Sapete tutti, credo, come la penso riguardo al “paga o stacce”: una falsa dicotomia, pensata esplicitamente per spingere le persone a cedere “liberamente” il controllo sui propri dati personali.
Certo, la lettera del GDPR è rispettata: potete avere informazioni sulle finalità per le quali i vostri dati vengono usati, e su chi intende usarli. Alla lettera. Corriere.it riporta una lista di 996 terze parti “selezionatissime” ciascuna delle quali intende perseguire una o più delle 16 finalità indicate. E di ciascuna terza parte potete anche leggere l’informativa, se volete.
Indice degli argomenti
La falsa dicotomia del modello pay or ok spiegata bene
Come richiesto dal GDPR, potete escludere intere finalità, o scegliere, partner per partner, chi può fare cosa con i vostri dati. Potete scegliere la vostra personalissima tutela della privacy fra i 65.273.856 di combinazioni possibili.
Oppure. Oppure, per chi ha anche una vita da vivere, le opzioni realistiche sono due:
- accettare che ognuna delle 996 parti faccia coi vostri dati quello che vuole (e di cui, per ovvi motivi di tempo, non avete alcuna idea), oppure
- opporsi in toto al trattamento dei vostri dati personali e pagare l’abbonamento.
Secondo i fautori del “paga o stacce” questa è una scelta libera.
Secondo il Garante, non è chiaro se lo sia, e non è chiaro quali siano le alternative, e chiede a noi di dargli suggerimenti.
Benissimo.
Nel frattempo, il TCF, il Transparency and Consent Framework, il meccanismo dello Internet Advertising Board a cui tutti si appoggiano, e che costituisce la base del “paga o stacce”, è stato ribadito illecito dalla corte Belga.
Il che significa che noi veniamo chiamati a esprimerci se usare cocaina tagliata sia lecito o illecito, dopo che la cocaina pura è stata dichiarata illegale.
Ma l’Italia è un Paese dove le contraddizioni, come il semaforo rosso a Napoli, sono solo suggerimenti da interpretare.
Ragion per cui, i seguaci del canale Telegram mi hanno convinto a preparare il testo di una risposta da inviare al Garante per la consultazione sul “paga o stacce”. Mi hanno anche aiutato due avvocati del gruppo, per fare un cappello introduttivo e anche per assicurarsi che, famoso per la diplomazia quale sono, non avessi messo in dubbio la paternità di alcuno.
Trovate il testo completo nel canale Telegram “DataKnightmare Fan Club”.
Non lasciatevi fuorviare dal legalese del preambolo, per tre motivi:
- il linguaggio tecnico della legge non è meno gergale del linguaggio tecnico dell’informatica;
- adottare il registro linguistico del Garante significa *anche* che ci confrontiamo fra pari, non come peones che implorano la benevolenza del potente;
- non sottovalutate il valore satirico di usare coscientemente parole come “perplime” di fronte al potere.
“Codesta Autorità”, invece, l’ho messo apposta, uno perché è giusto, e due perché nonno era di Arezzo e tre perché non tutti in Italia accettiamo di esprimerci con la varietà lessicale di un trapper.
Se vi riconoscete nelle risposte alle domande del Garante, potete copincollare il testo, aggiungere il vostro nome cognome e indirizzo e spedire al Garante come lettera, come mail o come PEC. Nel testo trovate tutti gli indirizzi.
Si tratta di una battaglia civile. Come tutte le battaglie civili, è impari e quasi certamente persa, fino a quando non la vinci.
Quindi mettete da parte l’italica rassegnazione, il tradizionale “Franza o Spagna”, riscoprite un po’ di sano orgoglio civile, e spedite.
Hasta la victoria.
Testo di risposta alla consultazione pubblica del Garante su “Pay or OK”
All’Autorità Garante per la Protezione dei Dati Personali
Piazza Venezia 11
00187 Roma RM
email: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it
Oggetto: Consultazione pubblica “Pay or OK”
Spett. Autorità,
scrivo in qualità di cittadino, utente, fruitore e abbonato di numerosi servizi Internet per esporre la mia opinione quale parte interessata nella consultazione in oggetto.
