In questi giorni stanno spuntando su diverse testate online italiane dei cookie banner peculiari, improntati al “prendere o lasciare”, cioè permettendo la fruizione degli articoli online (tutti o alcuni) in casi specifici. Accettando i cookie facoltativi a scopo marketing (con profilazione inclusa, solitamente), in mancanza non potendo accedere ai contenuti (o al sito stesso); oppure (in alcuni casi) potendo accedervi solo a pagamento (di solito, in forma di abbonamento). Il Garante ha pubblicato una news ove annuncia accertamenti ed eventuali interventi a tal proposito.
Questi banner si chiamano “cookie wall” in gergo (“paywall” quando propongono il pagamento quale condizione di accesso) e non sono una novità, se ne è già parlato in passato. Questa rinnovata spinta potrebbe far pensare che vi sia una qualche novità normativa o giurisprudenziale o da parte del Garante tale da far ammettere un uso più o meno lecito di tale impostazione.
In realtà, per quanto noto fino ad ora, non è così. Giova allora riassumere i precedenti e i motivi per cui questa prassi può presentare un rischio di violazione delle normative coinvolte, da maneggiare con cura.
Cookie wall e pay wall: dalla Francia regole più chiare per poter “monetizzare” i dati personali
Indice degli argomenti
Il panorama normativo: GDPR e non solo
Le normative coinvolte non sono poche, sebbene di primo acchito si possa pensare a un semplice richiamo del GDPR, trattandosi di dati personali raccolti e trattati tramite l’uso dei cookie sui siti web. Il panorama regolatorio è più articolato.
Andando in ordine cronologico, possiamo così enumerare le norme coinvolte:
Direttiva 2002/58/CE
È la direttiva (recepita in apposita sezione del nostrano Codice per la protezione dei dati personali, cioè il titolo X agli artt. 121-132quater – ricordiamo che ogni Stato UE ha recepito a proprio modo la Direttiva, potendosi avere differenze rilevanti anche in sede interpretativa giudiziale e delle autorità) dedicata alle comunicazioni elettroniche, da considerare lex specialis rispetto al GDPR.
Soprattutto ragionando sul Considerando 25 si legge che “l’accesso al contenuto di un sito Internet specifico (leggi: contenuto specifico) può tuttavia continuare ad essere subordinato all’accettazione in conoscenza di causa di un marcatore o di un dispositivo analogo (ad es. un cookie), se utilizzato per scopi legittimi”.
Uno scopo “legittimo” lo si definisce tramite l’art. 5 della Direttiva – ora nel nostro Codice all’art. 122 – ove si impone la base consensuale per tale strumento, salvo per “l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”.
Ciò comporta, come afferma l’autorità inglese ICO, che “se l’utilizzo di un cookie wall ha lo scopo di richiedere o influenzare gli utenti ad accettare che i loro dati personali vengano utilizzati come condizione per accedere al servizio, è improbabile che il consenso dell’utente sia considerato valido”.
Non si può escludere, infine, che un consenso possa però essere liberamente prestato, basta che non sia legato a un servizio che altrimenti diverrebbe obbligatorio.
GDPR
Il Regolamento UE 2016/679 prevede i requisiti da rispettare quanto al consenso, indicando all’art. 7 che debba essere libero e che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.
Direttiva 2019/770
Recepita nel nostrano Codice del consumo nel 2021, ha ammesso che la fornitura di contenuti o servizi digitali (come l’accesso ai portali di editoria online) possa avvenire a fronte della raccolta dei dati personali forniti dal consumatore.
Si badi che il Considerando 25 recita che “la presente Direttiva non dovrebbe applicarsi alle situazioni in cui il consumatore, senza avere concluso un contratto con l’operatore economico, è esposto a messaggi pubblicitari esclusivamente al fine di ottenere l’accesso ai contenuti digitali o a un servizio digitale.
Tuttavia, gli Stati membri dovrebbero mantenere la facoltà di estendere l’applicazione della presente direttiva a tali situazioni o di disciplinare in altro modo le situazioni escluse dall’ambito di applicazione della presente direttiva”.
Regolamento ePrivacy
La bozza del regolamento (sostitutivo della Direttiva 2002/58 e perennemente in discussione) al momento prevede la possibilità di offrire un’alternativa al consenso per il wall, priva di tracciamento, sempre sotto l’egida di una “equivalenza” non meglio specificata e che potrebbe comprendere un paywall.
