Dal 25 maggio, data di applicabilità del Regolamento europeo in materia di protezione dei dati personali (GDPR), si è palesata la difficoltà per alcune categorie di aziende di mettersi in regola con le nuove e più stringenti norme.

La pubblicità targettizzata

La problematica più evidente riguarda la profilazione a fini pubblicitari, cioè la raccolta di dati comportamentali al fine di inviare pubblicità personalizzata agli utenti (behavioural targeting). Poiché tale tipo di trattamento è considerato particolarmente invasivo e capace di limitare i diritti fondamentali dei cittadini, così come previsti nella Carta fondamentale dell’Unione europea (art. 7 e 8), in particolare il diritto alla privacy, alla dignità e alla non discriminazione, la nuova normativa lo subordina a requisiti più stringenti.

Di contro, molte aziende sostengono che l’invio di pubblicità personalizzata è più remunerativo, e quindi cercano in tutti i modi di ottenere una base giuridica sulla quale fondare questo trattamento, fino al punto di porre gli utenti di fronte ad una scelta obbligata (forced consent).

Così vari siti, e alcune piattaforme online (es. Facebook), hanno applicato il GDPR ponendo i loro servizi dietro ad un “tracking wall”. Cioè chiedono ai loro utenti il consenso al trattamento dei loro dati personali, specificando però che in assenza del consenso non potranno più usufruire dei servizi forniti. In pratica si tratta di “prendere o lasciare” (take it or leave it).

Si pone, quindi, il problema di verificare se tale approccio possa ritenersi compatibile col GDPR. Non è un problema delle sole grandi piattaforme del web, ma anche dei piccoli siti che sopravvivono solo grazie alle entrate pubblicitarie e, quindi, si chiedono se possono chiudersi dietro un “tracking wall”, impedendo agli utenti di vedere i loro contenuti in assenza di un consenso alla pubblicità personalizzata. È un problema sentito anche dai siti di news, i quali fanno anch’essi largo uso di tecnologie di tracciamento (come i cookie) per profilare gli utenti e quindi inviare loro la pubblicità personalizzata.

Infatti, l’attivista Max Schrems, tramite l’organizzazione da lui fondata, NOYB, ha già presentato ricorsi contro Facebook, Google, Instagram e Whatsapp, perché i Garanti europei valutino, appunto, la conformità di questi servizi online alle nuove norme per la protezione dei dati personali, e in particolare il consenso forzato o fittizio.

Occorre premettere che la raccolta di dati online dipende generalmente dall’uso di tecnologie di tracciamento, come cookie, web beacon, pixel, clear gif, e fingerprint. Il GDPR, in realtà, non regolamenta tali tecnologie, la cui disciplina è sempre dettata dalla direttiva ePrivacy, anch’essa comunque in fase di riforma. Questa direttiva, però, rimanda (art. 2 lettera F) direttamente, per la definizione di consenso, alla normativa generale (oggi il GDPR), per cui l’applicabilità del GDPR incide indirettamente sulla gestione dei cookie.

Base giuridica del trattamento

Per esemplificare la problematica utilizzeremo come caso pratico proprio Facebook, premettendo che non spetta a noi un giudizio sulla sua conformità al GDPR, semmai alle autorità di controllo, e che comunque non è la sola azienda a presentare questo approccio al GDPR.

Facebook, appunto, utilizza un tracking wall, chiedendo ai suoi utenti di accettare l’informativa, e le condizioni ivi previste, oppure di abbandonare il social, così subendo la cancellazione dell’account. Verificando l’informativa privacy del social non è nemmeno chiaro su quale base giuridica si fonda il trattamento.

La base giuridica del trattamento viene individuata nell’adempimento contrattuale per “fornire, personalizzare e migliorare i Prodotti Facebook”, “promuovere sicurezza”, “trasferire i dati all’esterno dell’UE”, e “offrire esperienze coerenti e senza interruzioni nei Prodotti offerti dalle aziende di Facebook”.

Invece la base giuridica è il consenso per “il trattamento di dati sottoposti a protezione speciale” (quelli che una volta si definivano dati sensibili), per l’uso di tecnologia di riconoscimento facciale, e “per l'uso di dati che gli inserzionisti e gli altri partner ci forniscono in merito alle tue attività al di fuori dei Prodotti offerti dalle aziende di Facebook, in modo da poter personalizzare le inserzioni mostrate sui Prodotti offerti dalle aziende di Facebook e su siti web, app e dispositivi che usano i nostri servizi pubblicitari”, oltre che per “la condivisione di dati che ti identificano a livello personale (informazioni quali nome o indirizzo e-mail che possono essere usate per contattarti o identificarti) con gli inserzionisti, ad esempio, quando ci indichi di condividere le tue informazioni di contatto con un'inserzionista in modo che ti contatti, ad esempio, con informazioni aggiuntive su un prodotto o un servizio in promozione”.

Infine, la base giuridica è individuata nei legittimi interessi del titolare (cioè Facebook) “in relazione alle persone che non hanno raggiunto la maggiore età”.

