Se vuoi leggere gratuitamente le notizie devi accettare tutti i cookie, senza la possibilità di rifiutare, oppure devi abbonarti per rifiutare il consenso ai cookie o personalizzare le scelte, con la sola eccezione dei cookie tecnici. È questo il senso del cookie wall apparso ieri, per la prima volta, sulla home page di Repubblica.it, che ha subito suscitato tante proteste su Twitter e molta sorpresa in milioni di utenti.
Iniziative simili sono state prese, negli ultimi giorni, anche da altre testate giornalistiche online, siti web e aziende operanti su Internet nel settore televisivo.
L’attenzione del Garante Privacy
Il Garante Privacy ha comunicato questa mattina “anche a seguito di alcune segnalazioni, sta esaminando tali iniziative alla luce del quadro normativo attuale, anche al fine di valutare l’adozione di eventuali interventi in materia”.
Spuntano i cookie wall, cosa sono?
Tutti questi siti hanno messo in campo sistemi e filtri, che condizionano l’accesso ai contenuti alla sottoscrizione di un abbonamento (il cosiddetto paywall) o, in alternativa, al rilascio del consenso da parte degli utenti all’installazione di cookie e altri strumenti di tracciamento dei dati personali (il cosiddetto cookie wall).
Per cookie wall si intende, allora, un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga cioè obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.
Repubblica spiega così la scelta del cookie wall: “Se accetti i cookie potremo erogarti pubblicità personalizzata e, attraverso questi ricavi, supportare il lavoro della nostra redazione che si impegna a fornirti ogni giorno una informazione di qualità. Se, invece, vuoi rifiutare il consenso ai cookie o personalizzare le tue scelte, con la sola eccezione dei cookie tecnici, devi acquistare uno dei nostri abbonamenti”.
In attesa del verdetto del Garante Privacy, i cookie wall sono legali?
Secondo quest’analisi sul monitoraggio e liceità dei cookie paywall, il nostro consenso vale 75 euro l’anno. I ricercatori hanno condotto uno studio esplorativo sui paywall e analizzato 2.800 siti Web dell’Europa centrale per misurare la presenza e le pratiche dei cookie paywall.
Ma sulla monetizzazione dei dati c’è ambiguità normativa e, nella stessa Europa, coesistono approcci e comportamenti profondamente diversi. Il garante privacy europeo considera i cookie wall una violazione del consenso liberamente prestato; altri Garanti nazionali danno interpretazioni diverse sulla liceità dei cookie wall. In particolare quello austriaco considera i paywall un valido consenso, il Garante Privacy francese raccomanda una valutazione caso per caso dei paywall (ad esempio, se il prezzo è ragionevole). Mentre per quello italiano e spagnolo i cookie wall non sono validi. Eccezioni: se
- gli utenti sono informati.
- viene offerto un accesso alternativo senza richiedere l’accettazione del tracciamento.
- previsto un servizio alternativo equivalente.
Cookie wall, la posizione del Garante Privacy italiano espressa il 10 giugno 2021
Per essere più precisi, il Garante italiano sul tema si è già espresso il 10 giugno 2021 quando ha definito le linee guida cookie e altri strumenti di tracciamento. Ecco in quali termini.
“Il cookie wall, non consentendo di qualificare l’eventuale consenso così ottenuto come conforme alle caratteristiche imposte dal Regolamento, e segnatamente al suo art. 4, punto 11 con particolare riferimento al requisito della ‘libertà’ del consenso, è da ritenersi illecito, salva l’ipotesi da verificare caso per caso nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento”.
“E ciò”, continua l’Autorità, “alla irrinunciabile condizione della conformità dell’alternativa proposta ai principi del Regolamento codificati al suo art. 5, paragrafo 1, ed innanzitutto a quello di cui alla lettera a), che esige che i dati personali siano trattati in modo lecito, corretto e trasparente (principio di “liceità, correttezza e trasparenza”); in difetto, il cookie wall non potrà essere reputato in linea con la disciplina vigente”.
Il commento degli esperti
Di seguito il commento, rilasciato a Key4biz, da Christian Bernieri, esperto di protezione dei dati e DPO.
“Chiunque lavori merita di essere pagato e gli editori fanno benissimo a trarre profitto dal loro lavoro. La gratuità non esiste e oggi si è trovato il coraggio di ammettere che si può essere pagati in denaro oppure in altro modo, per esempio con i dati personali.
Purtroppo gli editori hanno gestito questo passaggio in modo un po’ dilettantesco e hanno commesso errori che saranno oggetto di verifica da parte del Garante per la privacy.
Non è vietato monetizzare un trattamento come la profilazione e l’invio di pubblicità personalizzata così come non è vietato condividere dati con dei partner per il medesimo scopo.
Tuttavia, per farlo, devono comunque essere rispettati tutti i principi del GDPR e devono essere garantiti i diritti che sono inalienabili, indisponibili e che non possono certamente essere derogati con un clic.
L’errore commesso dagli editori è tutto lì: hanno chiesto un consenso cumulativo per diversi trattamenti, non hanno informato adeguatamente gli utenti affinché possano esprimere un consenso informato e valido, hanno compreso la libertà di questo consenso ponendolo come obbligatorio. Si tratta di tre violazioni distinte al regolamento europeo generale sulla protezione dei dati personali, tre errori che non sono formali ma di sostanza e che potrebbero portare a provvedimenti correttivi o sanzionatori da parte
del Garante. Stupisce il fatto che un’operazione così vasta, che interessa molte testate e quindi diverse grandi aziende, sia stata progettata e realizzata con questo vizio di fondo nonostante il prevedibile enorme impatto e visibilità. Esistono molti professionisti, i Dpo, che avrebbero potuto accorgersi immediatamente del problema e indicare le modalità per monetizzare il traffico senza violare il GDPR. In altre occasioni ho potuto osservare che i consigli dei Dpo non vengono presi in adeguata considerazione, in altri casi ci si scontra con altre funzioni orientate più al marketing o ad aspetti tecnici ma, in ogni caso, si tratta di disfunzioni. Un’operazione del genere richiede uno staff interdisciplinare ed un lavoro di squadra all’interno della quale il DPO è l’uomo partita che fa sia da portiere che da bomber. Metterlo in panchina significa non vincere”.