Digital Services Act
Da ultimo, il testo del DSA, in corso di pubblicazione in Gazzetta Ufficiale, parrebbe poter colpire con l’illiceità, in certa misura, i cookie wall e paywall qualora si configurino con dark pattern circa il loro design – nondimeno il testo stesso afferma di non coprire le condotte già disciplinate dal GDPR, per cui si può dubitare di una sua effettiva, residua pertinenza; in ogni caso, un dark pattern può già configurare una pratica commerciale scorretta ai sensi della normativa del consumo, oltre che del GDPR (vedi le linee guida EDPB sul tema).
Il panorama delle autorità: il Garante e non solo
Non di sola normativa si deve ragionare, bensì del portato applicativo, dell’interpretazione (e integrazione) apportata dalle autorità e dalla giurisprudenza. Pure qui possiamo procedere in ordine di tempo, quanto ai provvedimenti principali:
- La nostra Cassazione con sentenza n. 17278/2018 ha aperto uno spiraglio, ammettendo che un titolare di contenuti possa condizionare l’accesso utente al consenso, “quanto più la prestazione offerta dal gestore del sito Internet sia ad un tempo infungibile ed irrinunciabile per l’interessato, il che non può certo dirsi accada nell’ipotesi di offerta di un generico servizio informativo del tipo di quello in discorso, giacché all’evidenza si tratta di informazioni agevolmente acquisibili per altra via, eventualmente attraverso siti a pagamento, se non attraverso il ricorso all’editoria cartacea, con la conseguenza che ben può rinunciarsi a detto servizio senza gravoso sacrificio” – il caso verteva su un servizio digitale di email newsletter, afferenti “alla finanza, al fisco, al diritto e al lavoro”, ritenuto non certo di particolare taglio e approfondimento; un servizio informativo generico, pertanto, sarebbe più facilmente sottoponibile all’uso di cookie wall, rispetto ad altri.
- Sempre nel 2018, l’autorità di controllo austriaca Datenschutzbehörde ha deciso sul caso di una testata online che utilizzava un paywall, subordinato a un abbonamento: ne ha ammesso l’uso, a fronte di un pagamento non sproporzionato e privo del tracciamento utente, oppure in alternativa l’utente non dovrebbe poter accedere al sito e dovrebbe potersi avvalere di un servizio informativo alternativo.
- L’EDPB che, con le sue linee guida del 5/2020 sul consenso, ha bocciato la fattispecie del cookie wall, poiché invalidante la libertà del consenso, la capacità di scelta dell’utente, precisando che “un consenso fondato sull’esistenza di un’opzione alternativa offerta da un terzo non è conforme al regolamento generale sulla protezione dei dati”; si ammette allora che l’opzione alternativa sia offerta dal medesimo titolare e si afferma altresì che offrendo al pubblico una scelta tra un servizio con consenso alla base e “un servizio equivalente che non implica un siffatto consenso finché esiste la possibilità che il contratto venga eseguito o che il servizio oggetto del contratto venga prestato dal titolare del trattamento senza necessità di acconsentire ad usi ulteriori o supplementari dei dati in questione, non si è in presenza di un servizio condizionato [è perciò ammissibile]. Tuttavia, i due servizi devono essere effettivamente equivalenti”; secondo molti, ciò apre alla possibilità di un paywall, sempre che risponda ai criteri di equivalenza tra il servizio offerto a pagamento e quello sottoposto al tracciamento dei cookie facoltativi, di cui latitano ulteriori precisazioni.
- Il nostro Garante che, commentando la sentenza del Consiglio di Stato n. 2631/2021 (caso Facebook), richiama le linee guida EDPB sui cookie wall e le relative prescrizioni e preclusioni – più esaustivamente, afferma che “neppure il comitato dei Garanti, tuttavia, arriva ad escludere in maniera assoluta che il consenso al trattamento dei dati personali possa essere qualificato come controprestazione giacché ricorda che tale conclusione è, in realtà, “solo” una “presunzione forte” con la conseguenza che “in un numero molto ristretto di casi” condizionare l’erogazione di un servizio alla prestazione di un consenso potrebbe non valere a rendere invalido il consenso. Tuttavia, trattandosi di una presunzione, per di più forte, anche in tali limitate ipotesi toccherà al titolare del trattamento, in caso di contestazione, fornire prova della circostanza che il consenso, pur se condizionato può considerarsi espresso liberamente. E non sembra trattarsi di un onere probatorio facilmente soddisfacibile” – oltre a richiamare più oltre la congiunta applicazione della disciplina privacy e di quella consumeristica, di cui abbiamo detto sopra quanto alla Direttiva 2019/770; ricordiamo che per tale ultima disciplina, l’uso di cookie wall e paywall potrebbe configurare una pratica commerciale scorretta a seconda della sua realizzazione, censurabile da parte dell’AGCM.
