“Dai il consenso o paga”: per il Comitato Europeo per la protezione dei dati i consensi così ottenuti violano il GDPR e la privacy degli utenti. Il Paywall è illegittimo.

Cookie wall: dai il consenso o paga

Ne abbiamo parlato qualche tempo fa, perché questa pratica è divenuta molto popolare, soprattutto per quanto riguarda le testate giornalistiche online, ma non solo. Parliamo del Cookie wall, anzi, per dirla più correttamente del paywall ovvero l’obbligo nel quale imbattono gli utenti del web di accettare la profilazione per visualizzare i contenuti. Altrimenti basta abbonarsi.

Il perché di questa scelta è presto detta: se l’utente non accetta il tracciamento, al sito web resta una sola altra strada per monetizzarlo, ovvero chiedere un pagamento in qualche forma (una tantum o abbonamento).

Un esempio di paywall "Dai il consenso o paga"

Gli ultimi casi a fare clamore sono quelli di Facebook e Instagram. Pochi mesi fa infatti Meta aveva lanciato la nuova formula a pagamento: paga l’abbonamento a Facebook e Instagram per un’esperienza di navigazione senza pubblicità.
Al solito c’è lo zampino dell’associazione Noyb di Max Schrems, che ha fatto della battaglia per la privacy online il proprio cavallo di battaglia. Noyb ha presentato un reclamo contro il “Dai il consenso o paga” al Garante per la protezione dei dati personali austriaco. Reclamo che è stato seguito da un reclamo collettivo di organizzazioni nazionali di tutela dei consumatori in Bulgaria, Repubblica Ceca, Danimarca, Italia, Lettonia, Grecia, Norvegia ecc…

In particolare, nei reclami contro Meta, le associazioni hanno sottolineato come il blocco, anche parziale, di funzioni per coloro che non optano per l’opzione a pagamento rappresenti una pratica aggressiva in base alle leggi europee sulla tutela dei consumatori.

L’EDPB approva un parere sul Paywall

Le autorità garanti olandese, norvegese di Amburgo hanno attivato l’EDPB a seguito delle richieste a loro sottoposte dalle associazioni dei consumatori e da Noyb. Si arriva quindi all’adozione del parere del 17 Aprile 2024, il cui contenuto è piuttosto chiaro. L’EDPB doveva esprimersi sulla valida del consenso al trattamento dei dati personali ai fini di pubblicità comportamentale col metodo detto “Pay or Okay”.

L’EDPB ha spiegato che difficilmente sarà possibile ritenere valido un consenso espresso dall’utente che ha di fronte solo due scelte, pagare un compenso o essere tracciato. Questa modalità, secondo l’EDPB, non dovrebbe essere la soluzione predefinita scelta dal titolare del trattamento. In pratica l’EDPB spiega che le grandi piattaforme online dovrebbero valutare strade diverse, un’alternativa equivalente che non comporti pagamenti. Questa alternativa dovrebbe essere gratuita e priva di pubblicità comportamentale. Ad esempio, suggerisce l’EDPB, le grandi piattaforme online potrebbero ipotizzare una terza scelta che non richieda abbonamenti ne comporti profilazione come un accesso senza pagamento, ma con pubblicità che non tratta dati personali.

Il Presidente dell’EDPB Taulus ha dichiarato:

“Le piattaforme online dovrebbero offrire agli utenti una scelta reale quando utilizzano modelli come “Dai il consenso o paga”’. I modelli adottati attualmente richiedono di solito che le persone forniscano tutti i loro dati o paghino. Di conseguenza, la maggior parte degli utenti acconsente al trattamento per utilizzare un servizio e non comprende tutte le implicazioni delle proprie scelte”.

L’EDPB ricorda che ottenere il consenso dell’utente non esime dal rispetto dell’art. 5 GDPR

Un passaggio importante del parere approvato dall’EDPB è quello in cui si ribadisce che il titolare del trattamento non è esente dal rispetto dei principi espressi dall’art. 5 del GDPR anche nel caso in cui abbia ottenuto il consenso dell’utente. Il trattamento dati dovrà quindi rispettare i principi di correttezza e minimizzazione dei dati, così come la limitazione delle finalità.

Non solo: il consenso deve necessariamente essere libero e informato perché sia legittimo. Di conseguenza il titolare del trattamento deve tenere in considerazione criteri quali la granularità delle scelte, la condizionalità, il pregiudizio e lo squilibrio. In concreto? L’EDPB spiega, a titolo esemplificativo, che qualsiasi costo addebitato non può far sentire l’utente obbligato a concedere il consenso al trattamento dei propri dati personali. Le autorità garanti dovranno quindi valutare di caso in caso se la tariffa imposta sia o meno adeguata tenendo conto delle circostanze.

Ugualmente le aziende dovranno evitare di far subire conseguenze negative agli utenti che rifiutano di prestare consenso: devono evitare di ridurre i servizi offerti o escluderli da una funzionalità importante.

L’EDPB ha comunque già annunciato la futura pubblicazione di linee guide specifiche sul tema.


Vuoi sapere se il tuo sito web è conforme al GDPR e alla direttiva ePrivacy per non incorrere in sanzioni?