Il modello “pay or consent”: la posizione dell’European Data Protection Board

Ambito di applicazione oggettivo e soggettivo

A seguito della richiesta di parere ex art. 64, par. 2, GDPR, formulata da diverse Autorità Garanti per la protezione dati personali nazionali, l' EDPB ha pubblicato in data 17 aprile 2024 l'Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms, di seguito, anche “Parere”.

Il Parere ha ad oggetto l'ammissibilità, alla luce della normativa in materia di protezione dati personali, del modello “pay or consent” quale modalità di accesso ai servizi erogati dalle cd. Piattaforme online di grandi dimensioni.

Il titolare del trattamento che stia valutando l'adozione del modello in esame dovrà, in primo luogo, definire correttamente l'ambito di applicazione oggettivo e soggettivo del Parere, così da verificare se le attività di trattamento che intende porre in essere soggiacciano a quanto ivi indicato dall'EDPB.

a. Ambito di applicazione oggettivo

Il modello “pay or consent” rappresenta una modalità di accesso a determinati beni o servizi erogati online ed è caratterizzato dalla possibilità per l'interessato di esercitare il proprio diritto all'autodeterminazione informativa attraverso il compimento di una scelta.

Grazie al modello “pay or consent”, infatti, l'interessato ha la possibilità di accedere al servizio online desiderato scegliendo, alternativamente, di pagare un prezzo ovvero di prestare il proprio consenso ex art. 7, GDPR, al trattamento dei propri dati personali per finalità ulteriori rispetto a quelle necessariamente derivanti dall'erogazione del servizio.

Il Parere dell'EDPB ha ad oggetto esclusivamente l'ammissibilità dei modelli “pay or consent” che richiedono all'utente di operare una scelta tra il pagamento di un prezzo e il conferimento del consenso per finalità di pubblicità comportamentale, qui intesa quale attività di marketing personalizzata alla luce di un profilo dell'interessato che il titolare del trattamento produce inferendo ulteriori informazioni circa i suoi gusti e le sue preferenze. Tale attività di profilazione, nell'accezione quasi orwelliana rappresentata dal Comitato, si basa sull'osservazione del comportamento dell'interessato nel tempo, sia online che offline. Si pensi alle informazioni inferibili attraverso l'analisi di dati quali il numero e il tipo di pagine visitate da un utente, il tempo speso ad osservare un determinato prodotto, la posizione geografica etc… (cfr. Gruppo di lavoro Articolo 29, Parere 2/2010 sulla pubblicità comportamentale online, WP171)

b. Ambito di applicazione soggettivo

Sebbene l'adozione di modelli quali il “pay or consent” risulti già oggi riconducibile ad operatori economici di diverse dimensioni, il Parere dell'EDPB pone alcune criticità in merito alla definizione del suo ambito d'applicazione soggettivo.

Il Parere, infatti, risulta applicabile, principalmente se non esclusivamente, all'implementazione dei modelli in esame da parte delle cd. Piattaforme online di grandi dimensioni. Non fornendo il GDPR alcuna definizione di tali soggetti giuridici, l'EDPB fornisce alcuni criteri, non cumulativi e il cui elenco è da considerarsi non esaustivo, da tenere in considerazione al fine di valutare, caso per caso, se un determinato titolare del trattamento possa essere inquadrato quale Piattaforma online di grandi dimensioni. Tra i criteri che il titolare del trattamento dovrà applicare durante tale valutazione si segnalano, tra gli altri, la presenza di un numero elevato di persone fisiche quali utenti della piattaforma, la posizione del titolare del trattamento sul proprio mercato di riferimento nonché la presenza di trattamenti su larga scala così come definiti nelle Linee guida in materia di valutazione di impatto sulla protezione dei dati adottate dal Gruppo di lavoro Articolo 29 il 4 ottobre 2017 (WP248).

Ammissibilità del modello “pay or consent” e libertà del consenso

Disattendendo le aspettative di chi auspicava una presa di posizione manichea, l’EDPB non si esprime esplicitamente sull’ammissibilità o meno del modello in esame. Ciononostante, pur non rinvenendo nel testo del Parere un divieto esplicito di adozione di modelli “pay or consent”, dallo studio del documento è possibile desumere un’implicita posizione di chiusura da parte del Comitato in merito alla conformità di tale modello alla normativa vigente in materia di protezione dati personali. Tale orientamento deriva dall’impostazione adottata dall’EDPB, che si caratterizza, analizzando le condizioni la cui presenza rende l’adozione del modello inammissibile e la cui assenza non presume la conformità dello stesso al dettato normativo, per un approccio descrittivo in negativo.

