Pay or Consent - Cookiewall - Paywall - Consentwall
Orientarsi tra modelli di business, dati personali e ladri di polli.
PS: il 17 Maggio si svolgerà un webinar tecnico su questo argomento. Maggiori dettagli su https://www.sgst.it/in-evidenza/cookiewall
Il 17 Aprile 2024, l’EDPB, il Comitato Europeo per la Protezione dei Dati Personali, ha approvato e pubblicato un importante parere sulle pratiche di CONSENSO o PAGAMENTO. Il compito principale di questo “Garante dei Garanti” è di assicurarsi che il GDPR sia applicato in modo coerente e uniforme in tutta Europa, pertanto le sue indicazioni hanno una rilevanza notevole per orientare le aziende e gli enti di controllo.
Cos’è il “CONSENSO o PAGAMENTO”?
Lo definirei serenamente come una normale pratica commerciale per la massimizzazione dei profitti che rispecchia un modello di business e le sottostanti legittime scelte imprenditoriali. Non lo demonizzerei e mi sembra abbastanza scontato che si debba ragionare in questi termini per chiunque non sia una no profit, un ente pubblico o non abbia risorse infinite.
A volte, tuttavia, il trattamento dei dati personali che queste pratiche comportano, non è esattamente legittimo.
Qui, si, scatta la violenza.
Nel lontano ottobre 2022, gran parte degli editori italiani, con una sincronia degna delle ferrovie elvetiche, ha adottato all’unisono i famigerati "cookie wall", introducendo modalità di accesso all’informazione basate sulla scelta obbligata tra il pagamento di un abbonamento e il consenso ai cookie di profilazione per fini di marketing.
Con una tempestività degna delle ferrovie nipponiche, Il Garante Privacy ha annunciato (qui) una rigorosa istruttoria, peraltro ribadita a più riprese (QUI e QUI).
Purtroppo, ad oggi, sembra di viaggiare in seconda classe sul rapido Taranto-Ancona e, quel che è peggio, non si intravede la meta.
Per fortuna, anche altre autorità Garanti hanno aperto istruttorie, ponendo le basi per l’applicazione del GDPR alle insidiose pratiche di “PAY or OK”, diffuse anche in altri stati membri.
In questo contesto, il documento dell’EDPB potrebbe velocizzare le istruttorie ancora aperte e favorire una definizione dei fascicoli dalle tante autorità di vigilanza, incluso il Garante Privacy.
Il parere non è vincolante nella stessa misura in cui non lo è mia moglie quando dice “Oggi mi piacerebbe trovare le scarpe per Figlia1 perché è cresciuta tanto”, “Domani sarebbe bello andare al mare”, “Vorrei tanto che mettessi a posto il box”. Certamente, non c’è nulla di vincolante in questi desiderata, cosi, anche quello dell’EDPB è solo un parere, non è una sentenza né è scritto sulle tavole della legge, tuttavia sconsiglio di prescindere da esso, come dai desideri della propria moglie, a tutti coloro che hanno a cuore la propria esistenza terrena.
Ad una prima lettura, il parere 08/2024 appare estremamente analitico e metodico, passo dopo passo affronta l’intero percorso logico per arrivare a delineare criteri di valutazione ampi, adattabili a una molteplicità di casistiche.
Nonostante il carattere generale del testo, a tratti, si ha l’impressione che l’EDPB stia pensando proprio a specifiche situazioni e che intenda parlare proprio alle singole aziende. Alcuni paragrafi avrebbero potuto tranquillamente riportare un inciso simile a “...come nel recente caso di Twitter/X" o “...esattamente come ha fatto Facebook” o, ancora, “...proprio come l’editore XYZ che monetizza ben oltre il lecito”.