Nel formulare le considerazioni che seguono è opportuno premettere:
Perplime la logica sottesa all’indizione della consultazione pubblica, e ciò anche alla luce dell’Opinione EDPB 8/2024, adottata il 17 aprile 2024, che interviene per offrire, a livello eurounitario, criteri di interpretazione finalizzati ad evitare una frammentazione dei pareri redatti dalle singole autorità nazionali; ciò sarebbe esiziale anche, ovviamente non solo, in un’ottica di tutela mercato unico e concorrenza tra editori di stati diversi, in un’epoca storica in cui l’alfabetizzazione diffusa della lingua inglese, quantomeno a livello scolastico, quale lingua veicolare tende ad abbattere le barriere linguistiche dei consumatori-lettori di diversi stati membri per le notizie non meramente di interesse locale.
A riguardo è opportuno anticipare una possibile obiezione. Il Parere in oggetto si riferisce espressamente all’utilizzo del sistema “paga o accetta” da parte delle grandi piattaforme online, in cui si chiede agli utenti di acconsentire al trattamento dei dati personali ai fini della pubblicità comportamentale, salvo specificare che alcuni concetti hanno portata generale.
Ma quanto al concetto di grande piattaforma online, è lo stesso EDPB a chiarire, al punto 2.1.3. come la definizione non esista nel GDPR (traduzione non ufficiale): “Le “piattaforme” possono comprendere, ma non solo, le “piattaforme online” come definite dall’articolo 3(i) del Digital Services Act”.
Si sottolinea quindi, in tutto il parere l’esistenza di plurimi elementi da valutare, caso per caso (si ripete, “caso per caso”) per determinare se un titolare del trattamento debba essere considerato una “grande piattaforma online”, secondo un elenco dallo stesso Edpb definitivo non esaustivo. In sintesi:
- Innanzitutto, le grandi piattaforme online sono piattaforme che attirano un gran numero di soggetti interessati come utenti.
- La posizione dell’azienda sul mercato è un altro elemento che può essere rilevante per valutare se il responsabile del trattamento può essere considerato una “grande piattaforma online”.
- Un altro elemento da considerare per valutare se un responsabile del trattamento si qualifica come “grande piattaforma online” è se effettua trattamenti su “larga scala, tenendo in considerazione il numero di interessati, il volume dei dati e l’estensione geografica dell’attività di trattamento”.
Valutazione, dunque, caso per caso rimessa alle autorità nazionali.
La richiesta di consultazione pubblica su cui questo intervento si inserisce, dunque, incorre in un primo problema ermeneutico e metodologico, che può essere foriero di gravi fraintendimenti ed affidamenti incolpevoli da parte degli stessi Titolari a cui le future linee guida andranno ad applicarsi, allorché così motiva: “l’iniziativa vuole evitare un approccio meramente sanzionatorio da parte dell’Autorità, che rischierebbe di compromettere l’attuale modello di mercato degli editori e degli altri titolari coinvolti senza offrire un a valida alternativa in grado di bilanciare adeguatamente le esigenze economiche dei settori interessati, la libera circolazione dell’informazione e il diritto fondamentale alla protezione dei dati personali.”
Orbene, non è sostenibile che un editore, in quanto editore, possa svincolarsi ad un’indagine caso per caso del proprio volume di affari, dell’appartenenza ad una holding, all’indagine dell’assetto societario in genere. È notorio, infatti, come in Italia il panorama editoriale sia dominato da holding e società, che, sebbene si presentino con testate diverse, più o meno apprezzate dal pubblico, in realtà siano da riconnettere a macrostrutture accentratrici delle attività di trattamento dati a fini marketing, come facilmente intuibile anche dalle informative allegate al cookie wall (i loro “selezionatissimi partners”), certamente per ratio collocabili nel concetto di “grandi piattaforme online” che l’EDPB ricomprende.
