Il pasticciaccio dei Cookie-Wall/Paywall
Di recente, diverse segnalazioni pervenute al Garante italiano hanno puntato i riflettori sul problema dei c.d. Cookie-Wall e Paywall, impiegati da alcuni siti web editoriali per rendere o meno accessibili i propri contenuti online agli utenti. L' Autorità Garante della Privacy è chiamata a chiarire sulla liceità o meno della pratica in esame con particolare riguardo alla tutela dei diritti degli interessati in riferimento soprattutto alla fase di libera formazione del consenso.
Importanti definizioni e chiarimenti
- Il cookie wall è un meccanismo che permette all’utente di accedere a un sito web in un solo modo: prestando il consenso a tutti i cookie, senza alcuna distinzione tra i diversi tipi di cookie. I cookie wall sono proibiti. Lo stesso Garante con le "linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021", riprendendo l'orientamento espresso già sul tema con le linee guida del 2014, ha opportunamente distinto i cookie essenziali (necessari al corretto funzionamento del sito web e che pertanto non necessitano di consenso) dai cookie non essenziali, per i quali è sempre necessario fornire un consenso non solo libero e "informato" alla tipologia di strumenti tecnici utilizzati dal sito per compiere attività di tracciamento e profilazione, ma anche "granulare" , andando a distinguere, tra le altre cose, la profilazione dell'utente in più parti - soft spam, marketing, comunicazione a terzi, e a quale tipo di profilazione. Al riguardo si ricordano anche le Linee Guida sul targeting del settembre 2020 poi aggiornate nel 2021.
- Il paywall è il meccanismo per cui all’utente viene data un’unica alternativa per accedere ai contenuti: prestare il consenso a tutti i cookie, oppure sottoscrive un abbonamento e pagare per accedere al servizio. L'alternativa all'accettazione TOTALE a qualsiasi cookie consisterebbe nel pagare un abbonamento.
I dati personali possono essere corrispettivo di un servizio?
Lecito dubitare sulla legittimità di tale pratica afferma il Garante che ha aperto un'istruttoria di recente.
Ad avvalorare questa stravagante pratica (nel senso di una accettata monetizzazione dei dati personali) sembrerebbe la Sentenza dello scorso 29 marzo 2021 del Consiglio di Stato che ha confermato la sostanziale legittimità del provvedimento adottato il 29 novembre 2018 dall’Autorità Garante per la concorrenza e il mercato nei confronti di Facebook rea. Secondo l’Authority Facebook avrebbe scorrettamente dato a intendere ai consumatori che il servizio da essa offerto fosse gratis mentre verrebbe, in realtà, offerto a fronte della messa disposizione di dati personali, solleva una serie di questioni di non facile soluzione in merito alle quali è utile e opportuno aprire un confronto". Al di là delle normative di riferimento che sono quelle del Codice al Consumo e la Disciplina Privacy, forse complementari ma diverse, sembra almeno difficile, allo stato, qualificare un trattamento di dati personali quale controprestazione di un servizio, soprattutto perchè la condivisione su Facebook di propri dati personali avviene in modo volontario e non come (evidente, nel caso in discussione) controprestazione del servizio.
A parere di chi scrive, invece, assolutamente nulla sembra legittimare la pretesa di richiedere agli utenti di fornire i propri dati personali e soprattutto la personalizzazione conseguente, in virtù di una profilazione aggressiva, come controprestazione per l'accesso a determinati servizi: l'alternativa di pagare il servizio, nel caso in cui non si acconsentisse al trattamento (profilante) basato sul cookie wall, non rende il consenso libero! Diverso sarebbe il caso di un libero rifiuto e un conseguente legittimo limitato accesso ai contenuti. Quello che qui turba è la sostanziale impossibilità di un rifiuto. Se rifiuti esci dal sito. Questo è! (o meglio questo era perchè da un controllo appena svolto su alcuni giornali, il banner incriminato sembrerebbe scomparso)
In ogni caso e sperando che effettivamente si torni alla retta via, in questa sede giova piuttosto richiamare il Cons. 43, là dove afferma che: "Si presume che il consenso non sia stato liberamente espresso se [...] l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione". Una pratica che equipara il dato personale a qualsiasi altro bene di scambio finirebbe col ripercuotersi negativamente sulla capacità degli individui più deboli di accedere a un'informazione di qualità e sulla capacità di autodeterminazione degli stessi - non solo aprendo breccia a profili discriminatori, ma evidenziando anche importanti lacune sotto il profilo della trasparenza.