Ho studiato i quasi 190 paragrafi dell’opera con una certa trepidazione, non perché mi aspettassi colpi di scena, quanto per la speranza di trovare una dissertazione su un tema a me caro: l'affermazione e la conclamazione del principio del contemperamento degli interessi. Questo principio non è vergato all’interno degli articoli del GDPR e compare citato solo in un considerando che, peraltro, pare quasi avere una funzione limitante, subordinando la protezione dei dati personali a tanti altri diritti; un considerando che, purtroppo, all’apparenza non suona come una chiavi di lettura sistematica delle norme di questo regolamento.
Recital #4
Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
Con un pò di delusione mi sono accorto che questo principio, il contemperamento degli interessi, non viene richiamato espressamente nemmeno dall’EDPB ma lo si trova solo in modo indiretto. Peccato, perché è sempre utile ribadire questa che è la cifra stilistica fondamentale della normativa sulla protezione dei dati personali, così inclusiva, così flessibile e così capace di abbracciare ogni esigenza, ogni punto di vista ed ogni interesse: sia l’interesse economico di chi fa impresa, sia l’interesse fondamentale al rispetto della propria riservatezza, sia ogni altro diritto come quello di accesso all’informazione, alla partecipazione al dibattito pubblico, alla presenza online degli individui ecc.
A parte questo elemento, forse un po ideologico, ho comunque annotato il testo per distillare una sintesi e mi sono accorto che non è facile poiché è estremamente ricorsivo e, spesso, le differenze tra un paragrafo e l’altro sono minime e potrebbero essere qualificate come “sofismi” da un lettore non interessato a cogliere le sottigliezze.
La sintesi che tutti si aspettano è molto banale: cosa si può fare, cosa non si può fare, chi ha sbagliato e chi ha fatto bene. L’ho trovata un po ovunque sul web, naturalmente ho provato a scriverla a modo mio ma senza riuscire a trovare una formula soddisfacente. Ormai so che, in questi casi, devo chiudere tutto, fare altro per un paio di giorni e, dopo aver elaborato e digerito in background i vari pensieri, aspettare che scatti qualcosa nella testa.
Per fortuna è successo e, finalmente, è scomparso quel ronzio di fondo che solo io sentivo e che mi faceva apparire stonato e assorto agli occhi di familiari, amici e colleghi.
D’un tratto mi è tornato alla mente un brillante passaggio di “La Coscienza Parla“ di Ramesh Balsekar:
Due giovani monaci studiavano in seminario, ed entrambi erano incalliti fumatori.
Il loro problema era: “Posso fumare mentre prego?”
Non riuscendo a risolverlo, decisero di rivolgersi ai loro superiori. Più tardi, uno chiese all’altro che cosa gli aveva detto il superiore.
“Sono stato rimproverato aspramente solo per aver parlato del fatto” , disse il primo. “Ed il tuo superiore, cosa ti ha detto?”.
“Il mio fu molto compiaciuto” , disse il secondo. “Mi ha detto che facevo benissimo. Ma dimmi, che domanda gli ha fatto?”
“Gli ho chiesto se posso fumare mentre prego.”
“Te la sei voluta tu. Io gli ho chiesto: posso pregare mentre fumo?”
Né il fumo, né la religione o la preghiera sono affrontati dall’EDPB nel parere 08/2024, tuttavia sarebbe stato forse opportuno includere nelle valutazioni anche alcuni differenti punti di vista o cambi di prospettiva che, mi pare, non sono stati presi in debita considerazione, indebolendo il parere.
L’approccio dell’EDPB mi ricorda vagamente quello del superiore in seminario, da prima austero e poi addirittura compiaciuto per la medesima circostanza, semplicemente illustrata nella giusta prospettiva.
Proviamo a riscrivere la storia dei due seminaristi in salsa data protection:
Ho letto questa storiella a mia figlia e, al termine, mi fissava con gli stessi occhi di un cerbiatto in autostrada che vede gli abbaglianti di una macchina in arrivo.
Ovviamente non è colpa sua, dipende da me e dai miei processi mentali ingarbugliati ed ermetici. Proverò con la gamification che va tanto di moda.
