Nell’ambito della protezione dei dati personali, il GDPR rappresenta uno dei pilastri fondamentali per garantire la privacy degli utenti. Un tema cruciale in questo contesto è il modello “consenti o paga” adottato da molte grandi piattaforme online. Di recente, l’European Data Protection Board (EDPB) ha pubblicato un’opinione significativa riguardo alla legittimità di tali modelli di consenso, sollevando questioni rilevanti per la conformità al GDPR. L’EDPB ha espresso preoccupazione circa la validità del consenso ottenuto attraverso i modelli “consenti o paga”. Questi modelli obbligano gli utenti a scegliere tra consentire il trattamento dei propri dati per la pubblicità comportamentale o pagare una tariffa per evitare la visualizzazione di annunci. Secondo l’EDPB, tale pratica non soddisfa i requisiti di libertà, specificità e informazione che il GDPR impone per il consenso.

Il 17 aprile 2024, l’EDPB ha pubblicato un’opinione richiesta da alcune autorità di regolazione, guidate dal Garante Olandese, per valutare la validità del consenso al trattamento dei dati personali per finalità di pubblicità comportamentale sulle grandi piattaforme online come Google, Facebook, YouTube e LinkedIn, nell’ambito degli schemi “consenti o paga”. Il suddetto modello propone agli utenti una scelta binaria: conferire i propri dati personali per ricevere il servizio gratuitamente o pagare per una versione priva di pubblicità comportamentale e di qualsiasi forma di profilazione. Questo modello può essere critico per la liceità del trattamento dei dati personali e per la tutela delle libertà fondamentali, poiché crea una significativa asimmetria tra utenti e piattaforme dominanti. L’EDPB ha chiarito che il consenso deve rispettare tutti i requisiti del GDPR. L’alternativa binaria “consenti o paga” impedisce un consenso libero e informato. Per legittimare la pubblicità comportamentale, le piattaforme devono offrire una terza opzione gratuita che preveda pubblicità non comportamentale, basata su trattamenti meno invasivi o senza trattamento dei dati personali. Il consenso deve essere libero, senza che l’utente subisca svantaggi o danni se rifiuta il consenso al trattamento. Questo significa che non devono esserci alternative onerose che spingano surrettiziamente l’utente a dare il consenso. Anche uno squilibrio di potere può compromettere la libertà del consenso, che deve essere specifico per ogni finalità di trattamento dei dati.

Il concetto di consenso informato sottolinea l’importanza di documentare un processo informativo completo, che permetta al titolare dei dati di comprendere appieno il valore, lo scopo e le conseguenze delle scelte possibili per ciascuna finalità di trattamento. Questo richiamo al concetto di granularità evidenzia la necessità che ogni specifica scelta sia preceduta da un’informazione dettagliata, affinché il titolare dei dati sia pienamente consapevole. Inoltre, similmente, il principio del consenso specifico implica che il consenso ottenuto per una determinata finalità, come la pubblicità comportamentale, non possa essere esteso in maniera surrettizia ad altre finalità. Questo principio, in linea con la granularità, richiede che ogni finalità di trattamento sia chiaramente identificata e che il consenso sia richiesto separatamente per ciascuna di esse, accompagnato da informazioni specifiche e dettagliate.

L’opinione dell’EDPB sulla questione ha un’importanza che va oltre il suo ambito specifico. Sebbene inizialmente si concentrasse sui modelli “consenti o paga” delle grandi piattaforme online, essa ha implicazioni significative per un’ampia gamma di servizi online di varie dimensioni. In questo senso, i principi e le riflessioni espressi dall’EDPB nella sua opinione sono essenziali per garantire che tutti i controller, indipendentemente dalle loro dimensioni, possano adeguare le proprie pratiche in conformità con le disposizioni pertinenti del GDPR.

Visualizzazioni: 19