Nell’ultimo periodo diverse segnalazioni hanno portato all’attenzione del Garante per la protezione dei dati personali la questione dei cookie walls e dei paywalls, ossia dei meccanismi adottati da varie testate giornalistiche online che limitano l’accesso ai contenuti del sito da parte degli utenti, chiedendo ai fini dell’accesso il consenso ai cookie o in alternativa la sottoscrizione di un abbonamento.
Vediamo di che si tratta e quali dubbi di liceità solleva.
Cosa sono i cookie walls e i paywalls
I cookie walls sono una tecnica utilizzata dai siti web per consentire l’accesso agli utenti che accettino tutti i cookie e tracker presenti su un determinato sito, senza distinzione tra i vari tipi di cookie (necessari, di profilazione ecc.).
In tal modo ci si assicura che tutti i cookie e i tracker vengano attivati, raccogliendo quanti più dati possibili, anche contro la volontà degli utenti.
Il cookie wall agisce come un muro, per cui qualora l’utente rifiuti il consenso, gli sarà negato l’accesso al sito web e ai relativi servizi.
Come si presenta un cookie wall?
Il cookie wall è una particolare variante del cookie banner, ossia un avviso che viene mostrato su molti siti e app alla prima visita dell’utente al fine di informare quest’ultimo della presenza di eventuali cookie, dei suoi diritti al riguardo e di chiederne il consenso all’installazione.
Tuttavia, mentre con il semplice cookie banner l’utente ha la possibilità di selezionare o deselezionare determinate categorie di cookie, un cookie wall non permette di selezionare quali cookie accettare e quali non, lasciando all’utente quale unica una facoltà, quella di cliccare su ACCETTA.
Un esempio di cookie wall è costituito dal seguente banner:
“Ti segnaliamo che l’accesso ai nostri contenuti senza abbonamento è soggetto al consenso per l’utilizzo dei cookie (per ulteriori dettagli, ti invitiamo a visionare la cookie policy).
Se accetti i cookie potremo erogarti pubblicità personalizzata e, attraverso questi ricavi, supportare il lavoro della nostra redazione che si impegna a fornirti ogni giorno una informazione di qualità.
Se, invece, vuoi rifiutare il consenso ai cookie o personalizzare le tue scelte, con la sola eccezione dei cookie tecnici, devi acquistare uno dei nostri abbonamenti.”
Cosa sono i paywalls?
I paywalls costituiscono un’alternativa ai cookie walls, che, ai fini dell’accesso ai contenuti del sito, chiede all’utente di scegliere se accettare i cookie (cookie wall) o, in alternativa, di sottoscrivere un abbonamento (paywall).
Dubbi di liceità
Ci si è chiesti se sia lecito l’utilizzo dei cookie walls. A questo riguardo si rende opportuno discernere la necessità di un valido consenso dal parte dell’utente.
Sul punto si ricorda quanto stabilito dalle Linee guida n.5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 adottate dal Comitato europeo per la protezione dei dati (EDPB), ossia l’organo di controllo indipendente composto dai rappresentanti di tutte le autorità nazionali per la protezione dei dati dell’UE, il cui compito è quello di garantire un’applicazione coerente del GDPR e della Direttiva ePrivacy all’interno dell’UE.
Le suddette Linee guida, infatti, richiamando l’art.4, punto 11 GDPR, ribadiscono la definizione del consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”(punto 11).
Il criterio del consenso specifico comporta la possibilità per l’utente di indirizzare separatamente il proprio consenso alle diverse categorie di cookie: Cookie necessari, Cookie di preferenza, Cookie statistici, Cookie di marketing.
Il Comitato europeo ha precisato che ”L’elemento della manifestazione di volontà “libera” implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati” (punto 13). Inoltre “Affinché il consenso sia prestato liberamente, l’accesso ai servizi e alle funzionalità non deve essere subordinato al consenso dell’utente alla memorizzazione di informazioni o all’ottenimento dell’accesso a informazioni già memorizzate nell’apparecchiatura terminale dell’utente (i cosiddetti “cookie wall”)” (punto 39).
L’EDPB ha, altresì, chiarito con un esempio il suddetto concetto affermando che il consenso non può essere considerato espresso liberamente nel caso in cui il fornitore di un sito web predisponga uno script che blocchi la visualizzazione del contenuto del sito facendo apparire solo la richiesta di accettare i cookie, di modo che non sia possibile accedere al contenuto senza cliccare sul pulsante “Accetto i cookie“. In questo caso il consenso dell’interessato non sarebbe valido in quanto all’interessato non sarebbe offerta una scelta effettiva (punto 40).
