Addio al modello Pay or Ok? L'EDPB detta nuove regole per il consenso

Introduzione

Il 17 aprile 2024, il Comitato Europeo per la Protezione dei Dati Personali (EDPB) ha pubblicato un parere che mira a fare chiarezza sulle pratiche di “consenso o pagamento” adottate da diverse piattaforme online. Queste pratiche offrono agli utenti due opzioni: acconsentire al trattamento dei dati personali per scopi pubblicitari profilati in cambio di un servizio gratuito, oppure pagare un canone per usufruire del servizio senza profilazione.

Cosa dice l’EDPB

L’EDPB non vieta esplicitamente il modello “consenso o pagamento”, ma stabilisce criteri rigorosi che le piattaforme online devono rispettare per dimostrarne la legittimità.

Punti chiave del parere

I dati personali non sono un bene commerciabile: l’EDPB ribadisce che il consenso al trattamento dei dati per finalità di marketing non può essere ottenuto attraverso un pagamento.
Scelta effettiva e libera: agli utenti deve essere offerta una reale alternativa tra il consenso alla profilazione e un servizio equivalente senza profilazione, a un prezzo ragionevole.
Trasparenza: le piattaforme devono informare chiaramente gli utenti sulle conseguenze del consenso o del mancato consenso, evitando termini ambigui o pratiche ingannevoli.
Protezione dei dati per impostazione predefinita: la profilazione basata sul consenso non deve essere l’opzione predefinita. Gli utenti dovrebbero poter usufruire del servizio senza acconsentire alla profilazione.
Durata limitata del consenso: l’EDPB suggerisce che il consenso per la profilazione pubblicitaria abbia una validità limitata, ad esempio un anno.
Responsabilizzazione: le piattaforme online hanno la responsabilità di dimostrare la conformità ai principi del GDPR e di motivare le proprie scelte.

Implicazioni per le piattaforme online

Le piattaforme online che utilizzano il modello “consenso o pagamento” dovranno rivedere attentamente le proprie pratiche alla luce del parere dell’EDPB. Potrebbero dover:

Offrire una vera alternativa senza profilazione: questo potrebbe includere un servizio con funzionalità ridotte o pubblicità contestuale meno invasiva.
Rivedere i prezzi degli abbonamenti: il prezzo non deve essere un deterrente per la scelta dell’opzione senza profilazione.
Migliorare le informazioni e la trasparenza: le informative sulla privacy devono essere chiare, complete e facilmente accessibili.
Ridurre la durata del consenso: il consenso alla profilazione potrebbe avere una validità limitata ad un anno.
Documentare le scelte: le piattaforme devono tenere traccia delle scelte degli utenti e del ragionamento alla base delle proprie decisioni.

Non solo grandi piattaforme online

Il parere dell’EDPB si concentra sulle grandi piattaforme online (LOP), ma i principi generali possono essere applicati anche ad altre aziende.
L’EDPB ha annunciato che pubblicherà ulteriori linee guida per le aziende che non sono LOP.
Le autorità garanti nazionali per la protezione dei dati personali possono avviare indagini e azioni esecutive per garantire il rispetto del GDPR.

Verso la fine di un’era?

Come DPO, concordo pienamente con l’opinione espressa dall’EDPB nel suo tweet che accompagnava il parere sul modello “consenso o pagamento”:

In parole semplici, l’EDPB ritiene che, nella maggior parte dei casi, le grandi piattaforme online (LOP) non potranno soddisfare i requisiti per un consenso valido se offrono agli utenti solo la scelta binaria tra acconsentire al trattamento dei dati per profilazione pubblicitaria in cambio di un servizio gratuito, oppure pagare un canone per usufruire del servizio senza profilazione.

Questa presa di posizione rappresenta un passo significativo verso la fine dell’era dei “cookie wall”, quelle barriere virtuali che impediscono l’accesso ai contenuti o servizi online a meno che l’utente non acconsenta alla profilazione dei propri dati.

Nel parere, l’EDPB sottolinea diversi elementi critici del modello “consenso o pagamento”:

Squilibrio di potere: Le LOP detengono un potere significativo sugli utenti, che spesso si trovano costretti a cedere il proprio consenso per poter accedere a servizi essenziali o di grande diffusione. Questo squilibrio rende difficile, se non impossibile, ottenere un consenso realmente libero e informato.
Mancanza di alternative reali: In molti casi, l’opzione senza profilazione offerta dalle LOP non è realmente equivalente al servizio gratuito con profilazione. Potrebbe avere funzionalità ridotte, pubblicità intrusive o un prezzo eccessivamente alto.
Danneggiamento del diritto alla protezione dei dati: Il modello “consenso o pagamento” rischia di trasformare la tutela della privacy in un privilegio accessibile solo a chi può permettersi di pagare.

L’EDPB, pur non vietando esplicitamente questo modello, stabilisce criteri rigorosi che le LOP dovranno rispettare per dimostrarne la legittimità.

Tuttavia, le condizioni imposte dall’EDPB appaiono talmente stringenti da rendere praticamente impossibile per le LOP conformarsi a pieno.

Come DPO, appoggio esplicitamente questa linea dell’EDPB. Il diritto alla protezione dei dati personali è un diritto fondamentale che non può essere subordinato a logiche commerciali o a pressioni economiche. Le LOP dovranno trovare soluzioni alternative per monetizzare i propri servizi senza compromettere la privacy degli utenti.

L’attesa per il Garante Privacy italiano

L’Autorità Garante per la protezione dei dati personali ha già espresso in passato la propria preoccupazione per le pratiche del modello “Pay or Ok”.

È ragionevole attendersi che il Garante valuti attentamente il parere dell’EDPB e formuli la propria posizione in merito.

Le decisioni del Garante potrebbero avere un impatto significativo sulle aziende italiane che utilizzano il modello “consenso o pagamento”.

Restano aperte diverse incognite:

Il Garante adotterà un approccio simile a quello dell’EDPB, vietando di fatto il modello basato sul consenso a pagamento?
Oppure cercherà di trovare un compromesso che tuteli la privacy degli utenti senza penalizzare eccessivamente le aziende?
Quali sanzioni verranno applicate alle aziende che non si conformeranno alle nuove regole?

Solo il tempo darà le risposte a queste domande. Nel frattempo, le aziende italiane dovrebbero iniziare a valutare le proprie pratiche alla luce del parere dell’EDPB e del possibile intervento del Garante.

L’adozione di modelli di business più rispettosi della privacy potrebbe non solo evitare future sanzioni, ma anche migliorare la reputazione e la fiducia dei consumatori.