ANDIG

Il caso cookie wall: riaffermazione delle tutele privacy o inevitabile declino del GDPR?

Scritto da Salvatore Efisio Ximenes

Quando alcune settimane fa milioni di utenti hanno tentato di raggiungere l’home page di blog e portali per la consultazione e la lettura dei propri quotidiani preferiti, dilettandosi in quella routine giornaliera che Hegel definiva “la preghiera del mattino dell’uomo moderno”, si sono ritrovati di fronte a ciò che in gergo tecnico viene chiamato “cookie/pay wall”: un’insuperabile barriera sotto forma di banner talmente vincolante (take it or leave it[1]) che impediva l’accesso ai contenuti del sito concedendo, come unica alternativa all’accettazione del consenso per i cookie di profilazione ai fini commerciali, la sottoscrizione di un abbonamento.

Che cosa sono i cookie?

I cookie sono stringhe di testo che i siti e i web server visitati dall’utente (denominati Publisher o Prime parti) ma anche quelli da esso non visitati (chiamati di Terze parti) posizionano e archiviano all’interno di un dispositivo elettronico nella disponibilità dell’utente web. Ne esistono di molti tipi, come quelli tecnici necessari per consentire la navigazione sui siti Internet, e i più noti, detti “cookie di profilazione”, sono destinati ad assolvere una doppia funzione. Inizialmente, ricondurre a persone fisiche determinate, identificate o identificabili, specifiche azioni e comportamenti ad essi ricorrenti nell’ambito delle funzionalità offerte, chiamate “pattern”, per poi profilare l’utente navigatore web e potergli in seguito mostrare messaggi pubblicitari mirati in linea con i gusti e le preferenze registrate durante la consultazione di siti e pagine online.

L’illusione dei servizi online gratuiti e il valore dei dati personali

Nelle intenzioni del legislatore europeo, il Regolamento Generale per la Protezione dei Dati Personali (GDPR) avrebbe dovuto individuare nella protezione del dato e delle persone cui essi si riferiscono l’architrave della specifica disciplina nazionale e sovrannazionale che assicura al soggetto direttamente interessato a un trattamento di dati personali un ventaglio di facoltà e poteri tali da garantirgli, almeno teoricamente, il controllo in relazione ad essi in qualunque momento del trattamento stesso.

Tuttavia la normativa del GDPR si inserisce in un quadro congiunturale ove la digitalizzazione dei servizi avviata negli anni ’90 dalla Microsoft di Bill Gates (“Nel futuro vedo un computer su ogni scrivania e uno su ogni casa”) e quindi ulteriormente definita da Steve Jobs (portare internet nelle tasche di ogni persona) ha trasformato i dati personali nell’inesauribile carburante di un’economia che secondo la DG Connect[2] è destinata a passare rapidamente dai 60 miliardi di euro del 2016 agli oltre 100 nel breve volgere di pochi anni.

Un circuito inesauribile di ricchezza, per i colossi dei Big Data, il cui baricentro poggia su un dogma semplice e performante: offrire servizi e contenuti web “gratis” in cambio del consenso al trattamento dei dati degli utenti. Un’astuta bugia perpetrata con la complicità della scarsa educazione alla privacy, carente e ben lungi dal far presa nella cultura di massa, insieme alla resistente percezione relativa all’inconsistente valore dei dati individuali malgrado studi accreditati quantifichino, per ciascuna persona, 40 € di valore medio per quelli registrati su Internet e addirittura in 612 € quello relativo ai dati salvati sui PC e sui dispositivi mobili di ogni singolo utente.

La richiesta del consenso per la profilazione quale compenso per i servizi internet è in accordo con la legislazione europea a tutela dei dati personali?

Secondo quanto disposto dal GDPR, il trattamento dei dati personali è possibile per finalità determinate, esplicite, legittime e solo quando ricorra almeno una delle seguenti basi giuridiche: il consenso; l’esecuzione di un contratto; l’adempimento di un obbligo di legge; la tutela di interessi vitali della persona; l’esecuzione di compiti di interesse pubblico; il legittimo interesse del titolare del trattamento.[3]

Le norme del GDPR sono ulteriormente precisate e integrate dalla Direttiva ePrivacy[4], in questo caso legge speciale nei confronti delle più generali norme del GDPR,[5] che specifica come l’unica possibile base giuridica per legittimare il trattamento dei dati personali fondato sulla profilazione per fini commerciali sia il consenso espresso dal diretto interessato con la conseguente esclusione di ognuna delle altre basi giuridiche precedentemente menzionate.

Ciò premesso, è l’articolo 7 del GDPR[6] a disciplinarne compiutamente forma e contenuti stabilendo, tra le altre cose, come non possa parlarsi di consenso liberamente prestato dalla persona quando, ad esempio, l’esecuzione di un contratto o la prestazione di un servizio siano subordinati al consenso al trattamento di dati personali non necessario ai fini dell’esecuzione del contratto stesso.