- Il Garante italiano (similmente all’omologo spagnolo) che con le sue linee guida sui cookie del giugno 2021 ha affrontato il nodo dei cookie wall, illeciti “salva l’ipotesi, da verificarsi caso per caso, nella quale il titolare del sito, agendo nel rispetto del principio di correttezza, offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il consenso”; non è specificato se sia perciò ammissibile un paywall quale possibilità “equivalente”, con quali crismi, si specifica soltanto che l’alternativa deve essere conforme “ai principi del Regolamento codificati al suo art. 5, paragrafo 1, ed innanzitutto a quello di cui alla lettera a), che esige che i dati personali siano trattati in modo lecito, corretto e trasparente”.
- La CNIL, l’autorità francese di controllo, che nel maggio 2022 ha pubblicato una guida più estesa sul tema, imponendo tantissimi limiti ai titolari, qui ne richiamiamo solo alcuni: di fondo, è ammesso l’uso di cookie wall se un terzo offre un servizio/contenuto alternativo equipollente e facilmente accessibile; nel caso di paywall, parimenti ammissibile, il corrispettivo economico deve essere ragionevole, respingendo la formula dell’abbonamento, l’uso continuativo dei mezzi di pagamento, la registrazione di account ecc.; l’uso dei dati raccolti col consenso al wall deve essere nella misura necessaria a ottenere un “equo” corrispettivo.
Lo stato attuale del rebus
Dalla lettura del puzzle giuridico non è facile ricavare indicazioni precise e di facile esecuzione, specie volendo ricostruire un quadro unitario europeo, come già detto frammentario tanto più per la base normativa appoggiata a una Direttiva, di diversa attuazione statale.
Sicuramente la fattispecie del cookie wall e del paywall è in (lenta) evoluzione, se ci soffermiamo sullo scenario italiano: la giurisprudenza ne ammette la fattispecie, però la subordina a un vaglio sulla particolarità/reperibilità dei contenuti presso terzi (con annesse complicazioni probatorie); il Garante ne ammette la fattispecie, ma la subordina a rigorosa accountability sulle alternative offerte dallo stesso titolare (con annesse complicazioni circa la idoneità di tali alternative, come si possano configurare, se si possa sindacare la proporzionalità del corrispettivo paywall come richiesto dalla CNIL ecc.). In poche parole: non è facile rispettare i requisiti richiesti dalle autorità, al momento non paiono di cristallina interpretazione. Il rischio applicativo è dietro l’angolo.
In ogni caso, non si dimentichi la necessità di una rigorosa implementazione, dopo il ragionamento sull’ammissibilità e la liceità: si pensi all’adeguata informativa a monte (dapprima nel banner e poi nella versione estesa), alla corretta categorizzazione sempre a monte dei cookie utilizzati, al corretto utilizzo a valle dei soli cookie “tecnici” per gli utenti paganti. Internamente, si tratta di una fattispecie probabilmente da sottoporre a valutazione di impatto ex art. 35 GDPR, in cui non si potrà dimenticare la perdurante criticità dei trasferimenti extra-UE/SEE, soprattutto per i fornitori statunitensi tuttora condizionati dalla sentenza “Schrems II” della Corte di Giustizia. Il titolare potrebbe sbagliare soprattutto in questa fase implementativa.
Pensiamo ad es. alla possibile stratificazione di cookie da far accettare o meno, che potrebbe distinguere tra cookie necessari a “ripagare” il valore del servizio e tutti gli altri, non tecnici, eventualmente ancora previsti (e che resterebbero facoltativi per tutti, con separato consenso – sarebbe peraltro ammissibile questa stratificazione?). In attesa di nuove indicazioni dal Garante, alla ricerca di più precisi perimetri d’azione.