Il Parere, esaminando la legittimità del modello alla luce della validità del consenso eventualmente prestato dall’interessato, approfondisce i requisiti e i criteri cumulativi di cui il titolare del trattamento che intenda adottare un meccanismo di “pay or consent” deve documentare la verifica nonché la valutazione.

In particolare, si rappresentano brevemente di seguito i requisiti sulla cui base è possibile valutare il suddetto consenso quale “libero” ai sensi dell’art. 7 GDPR.

a. Pregiudizio

Il titolare del trattamento dovrà in primo luogo garantire ed essere in grado di dimostrare che l’interessato è libero di prestare o revocare il proprio consenso senza subire alcun pregiudizio. L’EDPB evidenzia come una conseguenza pregiudizievole possa essere causata sia dall’impatto finanziario derivante dal pagamento di un prezzo che dall’impossibilità di utilizzare il servizio fornito.

Con riguardo alla prima ipotesi, il Parere non qualifica il pagamento di un prezzo quale pregiudizio in sé ma invita il titolare del trattamento che adotti il modello in esame a non stabilire un prezzo irragionevolmente alto da indurre l’interessato ad avvalersi dell’alternativa che richiede conferimento del consenso per finalità di pubblicità comportamentale.

Approfondendo la seconda ipotesi, invece, si rileva come, nel caso delle Piattaforme online di grandi dimensioni, il pregiudizio subito dall’interessato che non decida né di prestare il proprio consenso al trattamento né di pagare il prezzo richiesto, possa derivare dall’impossibilità di accedere al servizio offerto dal titolare del trattamento.

Tale ipotesi assume maggiore rilevanza nei casi in cui, data la natura dei servizi erogati, la presenza dei cd. “lock-in effect” e “network effect” aggravi le conseguenze subite dall’interessato avente deciso di non usufruire ulteriormente del servizio a causa del nuovo meccanismo di accesso.

Il “lock-in effect” si caratterizza quale impossibilità, a causa della presenza online prodotta in una determinata piattaforma, di rifiutarsi di usufruire ulteriormente dei servizi erogati attraverso la stessa senza subire alcun pregiudizio. Si pensi, ad esempio, ad un cd. influencer che, grazie alla creazione di contenuti in un dato social network, è riuscito a creare un seguito tale da poter ricavare il proprio reddito esclusivamente dalla sponsorizzazione di prodotti sulla propria pagina social personale. In tal caso, l’interessato subirebbe certamente un pregiudizio di natura economica qualora decidesse di proporre la propria attività in un nuovo social, di cui non si è mai avvalso ma che non ha adottato il modello “pay or consent”.

Il “network effect”, invece, rappresenta la difficoltà che l’interessato rileva nel non utilizzare un servizio online di cui si avvale un numero elevato di soggetti aventi il suo stesso contesto sociale, culturale e/o politico. Ad esempio, secondo l’orientamento dell’EDPB, appare inverosimile che un utente, a seguito dell’implementazione di un modello “pay or consent”, possa liberamente decidere di non usufruire ulteriormente dell’app di messaggistica istantanea utilizzata da amici, familiari e colleghi.

b. Squilibrio di poteri

La validità del consenso eventualmente prestato dall’interessato, inoltre, potrebbe risultare pregiudicata dall’esistenza di un cd. Squilibrio di poteri. Laddove, infatti, emerga uno squilibrio di poteri tra il titolare del trattamento e l’interessato, il primo potrà utilizzare il consenso quale base giuridica ex art. 6 del GDPR esclusivamente in casi eccezionali (cfr. EDPB, Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679) e dovrà essere in grado di dimostrare, in applicazione del principio di accountability, che non vi siano conseguenze negative di alcun genere qualora l’interessato decida di non prestare il proprio consenso al trattamento ovvero di non utilizzare il servizio fornito dal titolare.

