Il Comitato europeo (EDPB) in data 17 aprile ha rilasciato l’atteso parere 08/2024 in merito alla conformità al GDPR della modalità “paga o acconsenti” all’uso dei dati personali per pubblicità comportamentale, cui da tempo fanno ricorso gestori di grandi piattaforme online e fornitori di media online.
Sintesi
Il parere è stato richiesto dalle autorità di supervisione olandesi, norvegesi e tedesche (lande di Amburgo) al fine di accertare se i modelli “paga o acconsenti” per la pubblicità comportamentale implementati dalle grandi piattaforme online costituiscano un consenso valido e liberamente dato, considerando la loro posizione dominante anche in relazione alla sentenza della Corte di Giustizia dell’Unione Europea in C-252/21, Meta c. Bundeskartellamt.
Secondo la CGUE, gli utenti che rifiutano il consenso a determinate operazioni di trattamento (cioè, quelle per pubblicità comportamentale) devono poter avere un’alternativa equivalente senza tali operazioni (cioè, senza pubblicità comportamentale o con forme di pubblicità tradizionali e meno invasive), «se necessario a fronte di un corrispettivo adeguato».
Il parere, quindi, riguarda l’ambito applicativo di:
- modelli “paga o acconsenti”; questi modelli offrono agli utenti la scelta tra acconsentire al trattamento dei propri dati personali per accedere a un servizio online o pagare una tariffa per accedervi senza che i propri dati vengano utilizzati per scopi pubblicitari.
- praticati da grandi piattaforme online
- per l’uso dei dati personali a fini di pubblicità comportamentale.
In sintesi, i modelli “paga o acconsenti” non sono vietati di principio, ma i fornitori di grandi piattaforme online dovrebbero offrire agli utenti 3 distinte alternative:
- Accesso gratuito ai servizi, a fronte di consenso per il trattamento di dati personali a fini di pubblicità comportamentale
- Accesso a pagamento dei medesimi servizi, senza pubblicità comportamentale e senza utilizzo dei dati personali per ulteriori finalità diverse da quanto necessario per l’erogazione del servizio on line
- Accesso gratuito ai servizi senza utilizzo di dati personali a fini pubblicitari o con pubblicità tradizionale e meno invasiva, ad esempio, con una forma di pubblicità che comporta il trattamento di meno (o nessun) dato personale, anziché solo un’opzione a pagamento.
Nonostante il parere sia circoscritto all’ambito sopra specificato, molti passaggi in esso contenuti e relativi alla validità del consenso sono applicabili in via generale ai casi in cui si ricorre al consenso come base giuridica nel contesto dei modelli “paga o acconsenti”; lo stesso EDPB prevede un successivo intervento riguardante le stesse modalità del “paga o acconsenti” adottate, invece, da soggetti di minore grandezza rispetto ai titolari di grandi piattaforme online. Orientamenti nazionali emessi dalle autorità di vigilanza tedesche (Amburgo), austriache e francesi già forniscono criteri generali per i modelli di “paga o acconsenti”, per lo più messi in atto da questi soggetti di minore portata.
L’EDPB sottolinea l’importanza di rispettare i requisiti del GDPR per un consenso valido, in particolare in relazione al principio di accountability. Il consenso valido deve essere specifico e rappresentare un’indicazione chiara dei desideri dell’interessato: nel modello ‘consenso o paga’, il soggetto dovrebbe poter scegliere a quale scopo acconsentire anziché essere costretto a dare un consenso cumulativo per diversi scopi.
L’EDPB fornisce anche chiarimenti sul ritiro del consenso e consiglia ai titolari del trattamento di valutare attentamente con quale frequenza il consenso dovrebbe essere ‘aggiornato’.
In conclusione, è importante evitare che i dati personali diventino una merce commerciabile e che i soggetti debbano pagare per la protezione dei dati. I titolari del trattamento devono valutare attentamente se e quanto chiedere come corrispettivo, in assenza del consenso per pubblicità comportamentale.
Continua…