Parimenti a queste realtà si affiancano progetti editoriali piccoli ed autonomi, che come minimo comun denominatore hanno l’essere testate giornalistiche registrate, che potrebbero certamente non essere ricomprese dal perimetro del parere EDPB, e a cui forse si potrebbe anche giustificare la ricerca di forme di finanziamento come quella in oggetto (fermo restando che lo stesso parere più volte ribadisce che, anche tenendo conto dell’esistenza della Direttiva EDPB 2019/770, i dati personali non possono essere considerati merce di baratto – v. punto 3.2.45 del parere in oggetto)
Ora l’impostazione della richiesta di pubblica consultazione appare oltremodo fallace nell’accomunare il diverso ad unica fattispecie, compromettendo da una parte l’accountability del Titolare, dall’altra l’onere in capo anche all’autorità Garante di condurre un’indagine ogni volta caso per caso dei singoli Titolari. Il rischio concreto è vedere, al termine della consultazione, emanate linee guida che di fatto sottraggano a priori dal concetto di grande piattaforma online chiarita dall’EDPB, testate giornalistiche riconducibili, a gigantesche holding al pari di un immaginario “Eco di Bugliano” con qualche centinaio di lettori, legittimando il mercimonio dei dati personali (tecnicamente inteso, giacché di dati si farebbe merce di scambio).
Ancora, rimandando alle stesse risposte ai quesiti proposti, lo stesso EDPB sottolinea quanto possa essere problematico discutere di un consenso valido (e qui le riflessioni sono certamente generali, coinvolgendo anche il caso del nostro “Eco di Bugliano”) allorché l’accesso al servizio sia considerabile di importanza primaria in una piramide valoriale che si rispecchia nei diritti fondamentali degli individui: piramide in cui l’informazione non può che essere posta ai gradini più alti. Dal parere EDPB, pagina 3 “Per quanto riguarda i requisiti del GDPR per un consenso valido, innanzitutto il consenso deve essere “liberamente dato”. Al fine di evitare un pregiudizio che escluda il consenso liberamente prestato, qualsiasi tariffa imposta non può essere tale da inibire effettivamente gli interessati dal compiere una libera scelta. Inoltre, il pregiudizio può sorgere quando gli interessati non consenzienti non pagano un corrispettivo e rischiano quindi di essere esclusi dal servizio, soprattutto nei casi in cui il servizio ha un ruolo importante o è decisivo per la partecipazione alla vita sociale o per l’accesso alle reti professionali, a maggior ragione in presenza di effetti lock-in o di rete”
Ora, possiamo assumere, anche alla luce del considerando 4 del GDPR, che l’accesso all’informazione non rappresenti un veicolo fondamentale per la partecipazione alla vita sociale dell’individuo con conseguente effetto lock-out per chi rifiuta il mal posto baratto senza un’alternativa valida? Così ragionando apparirebbe financo più giustificabile forzare il consenso alla profilazione ad utente di un market-place, che potrebbe essere inibito dall’acquisto di un paio di scarpe in sconto, piuttosto che di un utente che voglia consultare una notizia da testate registrate di un fatto di pubblica rilevanza.
Ancora, anche qui rimandando alla trattazione punto su punto in proseguo illustrata, si contesta la sottile asserzione, implicita e scivolosa, secondo cui vi sarebbe una dicotomia tra pagamento e consenso alla pubblicità profilata, quasi che la pubblicità non profilata non fosse un’alternativa tecnicamente possibile.
Nessuno, almeno non chi scrive, pretende la gratuità dei servizi erogati a fronte di qualificato lavoro umano (l’aggettivo umano è voluto) e relativi costi. Il dato fattuale che è la pubblicità profilata ad avere valore di mercato maggiore, tuttavia, non può essere bastevole per giustificare tale forma di remunerazione dei contributi.
Si evidenzia a codesta Autorità infine quanto la profilazione, all’interno di una testata giornalistica possa, inevitabilmente condurre all’estrapolazione di categorie valorizzate secondo criteri rientranti a pieno titolo 9 de GDPR, cosa vietata dallo stesso EDPB nel provvedimento dedicato. Idee politiche, filosofiche etc.. possono certamente essere ricavate dall’analisi dell’interazione con gli utenti in specifiche testate, nella preferenza di lettura di alcuni articoli piuttosto che altri.
Inutile dire che tale rischio dovrebbe essere previsto nelle valutazioni di impatto che i Titolari devono obbligatoriamente condurre, ma che a prima analisi, anche per assenza di valida base giuridica, non si comprende come possano essere sfociate in una valutazione positiva.
Criticità del consenso nel modello pay or ok
Tanto premesso, rappresentando le perplessità per una pubblica consultazione apparentemente malposta e tardiva si relaziona quanto segue.
