L’evoluzione tecnologica e la crescente digitalizzazione hanno trasformato radicalmente il settore della pubblicità, favorendo la stabile affermazione dell’online behavioral advertising, ossia la pubblicità basata sulla profilazione degli utenti. Le sfide più attuali riguardano la preservazione del consenso dell’interessato al trattamento dei dati. Il contributo analizza il modello “pay or consent”, che offre agli utenti la scelta tra il pagamento per un servizio senza pubblicità personalizzata e il consenso alla profilazione per accedervi gratuitamente, esaminando criticamente le posizioni delle autorità europee ed evidenziando il conflitto tra protezione della riservatezza e dell’autodeterminazione dell’utente e sostenibilità economica del data-driven marketing.

SOMMARIO:

1. Pubblicità comportamentale online e patrimonializzazione delle informazioni personali - 2. Il ruolo del consenso al trattamento quale base giuridica della pubblicità comportamentale - 3. La condizionalità del consenso e i margini di “negoziazione” - 4. Il modello pay or consent - 5. Il parere dell’EDPB sul modello pay or consent e libertà del consenso. Critica - 6. Online behavioural advertising e raccordo imperfetto con il GDPR tra paternalismo ed esigenze di regolazione - NOTE

1. Pubblicità comportamentale online e patrimonializzazione delle informazioni personali

L’innovazione tecnologica e la diffusione del digitale hanno da tempo modificato profondamente la società in cui viviamo. Si è assistito, infatti, all’ingresso di internet e della tecnologia nella quotidianità per mezzo delle più varie declinazioni, dall’impiego ormai necessitato degli smartphone all’utilizzo generalizzato di piattaforme cc.dd. Big Techs e alla diffusione dell’intelligenza artificiale e dell’Internet of Things [1]. La tecnologia si trova a stretto contatto con l’utente e ne accompagna la maggior parte delle attività abituali, generando un ecosistema di iperconnessione [2] che rende sempre più fragile e artificiosa la distinzione tra il mondo offline e quello online [3]. Tutto ciò, si sa, consente ai fornitori dei servizi digitali di raccogliere informazioni preziose sulle preferenze e sul comportamento dell’utente, le quali possono essere utilizzate per diversi scopi, tra cui finalità di marketing personalizzato dal fornitore medesimo o da terzi a cui essi sono ceduti. L’online behavioural advertising [4], ossia la pubblicità comportamentale online basata sulla profilazione degli utenti, pare aver da tempo soppiantato i tradizionali paradigmi di comunicazione commerciale basati sul general o sul contextual advertising, e ad oggi costituisce una delle forme più diffuse di sorveglianza digitale [5]. Difatti, al suo nucleo, la pubblicità comportamentale implica il monitoraggio delle attività degli utenti per personalizzare le pubblicità in base ai loro interessi, preferenze e comportamenti. Questa personalizzazione mira a rendere le pubblicità più rilevanti e coinvolgenti, aumentando così la probabilità di interazione tra gli utenti commerciali e i consumatori [6]. Sfruttando i dati sulla cronologia di navigazione, le query di ricerca, le interazioni sui social media e altri comportamenti online, le aziende possono creare campagne pubblicitarie altamente mirate. I dati personali sul comportamento degli utenti costituiscono per le piattaforme una risorsa “spendibile” sul secondo versante del mercato [7], attraendo l’interesse di utenti commerciali e inserzionisti, giacché la possibilità di raggiungere i consumatori mediante la personalizzazione della promozione di prodotti e servizi genera un discreto [continua ..]

2. Il ruolo del consenso al trattamento quale base giuridica della pubblicità comportamentale

Giacché l’online behavioural advertising si compone di pratiche integralmente alimentate dalla raccolta di dati personali dell’utente da profilare, queste non possono che ricadere nell’ambito di applicazione del regolamento sulla protezione dei dati personali (GDPR) [14]. Dunque, l’interesse alla raccolta delle informazioni degli utenti di siti web e piattaforme incontra il limite del rispetto del regolamento, il cui denso sistema di regole e principi bilancia l’interesse allo sfruttamento dei dati con la protezione dei soggetti interessati dal trattamento, garantendo agli stessi – in misura variabile – la signoria e il controllo sulle informazioni che li riguardano [15]. Tuttavia, la disciplina in materia non regolamenta specificamente il fenomeno della pubblicità comportamentale, limitandosi ad alcune disposizioni – fra tutte, l’art. 21 GDPR – in materia di marketing diretto [16]. Il secondo paragrafo, in particolare, disciplina il diritto di opposizione dell’interessato nell’ambito di un trattamento di dati personali basato sul legittimo interesse (art. 6, lett. f) e sull’adempimento di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (art. 6, lett. e) [17]. L’individuazione della base giuridica per il trattamento dei dati ai fini dell’online behavioural advertising è da tempo oggetto di un dibattito volto a soppesare le esigenze di remunerazione dei servizi digitali e quella di limitazione di un uso indiscriminato e abusivo delle informazioni dell’utente [18]. Sul punto si è poi pronunciata la Corte di giustizia [19], a valle della vicenda giudiziaria che ha riguardato Meta e l’Autorità garante della concorrenza tedesca (Bundeskartellamt) [20]. La Corte predilige, per esclusione, il consenso quale base giuridica per la personalizzazione dei contenuti e anzitutto quelli pubblicitari [21], scartando invece l’ipotesi dell’esecuzione di un contratto tra il titolare e l’interessato [22] (art. 6, par. 1, lett. b, GDPR) e il legittimo interesse del titolare (art. 6, par. 1, lett. f, GDPR) [23]. Ciò tuttavia non sorprende, se si osserva la posizione previlegiata che la Corte ha a più riprese riservato al consenso tra le diverse condizioni di liceità previste dal GDPR [24]. Nonostante il [continua ..]

