Nei mesi scorsi si è molto discusso della scelta di alcuni quotidiani nazionali di inserire dei cookie wall per la lettura degli articoli: per mezzo di tali “muri”, i giornali invitavano (e invitano, tuttora) i lettori a scegliere tra la cessione dei propri dati personali e l’acquisto del singolo articolo. Il Garante per la protezione dei dati personali ha aperto un’istruttoria su tale pratica che, al momento, è ancora in corso di deliberazione.
Sul punto si è recentemente pronunciata la Datatilsynet, l’autorità danese per la protezione dei dati, a seguito di due reclami “Gul og Free” e “Jysk Fynske Medier”, stabilendo in che misura l’utilizzo di un cookie-wall sia legittimo. Il Garante danese ha inoltre pubblicato delle linee guida generali per l’uso di tali soluzioni di consenso.
Nel provvedimento si legge che, in linea di principio, il consenso subordinato alla fruizione di un servizio sarebbe legittimo, a condizione che sussista una possibilità alternativa per l’utente. In particolare, per quanto riguarda la società Gul og Free, l’Autorità danese si è espressa sostenendo che la società offra un’alternativa al consenso, rappresentata dall’accesso a pagamento, il cui prezzo è ragionevole, venendo così a costituire un’alternativa reale (e, quindi, valida) alla prestazione del consenso.
Il Garante ha tuttavia chiesto alla società di dimostrare che la profilazione a fini statistici sia una finalità necessaria dell’alternativa al pagamento oppure adottare la soluzione di un consenso espresso separatamente per la profilazione a fini statistici, non incluso nel box relativo al consenso per i cookies.
Difatti, l’informativa che veniva proposta da Gul og prevede la raccolta di IP, ID e browser per scopi statistici e di marketing. Tali informazioni sono divulgate ai partner commerciali che archiviano e/o accedono alle informazioni sul dispositivo dell’utente allo scopo di visualizzare annunci personalizzati e misurazione (taratura) di tali annunci.
Gul og Free si è difesa richiamando un provvedimento del Datenschutzbehörde, l’autorità austriaca per la protezione dei dati, che si è espressa su un caso analogo riguardante “Der Standard”, testata giornalistica austriaca. La decisione della Datenschutzbehörd austriaca era relativa alla condotta della testata che, da una parte, non offriva l’accesso gratuito ai contenuti, se non previo consenso alla raccolta di dati personali per scopi di marketing, e, dall’altra, offriva come alternativa l’accesso a pagamento ai contenuti senza l’uso dei cookie. In tal caso, l’Autorità austriaca ha ritenuto che la soluzione proposta fosse conforme agli standard sul consenso volontario di cui al GDPR dal momento che: a) le due opzioni alternative erano chiaramente indicate, b) nessun cookie era utilizzato prima che l’utente prestato il consenso, c) il pagamento era proporzionato al servizio; ed infine d) esistevano servizi simili con e senza consenso, che nel caso di pagamento non comportavano l’uso di cookie e quindi una pubblicità mirata. L’unica differenza tra il caso danese e quello austriaco è che, nel primo, come accennato, era prevista una profilazione non solo a fini marketing, ma anche statistici.
L’autorità danese si è occupata anche del caso della società Fynske Medier. In questo caso, però, si è ritenuto che l’alternativa non fosse equilibrata, dal momento che si chiedeva di accedere a parte del contenuto, per mezzo del consenso, oppure al contenuto intero, sottoscrivendo un abbonamento. Pertanto, si legge nel provvedimento, il servizio non sarebbe equivalente e la scelta richiesta non si potrebbe dunque ritenere libera.
In definitiva, i due provvedimenti sembrano correttamente evidenziare che la cessione dei dati personali possa essere alternativa al pagamento di un corrispettivo, però proporzionale rispetto al prodotto o al servizio commercializzato. Una scelta alla quale, del resto, era già arrivata anche il “nostro” Garante, durante la presidenza di Stefano Rodotà; un insegnamento che, forse, non dovrà essere dimenticato anche dall’attuale Autorità.