L’orientamento della giurisprudenza
In materia di cookie wall si è espressa recentemente anche la giurisprudenza di legittimità, la quale ha affermato che “l’ordinamento non vieta lo scambio di dati personali, ma esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato”. Tra l’altro la Suprema Corte di Cassazione ha precisato che “Oltre che libero, il consenso (…) deve essere specifico (…) L’interessato deve essere allora con certezza posto in condizione di raffigurarsi, in maniera inequivocabile, gli effetti del consenso prestato al trattamento dei suoi dati: di guisa che, se detto consenso comporta una pluralità di effetti (…) lo stesso va singolarmente prestato in riferimento a ciascuno di essi, di modo che, con totale trasparenza, risulti palese che proprio ciascuno di tali effetti egli ha voluto” (Cassazione civile n.17278/2018).
La posizione del Garante della privacy
L’Autorità garante italiana per la protezione dei dati personali ha definito i cookie walls, “un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga cioè obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.”
Il Garante, pertanto, ha ritenuto illecito il cookie wall in quanto non consente di qualificare l’eventuale consenso ottenuto come conforme alle caratteristiche imposte dall’art.4, punto 11 GDPR, salva l’ipotesi, da verificare caso per caso, in cui il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento (cfr. Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021, doc. [9677876]).
Ne discende che in linea di principio la normativa europea sulla protezione dei dati personali non esclude la possibilità che il titolare di un sito subordini l’accesso ai contenuti da parte degli utenti al consenso prestato dai medesimi per finalità di profilazione attraverso cookie o altri strumenti di tracciamento, o, in alternativa, al pagamento di una somma di denaro.
Tuttavia con i comunicati del 21 ottobre 2021 e del 12 novembre 2022 il Garante ha informato circa l’apertura di una serie di istruttorie per accertare la conformità alla normativa europea delle recenti iniziative sui cookie wall e paywall intraprese da alcune testate giornalistiche online. Conseguentemente l’Autorità garante ha rivolto ai maggiori gruppi editoriali nazionali specifiche richieste di informazioni al fine di
- chiarire sia le modalità di funzionamento del meccanismo in questione sia le diverse tipologie di scelte a disposizione dell’utente,
- acquisire tutti gli elementi utili a dimostrare il rispetto della normativa in materia di protezione dei dati personali soprattutto per quanto attiene i principi di correttezza e trasparenza dei trattamenti e il fondamentale requisito della libertà del consenso;
- analizzare le valutazioni di impatto eventualmente effettuate dai gruppi editoriali, nonché le analisi e i criteri adottati per la determinazione del prezzo dell’abbonamento alternativo al servizio disponibile mediante prestazione del consenso.
La posizione delle Autorità Garanti straniere
In materia di cookies walls, si era già espressa nel 2017 l’Autoriteit Persoonsgegevens (AP), l’autorità garante della privacy dei Paesi Bassi, secondo la quale il Regolamento ePrivacy dovrebbe vietare esplicitamente i tracking wall che obbligano gli utenti ad acconsentire al tracciamento se vogliono avere accesso al servizio.
La Commission nationale de l’informatique et des libertés (CNIL), autorità francese incaricata di assicurare l’applicazione della legge sulla tutela dei dati personali, partendo dal presupposto che la pubblicità mirata e la personalizzazione dei contenuti editoriali sono due finalità diverse, ha dettato dei criteri che consentono di ritenere valida la richiesta del consenso ai cookie walls o in alternativa l’offerta di paywalls. In particolare
- la Cnil ha ritenuto che la mancata possibilità di accettare o rifiutare i tracker in base al loro scopo, può pregiudicare la libertà di scelta dell’utente e quindi la validità del suo consenso. Ne consegue che, se da un lato non è vietato condizionare l’accesso al sito al consenso per una o più finalità dei tracker, dall’altro il fornitore deve dimostrare che il suo cookie wall è limitato alle finalità che consentono un’equa remunerazione del servizio offerto, nonché deve informare chiaramente gli utenti delle finalità per le quali è necessario fornire il consenso per accedere al servizio;
- relativamente al caso in cui un utente rifiuti l’uso di cookies e altri traccianti su un sito Web, la CNIL raccomanda ai fornitori 1) di offrire un’alternativa reale ed equa che consenta l’accesso al sito senza dover acconsentire all’utilizzo dei propri dati, 2) di garantire la facilità di accesso per l’utente a questa alternativa;
- quanto all’alternativa a pagamento (paywalls), la CNIL ha ritenuto che condizionare l’accesso al contenuto del sito web all’accettazione di cookies che contribuiscono a remunerare il servizio o al pagamento di una somma di denaro, non è in linea di principio vietato in quanto ciò costituisce un’alternativa al consenso ai traccianti. Tuttavia, a parere della CNIL, questa compensazione monetaria non deve essere tale da privare gli utenti di Internet di una scelta reale, con la conseguenza che deve trattarsi di un prezzo ragionevole (cfr. Linee guida del 17 settembre 2020).
