Paywall? La bassa Sassonia dice no. L’Autorità per la privacy della Bassa Sassonia (LfD) interviene contro il modello Paywall utilizzato da un celebre sito di notizie tecnologiche tedesco, heise.de. Questo approccio offriva agli utenti la possibilità di scegliere tra l’abbonamento mensile e il consenso al trattamento dei loro dati personali per fini pubblicitari e di marketing. Tuttavia, secondo la LfD, il modello Paywall adottato a partire dal 2021, è stato giudicato illegittimo. Un modello che ha preso piede un po’ in tutto il mondo, Italia compresa. Nel nostro paese, come abbiamo raccontato in questo nostro articolo di Ottobre 2022, il primo sito di informazioni ad adottare questo metodo, che di fatto monetizza l’acquisizione di dati, è stato Repubblica.it. Al momento in Italia è una pratica consentita, sebbene monitorata da vicino dal Garante.
Nuovi scenari
La decisione dell’autorità tedesca è stata un duro colpo per i siti web giornalistici che hanno adottato lo stesso sistema. In Germania, e non solo, il dibattito sul tema si è intensificato. La LfD, pur ritenendo che il modello in sé potesse essere ammesso, ha trovato non conforme alla legge l’approccio adottato da heise.de, in quanto mancava la possibilità per gli utenti di esprimere un consenso specifico per determinati scopi, una violazione delle linee guida della Conferenza delle autorità tedesche per la protezione dei dati (DSK). La DSK aveva già manifestato preoccupazione sulla mancanza di un consenso trasparente e specifico sui siti web con questa modalità d’accesso.
Decisione e GDPR
Felix Mikolasch, un avvocato di Noyb specializzato in protezione dei dati personali, ha evidenziato come la soluzione “Paga o cedi i dati” rappresenti un sistema “prendere o lasciare” che, di fatto, costringe l’utente ad acconsentire alla cessione totale dei propri dati, o pagare. Una condizione che sembra essere apertamente in contrasto con il GDPR, regolamento che richiede un consenso libero per ogni tipo di trattamento e che, nella sostanza, pare non lasciare libertà di scelta all’utente stesso.
Le indagini
Il caso heise.de è la punta dell’iceberg di un’indagine che ha coinvolto 5 aziende di media tedeschi, sempre riguardo all’uso dei cookie e al tracciamento degli utenti a fini pubblicitari. Un caso eclatante sia per la popolarità del sito, sia per le infrazioni rilevate. L’Autorità sassone ha infatti scoperto che il portale iniziava a trattare i dati personali degli utenti appena il sito web veniva aperto, senza richiedere alcuna azione esplicita da parte degli utenti stessi. Questo significa che i cookie di tracciamento venivano installati prima ancora che l’utente potesse esprimere il proprio consenso. Inoltre, il consenso fornito non era trasparente e libero, poiché il sito web utilizzava una strategia di per influenzare le scelte degli utenti a suo vantaggio.
Privacy by design
A proposito della scarsa limpidezza del sito in questione, la LfD ha evidenziato come fosse carente anche in Privacy by design, infatti il meccanismo per negare o revocare il consenso risultava (volutamente? Domanda retorica…) poco intuitivo. I banner di consenso erano, in sostanza, fuorvianti nella loro progettazione (i cosiddetti “Dark Patterns” di cui abbiamo già parlato in questo articolo). L’intervento della LfD rappresenta una pietra miliare nella regolamentazione della privacy in Germania e in Europa in generale. Lo stop imposto e mette in discussione il modello “Pay or Okay” utilizzato da molti siti web giornalistici, ormai ovunque. Per poter proseguire con le proprie attività, tutti i siti pizzicati dal Garante tedesco hanno dovuto effettuare modifiche e non avvalersi più del metodo “incriminato”.
E in Italia?
Il tema dei Cookie Wall è nell’agenda del Garante italiano già dai tempi del “caso Repubblica”, che ha aperto la strada praticamente tutte le altre testate giornalistiche. Il primo intervento ufficiale dell’Autorità è datato Ottobre 2022, proprio in riferimento al “caso Repubblica”. Un comunicato stampa che di fatto autorizza il proseguimento dell’iniziativa:
la normativa europea sulla protezione dei dati personali non esclude in linea di principio che il titolare di un sito subordini l’accesso ai contenuti, da parte degli utenti, al consenso prestato dai medesimi per finalità di profilazione (attraverso cookie o altri strumenti di tracciamento) o, in alternativa, al pagamento di una somma di denaro.
L’istruttoria
A poca distanza dal primo comunicato, il Garante ne ha emanato un altro, datato Novembre 2022, in cui ha annunciato l’apertura di un’istruttoria per valutare la liceità delle iniziative di Repubblica e di tutti i gruppi editoriali che, a ruota, hanno adottato lo stesso metodo. L’Autorità ha rivolto ai maggiori gruppi editoriali nazionali specifiche richieste di informazioni in grado di chiarire, in particolare, le modalità di funzionamento del meccanismo in questione e le diverse tipologie di scelte a disposizione dell’utente. Ha inoltre chiesto di fornire tutti gli elementi utili a dimostrare che la normativa in materia di protezione dei dati personali sia stata rispettata, innanzitutto riguardo alla correttezza e alla trasparenza dei trattamenti e al fondamentale requisito della libertà del consenso. L’istruttoria, essendo datata Novembre 2022 è molto probabile stia entrando nel vivo. La questione è tutt’altro che archiviata.
Le ultime dal Garante sul tema
In attesa di capire se l’istruttoria aperta a Novembre possa ricevere una spinta anche in relazione alle novità arrivate dalla Germania, l’Autorità Garante per la protezione dei dati personali è tornata sul tema proprio lo scorso 6 Luglio in occasione della presentazione della Relazione annuale sull’attività del 2022. Nell’intervento, ha definito la recente modalità che vede subordinare l’accesso ai contenuti web all’accettazione di tutti i cookie o, in alternativa, al pagamento di un prezzo:
Un’ulteriore criticità del capitalismo delle piattaforme riguarda la tendenza alla remunerazione del consenso al trattamento dei dati personali, assunto come parte di uno scambio tra dati e servizi.
Concludendo
Una definizione che lascia poco spazio a dubbi, il Garante è molto attento a questa problematica. Al momento l’approccio dell’Autorità sembra non essere restrittivo, ma la questione è apertissima. Questione affrontata ovviamente anche da altri Garanti europei, tutti al momento in fase di monitoraggio e ricerca di soluzioni. In particolare, potrebbe essere interessante l’approccio della CNIL (Il Garante francese), che sta valutando una soluzione “diplomatica” , ovvero valutare caso per caso un pagamento ragionevole e proporzionato alla cessione dei dati. Staremo in allerta su eventuali sviluppi.