3. La condizionalità del consenso e i margini di “negoziazione”

Si è potuto fino ad adesso notare come la volontà dell’interessato del trattamento dei dati giochi un ruolo di prim’ordine tra i presupposti di liceità della pubblicità basata sulla profilazione. Tuttavia, ove sia il consenso la base giuridica su cui si fonda l’attività, il titolare è esposto al rischio che lo stesso non sia prestato dall’utente, o che quest’ultimo lo revochi in un secondo momento [31], pur usufruendo (o continuando a usufruire) del servizio. Al contrario, il titolare ha interesse ad attrarre la clientela, magari in forza della formale gratuità del servizio, per poi ricavare successivamente un lucro per mezzo della spendita dei dati nel mercato pubblicitario [32]. Insomma, affinché la raccolta dei dati sul comportamento degli utenti possa efficacemente costituire principale fonte di remunerazione di una certa attività imprenditoriale, può rendersi necessario condizionare l’erogazione del servizio offerto alla possibilità di trattare le informazioni di chi ne usufruisce. In ossequio a tale premessa, non sempre i singoli utenti sono liberi di scegliere se acconsentire a determinati trattamenti delle loro informazioni. Difatti, è pratica diffusa quella di subordinare l’acces­so a un determinato servizio o pagina web alla prestazione del consenso al trattamento dei dati personali, assicurandosi la possibilità di sfruttare economicamente le informazioni raccolte quantomeno per tutta la durata di erogazione del servizio. E ciò avviene tanto con riguardo a complessi servizi di piattaforma, quali social network [33], ma anche con riferimento alla quotidiana navigazione su siti web, i quali talvolta non concedono l’accesso all’utente che non accetti l’istallazione di cookies di tracciamento sul proprio dispositivo. Un siffatto modello, a prescindere dalla sua riconducibilità al dominio proprio di una cornice contrattuale [34], evoca se non altro un paradigma di corrispettività: l’utente potrà usufruire del servizio soltanto accettando di autorizzare lo sfruttamento delle proprie informazioni, sicché le stesse si fanno, lato sensu, controprestazione non pecuniaria [35]. Quanto alla fattibilità giuridica di tale operazione, non assistiamo a una vera e propria presa di posizione del regolamento sul punto, che anzi [continua ..]

4. Il modello pay or consent

Nella travagliata vicenda Meta, la Corte di giustizia ha dunque innalzato un argine al proliferare di pratiche contrattuali che “costringano” l’utente ad acconsentire alla pubblicità comportamentale per accedere al servizio di piattaforma offerto. Allo stesso tempo, nondimeno, la pronuncia pare in un obiter avallare (e finanche suggerire) l’ipotesi in cui all’utente sia proposta, anche a fronte del pagamento di un “adeguato corrispettivo”, una versione alternativa ed equipollente del servizio che non contempli il trattamento dei dati dell’utente ai fini della pubblicità personalizzata [47]. Spiraglio, questo, prontamente richiuso dall’EDPB nel recente parere n. 08/2024 [48] sulla validità del dei modelli “consenso o pagamento” attuati dalle piattaforme online di grandi dimensioni per il trattamento dei dati personali finalizzato alla pubblicità personalizzata. Tale dinamica di negoziazione, alternativa al puro rapporto di condizionalità tra assenso al trattamento e accesso al servizio, si sostanzia nell’offrire all’utente due alternative: o quest’ultimo paga il prezzo del servizio (spesso stabilito in un canone mensile) oppure acconsente al tracciamento a fini pubblicitari [49]. Il Comitato richiama anzitutto l’attenzione sul rispetto di alcuni principi, e segnatamente del principio di minimizzazione, secondo cui i dati personali devono essere adeguati, pertinenti e limitati al quanto necessario rispetto alle finalità per le quali sono trattati, di talché la raccolta delle informazioni ai fini della pubblicità comportamentale non può trasformarsi in una costante sorveglianza sine die dell’interessato, “potenzialmente monitorandone l’intera vita, online e offline” [50]. È altresì sottolineata la necessaria osservanza del principio di correttezza di cui all’art. 5, par. 1, lett. a, GDPR, e pertanto non sono ammesse pratiche di advertising discriminatorie, ingannevoli o manipolatorie [51]. Con riferimento al consenso dell’interessato il Comitato afferma diffusamente che il titolare dovrebbe assicurarsi che la richiesta di pagamento di un prezzo non faccia sentire gli utenti obbligati ad acconsentire al trattamento valutando se la scelta predisposta tra le due alternative sia genuina. Tuttavia, quella che nella forma sembrerebbe [continua ..]

