Rapporti tra consenso ex art. 5 DMA e consenso GDPR

Il consenso nel DMA

Come noto, il DMA mira a contribuire al corretto funzionamento del mercato digitale dell’Unione, tramite l’introduzione di norme armonizzate volte a garantire la contendibilità e l’equità dei mercati nell’erogazione dei servizi digitali da parte dei gatekeeper, individuando e sanzionando le pratiche sleali che possano pregiudicare tanto i diritti fondamentali degli utenti finali, quanto la libertà di fornire tali servizi a vantaggio dell’economia dell’Unione nel suo complesso.

Con il termine “gatekeeper” si intendono tutti quei soggetti che (i) hanno (o possono avere) un impatto significativo sul mercato, in quanto (ii) forniscono un servizio di piattaforma di base che costituisce un punto di accesso (gateway) per un gran numero di utenti commerciali, affinché questi possano raggiungere gli utenti finali in tutta l’Unione e su mercati diversi, e (iii) detengono (o è prevedibile che acquisiscano) una posizione consolidata e duratura nell’ambito delle proprie attività.

Per tali motivi, i gatekeeper sono destinatari di una serie di obblighi nuovi imposti dal DMA.

Nell’ambito di tali obblighi, l’articolo 5(2) individua i seguenti quattro divieti riguardanti la combinazione e l’utilizzo in modo incrociato dei dati degli utenti finali raccolti da fonti diverse all’interno del proprio ecosistema:

1. ai fini della fornitura di servizi pubblicitari online, il gatekeeper non deve “trattare” i dati personali raccolti da app e siti web di terzi (e.g., quotidiani online e siti web dei merchant) insieme ai dati raccolti all'interno del proprio ecosistema;
2. il gatekeeper non deve “combinare” i dati personali raccolti tramite diversi servizi della piattaforma di base, o provenienti da servizi di terzi, all'interno del proprio ecosistema;
3. il gatekeeper non deve “utilizzare in modo incrociato” i dati personali raccolti all'interno del servizio della piattaforma di base con i dati dell'utente raccolti da altri servizi forniti dal gatekeeper;
4. il gatekeeper non deve imporre agli utenti finali di registrarsi per usufruire di servizi aggiuntivi (costringendoli, in questo modo, ad accettare i requisiti di combinazione dei dati).

Tuttavia, è prevista un’eccezione nel caso in cui l’utente finale, dopo esser stato informato della possibilità di scegliere, abbia prestato il proprio consenso a tale trattamento.

I gatekeeper generalmente raccolgono dati personali di utenti finali da terzi per fornire servizi pubblicitari online personalizzati oppure ricevono direttamente dai terzi tali dati, ottenendo in questo modo evidenti vantaggi competitivi dall’accumulo di dati e contribuendo potenzialmente a creare barriere all’ingresso del mercato. Per mantenere dunque la contendibilità, che insieme all’equità rappresentano gli obiettivi principali del DMA, i gatekeeper dovrebbero offrire agli utenti finali un'alternativa meno personalizzata senza condizionare l'accesso al servizio della piattaforma di base al consenso dell'utente, mantenendo la qualità dell’esperienza meno personalizzata alla stessa stregua di quella dell’esperienza personalizzata, a meno che il deterioramento della qualità non sia la diretta conseguenza della mancata possibilità di trattare i dati personali degli utenti finali.

In altre parole, dovrebbe essere garantito agli utenti finali di accedere ad un servizio digitale indipendentemente dal consenso a combinare i loro dati personali in un’ottica di personalizzazione.

Con specifico riferimento al consenso dell’utente finale come base giuridica del trattamento dei propri dati personali, l’articolo 2(32) del DMA richiama espressamente la definizione presente all’articolo 4(11) GDPR, con ciò intendendosi dunque: «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».

Nonostante l’articolo 5(2) rientri tra gli obblighi c.d. self-executing del DMA, il piano di applicazione di tale norma risulta tutt’altro che chiaro. In particolare, non si specifica se e in quale misura il concetto e i requisiti sopra richiamati del consenso possano essere automaticamente applicati all’articolo 5(2) del DMA ovvero se sia necessario un adeguamento in tal senso. Ciò, in particolare, assume maggiore rilevanza se si considera che nell’articolo in questione il legislatore europeo, richiamando l’eccezione del consenso, effettua un collegamento tecnicamente non puntualissimo tra la manifestazione di volontà di una persona fisica (l’interessato), come definita e disciplinata rispettivamente agli artt. 4(11) e 7 del GDPR, e la manifestazione di volontà di un utente finale che, per definizione, può essere sia una persona fisica che una persona giuridica (art. 2(20) DMA).

