Premessa
In data 17 aprile 2024, il Comitato europeo per la protezione dei dati (“European Data Protection Board” o “EDPB”), su richiesta congiunta delle autorità di controllo olandese, norvegese e tedesca, ha adottato un parere sul discusso modello “pay or consent” molto utilizzato dalle grandi piattaforme online (identificate caso per caso sulla base del numero di utenti attivi, della posizione di mercato e dell’entità del trattamento) e dall’editoria online – anche italiana – con la formula del “rifiuta o abbonati”.
Grazie all’intervento dell’EDPB si è giunti ad un importante chiarimento delle pratiche di raccolta dati e pubblicità online e ad un significativo punto di svolta nel mercato dei contenuti digitali.
In breve, il modello “pay or consent” consente agli utenti una scelta tra l’accesso a pagamento ai contenuti senza pubblicità e l’accesso gratuito, a condizione di fornire il loro consenso all’uso dei propri dati personali per scopi pubblicitari.
Questo nuovo modello di business ha sollevato rilevanti interrogativi circa la privacy e la protezione dei dati personali, soprattutto considerando il potere e l’influenza delle grandi piattaforme digitali.
In un simile contesto, l’intervento dell’EDPB ha fornito un apporto fondamentale per chiarire come queste pratiche debbano conformarsi alle rigorose norme del Regolamento UE 679/2016 (“GDPR”), assicurando che i diritti degli utenti siano adeguatamente tutelati.
All’esito dell’analisi svolta, l’EDPB non vieta né ritiene illecito il modello, ma lo vincola ai requisiti di conformità che analizzeremo di seguito.
Che cos’è il modello “Pay or Consent”?
Il modello “Pay or Consent”, noto in italiano come “rifiuta o abbonati”, è una pratica commerciale che offre agli utenti una scelta binaria e vincolata: abbonarsi a un servizio a pagamento per accedere a contenuti o servizi senza pubblicità, oppure fornire il proprio consenso all’uso dei dati personali per finalità di marketing in cambio dell’accesso gratuito a tali contenuti o servizi.
Questo modello ha trovato ampia diffusione nelle grandi piattaforme online e, in particolare, nel settore dell’editoria digitale, consentendo a riviste e giornali di monetizzare i propri contenuti pur garantendo un accesso gratuito ai loro contenuti.
Scenari possibili del modello “Pay or Consent”
Come anticipato, il modello “Pay or Consent” si articola in due opzioni alternative:
- Abbonamento a pagamento:gli utenti possono scegliere di pagare una tariffa di abbonamento ( mensile, annuale o basata su altre formule di pagamento) per accedere a contenuti o servizi senza interruzioni pubblicitarie. In questo scenario, i dati personali degli utenti non vengono utilizzati per finalità di marketing o pubblicità personalizzata.
- Accesso gratuito con consenso all’utilizzo dei dati: gli utenti possono optare per l‘accesso gratuito ai contenuti o servizi fornendo il loro consenso all’uso dei propri dati personali. Questi dati vengono utilizzati per creare profili pubblicitari e offrire pubblicità c.d. comportamentale, vale a dire pubblicità basata sull’osservazione del comportamento degli utenti nel tempo che consente alle aziende di trarre conclusioni sulle loro preferenze, gusti e interessi.
Come si vedrà di seguito, l’analisi dell’EDPB ha evidenziato l’esigenza di garantire un’alternativa equivalente, ad es. con una terza alternativa con la profilazione di un minor quantità di dati personali e senza la fornitura di pubblicità comportamentale.
Normativa di riferimento
La pratica del “pay or consent” si inserisce nel contesto normativo del GDPR, che stabilisce le regole e i principi per il trattamento dei dati personali all’interno dell’Unione Europea.
Come è noto, il consenso come base giuridica per il trattamento dei dati personali, per essere ritenuto validamente prestato, deve essere libero, informato, specifico e granulare.
In particolare, il GDPR pone l’accento su:
- il principio di trasparenza: le piattaforme hanno l’obbligo di fornire agli utenti informazioni chiare su come i loro dati saranno utilizzati;
- il principio di consenso: il consenso degli utenti deve essere libero, specifico, informato e granulare;
- i diritti degli interessati: gli utenti hanno il diritto di revocare il proprio consenso in qualsiasi momento e di opporsi al trattamento dei loro dati personali.
