800 561720
Sin dalla loro – recente – introduzione, i modelli c.d. “pay or consent” (“paga o acconsenti”) hanno generato un ampio dibattito rispetto alla validità del consenso così acquisito e alla conseguente legittimità di tale prassi commerciale. Lo scorso 17 aprile, mediante l’Opinion 8/2024, l’EDPB ha quindi pubblicato il proprio parere sul tema, fornendo chiarimenti sui requisiti e sulle condizioni da rispettare in caso di utilizzo di tali modelli. Quali step seguire per assicurarsi la conformità? cosa verificare? Scoprilo nella nostra guida per DPO.
Premessa e definizione
In via preliminare si rende necessario richiamare la definizione dei modelli “pay or consent”. Secondo l’EDPB, si tratta di modelli in cui un titolare del trattamento offre agli interessati la possibilità di scegliere tra almeno due opzioni per ottenere l’accesso a un servizio online. L'interessato può:
1) acconsentire al trattamento dei propri dati personali per una finalità specifica, oppure
2) decidere di pagare una tariffa e ottenere l’accesso al servizio online senza che i propri dati personali siano trattati per tale finalità.
Se gli interessati scelgono la prima opzione e acconsentono al trattamento hanno accesso al servizio ma vengono tracciati e indirizzati con pubblicità comportamentale. In questo caso, il modello di business è finanziato attraverso la pubblicità online basata sul comportamento degli utenti.
Se gli interessati scelgono la seconda opzione, pagano una tariffa (che può essere, ad esempio, un abbonamento settimanale, mensile o annuale, o un pagamento una tantum) e hanno accesso a una versione del servizio che non prevede il trattamento dei dati personali dell’utente a fini di pubblicità comportamentale.
Conseguenze e problemi di conformità
Le conseguenze per gli utenti sono ben chiarite dal presidente dell’EDPB, Anu Talus, la quale ha dichiarato che: “I modelli attuali di solito impongono alle persone di cedere tutti i loro dati o di pagare. Di conseguenza, la maggior parte degli utenti acconsente al trattamento dei dati per poter utilizzare un servizio e non comprende le piene implicazioni delle proprie scelte”. Ancora, “I titolari del trattamento dei dati devono sempre fare attenzione a non trasformare il diritto fondamentale alla protezione dei dati in una funzione per la quale gli individui devono pagare”.
La scelta per gli utenti tra il pagamento di un servizio o l’ottenimento dello stesso attraverso il consenso all’utilizzo dei propri dati personali, ha quindi sollevato molteplici dubbi e interrogativi. Fra questi,
- come conciliare la protezione dei dati con altri diritti e libertà fondamentali, quali la libertà di impresa?
- la tutela della privacy degli utenti online può spingersi fino a 'obbligare' le aziende a fornire servizi online interamente gratuiti?
- la tutela della privacy degli utenti online può spingersi fino a stabilire il prezzo per l’accesso a determinati servizi?
- quali servizi sono considerati essenziali? i social media vi rientrano?
- quali fattori devono essere considerati per valutare se il consenso è 'liberamente prestato, specifico, informato e inequivocabile'?
- qualora gli utenti non acconsentissero al trattamento, come determinare un “prezzo equo” per l’accesso al servizio online?
- chi controlla la determinazione del “prezzo equo” e l’importanza del servizio erogato?
- Etc.
Infine, altre criticità da considerare discendono direttamente dalla natura del trattamento svolto: la pubblicità comportamentale può comportare la raccolta – anche su larga scala - di dati personali sulle persone e sulle loro attività, monitorando potenzialmente la loro intera vita, on e offline.
Il parere dell’EDPB
Il parere dell’EDPB mira quindi a fare ordine rispetto a tutti i dubbi emersi dal momento dell’introduzione di questi modelli di business. In primo luogo il Comitato richiama i principi fondamentali che devono guidare ogni attività di trattamento. In particolare, i titolari del trattamento sono tenuti a rispettare i principi di necessità e proporzionalità: anche se il trattamento è basato sul consenso, ciò non giustifica la raccolta di dati personali al di là di quanto necessario per la finalità specificata o in modo ingiusto per gli interessati. Risulta, pertanto, essenziale valutare se gli scopi possono essere perseguiti anche con mezzi meno intrusivi, trattando meno dati personali, o disponendo di dati personali meno dettagliati o aggregati.
Al tempo stesso, le attività di trattamento devono rispettare i principi di correttezza, trasparenza, protezione dei dati fin dalla progettazione e per impostazione predefinita.
Infine, l’EDPB richiama il principio di liceità ed i requisiti cumulativi che caratterizzano un consenso valido ai sensi del GDPR.
L’assessment del consenso
Passaggio cardine nella valutazione della conformità dei modelli “pay or consent” risulta, quindi, l’assessment delle caratteristiche del consenso.