Il fatto che la profilazione per fini commerciali possa essere legittimata solo dal consenso libero e informato del diretto interessato deve però tenere conto di un ulteriore aspetto dirimente evidenziato dal considerando (1) del GDPR in ragione del quale “ la tutela delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale” e in questo senso costituiscono un bene “extra commercium” insuscettibile di essere venduto, scambiato o comunque ridotto a un mero interesse economico.[7] 

Quando il consenso espresso dall’interessato può dirsi veramente libero?

Se non possono sussistere dubbi sul fatto che qualunque editore di contenuti online debba fornire all’utente web l’informativa sul trattamento dati ai sensi degli articoli 13-14 del GDPR, appare doveroso  un supplemento di indagine con riguardo alla libertà del consenso.

A seguito dell’entrata in vigore del GDPR sono stati gli interventi del Comitato Europeo per la Protezione dei Dati (di seguito in poi, EDPB) e del nostro Garante per la Protezione dei dati Personali a esplicitare dettagliatamente l’istituto in parola. Nello specifico, le Linee Guida 5/2020 subordinano la legittimazione del consenso a due precondizioni quali l’effettivo controllo sul trattamento dei dati da parte del diretto interessato e che quest’ultimo abbia potuto godere di effettiva libertà di scelta nel decidere se accettare o meno i termini del consenso. Risulterebbe infatti sostanzialmente viziato, e in contrasto con la normativa europea, un consenso (subordinato all’accettazione di condizioni pregiudizievoli) prestato dall’interessato al fine di evitare le possibili conseguenze negative legate a un suo rifiuto. Sussiste infatti una presunzione, ribadita dall’EDPB, secondo cui l’accettazione del consenso posta come opzione non negoziabile e non rifiutabile nelle condizioni di contratto/servizio renda il consenso così ottenuto come estorto e non espresso liberamente.[8] 

CONCLUSIONI[9]

Non è soltanto il complessivo impianto della disciplina europea posta a presidio dei dati personali ad escludere che questi possano essere considerati moneta di scambio usata dagli utenti web come forma di pagamento per fruire di servizi e contenuti apparentemente gratuiti. L’istituto del consenso, come illustrato nelle Linee Guida dell’EDPB, non esclude la libertà dell’utente alla profilazione (astrattamente non vietata) ma intende preservare la tutela dei dati personali impedendo che questi diventino oggetto di transazioni ove lo squilibrio dettato dalla posizione dominante dell’editore web possa costringere il singolo utente ad abdicare a un diritto fondamentale della persona al solo fine di evitare pregiudizi e limitazioni nelle sue facoltà di scelta.

Il Garante per la Protezione dei Dati Personali, che ha recentemente aperto un’istruttoria in merito, sarà chiamato a una scelta comunque difficile: scontentare gli editori riaffermando la linea più aderente e fedele al dettato del GDPR (ribadita a più riprese dall’EDPB) dichiarando insieme all’illegittimità dei cookie/pay wall anche quella dei trattamenti dati basati sulle profilazioni o, per converso, sdoganare formalmente quella mercificazione dei dati personali ormai invalsa nella realtà digitale quotidiana. In quest’ultima ipotesi, si assisterebbe all’ennesimo passo indietro nella tutela dei diritti sacrificati sull’altare della ragion di business ove i dati personali di molti trasmutano in cartamoneta e tintinnante valuta a maggior gloria, e beneficio, di pochi.

 

[1] Letteralmente sta per “prendere o lasciare”.

[2] La Direzione Generale delle reti, dei contenuti e delle tecnologie della Commissione Europea è responsabile delle politiche dell’UE in materia di mercato unico digitale, sicurezza di Internet e scienza e innovazione digitale.

[3] Si veda, art. 6, GDPR.

[4] Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).

[5] Tra il GDPR e la Direttiva ePrivacy sussiste un rapporto di genere a specie. Quando le disposizioni di questi atti giuridici si sovrappongono, disciplinando in maniera apparentemente non univoca medesimi aspetti di identiche fattispecie, in forza del famoso brocardo “Lex specialis derogat generali” saranno le norme della Direttiva ePrivacy, più specifiche, a prevalere su quelle più generali del GDPR (che continuerà ad essere invece riferimento normativo per tutte quelle fattispecie non espressamente previste né normate dalla Direttiva ePrivacy).

[6] Art. 7 del GDPR, rubricato “Condizioni per il consenso”.

[7] Si veda Sentenza n. 2360 del 29.03.2021 della VI° Sez. del Consiglio di Stato che nella motivazione al provvedimento ha cura di sottolineare come la patrimonializzazione del dato personale sia diretta conseguenza della profilazione dell’utente a fini commerciali.

[8] Linee Guida 5/2020 sul consenso ai sensi del Reg. (UE) 2016/679, punti nn. 3, 13, 14, 26, 30, 31, 37, 38, 39, 46, 48, 82.

[9] Dedicato a Walter e Dolores.