I principi appena elencati, applicati al mercato dell’editoria e dei contenuti digitali, mirano a bilanciare la “monetizzazione” dei dati da parte delle aziende con la protezione dei diritti fondamentali degli utenti, promuovendo una maggiore trasparenza e responsabilità nel trattamento dei dati.
Siamo pronti per aiutarti, contattaci ora!
Il Parere dell’EDPB sul modello “Pay or Consent”
Il parere dell’EDPB adottato il 17 aprile 2024 fornisce un’analisi dettagliata del modello “pay or consent” alla luce del GDPR.
L’EDPB ha evidenziato diversi punti critici:
- Libertà del consenso. L’EDPB ha sottolineato che il consenso non può essere considerato libero se gli utenti sono costretti a scegliere tra il pagamento di un abbonamento e la concessione del consenso. Secondo quanto rilevato, circostanze come uno squilibrio di potere tra le parti, così come la presenza di un potenziale pregiudizio in caso di mancata prestazione del consenso, potrebbero rappresentare una forma di coercizione. L’assenza di una scelta effettivamente libera comprometterebbe però la validità del consenso ottenuto.
- Trasparenza. L’EDPB ha ribadito l’importanza della trasparenza. Le aziende devono fornire informazioni chiare e comprensibili agli utenti riguardo all’uso dei loro dati personali. Tali informazioni devono includere dettagli su come i dati saranno utilizzati, chi avrà accesso ai dati e per quanto tempo saranno conservati, affinché l’utente possa liberamente valutare se intende rifiutare o ritirare il proprio consenso.
- Proporzionalità. L’EDPB ha richiamato le aziende alla necessità di valutare, caso per caso, l’adeguatezza del corrispettivo economico eventualmente richiesto. Questo per evitare che il diritto fondamentale alla protezione dei dati diventi un diritto “premium” riservata solo agli utenti benestanti.
- Diritti degli utenti. L’EDPB ha enfatizzato il diritto degli utenti di revocare il proprio consenso in qualsiasi momento senza subire conseguenze negative. Le aziende devono fornire meccanismi semplici e accessibili per permettere agli utenti di esercitare questo diritto.
- Alternativa. L’EDPB ha evidenziato che offrire soltanto un’alternativa a pagamento per un servizio che comporta il trattamento dei dati a fini di pubblicità comportamentale non dovrebbe essere la soluzione standard. Le grandi piattaforme online devono quindi considerare la possibilità di fornire agli utenti una valida “alternativa equivalente” che non richieda alcun pagamento. L’imposizione di tariffe limita la capacità degli utenti di fare una scelta libera e consapevole, determinando un’automatica conseguenza economica in capo all’utente che deve scegliere se pagare o rinunciare ai benefici derivanti dall’accesso ai servizi. In questa ipotesi può dunque essere ammessa una forma pubblicitaria meno invasiva, ad esempio basata su argomenti selezionati dall’utente da una lista di interessi (c.d. contextual o general advertising).
Conclusioni dell’EDPB
In conclusione, il parere dell’EDPB chiarisce che il consenso raccolto dalle grandi piattaforme online nel contesto dei modelli “pay-or-consent” relativi alla pubblicità comportamentale può essere considerato valido solo nella misura in cui tali piattaforme possono dimostrare, in linea con il principio di accountability, che tutti i requisiti per un consenso libero sono soddisfatti. In particolare, il consenso può dirsi fornito liberamente quando:
- non vi è squilibrio di potere tra l’utente e la società che gestisce la piattaforma;
- il corrispettivo richiesto non è tale da impedire agli interessati di compiere una scelta autentica o da spingerli a fornire il consenso;
- la mancata prestazione del consenso non determina un pregiudizio;
- è presente un’alternativa equivalente.
Infine, l’EDPB ha ricordato che i dati personali non possono essere considerati alla stregua di un bene in commercio. Le grandi piattaforme online devono dunque assicurarsi che il diritto fondamentale alla protezione dei dati non si trasformi in una caratteristica “premium” di cui gli interessati possono godere solo dietro pagamento di un corrispettivo.
Le autorità di controllo sono incoraggiate a monitorare attentamente l’implementazione dei modelli “Pay or consent”, per assicurare il rispetto della normativa e la protezione dei diritti degli utenti.
Per ulteriori informazioni o per una consulenza specifica sulla gestione dei dati personali e il modello “pay or consent”, CRCLEX è a completa disposizione per una consulenza professionale.