Al fine di valutare l’esistenza o meno di uno squilibrio di poteri, il titolare del trattamento che voglia adottare il modello “pay or consent” potrà applicare alcuni criteri non cumulativi indicati nel Parere, la cui l’elencazione non può ritenersi esaustiva. Tra gli altri, si segnalano la posizione della Piattaforma online di grandi dimensioni sul proprio mercato di riferimento, anche non di monopolio o di dominio; l’affidamento dell’utente al servizio per finalità rilevanti quali la ricerca di occupazione; la presenza di “lock-in effect” e/o “network effect”.

c. Facoltatività

Pur in assenza di pregiudizio e squilibrio di poteri, il Comitato sottolinea come risulti fondamentale valutare la facoltatività del consenso eventualmente prestato, al fine di verificare la sussistenza del requisito relativo alla “libertà” del consenso. Tale valutazione deriva dall’applicazione dell’art. 7, par. 4 nonché del Considerando 43 del GDPR. Il testo normativo, infatti, richiede di prestare la massima attenzione ai trattamenti basati sul consenso dell’interessato che non risultino oggettivamente necessari ai fini dell’esecuzione del contratto ma siano previsti come obbligatori per accedere al servizio richiesto.

L’EDPB, approfondendo i criteri dell’alternativa equivalente e del prezzo ragionevole affermati con sentenza dalla Corte di Giustizia dell’Unione europea in relazione all’ammissibilità del modello “pay or consent” (cfr. sentenza Meta Platforms Inc. v Bundeskartellamt, C-252/21, EU:C:2023537), fornisce le seguenti indicazioni la cui osservanza dovrà essere garantita dal titolare del trattamento che voglia adottare tale modello.

• Alternativa equivalente: al fine di poter considerare il consenso facoltativo e dunque libero, è necessario che non vi siano differenze, ad esempio relative a funzionalità aggiuntive, tra la versione del servizio a cui l’interessato accederebbe prestando il proprio consenso al trattamento e l’alternativa per cui è richiesto il pagamento di un prezzo. Di conseguenza, non è possibile considerare accertata l’esistenza di un’alternativa equivalente sulla base della circostanza che un diverso titolare del trattamento offra il medesimo servizio senza l’adozione del modello “pay or consent”.

• Prezzo ragionevole: chiarendo che i dati personali non possono essere considerati beni fungibili e non esprimendosi sulla legittimità di un sinallagma contrattuale avente ad oggetto il trattamento di dati e l’erogazione di un servizio, il Comitato raccomanda ai titolari del trattamento di individuare un prezzo cd. ragionevole, tale da garantire che l’interessato possa compiere una scelta libera in merito a quale alternativa utilizzare per accedere al servizio. Il titolare del trattamento, a tal fine, dovrebbe essere in grado di dimostrare, verosimilmente grazie ad apposita documentazione, le logiche e i ragionamenti sottostanti l’individuazione del prezzo. Sul punto, inoltre, appare utile evidenziare come il Parere affermi un potenziale potere di controllo esercitabile dalle Autorità Garanti nazionali in materia di protezione dati personali anche in merito al prezzo eventualmente stabilito per l’accesso al servizio. Tale potere di controllo appare esercitabile sia in autonomia che in collaborazione, facoltativa o obbligatoria a seconda dei casi, con altre Autorità indipendenti di settore (es. Autorità indipendente per la tutela della concorrenza e del mercato).

d. Granularità

Da ultimo, il titolare trattamento che intenda adottare un modello “pay or consent” dovrà garantire all’interessato la possibilità scegliere granularmente le finalità per cui intende prestare il proprio consenso al trattamento.

Nel caso di specie, il trattamento di dati personali per finalità di pubblicità comportamentale, come precedentemente definito, comporta una serie di trattamenti aventi natura diversa ma propedeutici al raggiungimento della finalità principale. Al fine di poter sottoporre all’interessato un messaggio pubblicitario basato sul comportamento online di quest’ultimo risulta necessario, ad esempio, tracciare l’utente durante la sua navigazione, elaborare un profilo personalizzato sulla base della sua esperienza di navigazione, produrre un contenuto pubblicitario sulla base del profilo nonché inviare lo stesso all’utente per cui è stato creato.

Secondo l’orientamento dell’EDPB, è possibile considerare tali attività quali autonomi e distinti trattamenti, ognuno avente la propria finalità. Di conseguenza, volendo accogliere un’interpretazione restrittiva che non tiene in considerazione il rapporto sia cronologico che di propedeuticità che caratterizza determinate operazioni poste in essere per un unico scopo, il titolare del trattamento non dovrebbe richiedere un solo consenso per la sola “macro-finalità” di pubblicità comportamentale ma offrire la possibilità all’interessato di scegliere granularmente le finalità di trattamento a cui desidera acconsentire.