5. Il parere dell’EDPB sul modello pay or consent e libertà del consenso. Critica

Nell’intervento dell’EDPB si può scorgere una postura quasi correttiva dell’arresto della Corte nel caso Meta c. Bundeskartellamt, mirata a chiudere ogni possibile spiraglio lasciato aperto da quel passaggio della sentenza che sembrava accordare al titolare la facoltà di fornire un’alternativa onerosa a fianco di quella che prevede il “pagamento” con i dati. Al cospetto del modello “pay or consent” il Comitato sembra assumere sostanzialmente la medesima posizione di veto già affermata con riferimento a paradigmi che facevano della piena corrispettività tra dati e servizio erogato, e di conseguente condizionalità del consenso, il fulcro dell’operazione. Vi è però da sottolineare come quella prospettiva, seppur di per sé irrigidita da certe premesse di lettura del diritto alla protezione dei dati personali, trovava comunque conforto nel dato normativo, e precisamente quello relativo al combinato disposto di cui all’art. 7, par. 4 e al Considerando 43. Nel caso invece dello schema “pay or consent” le predette disposizioni non trovano applicazione, in quanto attengono alla diversa fattispecie in cui l’esercente precluda interamente la fruizione del proprio servizio ove l’utente non abbia acconsentito al trattamento, senza che possa accedervi pagando una somma di denaro. Vero è che l’art. 7, par. 4 costituisce una tipizzazione non esaustiva dei casi di consenso non libero (o presunto tale), tuttavia lo stesso fornisce un binario di lettura di siffatto concetto di cui non può non tenersi conto. Giacché al di fuori da questo tracciato, la liceità dell’ipotesi in cui il professionista offra due possibilità, una a pagamento che non contempli pubblicità personalizzata e una gratuita (o fortemente scontata, a seconda delle ipotesi) che invece preveda il trattamento dei dati a tal fine, va vagliata con esclusivo riferimento al generale attributo di libertà del consenso prestato. Il Comitato, in tal senso, premette che il consenso deve ritenersi non liberamente fornito ove l’interessato subisca un pregiudizio a causa del mancato consenso o della sua revoca [54]. Da tale considerazione preliminare conseguirebbe che, ove un interessato si rifiutasse di prestare il proprio consenso al trattamento dei dati per finalità di pubblicità [continua ..]

6. Online behavioural advertising e raccordo imperfetto con il GDPR tra paternalismo ed esigenze di regolazione

Fatica dunque a decollare una ricognizione normativa della remuneratività dei dati, specialmente nel contesto dell’advertising digitale che richiama invece a sé un costrutto gius-economico fondato su simili dinamiche remuneratorie. Stando a quanto premesso, non può che rilevarsi come la questione della libertà del consenso al trattamento sembri piuttosto utilizzata da fattore schermante alla mercificazione dell’informazioni [62]. Tale limite, che riecheggia nei provvedimenti delle autorità europee, pone un vincolo di sostanziale indisponibilità sui dati dell’interessato, condizionando l’interpretazione e finanche la produzione del diritto positivo. Icastico, in tal senso, è il caso della direttiva (UE) 2019/770 [63] in materia di contratti di fornitura di contenuti e servizi digitali [64]. In sede di proposta, la direttiva all’art. 3, par. 1, includeva nel suo ambito di applicazione anche i contratti in cui il fornitore fornisce contenuto digitale al consumatore, o si impegna a farlo, e in cambio del quale il consumatore corrisponde un prezzo oppure fornisce attivamente una controprestazione non pecuniaria sotto forma di dati personali. La disposizione sarebbe volta a intercettare certi servizi propri dei mercati digitali, solo formalmente gratuiti, ma che in realtà sono remunerati mediante la raccolta dei dati personali dell’interessato-utente, ancorché non fornendo un modello legale di riferimento [65]: la “cessione” dei dati personali era descritta attraverso una rappresentazione puramente funzionale – se non addirittura naif – della concreta operazione economica [66], senza che il legislatore si spingesse oltre nel chiarire i margini di liceità del trattamento dei dati. Tutto ciò con la finalità di assoggettare due fenomeni sostanzialmente uguali alla medesima regola, evitando che modelli commerciali solo formalmente gratuiti lasciassero il consumatore privo di qualsiasi forma di tutela prevista per i contratti onerosi. La citata formulazione ha fatto presto ad attirare a sé l’attenzione dell’European Data Protection Supervisor (EDPS), che scrive [67], in merito all’art. 3, che “non si può monetizzare e soggiogare un diritto fondamentale a una semplice transazione commerciale, anche se è l’individuo interessato ai dati a [continua ..]

NOTE