Proviamo, dunque, a giocare ad un nuovo gioco: il Fanta-Garante (Fantagarante.com). Poniamo alcune domande fondamentali in due modi differenti ed immaginiamoci come la prenderebbe il Fantagarante, anche per capire se il giudizio dell’EDPB é solido, coerente e applicabile a diverse fattispecie, a prescindere da come vengono descritte.
Bello questo giochino, devo farci un sito: il FantaGarante.com Ooops, l’ho fatto!
Facezie a parte, l’EDPB ci ha regalato alcuni passaggi importanti che dovranno essere valutati anche alla luce di recenti fantasiose teorie, frutto di notti insonni e digestioni problematiche di qualche professionista del settore.
IMHO, il passaggio che farà più rumore, che darà più fastidio e che si cercherà in tutti i modi di ignorare è questo:
“L'EDPB desidera ricordare
innanzitutto che i dati personali
non possono essere considerati
un bene commerciabile.”
(Mi dispiace, questo è il carattere più grande che ho a disposizione.)
Inoltre richiama direttamente le linee guida EDPB sull'articolo 6, paragrafo 1, lettera b), del GDPR, paragrafo 54 già ben noto e già ampiamente ignorato.
(paragrafo 130)
Con identico accento, l’EDPB dice, ancora: “Per quanto riguarda l'imposizione di un costo per l'accesso alla versione "alternativa equivalente" del servizio, l'EDPB ricorda che i dati personali non possono essere considerati alla stregua di un bene commerciabile e i responsabili del trattamento dovrebbero tenere presente la necessità di evitare che il diritto fondamentale alla protezione dei dati si trasformi in una caratteristica che gli interessati devono pagare per poterne usufruire.”
(sintesi iniziale)
E di nuovo nelle conclusioni, “L'EDPB ricorda che i dati personali non possono essere considerati alla stregua di un bene commerciabile e le grandi piattaforme online dovrebbero tenere presente la necessità di evitare che il diritto fondamentale alla protezione dei dati si trasformi in una caratteristica che gli interessati devono pagare per goderne. Pertanto, l'offerta di (solo) un'alternativa a pagamento al servizio che include il trattamento a fini di pubblicità comportamentale non dovrebbe essere la via da seguire di default per i responsabili del trattamento.”
(Paragrafo 180)
KABOOM!
È una bomba atomica, un elefante rosa a pois proprio nel mezzo della stanza.
Da tempo, tanti hanno fatto finta di non vederlo ma, accidenti, è proprio li!
Panico
Orrore
Eresia
Cacciateli via
…
E adesso, dopo aver elaborato il lutto, cosa si fa?
Personalmente, come DPO, non mi scompongo più di tanto poiché ho sempre sostenuto la stessa cosa.
Al contrario, chi ha basato un intero modello di business sulla speranza che i dati potessero essere il nuovo petrolio, probabilmente, dovrà incominciare a pensare ad una riconversione industriale, un po’ come è accaduto a chi costruiva mine antiuomo, ai cacciatori di cuccioli di foca, ai boscaioli amazzonici, ai sotterratori di rifiuti tossici, agli spacciatori di mondi artificiali.
Anime candide, non è nemmeno tutta colpa loro. Ho sentito illustri componenti di Autorità Garanti affermare proprio questo, che i dati fossero il nuovo petrolio.
Non è finita.
Anche dicendo che “La protezione non si trasformi in una caratteristica che gli interessati devono pagare per godere, o in una caratteristica premium riservata ai ricchi o ai benestanti.” l’EDPB esprime un concetto abbastanza diretto. (Paragrafo 132)
Un passaggio è certamente stato scritto pensando al Real Time Bidding (RTB), le pubblicità contestuali, e alle infinite collezioni di selezionatissimi partner che infestano i network della profilazione online: “quando si creano e si arricchiscono i profili degli utenti che vengono utilizzati per la pubblicità comportamentale, i profili dovrebbero essere cancellati dopo la revoca del consenso e non dovrebbero essere trattati, anche per un'altra finalità basata su una base giuridica diversa, tranne quando i dati personali sono trattati per un'altra finalità con una base giuridica valida fin dall'inizio.”