La terza via: l’alternativa gratuita e priva di pubblicità comportamentale

Come facilmente desumibile da quanto appena rappresentato, gli adempimenti e le valutazioni prescritte all’interno del Parere in esame rendono assai oneroso, in termini di tempo e risorse, nonché rischioso in termini di possibili interventi sanzionatori, l’adozione da parte delle Piattaforme online di grandi dimensioni del modello “pay or consent” quale meccanismo di accesso ai propri servizi erogati online. La sussistenza del requisito della libertà del consenso, infatti, appare difficilmente dimostrabile da parte del titolare del trattamento mentre la sua assenza si dimostra facilmente rilevabile alla luce dei criteri indicati dal Comitato.

Tale interpretazione circa la posizione di chiusura dell’EDPB in relazione al modello “pay or consent” ben si lega alla possibilità, approfondita dallo stesso Comitato, di offrire un’alternativa ulteriore che non contempli né il pagamento del prezzo né il conferimento del consenso per finalità di pubblicità comportamentale.

Secondo quanto sviluppato nel Parere, la possibilità per l’utente di poter scegliere anche una terza alternativa che, ad esempio, permetta all’utente di accedere al servizio prestando il proprio consenso al trattamento per finalità di pubblicità non comportamentale – si pensi al marketing diretto non personalizzato o al marketing profilato basato su gusti e interessi indicati direttamente dall’interessato -  eliminerebbe o comunque abbasserebbe drasticamente il rischio di pregiudizio potenzialmente causato ai soggetti che non decidano di avvalersi né dell’alternativa a pagamento né di quella basata sul conferimento del consenso per finalità di pubblicità comportamentale.

In conclusione

L’atteso Parere sull’ammissibilità del modello “pay or consent” tradisce le aspettative di giuristi, operatori del settore e cittadini che auspicavano una decisione chiara in merito alla liceità o meno di tale meccanismo. Sebbene non sia rinvenibile nel testo del documento un esplicito divieto di adozione del modello in esame, le indicazioni fornite dal Comitato in merito al requisito della libertà del consenso, snaturando la natura del principio di accountability a modalità di manifestazione del cd. rischio imprenditoriale, rimettono al titolare del trattamento una complessa valutazione, da realizzare caso per caso, che produce, in caso di adozione del modello in esame, una responsabilità difficilmente superabile in sede di approfondimento da parte di un’Autorità Garante.

Inoltre, i criteri per condurre tale valutazione appaiono principalmente se non esclusivamente finalizzati a rilevare l’inammissibilità del modello “pay or consent”. Se da un lato, infatti, la presenza di un pregiudizio, anche potenziale, condurrà ad un esito negativo della valutazione, dall’altro, la sua assenza non permetterà al titolare del trattamento di presumere la conformità al dettato normativo del consenso eventualmente prestato dall’interessato.

Alla luce di tale approccio, la possibilità di offrire all’utente una terza alternativa che non preveda né il pagamento di un prezzo né il conferimento del consenso per finalità di pubblicità comportamentale risulta funzionale all’abbassamento del rischio di non conformità del modello “pay or consent” alla normativa vigente. Purtroppo, tale alternativa non sembra tenere in considerazione il mercato dell’advertising, dove da tempo i publishers non sono più interessati ad investire in campagne pubblicitarie che non sfruttino al massimo le potenzialità tecnologiche attualmente disponibili per massimizzare il cd. conversion rate.

Da ultimo, si segnala l’ulteriore elemento di incertezza derivante dall’ambito di applicazione soggettivo del Parere. In primo luogo, si rileva come l’inquadramento di un determinato titolare del trattamento quale Piattaforma online di grandi dimensioni non appaia facilmente realizzabile. Il Comitato, infatti, non solo enuncia una serie di criteri applicativi non rilevabili oggettivamente – la posizione sul mercato, ad esempio – ma afferma che tali criteri non risultano né cumulativi né esaustivi, ben potendo l’Autorità Garante nazionale giungere a conclusioni diverse da quelle del titolare del trattamento grazie all’utilizzo di ulteriori criteri rispetto a quelli sviluppati nel Parere o ad una diversa interpretazione di quest’ultimi. In secondo luogo, è possibile che, come affermato anche nel Parere, le Autorità Garanti nazionali si avvalgano dell’approccio adottato dall’EDPB anche per valutare l’adozione del modello “pay or consent” da parte di soggetti giuridici diversi dalle Piattaforme online di grandi dimensioni e, dunque, formalmente esclusi dall’ambito di applicazione del documento.