Per non parlare poi dell’espresso richiamo anche al trattamento dei “dati personali” degli utenti finali: ancora una volta, richiamando espressamente la definizione di dato personale presente nel GDPR, il DMA sembrerebbe effettuare un collegamento giuridicamente non puntualissimo tra i dati personali (che per definizione riguardano soltanto le persone fisiche) e gli utenti finali (la cui definizione, come sopra richiamato, include anche le persone giuridiche).

GDPR e DMA: un obiettivo comune?

Sebbene il DMA rappresenti fondamentalmente una normativa antitrust, volta a preservare la concorrenza, essa si colloca in una necessaria prospettiva di armonizzazione con altre regolamentazioni europee sul tema dei mercati digitali, ivi incluso il GDPR.

Ed infatti, come sopra anticipato, partendo proprio dal presupposto della diversa terminologia utilizzata, rispettivamente “utenti finali” nel DMA e “interessati” nel GDPR, per individuare i soggetti a cui si riferiscono i dati personali, è evidente come i due regolamenti differiscano in termini di obiettivi e portata applicativa, nonché nel grado di rilevanza attribuito alla protezione dei dati. Mentre il DMA è rivolto ai gatekeeper e al contenimento della loro posizione rilevante sul mercato, il GDPR ha una portata molto più ampia: la protezione delle persone fisiche, dei loro diritti e libertà fondamentali in relazione alla protezione dei loro dati personali. Intento che risulta indiretto o collaterale anche nel DMA, poiché intrinsecamente connesso agli obblighi dei gatekeeper, sebbene con la definizione di utenti finali si preveda un espresso richiamo anche alle persone giuridiche.

Il concetto di consenso tra GDPR e DMA

Il consenso nel GDPR

Stante l’espresso richiamo all’art. 4(11) del GDPR, il consenso nel DMA, in quanto manifestazione di volontà dell’utente finale, deve necessariamente essere i) libero, ii) specifico, iii) informato e iv) inequivocabile, oltre che rispettare tutte le condizioni espressamente stabilite dall’art. 7 GDPR.

• “libero”

Ai sensi del GDPR tale requisito implica che l’interessato sia stato in grado di esercitare una scelta effettiva sui propri dati. Il consenso non è considerato libero – e, conseguentemente, non può ritenersi validamente prestato – nel caso in cui:

• l’interessato si senta obbligato ad acconsentire a fronte delle conseguenze negative o pregiudizievoli derivanti dalla mancanza dello stesso;
• quando rappresenta una condizione non negoziabile in un contesto contrattuale;
• quando vi è un evidente squilibrio tra l’interessato e il titolare del trattamento.

La condizionalità del consenso rappresenta, inoltre, un ulteriore elemento per determinarne la validità. Ed infatti, l’articolo 7(4) GDPR stabilisce che è fortemente sconsigliato accorpare il consenso all'accettazione delle condizioni generali di un contratto o di un servizio, o subordinarne la fornitura alla richiesta di consenso per il trattamento di dati personali che non sia necessario per l'esecuzione del contratto o del servizio. A tal riguardo, il Comitato Europeo per la protezione dei dati (“EDPB” o “Comitato”), nelle sue Linee Guida 5/2020 sul consenso ai sensi del regolamento, precisa che in presenza di una scelta reale tra un servizio che richiede il consenso per l'uso dei dati personali a fini ulteriori e un servizio equivalente che non implica un siffatto consenso, il servizio stesso non si configurerebbe come un servizio condizionato. Tuttavia, i due servizi devono essere effettivamente equivalenti, oltre che forniti dal medesimo titolare del trattamento.

Conseguentemente, un prestatore di servizi non dovrebbe impedire all'interessato di accedere al proprio servizio per il solo fatto che questi non abbia prestato il consenso al trattamento dei propri dati personali per finalità ulteriori.

Le previsioni presenti nel DMA si pongono pertanto in chiara continuità con il requisito di libertà del consenso richiamato nel GDPR, stante l’obbligo per i gatekeeper di garantire, in assenza di consenso dell’utente finale, un servizio equivalente a quello personalizzato.

• “specifico”

Il consenso deve inoltre essere espresso in relazione ad una o più specifiche finalità.

