Con l’escamotage “Dai il consenso o paga” le grandi piattaforme come Facebook e Instagram violano il GDPR. Questa è la conclusione a cui sono giunte le autorità per la protezione dei dati europee.
Nel corso della plenaria del 17 aprile 2024, l'European Data Protection Board ha infatti adottato un parere ai sensi dell'art. 64 (2) del GDPR a seguito delle richieste che gli erano state sottoposte dalle autorità olandese, norvegese e di Amburgo, anche alla luce della sentenza C-252/21 della Corte di Giustizia UE.
Il parere del board europeo affronta la validità del consenso al trattamento dei dati personali ai fini della pubblicità comportamentale nel contesto del metodo conosciuto come “Pay or Okay” che le grandi piattaforme online hanno adottato negli ultimi tempi.
Il presidente dell’ EDPB, Anu Talus ha dichiarato: “Le piattaforme online dovrebbero offrire agli utenti una scelta reale quando utilizzano modelli come “Dai il consenso o paga”’. I modelli adottati attualmente richiedono di solito che le persone forniscano tutti i loro dati o paghino. Di conseguenza, la maggior parte degli utenti acconsente al trattamento per utilizzare un servizio e non comprende tutte le implicazioni delle proprie scelte.
Per quanto riguarda i modelli "Dai il consenso o paga" implementati dalle grandi piattaforme online, i garanti europei ritengono che, nella maggior parte dei casi, non sarà possibile per loro soddisfare i requisiti per un consenso valido se mettono gli utenti di fronte solo alla scelta tra il consenso trattamento dei dati personali per finalità di pubblicità comportamentale e pagamento di un compenso.
L’EDPB ritiene che offrire solo un’alternativa a pagamento ai servizi che comportano il trattamento di dati personali a fini di pubblicità comportamentale non dovrebbe essere la soluzione predefinita per i titolari del trattamento.
Nello sviluppare alternative, le grandi piattaforme online dovrebbero pertanto prendere in considerazione la possibilità di fornire ai singoli individui un’alternativa equivalente che non comporti il pagamento di una commissione.
Se i titolari del trattamento scelgono di addebitare una tariffa per l’accesso all’alternativa equivalente, dovrebbero prendere in seria considerazione l’offerta di un’alternativa aggiuntiva. Questa alternativa gratuita dovrebbe essere priva di pubblicità comportamentale (per esempio una forma di pubblicità che comporti il trattamento di pochi o nessun dato personale). Questo è un fattore particolarmente importante nella valutazione del consenso valido ai sensi del GDPR.
L'EDPB, che ha preannunciato anche nuove linee guida sul tema, sottolinea che l'ottenimento del consenso non esenta il titolare dal rispetto di tutti i principi delineati nell'art. 5 del GDPR, quali limitazione delle finalità, minimizzazione dei dati e correttezza. Inoltre, le grandi piattaforme online dovrebbero anche considerare il rispetto dei principi di necessità e proporzionalità, e hanno la responsabilità di dimostrare che il loro trattamento è generalmente in linea con il GDPR.
Per quanto riguarda la necessità che il consenso sia libero, dovrebbero essere sempre presi in considerazione i criteri di condizionalità, pregiudizio, squilibrio di potere e granularità. Ad esempio, il board dei garanti sottolinea che qualsiasi tariffa addebitata non può far sentire gli individui obbligati a dare il proprio consenso.
Le autorità dovrebbero valutare, caso per caso, sia se una tariffa sia adeguata sia quale importo sia appropriato nelle circostanze date. Le grandi piattaforme online dovrebbero anche considerare se la decisione di non prestare il consenso può portare l’individuo a subire conseguenze negative, come l’esclusione da un servizio importante, la mancanza di accesso a reti professionali o il rischio di perdere contenuti o connessioni.
L’European Data Protection Board rileva che è probabile che si verifichino conseguenze negative quando le grandi piattaforme online utilizzano un modello “consenso o pagamento” per ottenere il consenso al trattamento.
I titolari del trattamento devono inoltre valutare, caso per caso, se esiste uno squilibrio di potere tra l’individuo e il titolare del trattamento. Tra i fattori da valutare figurano la posizione delle grandi piattaforme online sul mercato, la misura in cui il singolo fa affidamento sul servizio e il pubblico principale del servizio.
Inoltre, l’EDPB fornisce elementi per valutare i criteri di consenso informato, specifico e inequivocabile di cui le grandi piattaforme online dovrebbero tenere conto nell’attuazione dei modelli “Pay or Okay”.
Il presidente del comitato dei garanti europei, Anu Talus, ha inoltre raccomandato: “I titolari del trattamento dovrebbero fare sempre attenzione a evitare di trasformare il diritto fondamentale alla protezione dei dati in una funzionalità di cui gli individui devono pagare per usufruire. Gli individui dovrebbero essere resi pienamente consapevoli del valore e delle conseguenze delle loro scelte”.
News ripresa da [Federprivacy](https://www.federprivacy.org/informazione/flash-news/il-metodo-dai-il-consenso-o-paga-viola-la-privacy-degli-utenti