci, di accettare i cookie, perché i cookie sono l’anima e la linfa che permette al sito di rimanere online, e che in mancanza di consenso gli articoli verranno erogati solamente a pagamento.

Dunque, delle due l’una: o si accettano i cookie, accedendo al sito “gratuitamente” (le virgolette sono d’obbligo e vedremo perché), o si paga per leggere gli articoli: do ut des.

Il Garante della Privacy non poteva rimanere indifferente a questa iniziativa ed ha già pubblicato un comunicato con il quale annuncia accertamenti ed eventuali successivi provvedimenti, per cui non ci resta che attendere le decisioni dell’Autorità.

Ma, nell’attesa, proviamo a capire se e in che modo questi paywall siano leciti, oppure presentino profili di violazione delle normative interessate.


Potrebbero interessarti anche


2. Non solo GDPR

Il Regolamento 679/2016 per la protezione dei dati personali, che prevede che il marketing, la profilazione ed il tracciamento avvengano solo dietro consenso, stabilisce anche quali siano le caratteristiche di questo consenso: libero, informato, revocabile, esplicito, e prevede altresì che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto” (art. 7).

Prima ancora del GDPR, tuttavia, altre normative europee devono essere prese in considerazione: la Direttiva 2002/57/CE, recepita nel titolo X del Codice per la protezione dei dati personali agli artt. 121-132quater, che riguarda le comunicazioni elettroniche e che si pone come legge speciale rispetto al Regolamento, che è invece legge generale.

Essa prevede che l’utilizzo dei cookie, se acconsentito, è consentito se per scopi legittimi, ed è da escludersi che un consenso possa essere considerato valido se espresso sotto “minaccia” di non poter utilizzare o fruire di quei contenuti in caso di sua mancanza.

A sostituire la Direttiva 58 dovrebbe pensarci il Regolamento e-privacy, al momento in discussione e in bozza, che dovrebbe prevedere la possibilità di offrire un’alternativa al consenso per i cookie, anche se al momento non è ancora legge. Infine, il Digital Services Act, approvato e in corso di pubblicazione, per il quale i paywall potrebbero essere sanzionati in quanto configurabili come dark pattern (ossia “percorsi oscuri, che obbligano gli utenti a compiere scelte che diversamente non avrebbero compiuto, come ad esempio prestare un consenso per leggere un articolo, perché diversamente non lo potrebbero leggere senza pagare).

Peraltro, un dark pattern configura già una pratica commerciale scorretta, sia ai sensi del GDPR sia in base alla normativa del consumo.

Per quanto riguarda gli orientamenti delle Autorità, è necessario fare riferimento all’European Data Protection Board, ovvero il Garante Europeo, ed all’Autorità nostrana.

Il primo, con le linee guida del 2020, ha dichiarato illegittima la prassi del cookie wall (ovvero di un banner cookie configurato come un muro, talmente grande da impedire la lettura del sito, infastidire l’utente e in qualche modo “obbligarlo” ad esprimere il consenso senza soffermarsi a riflettervi liberamente). Tuttavia, lo stesso EDPB ha ammesso la possibilità, per il Titolare del trattamento, di offrire una alternativa agli utenti: da un lato un servizio con consenso, dall’altro un servizio equivalente che non implichi il consenso.

Il dubbio tuttavia resta: un servizio “gratuito” ed uno a pagamento possono davvero risultare equivalenti?

3. Un servizio “gratuito” ed uno a pagamento possono davvero risultare equivalenti?

Il Garante italiano, con le linee guida sui cookie (di cui abbiamo scritto qui), ha confermato l’illiceità dei cookie wall, salva la possibilità, da verificarsi caso per caso, che titolare del sito, offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il consenso” agendo nel rispetto del principio di correttezza.

Anche qui nessuno parla di alternative a pagamento, l’unica specificazione è che l’alternativa debba essere conforme “ai principi del Regolamento codificati al suo art. 5, paragrafo 1, ed innanzitutto a quello di cui alla lettera a), che esige che i dati personali siano trattati in modo lecito, corretto e trasparente.

Il solito, annoso problema della normativa sulla protezione dei dati si ripresenta in tutta la sua complessità: la legge ci dice come fare (rispettare i principi, essere accountable), ma non ci dice cosa fare ed è dunque lasciato all’apprezzamento del titolare, in mone, appunto, dell’accountability, prendere decisioni anche spinose e poi essere in grado di motivarle sulla base dei principi, degli orientamenti e delle linee guida: processo che richiede un livello di preparazione e consapevolezza che, oggettivamente, in pochi possiedono.

Ed infine, in attesa che il puzzle si componga, che i pezzi vadano a posto e che il Garante faccia le sue riflessioni e prenda le decisioni che riterrà più conformi, non possiamo che provare a fare un’ultima riflessione, che si incentra sul concetto di gratuito sul web.

Ormai il mantra “quando qualcosa è gratis in rete il prodotto siamo noi” dovrebbero averlo capito anche i sassi.

Eppure proliferano (e se proliferano vuol dire che funzionano, perché la legge della domanda e dell’offerta continua a essere valida) offerte imperdibili, corsi gratuiti, ebook mirabolanti, segreti del successo e ingredienti miracolosi che vengono diffusi in rete, in qualsiasi materia, dal social media marketing (I tre segreti per crescere sui social che nessuno ti ha mai rivelato) al reperimento dei clienti per gli avvocati (Organizza il tuo studio legale in dodici minuti al giorno, trova clienti e aumenta il tuo fatturato!) gratis.

Cioè, gratis, a patto che lasciamo la nostra email ci iscriviamo alla newsletter, diamo il consenso per il marketing.

Pagare qualcosa con i nostri dati non vuol dire averlo gratis: vuol dire, semplicemente, pagarlo con una diversa moneta di scambio.

Che la protezione dei dati personali e la privacy non siano più un valore assoluto, ancorché espressione di un diritto inviolabile, pare ormai cosa acclarata: la diffusione del paywall non è che un’ennesima dimostrazione.

Per leggere l’articolo puoi pagarmi in due modi: o coi tuoi dati, dando il consenso ai cookie, oppure con moneta sonante. Si tratta, in fondo, della prova provata del valore economico dei dati, che vengono in tutto e per tutto resi equivalenti al bene infungibile per eccellenza, il denaro.

E dunque, a ben vedere, si tratterebbe, effettivamente, di una alternativa equivalente offerta agli utenti.

Certo, non bisogna dimenticare l’obbligatorietà di implementare tutte le misure di sicurezza, tecniche ed organizzative, per la protezione dei dati affinché il trattamento venga effettuato in maniera lecita e corretta, ma a questo punto dovrebbero essere i titolari stessi i primi ad aver capito quanto sono fondamentali e imprescindibili i dati personali dei propri utenti e dunque loro i primi a volerli proteggere.

Del resto, i preziosi si tengono in cassaforte, dunque perché ostinarsi conservare i dati sotto il materasso?

Volume consigliato 

Compendio breve sulla privacy

L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.

Jean Louis a Beccara | 2021 Maggioli Editore

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento