Pay or Consent, orientarsi tra modelli di business, dati personali e ladri di polli.
Pay or Consent - Cookiewall - Paywall - Consentwall
Orientarsi tra modelli di business, dati personali e ladri di polli.
PS: il 17 Maggio si svolgerà un webinar tecnico su questo argomento. Maggiori dettagli su https://www.sgst.it/in-evidenza/cookiewall
Il 17 Aprile 2024, l’EDPB, il Comitato Europeo per la Protezione dei Dati Personali, ha approvato e pubblicato un importante parere sulle pratiche di CONSENSO o PAGAMENTO. Il compito principale di questo “Garante dei Garanti” è di assicurarsi che il GDPR sia applicato in modo coerente e uniforme in tutta Europa, pertanto le sue indicazioni hanno una rilevanza notevole per orientare le aziende e gli enti di controllo.
Cos’è il “CONSENSO o PAGAMENTO”?
Lo definirei serenamente come una normale pratica commerciale per la massimizzazione dei profitti che rispecchia un modello di business e le sottostanti legittime scelte imprenditoriali. Non lo demonizzerei e mi sembra abbastanza scontato che si debba ragionare in questi termini per chiunque non sia una no profit, un ente pubblico o non abbia risorse infinite.
A volte, tuttavia, il trattamento dei dati personali che queste pratiche comportano, non è esattamente legittimo.
Qui, si, scatta la violenza.
Nel lontano ottobre 2022, gran parte degli editori italiani, con una sincronia degna delle ferrovie elvetiche, ha adottato all’unisono i famigerati "cookie wall", introducendo modalità di accesso all’informazione basate sulla scelta obbligata tra il pagamento di un abbonamento e il consenso ai cookie di profilazione per fini di marketing.
Con una tempestività degna delle ferrovie nipponiche, Il Garante Privacy ha annunciato (qui) una rigorosa istruttoria, peraltro ribadita a più riprese (QUI e QUI).
Purtroppo, ad oggi, sembra di viaggiare in seconda classe sul rapido Taranto-Ancona e, quel che è peggio, non si intravede la meta.
Per fortuna, anche altre autorità Garanti hanno aperto istruttorie, ponendo le basi per l’applicazione del GDPR alle insidiose pratiche di “PAY or OK”, diffuse anche in altri stati membri.
In questo contesto, il documento dell’EDPB potrebbe velocizzare le istruttorie ancora aperte e favorire una definizione dei fascicoli dalle tante autorità di vigilanza, incluso il Garante Privacy.
Il parere non è vincolante nella stessa misura in cui non lo è mia moglie quando dice “Oggi mi piacerebbe trovare le scarpe per Figlia1 perché è cresciuta tanto”, “Domani sarebbe bello andare al mare”, “Vorrei tanto che mettessi a posto il box”. Certamente, non c’è nulla di vincolante in questi desiderata, cosi, anche quello dell’EDPB è solo un parere, non è una sentenza né è scritto sulle tavole della legge, tuttavia sconsiglio di prescindere da esso, come dai desideri della propria moglie, a tutti coloro che hanno a cuore la propria esistenza terrena.
Ad una prima lettura, il parere 08/2024 appare estremamente analitico e metodico, passo dopo passo affronta l’intero percorso logico per arrivare a delineare criteri di valutazione ampi, adattabili a una molteplicità di casistiche.
Nonostante il carattere generale del testo, a tratti, si ha l’impressione che l’EDPB stia pensando proprio a specifiche situazioni e che intenda parlare proprio alle singole aziende. Alcuni paragrafi avrebbero potuto tranquillamente riportare un inciso simile a “...come nel recente caso di Twitter/X" o “...esattamente come ha fatto Facebook” o, ancora, “...proprio come l’editore XYZ che monetizza ben oltre il lecito”.
Ho studiato i quasi 190 paragrafi dell’opera con una certa trepidazione, non perché mi aspettassi colpi di scena, quanto per la speranza di trovare una dissertazione su un tema a me caro: l'affermazione e la conclamazione del principio del contemperamento degli interessi. Questo principio non è vergato all’interno degli articoli del GDPR e compare citato solo in un considerando che, peraltro, pare quasi avere una funzione limitante, subordinando la protezione dei dati personali a tanti altri diritti; un considerando che, purtroppo, all’apparenza non suona come una chiavi di lettura sistematica delle norme di questo regolamento.
Recital #4
Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
Con un pò di delusione mi sono accorto che questo principio, il contemperamento degli interessi, non viene richiamato espressamente nemmeno dall’EDPB ma lo si trova solo in modo indiretto. Peccato, perché è sempre utile ribadire questa che è la cifra stilistica fondamentale della normativa sulla protezione dei dati personali, così inclusiva, così flessibile e così capace di abbracciare ogni esigenza, ogni punto di vista ed ogni interesse: sia l’interesse economico di chi fa impresa, sia l’interesse fondamentale al rispetto della propria riservatezza, sia ogni altro diritto come quello di accesso all’informazione, alla partecipazione al dibattito pubblico, alla presenza online degli individui ecc.
A parte questo elemento, forse un po ideologico, ho comunque annotato il testo per distillare una sintesi e mi sono accorto che non è facile poiché è estremamente ricorsivo e, spesso, le differenze tra un paragrafo e l’altro sono minime e potrebbero essere qualificate come “sofismi” da un lettore non interessato a cogliere le sottigliezze.
La sintesi che tutti si aspettano è molto banale: cosa si può fare, cosa non si può fare, chi ha sbagliato e chi ha fatto bene. L’ho trovata un po ovunque sul web, naturalmente ho provato a scriverla a modo mio ma senza riuscire a trovare una formula soddisfacente. Ormai so che, in questi casi, devo chiudere tutto, fare altro per un paio di giorni e, dopo aver elaborato e digerito in background i vari pensieri, aspettare che scatti qualcosa nella testa.
Per fortuna è successo e, finalmente, è scomparso quel ronzio di fondo che solo io sentivo e che mi faceva apparire stonato e assorto agli occhi di familiari, amici e colleghi.
D’un tratto mi è tornato alla mente un brillante passaggio di “La Coscienza Parla“ di Ramesh Balsekar:
Due giovani monaci studiavano in seminario, ed entrambi erano incalliti fumatori.
Il loro problema era: “Posso fumare mentre prego?”
Non riuscendo a risolverlo, decisero di rivolgersi ai loro superiori. Più tardi, uno chiese all’altro che cosa gli aveva detto il superiore.
“Sono stato rimproverato aspramente solo per aver parlato del fatto” , disse il primo. “Ed il tuo superiore, cosa ti ha detto?”.
“Il mio fu molto compiaciuto” , disse il secondo. “Mi ha detto che facevo benissimo. Ma dimmi, che domanda gli ha fatto?”
“Gli ho chiesto se posso fumare mentre prego.”
“Te la sei voluta tu. Io gli ho chiesto: posso pregare mentre fumo?”
Né il fumo, né la religione o la preghiera sono affrontati dall’EDPB nel parere 08/2024, tuttavia sarebbe stato forse opportuno includere nelle valutazioni anche alcuni differenti punti di vista o cambi di prospettiva che, mi pare, non sono stati presi in debita considerazione, indebolendo il parere.
L’approccio dell’EDPB mi ricorda vagamente quello del superiore in seminario, da prima austero e poi addirittura compiaciuto per la medesima circostanza, semplicemente illustrata nella giusta prospettiva.
Proviamo a riscrivere la storia dei due seminaristi in salsa data protection:
I DUE CMO e il DPO. |
Due giovani Chief Marketing Officer, avevano lo stesso problema: “Gli ho chiesto se potevo profilare gli utenti del sito.” |
Ho letto questa storiella a mia figlia e, al termine, mi fissava con gli stessi occhi di un cerbiatto in autostrada che vede gli abbaglianti di una macchina in arrivo.
Ovviamente non è colpa sua, dipende da me e dai miei processi mentali ingarbugliati ed ermetici. Proverò con la gamification che va tanto di moda.
Proviamo, dunque, a giocare ad un nuovo gioco: il Fanta-Garante (Fantagarante.com). Poniamo alcune domande fondamentali in due modi differenti ed immaginiamoci come la prenderebbe il Fantagarante, anche per capire se il giudizio dell’EDPB é solido, coerente e applicabile a diverse fattispecie, a prescindere da come vengono descritte.
SOCIAL NETWORK “ICCHESE” | Fanta-Garante |
Caro Fantagarante, il mio sito è fighissimo e grazie all’esperienza maturata spremendo, hem, servendo milioni di utenti, abbiamo anche capito come renderlo migliore, più utile, più appetibile. Siamo certi che adesso possiamo attivare queste caratteristiche “premium” e faremo il botto. In parallelo, per incentivare la gente al passaggio, li riempiamo di pubblicità insulsa, di noiosi popup da chiudere e magari introduciamo qualche bella limitazione… Possiamo? | Tu sei scemo nella testa! 😡 |
Caro Fantagarante, il mio sito premium è fighissimo, guarda che roba. Mi dispiace quasi che non possa essere una risorsa accessibile a tutti e che le masse si debbano accontentare della versione base. Cosa ne dici se apriamo l’accesso a tutti, gratuitamente, togliendo magari solo alcune funzioni evolute che lasciamo a pagamento oppure, per rientrare dei costi, aumentiamo la pubblicità? Magari anziché proporre pubblicità, casuale che da fastidio a tutti, potremmo proporre pubblicità contestualizzata che possa essere interessante per chi la vede… magari possiamo proporre meno pubblicità ma selezionata meglio se ci autorizzano a fare un minimo di profilazione. Possiamo? | WOW, splendida idea. 🙂 |
SOCIAL NETWORK “FEISBUC” | Fanta-Garante |
Caro Fantagarante, il mio sito è molto apprezzato, al punto che abbiamo il consenso di ogni utente per ogni cosa che facciamo. In realtà non ne avremmo nemmeno bisogno perchè la profilazione era una feature prevista dal contratto e parte del servizio ma, vabbè, ti sei innervosito, ci hai sanzionato e allora l’abbiamo tolta dai ToS. Però la gente ci ama e desidera di cuore la profilazione, guarda, quasi tutti ci stanno dando il consenso per riaverla. Dato che sappiamo che sei un po pignolo, vorremmo dare agli utenti un'alternativa e riuscire a profilar… hem, a garantire l’accesso anche a chi proprio non vuole darci il consenso. Abbiamo pensato alla versione a pagamento. Con la profilazione e la pubblicità facevamo 50€/mese ad utente, quindi direi che possiamo far pagare l’abbonamento sui 30€ e mantenere pubblicità non profilata, così rientriamo e facciamo anche un po’ di margine in più. Ti piace l’idea? | Ma manco per sogno 😡 |
Caro Fantagarante, il mio sito è veramente apprezzato, usato da tutti in tutto il mondo. Chi non lo usa è considerato asociale, ma le persone stanno dando sempre più valore alla propria privacy e fanno scelte strane che non capiamo. È incredibile perchè ci negano il consenso e tollerano valanghe di pubblicità assurde al posto di poche pubblicità mirate. Padroni di gatti che vedono solo pubblicità di cibo per cani, gente con la macchina che vede fissanti per dentiere. Forse sono stati spaventati da chi ha utilizzato male strumenti come il consenso, i cookie banner e da chi tratta i dati illecitamente. Ci piacerebbe tanto poter rasserenare gli animi e soddisfare tutti, non escludere nessuno e vedere gente felice ma, senza consenso, non ci azzarderemmo mai a profilare gli utenti quindi avremmo pensato a questo: spieghiamo bene che il consenso serve più a loro che a noi e che è fondamentale per migliorare la loro esperienza in rete. Inoltre, per quelli che hanno “la fisima della privacy”, possiamo anche eliminare la pubblicità a fronte di un equo compenso. Saranno quattro gatti ma li rispettiamo. Che ne dici, procediamo? | Bravi, così si fa! 🙂 |
EDITORE “ColCairoCheNonTiProfilo” | Fanta-Garante |
