Negli anni scorsi l’Unione europea ha approvato una serie di importanti regolamenti e direttive che riguardano la gestione dei nostri dati personali da parte di soggetti privati, in particolare le grandi piattaforme online (i social media, ma anche molto altro). La più specifica è il Regolamento generale per la protezione dei dati personali, noto come GDPR, ma la questione è toccata anche da altre norme, come il Digital Services Act e il Digital Markets Act.

La conseguenza più evidente di questi regolamenti è il temibile “cookie banner”, che siamo costretti a chiudere ogni volta che apriamo un qualsiasi sito web. Ma i regolamenti hanno avuto un certo effetto nel costringere le piattaforme e in generale i servizi web a essere un po’ più trasparenti su ciò che fanno con i dati degli utenti e a interrompere alcune pratiche controverse.

Diverse questioni sono però rimaste in sospeso, e in particolare quelle relative al modello “consent or pay”, ossia i casi in cui si costringe l’utente a scegliere tra concedere l’invio dei propri dati personali, e accedere così a un certo servizio senza esborso di denaro, oppure pagare e non condividere i propri dati.

È un modello a cui ci siamo abituati senza nemmeno rendercene conto, e da cui è difficile sganciarsi. Quanti di noi pagherebbero, per fare un esempio, 20 euro al mese per usare Instagram o Facebook in cambio della privacy? Il fatto che la questione sia cruciale è evidenziata da quanto le aziende che basano il proprio modello di business sui dati personali degli utenti stiano facendo resistenza ad abbandonare il sistema dei “cookie”, un passaggio da tempo annunciato dalla stessa Alphabet (l’azienda di Google) e più volte rimandato. C’è poi da considerare che i dati degli utenti servono a fare “funzionare meglio” gli algoritmi delle piattaforme, che “conoscendoci” meglio ci restituiscono un’esperienza più gratificante.

Il modello “consent or pay” è adottato anche da molte testate d’informazione (anche in Italia, per esempio da Corriere, Sole 24 Ore, Repubblica). Su questo sistema il Garante della privacy aveva annunciato mesi fa un’indagine, di cui non si è più saputo nulla.

Nel frattempo, si è fatto sentire l’EDPB (European Data Protection Board), un organo consultivo dell’Unione europea che si occupa del rispetto del GDPR. Nel corso dell’ultima riunione plenaria, l’EDPB ha adottato un parere sulla validità del consenso al trattamento dei dati personali ai fini dell’invio di annunci pubblicitari mirati nel contesto dei modelli “consent or pay” utilizzati dalle grandi piattaforme online.

La presidente dell’EDPB Anu Talus ha dichiarato: “Le piattaforme online dovrebbero dare agli utenti una scelta reale quando utilizzano i modelli ‘consent or pay’. I modelli attuali di solito impongono alle persone di cedere tutti i loro dati o di pagare. Di conseguenza, la maggior parte degli utenti acconsente al trattamento dei dati per poter utilizzare un servizio e non comprende appieno le implicazioni delle proprie scelte”.

L’EDPB ritiene che porre gli utenti davanti a queste sole due opzioni non sia sufficiente per tutelare i loro diritti. Nello sviluppo di alternative, le grandi piattaforme online dovrebbero prendere in considerazione la possibilità di fornire alle persone un’“alternativa equivalente” che non comporti il pagamento di una tariffa. Questa alternativa gratuita dovrebbe ad esempio prevedere forme di pubblicità che comportino il trattamento di una quantità minore o nulla di dati personali. L’EDPB sottolinea che l’ottenimento del consenso non esime il responsabile del trattamento dei dati dal rispettare tutti i principi delineati nell’art. 5 del GDPR, come ad esempio la limitazione delle finalità, la minimizzazione dei dati e l’equità.

Inoltre, quando si propone una tariffa, i responsabili del trattamento dei dati devono valutare, caso per caso, se una tariffa sia appropriata e quale sia l’importo adeguato alle circostanze. Le grandi piattaforme online dovrebbero anche considerare se la decisione di non acconsentire possa portare l’individuo a subire conseguenze negative, come l’esclusione da un servizio importante, la mancanza di accesso a reti professionali o il rischio di perdere contenuti o connessioni.

I responsabili del trattamento devono inoltre valutare, caso per caso, se esiste uno squilibrio di potere tra l’individuo e il responsabile del trattamento. “I responsabili del trattamento dei dati – ha aggiunto Talus – devono sempre fare attenzione a non trasformare il diritto fondamentale alla protezione dei dati in una funzione per la quale gli individui devono pagare. Gli individui dovrebbero essere pienamente consapevoli del valore e delle conseguenze delle loro scelte”.

(Immagine da freepik)

Se sei arrivato fin qui

Magari ti interessa iscriverti alla nostra newsletter settimanale. Ricevereai il riepilogo delle cose che pubblichiamo sul blog, e se succede qualcosa di importante che riguarda l’associazione lo saprai prima di tutti.

Un paio di clic e ci sei