La specificità ha a che vedere con il grado di controllo che l’interessato ha in relazione alle proprie scelte ed è strettamente legata al concetto di granularità e informazione nella manifestazione del consenso. Quando i dati personali sono trattati per diverse finalità e la base giuridica deve individuarsi nel consenso, il titolare deve pertanto raccogliere più consensi specifici per ciascuna delle finalità che intende perseguire.

Anche in questo caso, il DMA richiama espressamente l’obbligo per i gatekeeper di presentare all’utente finale la scelta specifica sulla base della quale poter prestare il consenso (art. 5(2) DMA).

• “informato”

Nel rispetto del principio di trasparenza (art. 5(1)(a) GDPR), è necessario fornire informazioni chiare, complete e precise agli interessati al fine di consentire loro di prendere decisioni informate in merito al trattamento dei propri dati personali, ivi incluso l’esercizio del diritto di revocare il consenso. Se dunque il titolare del trattamento non fornisse informazioni chiare e accessibili, l'utente rischierebbe di perdere il controllo dei propri dati personali e ciò inficerebbe qualsiasi manifestazione di volontà dello stesso, con ciò configurandosi in primis una violazione del GDPR.

A tal proposito, il Considerando 37 del DMA stabilisce espressamente che “nel momento in cui presta il consenso, e soltanto ove pertinente, l'utente finale dovrebbe essere informato del fatto che non prestare il consenso può determinare un'offerta meno personalizzata ma che, per tutto il resto, il servizio di piattaforma di base resterà invariato e che nessuna funzionalità sarà rimossa”.

• “inequivocabile”

Il consenso deve essere prestato con un atto positivo inequivocabile con cui l’interessato manifesta chiaramente la propria intenzione di accettare il trattamento specifico (ad esempio selezionando una casella all’interno di un sito web), oppure anche con una dichiarazione e/o qualsiasi altro comportamento che indichi chiaramente che l’interessato acconsente al trattamento in un determinato contesto (Considerando 32 GDPR). Il consenso non può tuttavia essere validamente prestato mediante la stessa azione con cui viene accettato un contratto o le condizioni generali di un servizio, tramite caselle preselezionate o procedure di rinuncia che richiedono piuttosto un intervento attivo dell'interessato per negare il consenso (ad esempio, "caselle di opt-out").

Questioni interpretative e applicative nel rapporto tra consenso e DMA

Sulla base dei requisiti del consenso stabiliti dal GDPR, emergono tuttavia alcuni interrogativi rispetto alla relazione tra DMA e GDPR, con particolare riferimento a come i gatekeeper possano di fatto raccogliere un consenso libero, specifico, informato e inequivocabile.

Lo squilibrio di potere che è presente nel rapporto tra gli utenti finali e i gatekeeper complica non poco la valutazione circa la validità della manifestazione del consenso secondo i requisiti delineati nel GDPR.

In via preliminare, bisogna ragionare se e in che misura il rapporto tra utenti finali e gatekeeper sia sbilanciato ai sensi del Considerando 43 GDPR.

Nella recente Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms (“Opinion 08/2024”), l’EDPB ha chiarito come la sussistenza di un eventuale squilibrio determini che il consenso possa essere di fatto utilizzato solo in “circostanze eccezionali” e in presenza della dimostrazione da parte del titolare del trattamento che non vi sono “conseguenze negative” per l'interessato in caso di mancato consenso – circostanza questa che nel caso dell’Opinion in parola è rappresentata dall’alternativa non a pagamento, mentre nel caso del DMA è rappresenta dalla possibilità di offrire un servizio equivalente non personalizzato.

Sempre sul punto, l’EDPB ha osservato come la libertà di scelta dell’interessato in relazione allo squilibrio di potere debba essere determinata caso per caso da parte del titolare del trattamento e che il semplice fatto che questo abbia una “posizione dominante” non determina, di per sé, l’invalidità del consenso dell’interessato. Tale orientamento è altresì confermato dalla Corte di Giustizia dell’Unione Europea che nel caso Facebook German (Bundeskartellamt, C-537/2023) chiarisce come «il fatto che il gestore di un social network online, in qualità di titolare del trattamento, detenga una posizione dominante sul mercato dei social network non impedisce, in quanto tale, agli utenti di tale social network di dare validamente il proprio consenso, ai sensi dell'articolo 4, paragrafo 11, del GDPR, al trattamento dei loro dati personali da parte di tale gestore». Anche secondo la CGUE, la libertà con cui il consenso viene espresso è un onere in capo al titolare del trattamento da valutare caso per caso. Tale interpretazione si ritiene possa pertanto applicarsi, mutatis mutandis, anche al rapporto tra utente finale e gatekeeper ne DMA (ivi incluse le obbligazioni contenute nell’Articolo 5(2)).