Sarà bellissimo osservare i campioni di arrampicata sugli specchi provare a tirare avanti ancora un po, fino alla conflagrazione.
Infine, ho apprezzato che l’EDPB si sia spinta su un terreno minato che si incontra quando si aggancia l’erogazione di una prestazione contrattuale ad un consenso. Chi si occupa di protezione dei dati personali sa bene che, volendo poter contare su contratti validi, efficaci e gestibili, mai nella vita bisognerebbe vincolare un contratto a qualcosa di liberamente e arbitrariamente revocabile, come il consenso. Se il consenso è necessario per erogare le prestazioni e se questo consenso viene revocato, le parti si possono trovare in situazioni decisamente imbarazzanti, il contratto stesso inizia a traballare e i suoi effetti sono vaporizzati da una semplice parolina… “revoco il mio consenso”.
Immaginiamoci , per esempio, un abbonamento a metà prezzo se sottoscritto associato ad un consenso qualsiasi… l’utente si può essere impegnato ad un anno di abbonamento ma, revocando il suo consenso dopo il secondo mese, crollerebbe l’intero castello contrattuale e con esso il sinallagma, le prestazioni, le reciproche obbligazioni. Puf, svanito tutto!
Anche l’EDPB attorno ai paragrafi 171 e 172 tocca questo tema facendo capire molto bene perchè quando un trattamento è funzionale ad un contratto, è sbagliato basarlo sul consenso. Del resto, basta la normale applicazione del GDPR e del suo articolo 6 per capire che se un trattamento è necessario per l’esecuzione di un contratto, è sbagliato chiedere un consenso. Il consenso, oggi, è una base di legittimazione residuale: una brutta bestia, difficile da gestire, molto insidioso per il titolare. Sconsigliabile.
Chiuderei questa analisi con un’ultima chicca proposta dall’EDPB, un po’ nascosta e compressa negli ultimi due paragrafi del documento (177 e 178), il rinnovo del consenso.
Ma quanto dura il consenso? Sbiadisce nel tempo? Smette di rappresentare la volontà dell’interessato? Quando perde validità?
Sono domande importanti e sono tutte scritte su un altro elefante nella stanza.
Il GDPR non specifica alcun termine per la durata del consenso e questo ha permesso alla fantasia di galoppare libera e a imprenditori malconsigliati di fare danni inenarrabili.
Questo tempo di validità, purtroppo, dipende dalle aspettative dell’interessato e, per valutarlo, è necessario mettersi nei panni del cliente/utente/visitatore/pollodaspennare.
L’EDPB si spinge oltre suggerendo una tempistica definita, ragionevole, adeguata, diciamo pure un desiderata incidentalmente inserito alla fine di un parere non vincolante… una cosetta da nulla:
"Nel contesto della pubblicità comportamentale, considerando l'intrusività del trattamento, un periodo di tempo limitato durante il quale il consenso rimane valido, come ad esempio un anno, sembra appropriato."
GAME OVER
Auguri a tutti gli amici data broker, ai network di selezionatissimi partner e naturalmente a chi ha sempre fatto finta di non capire.
Se interessa il parere del EDPB, tradotto in italiano maccheronico e annotato con mie sottolineature, eccolo: SCARICA QUI
SEI UN PROFESSIONISTA?
👇 👇 Clicca qui 👇 👇
Nessun commento:
Posta un commento
Si pensa meglio in due... se vuoi unirti al Pensatoio, sei il benvenuto. Ragioniamo, confrontiamoci, scorniamoci... in ogni caso sarà un'occasione per progredire.