Caro Fantagarante, non ho capito perchè stiamo a perdere tempo, l’informazione è garantita dalla costituzione e noi svolgiamo una funzione pubblica. Si, dovrebbe farlo lo Stato ma non è capace, figurati che delega noi e con quei quattro spicci di contributi che ci da pretende pure che scriviamo sempre bene del governo. Lipossino… Comunque, tagliamo corto che è meglio: come sai, lo fanno tutti, cani e porci, fanno pure di peggio. Se solo noi decidiamo di smettere e non incassiamo più denaro, ci sbranano, prima dovremmo licenziare tutti, poi dovremmo chiudere proprio. Di che stiamo a parlà? Ah, dimenticavo, se ci togli la pubblicità, la colpa sarà tua e lo faremo sapere a tutti. Se ci impedisci di far pagare il servizio, la colpa sarà sempre tua. …e tu non ci puoi fare niente. E’ la stampa bellezza. Ci siamo capiti? | Mentre parlavi sono morti tre DPO. 😡 |
Caro Fantagarante, questi siti sono sempre stati gratuiti ma siamo in un periodo di vacche magre e la gente non viene più sul sito perchè trova i titoli anche su google news. Pochi leggono i contenuti ma quelli sono il nostro valore aggiunto ed è li che diamo un prodotto di qualità, che peraltro costa molto. Non sappiamo per quanto riusciremo a farlo perchè c’è ChatGippittì che ci ruba il mestiere, ma questa è un’altra storia. Vorremmo fare così:
Siamo convinti che gli utenti premieranno queste scelte e decideranno di aiutarci, acconsentendo a tutti i trattamenti. | WOW, magnifico, merita un articolo pubblicato dietro paywall. 🙂 |
Bello questo giochino, devo farci un sito: il FantaGarante.com Ooops, l’ho fatto!
Facezie a parte, l’EDPB ci ha regalato alcuni passaggi importanti che dovranno essere valutati anche alla luce di recenti fantasiose teorie, frutto di notti insonni e digestioni problematiche di qualche professionista del settore.
IMHO, il passaggio che farà più rumore, che darà più fastidio e che si cercherà in tutti i modi di ignorare è questo:
“L'EDPB desidera ricordare
innanzitutto che i dati personali
non possono essere considerati
un bene commerciabile.”
(Mi dispiace, questo è il carattere più grande che ho a disposizione.)
Inoltre richiama direttamente le linee guida EDPB sull'articolo 6, paragrafo 1, lettera b), del GDPR, paragrafo 54 già ben noto e già ampiamente ignorato.
(paragrafo 130)
Con identico accento, l’EDPB dice, ancora: “Per quanto riguarda l'imposizione di un costo per l'accesso alla versione "alternativa equivalente" del servizio, l'EDPB ricorda che i dati personali non possono essere considerati alla stregua di un bene commerciabile e i responsabili del trattamento dovrebbero tenere presente la necessità di evitare che il diritto fondamentale alla protezione dei dati si trasformi in una caratteristica che gli interessati devono pagare per poterne usufruire.”
(sintesi iniziale)
E di nuovo nelle conclusioni, “L'EDPB ricorda che i dati personali non possono essere considerati alla stregua di un bene commerciabile e le grandi piattaforme online dovrebbero tenere presente la necessità di evitare che il diritto fondamentale alla protezione dei dati si trasformi in una caratteristica che gli interessati devono pagare per goderne. Pertanto, l'offerta di (solo) un'alternativa a pagamento al servizio che include il trattamento a fini di pubblicità comportamentale non dovrebbe essere la via da seguire di default per i responsabili del trattamento.”
(Paragrafo 180)
KABOOM!
È una bomba atomica, un elefante rosa a pois proprio nel mezzo della stanza.
Da tempo, tanti hanno fatto finta di non vederlo ma, accidenti, è proprio li!
Panico
Orrore
Eresia
Cacciateli via
…
E adesso, dopo aver elaborato il lutto, cosa si fa?
Personalmente, come DPO, non mi scompongo più di tanto poiché ho sempre sostenuto la stessa cosa.
Al contrario, chi ha basato un intero modello di business sulla speranza che i dati potessero essere il nuovo petrolio, probabilmente, dovrà incominciare a pensare ad una riconversione industriale, un po’ come è accaduto a chi costruiva mine antiuomo, ai cacciatori di cuccioli di foca, ai boscaioli amazzonici, ai sotterratori di rifiuti tossici, agli spacciatori di mondi artificiali.