Anche l’ICO, l’autorità britannica per la protezione dei dati, ha affermato che l’utilizzo dei cookie wall per impedire l’accesso a un sito fino all’ottenimento del consenso dell’utente non è una tecnica conforme al GDPR e ai PECR (The Privacy and Electronic Communications Regulations).
Ciò in quanto l’utente o l’abbonato non ha una vera scelta se non quella di registrarsi. Questa tecnica si pone in contrasto con il principio secondo il quale il consenso deve essere dato liberamente, principio previsto dalla GDPR del Regno Unito, a norma del quale:
– “Il consenso si presume non liberamente prestato se non consente di prestare distinto consenso a diverse operazioni di trattamento dei dati personali pur essendo opportuno nel singolo caso, ovvero se l’esecuzione di un contratto, compresa la prestazione di un servizio, è dipendente dal consenso nonostante tale consenso non sia necessario per tale prestazione” (considerando 43);
– “L’accesso a contenuti specifici del sito Web può essere subordinato all’accettazione consapevole di un cookie o di un dispositivo simile, se utilizzato per uno scopo legittimo.” ( considerando 25).
L’ICO ha precisato che l'”accesso generale” non deve essere soggetto a condizioni che richiedono agli utenti di accettare cookie non essenziali, per cui sarebbe possibile limitare determinati contenuti solo se l’utente non dovesse prestare il consenso.
Invece, la locuzione “scopo legittimo” si riferisce all’agevolazione della fornitura di un servizio della società dell’informazione, ossia di un servizio richiesto esplicitamente dall’utente con esclusione di terze parti, come servizi di analisi o pubblicità online. Ne consegue che a parere dell’ICO qualora l’utilizzo di un cookie wall miri a richiedere o influenzare gli utenti ad accettare che i loro dati personali vengano utilizzati dal fornitore del sito o da terze parti come condizione per accedere ad un servizio, sarebbe improbabile che il consenso dell’utente possa essere considerato valido.
Conclusioni
Da quanto sin qui esposto si evince che anche se molti dei servizi offerti su internet sono gratuiti in termini economici, ma tale gratuità spesso ha come contropartita la cessione dei dati personali. Infatti i cosiddetti cookie ed altri tracker consentono di raccogliere una serie di dati degli utenti al fine di proporre pubblicità personalizzate.
Alla luce dei dati normativi e e giurisprudenziali analizzati, dovrebbe dedursi che i cookie wall non possano considerarsi conformi al GDPR, dal momento che non soddisfano i requisiti del consenso espresso liberamente e sulla base di una vera e propria scelta. Ciò in quanto, se da lato un cookie wall procura il consenso dell’utente, dall’altro non lascia a quest’ultimo la possibilità di accordare il proprio consenso ad alcuni tipi di cookie piuttosto che su altri, con conseguente invalidità del consenso stesso.
Ma nel caso in cui venga proposta come alternativa quella dei paywalls, questi ultimi possono considerarsi leciti?
A questo proposito possiamo interrogarci sulle ragioni che militerebbero a favore di una risposta affermativa piuttosto che di una negativa.
Chi ritiene che i paywalls possano considerarsi leciti evidenzia
- la presenza di una alternativa al consenso dei dati personali, valida e ragionevole, considerato anche il costo irrisorio di 1 euro richiesto al momento dagli editori,
- la previsione dell’art.135 octies del codice del consumo (D.Lgs., n. 206/2005, così come modificato dal D.Lgs. n.173/2021) il quale prevede la possibilità che il professionista fornisca o si obblighi a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisca o si obblighi a fornire dati personali al professionista (comma 4).
Per contro militerebbero a favore della illiceità dei paywalls le seguenti ragioni:
- sul piano del buon senso, non sarebbe corretto pagare l’accesso ai contenuti di un sito con i propri dati in alternativa ad un valore economico, considerando anche che non sempre l’utente è messo nelle condizioni di rendersi conto di come verranno utilizzati i propri dati;
- la poca attinenza tra la profilazione e la fruizione di un contenuto web, per cui sarebbe più opportuno consentire l’accesso dietro corrispettivo di un prezzo anziché con la cessione dei propri dati.
Nell’attesa che il Garante della privacy si pronunci sulle nuove segnalazioni al fine di chiarire se i paywalls siano da considerarsi leciti o costituiscano un passo indietro nella protezione dei dati personali, dal punto di vista pratico le imprese dovrebbero premunirsi attraverso una valutazione d’impatto by design che permetta all’utente di capire come potranno essere utilizzati i propri dati.
Fonti
https://www.garanteprivacy.it/
https://www.cnil.fr/
http://www.italgiure.giustizia.it/sncass/
https://ico.org.uk/
https://autoriteitpersoonsgegevens.nl/en/
