“Consent or Pay”: a quali condizioni il consenso può considerarsi validamente prestato?

“Consent or Pay”: a quali condizioni il consenso può considerarsi validamente prestato?
Le Autorità di controllo olandesi, norvegesi e tedesche (in seguito “le Autorità”) hanno chiesto congiuntamente all'European Data Protection Board (EDPB) di emettere un parere – ai sensi dell’art. 64 par. 2 del GDPR – circa la validità del consenso rilasciato dagli utenti alle grandi piattaforme online per finalità di pubblicità comportamentale; le Autorità hanno inoltre chiesto all’EDPB di chiarire in quali casi tale consenso possa considerarsi effettivamente valido e liberamente prestato, in linea con i principi di liceità del trattamento dettati dal GDPR. Di seguito un commento ai principali punti toccati dall’EDPB all’interno del parere, pubblicato in data 17 aprile. 

Il contesto  

Fa da sfondo alla richiesta avanzata dalle Autorità, la sentenza del Bundeskartellamt emessa lo scorso 4 luglio 2023 dalla Corte di Giustizia dell'Unione Europea (CGUE) nella causa C-252/21l, ove la stessa è stata chiamata a pronunciarsi, tra le altre, sulla questione se il consenso prestato dall’utente di una piattaforma online potesse considerarsi validamente prestato ai sensi dell’art. 4 par. 11 del GDPR anche nel caso in cui il gestore della piattaforma rivestisse una posizione dominante nel mercato online. La Corte, nel richiamare i principi fondamentali del GDPR, ha chiarito che la posizione dominante del gestore influisce sulla validità del consenso, poiché potrebbe mettere a rischio la libertà di scelta dell'utente, il quale potrebbe sentirsi obbligato a fornire il consenso per timore di conseguenze negative. Pertanto, la Corte ha affermato che spetta all’operatore dimostrare che la sua posizione non influisca sulla libertà dell’utente. La Corte ha inoltre stabilito che gli utenti devono essere posti nella possibilità di rifiutare liberamente i trattamenti non necessari per l’esecuzione di un contratto e di prestare consensi separati per trattamenti diversi. Un consenso non può considerarsi infatti libero se non rispetta tali condizioni e se comporta l’obbligo di astenersi totalmente dall’uso del servizio offerto dalla piattaforma online senza un’alternativa effettivamente equivalente. 

Il parere dell’EDPB 

L’EDPB nel rispondere alla richiesta delle autorità, ha individuato alcuni nodi cruciali in particolar modo quelli relativi alla validità del consenso, fatte salve le specificità di ogni singolo caso.  

Come ricordato, fondamentale è innanzitutto il rispetto dei principi di cui all’art. 5 del GDPR. 

In primo luogo, poiché il GDPR stabilisce che il trattamento basato sul consenso non giustifica la raccolta di dati personali al di là di quanto necessario per la finalità specificata, l’EDPB ricorda che i titolari del trattamento devono sempre:  

  1. stabilire se hanno una necessità in concreto di trattare i dati raccolti per le finalità indicate;
  2. verificare se le stesse possono esser perseguite con mezzi meno intrusivi, o trattando meno dati personali, o attraverso dati personali meno dettagliati o aggregati.  

Di contro, come rileva l’EDPB, la pubblicità comportamentale -così come allo stato impostata - comporta una raccolta ed elaborazione di un gran numero di dati personali degli utenti relativa alle loro attività sia on che offline. 

Il trattamento in esame, ad avviso dell’EDPB, rappresenta un monitoraggio eccessivo, che comprende anche la combinazione di varie fonti di dati su diversi siti web, difficilmente conciliabile con il principio di minimizzazione dei dati rispetto, ad esempio, a un sistema di pubblicità personalizzata in cui gli utenti stessi determinano attivamente e consapevolmente le proprie preferenze.  

Le attività di trattamento devono poi rispettare il principio di correttezza, e a questo proposito l’EDPB ha ribadito che il titolare deve: 

  1. evitare il ricorso a design pattern ingannevoli e garantire in ogni caso all’interessato il massimo grado di  
  2. rispetto alla profilazione per finalità di marketing, attenzionare maggiormente e più specificamente la posizione dei minori i quali non dovrebbero essere soggetti a pubblicità comportamentale e, a maggior ragione, non dovrebbero trovarsi di fronte a modelli di “Consent or Pay” che richiedono il consenso per tale trattamento.

La condizionalità del consenso è un altro punto critico: se il consenso è richiesto per accedere a beni o servizi, deve essere prestato liberamente, senza coercizione. Dunque, i titolari del trattamento devono valutare attentamente se esiste uno squilibrio di potere tra loro e gli utenti. 

La preoccupazione emergente è che le policy recentemente adottate dalle piattaforme online sul “Consent or Pay” impongano agli utenti una scelta binaria: accettare il trattamento dei dati personali per fini pubblicitari o pagare una tariffa.  

Sul punto, l’EDPB sottolinea che questa non dovrebbe essere la soluzione predefinita ma si dovrebbe invece considerare la possibilità di offrire un’alternativa gratuita senza pubblicità comportamentale, garantendo così una reale libertà di scelta agli utenti (ad esempio, una versione del servizio con una forma diversa di pubblicità che comporti il trattamento di una quantità minore (o nulla) di dati personali). 

Un elemento chiave è anche la granularità del consenso: gli utenti devono poter scegliere specificamente quale finalità di trattamento accettare, anziché essere costretti a dare un consenso generico. L'EDPB ha inoltre ribadito che il consenso deve essere informato, ovvero gli utenti devono comprendere chiaramente il valore, la portata e le conseguenze delle loro scelte in merito al trattamento dei dati per fini pubblicitari. Per questo, è stato consigliato ai titolari del trattamento di valutare attentamente la frequenza con cui il consenso deve essere aggiornato, per garantire che sia sempre valido e informato. 

Conclusioni 

In conclusione, l'EDPB ha fornito importanti linee guida per garantire che il consenso nella pubblicità online sia effettivamente libero, informato e conforme al GDPR. Spetta ora alle autorità di vigilanza e alle piattaforme online lavorare insieme per garantire il rispetto di tali direttive e proteggere i diritti degli utenti in un mondo sempre più digitalizzato. 

Avv. Lorenzo Baudino Bessone e Dott.ssa Rossella Taddei

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori