Skip to content Skip to sidebar Skip to footer

Update | Pay or OK: la posizione dell’EDPB

L’European Data Protection Board (“EDPB”), con un’opinion emessa lo scorso 17 aprile, è tornata a pronunciarsi sul tema del Pay or OK – ossia la pratica che subordina l’accesso ai contenuti online alla sottoscrizione di un abbonamento o, in alternativa, alla prestazione del consenso al trattamento dei dati personali a fini di pubblicità comportamentale – cui ricorrono sempre più spesso le grandi piattaforme online. L’opinion dell’EDPB si concentra sulla validità del consenso prestato dagli utenti mediante tale sistema, che potrebbe risultare compromesso dall’impossibilità pratica di godere di un servizio senza accettare di essere profilati o pagare una somma di denaro.

  1. La libertà del consenso

L’EDPB ritiene che i modelli Pay or OK implementati dalle grandi piattaforme online – di cui fornisce una definizione parametrata al numero degli utenti della piattaforma e al trattamento su larga scala -, nella maggior parte dei casi, non consentono di soddisfare i requisiti per un consenso valido, che, in base alla normativa in materia, deve essere libero, specifico, informato ed inequivocabile. Ciò in quanto, mediante tali sistemi, gli utenti si trovano di fatto a dover scegliere se prestare il consenso alla pubblicità personalizzata, pagare una somma di denaro o, in mancanza, a rinunciare del tutto al servizio. Quest’ultima possibilità può costituire un pregiudizio per gli interessati, specialmente in caso di servizi utilizzati quotidianamente o ritenuti essenziali, come, ad esempio, una piattaforma che diffonde informazioni di interesse non facilmente accessibili altrove o una piattaforma per la ricerca di lavoro. Tale pregiudizio, a parere dell’Autorità, potrebbe sussistere anche nel caso dei social media, la cui esclusione può portare gli utenti ad essere privati dalle interazioni sociali sulla piattaforma, causando così isolamento sociale e influenzando negativamente il loro benessere emotivo e psicologico. Si pensi, inoltre, al caso dei content creator o degli influencer, per i quali i social media possono rappresentare la principale fonte di reddito e la base della propria attività professionale: questi soggetti potrebbero sentirsi costretti a prestare il proprio consenso alla profilazione pur di non perdere il loro portfolio, i loro follower e, in generale, la propria fonte di guadagno.

In tali ipotesi, inoltre, il consenso, non può considerarsi liberamente prestato anche nel caso in cui la grande piattaforma online che offre i propri servizi sul modello del Pay or OK abbia un’influenza significativa sul mercato tale da fidelizzare i propri utenti al punto di far ritenere loro che non vi siano alternative valide da parte di altri competitor. Secondo l’EDPB, infatti, in tale situazione la libertà di scelta sarebbe subordinata alle azioni di altri operatori di mercato e dalla percezione del soggetto interessato sulla parità del servizio offerto da un altro fornitore.

Per tali ragioni, l’EDPB sottolinea che gli utenti possono effettivamente godere di una libera scelta solo nel caso in cui le grandi piattaforme online – su cui è focalizzata questa opinion – offrano, oltre alle due alternative attuali, una “alternativa equivalente”, che sia gratuita e priva di profilazione per finalità di pubblicità comportamentale, come, ad esempio, una versione del servizio che preveda una forma meno intrusiva di pubblicità rispetto a quella personalizzata. Ciò è il caso della pubblicità contestuale, ossia legata al contesto in cui viene visualizzata.

L’EDPB chiarisce che, per costituire un’alternativa reale, la versione alternativa del servizio deve presentare le stesse funzioni ed elementi di quella a pagamento o con la pubblicità comportamentale, nonché possedere le medesime qualità.

L’EDPB ricorda, inoltre, che i minori non dovrebbero essere destinatari di pubblicità comportamentale: la proposta di una soluzione alternativa al Pay or OK, quindi, va identificata anche a favore di tale categoria di soggetti.

  1. I requisiti del consenso

Nell’opinion, l’EDPB chiarisce che le piattaforme che ricorrono al modello dei Pay or OK devono in ogni caso rispettare i requisiti normativi del consenso e, in generale, i principi in materia di protezione dei dati personali.

In primo luogo, il consenso deve essere granulare: se sono previste diverse finalità di trattamento – come, ad esempio, la personalizzazione dei contenuti, il miglioramento del servizio e la misurazione dell’audience è necessario ottenere il consenso per ciascuna di queste.

In secondo luogo, è necessario che il consenso prestato sia informato e che, quindi, la piattaforma provveda a descrivere chiaramente le modalità di trattamento dei dati, sia rispetto ai vantaggi offerti agli interessati – i.e. un’esperienza più personalizzata – che rispetto alle ulteriori conseguenze più invasive. In particolare, l’EDPB chiarisce che le grandi piattaforme online dovrebbero fornire informazioni circa: (i) la raccolta e il trattamento dei dati mantenuti dal titolare indipendentemente dal fatto che l’utente acconsenta alla pubblicità comportamentale e (ii) la combinazione o l’uso incrociato dei dati, ossia se e in che misura i dati vengono uniti con dati raccolti da altri servizi o da terzi soggetti.

  1. Ulteriori prescrizioni

Da ultimo, l’EDPB chiarisce che le grandi piattaforme online devono consentire agli utenti di revocare il consenso in qualsiasi momento senza subire ripercussioni. Nel caso specifico del modello Pay or OK, la revoca del consenso richiede di presentare nuovamente all’utente la scelta di acconsentire al trattamento dei dati per fini pubblicitari oppure di optare per un abbonamento a pagamento.

Inoltre, l’EDPB sottolinea che se un utente decide di passare dalla versione gratuita di un servizio a quella a pagamento, ciò equivale a revocare il consenso inizialmente fornito. D’altro canto, se l’utente interrompe l’abbonamento a pagamento, questo non costituisce una nuova prestazione del consenso al trattamento dei dati.

***

Il parere dell’EDPB sul tema del Pay or OK rappresenta un chiaro segnale verso le piattaforme online e i legislatori europei sulla necessità di rivedere i modelli di monetizzazione che hanno un impatto sui diritti fondamentali degli utenti. In Italia si attende ancora una presa di posizione ufficiale del Garante Privacy sul tema, che potrebbe fungere da punto di riferimento per gli attori nazionali.

Leave a comment

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.