- In primo luogo, affinché il consenso sia considerato liberamente prestato, l'interessato deve disporre di una scelta effettiva e deve essere in grado di rifiutare o revocare il proprio consenso senza subire danni o pregiudizi. Quando interessati non consenzienti decidono di non pagare il corrispettivo richiesto, rischiando quindi di essere esclusi dal servizio, possono subire un pregiudizio, soprattutto nei casi in cui tale servizio rientri fra quelli considerati essenziali, sia decisivo per la partecipazione alla vita sociale o per l'accesso a reti professionali, etc.;
- In secondo luogo, ai fini della validità del consenso, deve essere effettuata una valutazione dei ruoli delle parti coinvolte: la presenza di uno squilibrio di potere tra l'interessato e il titolare del trattamento, infatti, può essere tale da inficiare la libertà del consenso prestato;
- Ancora, sull’altro piatto della bilancia risulta determinante soppesare i costi imposti. La tariffa richiesta deve essere equa e consentire agli interessati di compiere una scelta incondizionata ed autentica.
Infine, l’assessment della validità del consenso, dovrebbe comprendere anche una valutazione in merito alla frequenza di aggiornamento dello stesso. Fra i criteri che dovrebbero guidare i titolari nel determinare la durata del consenso vi sono: il contesto, la portata del consenso originario e le aspettative dell'interessato. A riguardo, l’EDPB specifica che “nel contesto della pubblicità comportamentale, considerando l'intrusività del trattamento, sembra appropriato un periodo di tempo limitato durante il quale il consenso rimane valido, ad esempio un anno”.
- La valutazione dell’alternativa equivalente
Secondo l’EDPB, l’offerta di una sola alternativa al consenso, dietro pagamento del servizio, rischia di minare la libertà di scelta degli interessati e di arrecare agli stessi un danno o un pregiudizio. Ciò alla luce di quanto detto in merito alle potenziali conseguenze negative derivanti da trattamenti particolarmente invasivi, quali la pubblicità comportamentale.
Pertanto, i titolari del trattamento dovrebbero prendere in considerazione la possibilità di fornire agli interessati una “alternativa equivalente” che non comporti il pagamento di una tariffa (definita ‘Free Alternative Without Behavioural Advertising’), ad esempio con una forma di pubblicità che comporti il trattamento di una quantità minore (o nulla) di dati personali. Questo fattore è particolarmente importante nel determinare la validità del consenso ai sensi del GDPR.
- La valutazione dello squilibrio di potere
Come anticipato, i titolari del trattamento devono inoltre valutare, caso per caso, se esiste uno squilibrio di potere tra l'interessato e il titolare del trattamento. I fattori da considerare includono:
- la posizione dell'azienda sul mercato. La posizione predominante del titolare, infatti, potrebbe indurre gli interessati a ritenere che non vi siano altri servizi alternativi realistici a loro disposizione;
- la natura del servizio erogato. Se il servizio è considerato essenziale (ad esempio per cercare lavoro, per avere accesso a informazioni essenziali per la vita quotidiana dell'interessato o per partecipare al dibattito pubblico), una scelta veramente libera è limitata;
- l'esistenza di effetti di rete o di lock-in, quando, ad esempio, la piattaforma ha una base di utenti molto più ampia rispetto a qualsiasi alternativa pertinente, o l'utente ha investito in modo significativo nella piattaforma per cui passare da un servizio a un altro può essere difficile o impossibile;
- il pubblico target o predominante della piattaforma: se è utilizzata prevalentemente da bambini o da altre persone vulnerabili.
- La valutazione della tariffa appropriata
Ultimo punto ma non meno importante, la valutazione della tariffa appropriata. Il Comitato sottolinea che la tariffa richiesta per accedere al servizio non dovrebbe condizionare la scelta degli utenti, obbligando gli stessi ad optare per il consenso.
I titolari del trattamento devono quindi valutare, caso per caso, se l’importo richiesto sia appropriato o meno e quale ammontare possa considerarsi realmente adeguato alle circostanze. La tariffa, così determinata, non dovrebbe impedire agli interessati di effettuare una scelta autentica, alla luce dei requisiti per un consenso valido e dei principi di cui all'articolo 5 del GDPR, con particolare riferimento alla correttezza.
L’EDPB chiarisce che spetta alle Autorità di controllo il compito di far rispettare l'applicazione del GDPR, e quindi, di verificare l'impatto di qualsiasi tariffa sulla libertà di scelta degli interessati.
Stay tuned
Oltre al parere esaminato, l'EDPB ha già anticipato di essere al lavoro per lo sviluppo di Linee guida di portata più ampia, aventi sempre ad oggetto i modelli “pay or consent”.
Al tempo stesso, anche la nostra Autorità di controllo, nell’ambito della cooperazione con il Garante federale tedesco (BfDI), ha deciso di “avviare un forte coordinamento” in vista dei lavori che saranno intrapresi a breve per la stesura delle linee guida che affronteranno la questione “pay or consent” in modo più ampio e approfondito.
Ti invitiamo quindi, se non l’hai ancora fatto, ad iscriverti alla nostra newsletter, per restare costantemente aggiornato sui prossimi sviluppi sul tema. Clicca qui.
Fonti:
