L’opinion 8/2024 dell’European Data Protection Board (EDPB) sulla validità del consenso reso nel contesto “consent o pay” implementato dalle grandi piattaforme online, era certamente attesa e ha destato molto interesse.
L’EDBP ha concluso, in estrema sintesi, che l’attuale meccanismo “Pay or consent”, come oggi architettato, non tiene debitamente conto di una serie di requisiti di conformità, coerenti con il GDPR, e va modificato.
Il consenso, lo sappiamo, è una delle basi giuridiche del trattamento. Per essere valido, deve essere, anzitutto, libero, specifico, granulare, revocabile e riconfermato nel tempo, a scadenze predefinite.
Il consenso (al trattamento per fini di pubblicità comportamentale) chiesto oggi dalle piattaforme on line, come alternativa al pagamento per accedere ai servizi offerti non presenta invece le indicate caratteristiche.
Il consenso, in particolare, non è libero, in quando è formulato quale unica opzione al pagamento.
Una soluzione percorribile è quella di affiancare un’alternativa all’attuale binomio (pay o Okay), permettendo all’utente di accettare sì di ricevere pubblicità, che tuttavia comporti il trattamento di pochi o nessun dato personale.
L’interessato, prestando il consenso al trattamento, deve essere in grado di scegliere quali finalità accettare, poiché, ricorda l’EDBP, le richieste di consenso al trattamento che raggruppano diverse finalità, non sono lecite.
In questo scenario, il tema economico non è di poco conto. È richiesto ai titolari di effettuare alcune considerazioni preliminari ai fini della quantificazione della tariffa e alle conseguenze derivanti dalla condotta dell’utente che non intenda né prestare il consenso, né pagare.
I titolari del trattamento devono quindi considerare se la decisione di non prestare il consenso può portare l’individuo a subire conseguenze negative, tali da escluderlo da servizi importanti o decisivi per la vita sociale come la mancanza di accesso a reti professionali o il rischio di perdere contenuti o connessioni.
Le tariffe imposte non possono essere escogitate con l’intento di imporre di fatto, come unica alternativa, il consenso.
La tariffa deve dunque essere adeguata, valutando anche le singole circostanze, compreso lo squilibrio di potere tra l’individuo e il titolare del trattamento.
Tra i fattori da valutare figurano la posizione delle grandi piattaforme online sul mercato, la misura in cui il singolo fa affidamento sul servizio e il pubblico principale del servizio.
L’EDPB, che ha preannunciato anche nuove linee guida sul tema, sottolinea che l’ottenimento del consenso non esenta il titolare dal rispetto di tutti i principi delineati nell’art. 5 del GDPR.
Tra di essi si ricordano la limitazione delle finalità, la minimizzazione dei dati, il rispetto dei principi di necessità e proporzionalità.