Anime candide, non è nemmeno tutta colpa loro. Ho sentito illustri componenti di Autorità Garanti affermare proprio questo, che i dati fossero il nuovo petrolio.
Non è finita.
Anche dicendo che “La protezione non si trasformi in una caratteristica che gli interessati devono pagare per godere, o in una caratteristica premium riservata ai ricchi o ai benestanti.” l’EDPB esprime un concetto abbastanza diretto. (Paragrafo 132)
Un passaggio è certamente stato scritto pensando al Real Time Bidding (RTB), le pubblicità contestuali, e alle infinite collezioni di selezionatissimi partner che infestano i network della profilazione online: “quando si creano e si arricchiscono i profili degli utenti che vengono utilizzati per la pubblicità comportamentale, i profili dovrebbero essere cancellati dopo la revoca del consenso e non dovrebbero essere trattati, anche per un'altra finalità basata su una base giuridica diversa, tranne quando i dati personali sono trattati per un'altra finalità con una base giuridica valida fin dall'inizio.”
Sarà bellissimo osservare i campioni di arrampicata sugli specchi provare a tirare avanti ancora un po, fino alla conflagrazione.
Infine, ho apprezzato che l’EDPB si sia spinta su un terreno minato che si incontra quando si aggancia l’erogazione di una prestazione contrattuale ad un consenso. Chi si occupa di protezione dei dati personali sa bene che, volendo poter contare su contratti validi, efficaci e gestibili, mai nella vita bisognerebbe vincolare un contratto a qualcosa di liberamente e arbitrariamente revocabile, come il consenso. Se il consenso è necessario per erogare le prestazioni e se questo consenso viene revocato, le parti si possono trovare in situazioni decisamente imbarazzanti, il contratto stesso inizia a traballare e i suoi effetti sono vaporizzati da una semplice parolina… “revoco il mio consenso”.
Immaginiamoci , per esempio, un abbonamento a metà prezzo se sottoscritto associato ad un consenso qualsiasi… l’utente si può essere impegnato ad un anno di abbonamento ma, revocando il suo consenso dopo il secondo mese, crollerebbe l’intero castello contrattuale e con esso il sinallagma, le prestazioni, le reciproche obbligazioni. Puf, svanito tutto!
Anche l’EDPB attorno ai paragrafi 171 e 172 tocca questo tema facendo capire molto bene perchè quando un trattamento è funzionale ad un contratto, è sbagliato basarlo sul consenso. Del resto, basta la normale applicazione del GDPR e del suo articolo 6 per capire che se un trattamento è necessario per l’esecuzione di un contratto, è sbagliato chiedere un consenso. Il consenso, oggi, è una base di legittimazione residuale: una brutta bestia, difficile da gestire, molto insidioso per il titolare. Sconsigliabile.
Chiuderei questa analisi con un’ultima chicca proposta dall’EDPB, un po’ nascosta e compressa negli ultimi due paragrafi del documento (177 e 178), il rinnovo del consenso.
Ma quanto dura il consenso? Sbiadisce nel tempo? Smette di rappresentare la volontà dell’interessato? Quando perde validità?
Sono domande importanti e sono tutte scritte su un altro elefante nella stanza.
Il GDPR non specifica alcun termine per la durata del consenso e questo ha permesso alla fantasia di galoppare libera e a imprenditori malconsigliati di fare danni inenarrabili.
Questo tempo di validità, purtroppo, dipende dalle aspettative dell’interessato e, per valutarlo, è necessario mettersi nei panni del cliente/utente/visitatore/pollodaspennare.
L’EDPB si spinge oltre suggerendo una tempistica definita, ragionevole, adeguata, diciamo pure un desiderata incidentalmente inserito alla fine di un parere non vincolante… una cosetta da nulla:
"Nel contesto della pubblicità comportamentale, considerando l'intrusività del trattamento, un periodo di tempo limitato durante il quale il consenso rimane valido, come ad esempio un anno, sembra appropriato."
GAME OVER
Auguri a tutti gli amici data broker, ai network di selezionatissimi partner e naturalmente a chi ha sempre fatto finta di non capire.
Se interessa il parere del EDPB, tradotto in italiano maccheronico e annotato con mie sottolineature, eccolo: SCARICA QUI