Il consenso al trattamento dei dati, per essere valido, deve soddisfare diversi requisiti: essere preventivo, dato liberamente, specifico, informato, non ambiguo, leggibile, accessibile e sempre revocabile, artt. 4(11) e 7 GDPR.
Inoltre, i siti di notizie e quotidiani potrebbero rientrare nella categoria di siti che rivelano informazioni su categorie particolari di dati (art 9(1) GDPR), poiché la lettura di alcuni articoli potrebbe rivelare ad esempio la propria opinione politica o lo stato di salute. Ed inoltre, le informazioni sull'uso dei media e le abitudini di lettura delle persone sono generalmente da considerare sensibili.
Il Garante privacy apre istruttorie su uso dei cookie wall
In data 21.10.2022, il Garante rileva che la normativa europea sulla protezione dei dati personali non esclude in linea di principio che il titolare di un sito subordini l’accesso ai contenuti, da parte degli utenti, al consenso prestato dai medesimi per finalità di profilazione (attraverso cookie o altri strumenti di tracciamento) o, in alternativa, al pagamento di una somma di denaro. Ciò in riferimento alle iniziative intraprese negli ultimi giorni da diverse testate giornalistiche on line, siti web e aziende operanti su Internet. Tuttavia il Garante apre una serie di istruttorie per accertare la conformità di tali iniziative con la normativa europea.
Le nostre conclusioni
Sebbene si sia in più occasioni sottolineato che la tutela del dato personale non è un diritto assoluto e che va contemperato al pari degli altri diritti costituzionali in un'ottica di bilaciamento effettivo tra privacy e sicurezza, siffatte compressioni di diritti, personali per definizione, ostacolano senz'altro la formazione del libero consenso e, per estensione, la libera auto-determinazione della persona umana, ivi compresa la sua dignità. Come Accademia della Privacy (nel nostro piccolo) baluardo per la cultura e per la formazione sul digitale e sul diritto delle nuove tecnologie, siamo allineati con il pensiero di Guido Alpa nel ritenere i dati personali vadano considerati come i tasselli di un puzzle che compongono il nostro essere, la nostra identità. E, così come non è costituzionalmente ammissibile alienare una parte del corpo, così riteniamo di difendere con altrettanta strenuità la tutela del nostro io digitale.
Avv. Monica Gobbato
Giacomo De Simio
NOTE DI RIFERMENTO
- Definizioni cookie wall e cookie paywall:
https://www.iubenda.com/it/help/39285-cookie-wall - Facebook, i dati personali possono essere corrispettivo di un servizio?
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9575591 - Post di Privacy Network
https://www.linkedin.com/feed/update/urn:li:activity:6991426815198179328?utm_source=share&utm_medium=member_android
- Your Consent Is Worth 75 Euros A Year – Measurement and Lawfulness of Cookie Paywalls
https://www.researchgate.net/publication/363736651_Your_Consent_Is_Worth_75_Euros_A_Year_--_Measurement_and_Lawfulness_of_Cookie_Paywalls - Il Garante privacy apre istruttorie su uso dei cookie wall
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9816536 - Guido Alpa nel Libro Circolazione e Protezione dei Dati Personali, tra Libertà e Regole del Mercato. Giuffrè Editori