Altro aspetto da analizzare è quello della condizionalità. Sempre nella sentenza Bundeskartellamt, sul punto la CGUE precisa che quando le operazioni di trattamento dei dati non sono strettamente necessarie per l'esecuzione del contratto, gli utenti devono essere liberi di rifiutarsi di prestare il consenso, senza doversi astenere dall’utilizzo del servizio offerto dalla piattaforma. A tali utenti deve infatti essere offerta, se necessario dietro pagamento di un corrispettivo adeguato, un'alternativa equivalente non accompagnata da tali trattamenti di dati personali. In linea con tale principio, al Considerando 36 del DMA il legislatore europeo afferma espressamente che «i gatekeeper dovrebbero consentire agli utenti finali di scegliere liberamente di seguire tali pratiche di trattamento dei dati e accesso con registrazione offrendo un'alternativa meno personalizzata ma equivalente, e senza subordinare l'utilizzo del servizio di piattaforma di base o di talune sue funzionalità al consenso dell'utente finale», con uno scopo tuttavia diverso da quello chiaramente perseguito dal GDPR, ossia quello di «non compromettere in modo sleale la contendibilità dei servizi di piattaforma di base».

L’EDPB, inoltre, nota come la CGUE non chiarisca cosa debba intendersi per “alternativa equivalente”. A tal riguardo, il Comitato ritiene che l’alternativa equivalente che deve essere messa a disposizione degli interessati che scelgono di non prestare il proprio consenso (affinché questi non si trovino di fronte a una situazione di condizionalità), deve avere le seguenti caratteristiche:

• deve anzitutto essere offerta dal medesimo titolare del trattamento;
• se differisce da quella con pubblicità comportamentale – nel caso del DMA, l’offerta meno personalizzata – per il solo fatto che il titolare non è in grado di trattare i dati personali per tali scopi, può essere considerata equivalente;
• se fosse di qualità inferiore o meno ricca di funzionalità rispetto alla versione con pubblicità comportamentale, gli utenti non si troverebbero di fronte a una vera scelta “alternativa equivalente”;
• la possibilità di includere funzionalità aggiuntive nella versione alternativa deve essere valutata con cautela;
• deve contenere gli stessi elementi e funzioni (equivalenza funzionale) del servizio con pubblicità comportamentale, anche se non devono essere assolutamente identici;
• se non presenta una qualità diversa o degradata e non viene soppressa alcuna funzione (a meno che eventuali modifiche non siano la diretta conseguenza del fatto che il titolare non sia in grado di trattare i dati personali per le finalità per cui richiede il consenso) allora la versione alternativa può essere considerata realmente equivalente.

In conclusione

Quello sul consenso, rappresenta un tema delicato, ma al tempo stesso necessario da considerare e gestire nel contesto delle piattaforme digitali alla luce del DMA.

Si potrebbe, ad esempio, ipotizzare la realizzazione di una struttura specifica di “impostazioni privacy” all'interno del servizio di piattaforma al fine di raccogliere il consenso degli utenti alla combinazione e all'uso incrociato dei dati. Tali impostazioni non dovrebbero chiaramente prevedere un opt-in generalizzato, quasi concedendo al gatekeeper una sorta di passe-par-tout in merito alla combinazione dei dati degli utenti finali; le impostazioni della piattaforma dovrebbero piuttosto includere un elenco granulare delle attività di combinazione dei dati svolte dal gatekeeper, affinché l'utente possa essere libero di selezionare quali tipi di attività di combinazione o utilizzo incrociato dei propri dati scegliere. Infine, l'utente dovrebbe essere libero di modificare le impostazioni in qualsiasi momento, rispetto a specifiche attività di combinazione dei dati, oltre che di revocare il consenso prestato.

Risulta indispensabile un migliore coordinamento e armonizzazione delle diverse discipline europee che abbracciano, seppur a latere, il tema del trattamento dei dati personali, al fine di scongiurare eventuali conflitti fra testi normativi, tali da determinare incertezza giuridica e applicativa, specialmente per gli operatori economici.