Domanda A:
“se sia da ritenersi compatibile con le finalità e la ratio della vigente disciplina in materia di consenso al trattamento dei dati personali, che esigono che il consenso sia, tra l’altro, libero e consapevole…”
Non ritengo che il “Pay or OK” (che preferisco chiamare “paga o stacce”) sia compatibile con il Regolamento 2016/679 (GDPR). Questa posizione è appoggiata dallo stesso Comitato Europeo dei Garanti (EDPB).In particolare, non si può parlare di consenso nella scelta fra un pagamento immediato e la concessione di diritti il cui controvalore, economico o personale, non è immediatamente percepito.
La mente umana, posta di fronte a una scelta simile, è naturalmente propensa a optare per il costo apparentemente minore. Il “Pay or OK”/”paga o stacce” permette quindi di ingegnerizzare la domanda in modo che la risposta sia quella che il richiedente preferisce, a scapito del detentore di diritti.
Non si può, analogamente, in alcun caso parlare di consenso informato. L’esame di anche un solo caso, per es. corriere.it rivela 948 “partner”, suddivisi per tipologie di trattamento dei dati personali rilasciati, ciascuno dei quali con molteplici legittimi interessi. Fra questi 948, un certo numero è interessato a raccogliere un posizionamento preciso, per finalità non immediatamente ovvie senza esaminare nel dettaglio, oltre al dialog fornito dal Corriere, le loro privacy policy individuali.
La complessità del modello di profitto relativo ai dati personali per finalità di pubblicità profilata, dove centinaia di “partner selezionati” vengono a ricevere i miei dati personali nel ruolo di Titolare del trattamento, rende nei fatti impossibile esprimere il consenso nei termini garantiti dal GDPR: “specifico, informato e […], mediante dichiarazione o azione positiva inequivocabile” (GDPR 4(11)). Non è realisticamente pensabile che un interessato possa valutare con sufficiente dettaglio a quali fra le centinaia di partner prestare il proprio consenso al trattamento. È altresì irrealistico aspettarsi che l’interessato possa scegliere quali permettere fra la dozzina o più di “legittimi interessi”.
La struttura del “Pay or OK”/”paga o stacce”, con una serie apparentemente interminabile di scelte “libere” va contro a tutto quello che sappiamo riguardo a come gli esseri umani decidono quando vengono distratti dal proprio scopo originario (accedere al sito, nel nostro caso).
Solo a titolo di esempio, quando si preleva a un bancomat, la tessera viene restituita (obiettivo secondario) **prima** che i contanti vengano erogati (obiettivo primario): questo perché, una volta che l’obiettivo primario sia stato raggiunto, la mente umana considera concluso il processo, portando a “dimenticarsi” di ritirare la tessera.
Il “Pay or OK”/”paga o stacce” raccoglie un consenso, questo è vero, ma per quanto detto questo consenso non è libero, né può dirsi informato.
Vorrei inoltre sottolineare la recente decisione della Corte d’Appello di Bruxelles per la quale il “Transparency and Consent Framework” (il meccanismo alla base della raccolta e distribuzione dei “consensi” raccolti per finalità di profilazione pubblicitaria) è sostanzialmente illecito ai sensi del GDPR. Tale decisione ribadisce una decisione analoga dell’Autorità Belga per la protezione dei dati personali.
Infine, quanto qui detto, non è in contraddizione con i considerando e gli articoli della direttiva 2019/770, come già anticipato nelle premesse (vd. Parere Edpb 08/2024 punto 3.2.45), la quale prevede la possibilità di pagare attraverso i dati. In tal caso, la direttiva è piuttosto esplicita nel ribadire che essa non è una base legale su cui un modello di pagamento a mezzo dati personali si possa basare (in maniera assolutamente coerente, dato che creerebbe de facto un regime giuridico permanente di obbligo legale), ma si innesta sulle regole del consenso del GDPR, promuovendone la conformità. Non a caso, la direttiva lascia invariate le regole della costruzione e interpretazione del consenso (e di come ritirarlo) del GDPR. Da cui possiamo anche dedurne, per i motivi addotti sopra, che la direttiva stessa non si muove nel senso di una arbitraria binarietà: la scelta non è moneta o dati, ma dati come moneta a certe condizioni, come rimarcato dal fatto che il soggetto pagante a mezzo dati ha accesso a tutti i possibili rimedi. Questo è in linea all’utilizzo del denaro e rimarcato dal fatto che, se si decide di cessare il pagamento a mezzo dati, il contenuto deve rimanere disponible. L’idea sottesa al Pay or Ok/”paga o stacce” verte in una direzione contraria a questi principi creando un regime che falsa la libera scelta del soggetto.
Alternative possibili al modello pay or ok
Domanda B:
“se e quali possibili alternative all’attuale binarietà delle proposte commerciali indirizzate agli utenti per il tramite di sistemi di Pay or Ok sussistano…”
L’identificazione di una alternativa dovrebbe essere prerogativa dei Titolari che, però, sono indissolubilmente legati alle politiche del fornitore monopolistico di pubblicità profilata (Google, Inc.).
È mia opinione che la sola alternativa alla pubblicità profilata sia la pubblicità contestuale. Come detto sopra, qualsiasi scelta in cui una delle alternative non sia onerosa non può essere configurata come libero consenso.
“Pay or OK”/”paga o stacce” è, nei fatti, una falsa dicotomia che gioca a favore dell’attore monopolista. Nessun utente si è mai opposto alla normale pubblicità contestuale. Molti utenti si oppongono al modo, talvolta eccessivamente intrusivo (pop-up) in cui questa viene a volte presentata, ma siamo abituati da sempre a vedere una alternanza di contenuti informativi e pubblicitari sulla stessa pagina Web.
Desidero sottolineare che la pubblicità contestuale, non basata su una profilazione, elimina la necessità del consenso, semplificando l’accesso alle informazioni ed eliminando alla radice il problema.
Se l’editore vuole, come è suo diritto, suggerire la possibilità di un abbonamento, può proporlo separatamente, non al momento dell’arrivo sulla pagina, e non come alternativa alla profilazione. Non solo, ma l’editore può anche proporre diversi livelli di abbonamento, per esempio a un prezzo maggiorato se si vuole fare a meno anche della pubblicità contestuale.
Consapevolezza e prevedibilità nel consenso informato pay or ok
Domanda C:
“quali soluzioni siano idonee a garantire all’interessato consapevolezza e piena prevedibilità degli effetti dell’eventuale prestazione del consenso…”
Anche in questo caso dovrebbe essere il Titolare, secondo il principio di responsabilizzazione, a identificare tale soluzione, per esempio alcuni editori hanno con successo abbandonato la pubblicità profilata e le sue intricatezze a favore di un ritorno alla pubblicità contestuale, senza sensibili variazioni di introiti.
La piena consapevolezza e prevedibilità degli effetti della prestazione del proprio consenso richiedono, nella mia opinione, che l’interessato sia messo di fronte a una scelta univoca e immediatamente comprensibile.
Acconsentire al trattamento dei propri dati da parte di centinaia di partner, per decine di finalità diverse, non costituisce una scelta univoca e immediatamente comprensibile.
L’editore ha altresì la possibilità di consentire la lettura parziale dei contenuti, o di un numero prefissato di contenuti per unità di tempo (N articoli al giorno/mese), superato il quale è necessario sottoscrivere un abbonamento.
Nessuno pretende di accedere gratuitamente al frutto del lavoro altrui, come già in premessa detto.
Nessuno contesta la pubblicità contestuale (posto che non venga servita in modo così aggressivo da impedire la fruizione dei contenuti).
Alla luce di quanto sopra, della recente decisione della Corte di Bruxelles, e delle ripetute decisioni di autorità garanti europee e dello stesso Garante Europeo, è mia opinione che il “Pay or OK”/”paga o stacce” non possa in alcun modo costituire una base legittima per il trattamento dei dati personali, né, soprattutto, che consenta l’espressione di un consenso libero e informato.
Il ritorno alla pubblicità contestuale metterebbe d’accordo editori e lettori.
Il concetto di “pagare con i propri dati”, ancorché teoricamente condivisibile in un mondo ideale, si rivela del tutto anacronistico e inadatto alla realtà dell’economia dei dati, nella quale data broker sconosciuti all’utente finale e con relazioni preoccupanti con molteplici servizi di sicurezza e spionaggio, finiscono per raccogliere indiscriminatamente tutti i dati personali su cui riescono a mettere le mani, e a trattarli per finalità delle quali l’interessato non ha alcuna cognizione, e sulle quali non ha alcun controllo.
Distinti saluti,
Nome Cognome
via
CAP Città