Nel Follow-up alla testimonianza di Zuckerberg dinanzi al Parlamento europeo, alla domanda 6 (se il consenso richiesto agli utenti di Facebook sarà limitato ai soli dati necessari per l’uso dei servizi), Facebook risponde che chiede agli utenti una scelta in relazione a tre cose: alle pubblicità basate sui dati dei partner, all’uso dei dati sensibili nei profili e al riconoscimento facciale. L’azienda precisa, inoltre, che il consenso a questi tre elementi non è una precondizione per usare i servizi. In effetti, l’utente può personalizzare la sua esperienza sul social network rinunciando alla pubblicità personalizzata, ma non è chiaro se tale rinuncia comporta anche che le informazioni comportamentali non saranno più raccolte.

Comunque, con riferimento al trattamento dei dati a fini di profilazione e l’invio di pubblicità targettizzata, il trattamento sembra essere basato sull’adempimento contrattuale (ai sensi dell’art. 6.1 lett. b) del GDPR), oppure sul consenso per alcuni casi specifici (art. 6.1.a). In particolare, è indicato: “Usiamo le informazioni in nostro possesso, tra cui quelle relative a interessi, azioni e connessioni, per selezionare e personalizzare inserzioni, offerte e altri contenuti sponsorizzati da mostrarti”.

Agli occhi dell’utente la base giuridica appare il consenso (chiesto all’accesso), ponendolo nella condizione di accettare le condizioni di policy (cioè fornire il consenso) oppure essere cancellato dal servizio, ma poi nell’informativa sembra diventare il contratto. La due basi giuridiche appaiono, così, sovrapposte con ciò determinandosi un primo problema di “capacità informativa” della policy.

Consenso forzato

Facebook pone l’utente nella condizione di dover accettare i trattamenti indicati nell’informativa (compreso quello della profilazione a fini di invio di pubblicità personalizzata) se vuole mantenere l’account sul social: l’unica opzione possibile è acconsentire.

In tale prospettiva occorre analizzare le caratteristiche del consenso così strutturato.

Il primo aspetto da valutare è ovviamente dato dalla libertà del consenso. In base al Considerando 42, “il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”. Il Considerando 43 aggiunge che “si presume che il consenso non sia stato liberamente espresso (…) se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”. E l’art. 7 dice: “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto”. In questo caso, si tiene conto della raccolta di dati comportamentali (anche in caso di rinuncia alla pubblicità personalizzata).

Come precisa il Working Party Article 29 (Guidelines on Consent under Regulation 2016/679, wp259rev.01), se il consenso è impacchettato come parte non negoziabile di termini e condizioni, si presume che non sia stato dato liberamente. In tutti i casi in cui l’utente non ha una reale scelta, perché abbandonando il servizio subisce delle limitazioni, il consenso deve ritenersi invalido (pag. 5). Nel caso specifico, l’utente non solo subisce un pregiudizio, ma addirittura viene posto nell’impossibilità di usufruire del servizio. Insomma, il contratto di fornitura del servizio è cancellato se l’utente non acconsente ad essere profilato.

Ma la profilazione dei dati dell’utente non è elemento necessario per l’esecuzione del contratto di servizio. Viene, quindi, in considerazione la finalità del contratto, e il Working Party 29 (Guidelines on Consent under Regulation 2016/679, wp259rev.01) evidenzia che occorre un collegamento diretto ed obiettivo tra il trattamento dei dati e lo scopo dell’esecuzione del contratto (pag. 8). Se il titolare vuole trattare dati necessari per l’esecuzione del contratto, allora il consenso non è la base giuridica appropriata.

In effetti potrebbe essere questo il motivo per il quale Facebook, nonostante cerchi un consenso dell’utente, poi finisca per giustificare il trattamento dei dati in base all’esecuzione del contratto, con ciò sovrapponendo le due basi giuridiche.
Però, il WP29 (gruppo dei Garanti europei) nell’opinione 6/2014 (pag. 17) ha chiarito che l’adempimento contrattuale non è una base legale adatta per costruire un profilo comportamentale dell’utente perché l’utente chiede al titolare del trattamento la fornitura di beni o servizi. La profilazione non è, quindi, necessaria alla fornitura dei beni o servizi, anche se espressamente menzionata nel contratto. La profilazione non è un “core business” di un social network.
Frederik Borgesius, nel 2015 (Personal Data Processing for Behavioural Targeting: Which Legal Basis?) concluse che nella maggior parte dei casi l’unica base giuridica valida per il trattamento dei dati a fini di profilazione è il consenso inequivocabile.

Altro elemento da considerare è l’eventuale squilibrio tra le parti. L’esempio classico è quello del consenso dei dipendenti. Se il datore di lavoro chiede il consenso all’utilizzo dei dati (es. la pubblicazione delle foto dei dipendenti sul sito web aziendale), è altamente probabile che il dipendente non si senta realmente libero , e quindi si ha un pregiudizio derivante dal contesto lavorativo. In tal senso il consenso non può ritenersi realmente libero, e quindi non è valido. Si ha un evidente squilibrio di potere tra le parti.

A tal proposito è esemplificativo il Considerando 43 del GDPR: “È opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica”.

Si fa il chiaro esempio della autorità pubbliche, le quali dovrebbero evitare di basare i trattamenti sul consenso proprio perché spesso il mancato conferimento comporta una limitazione per l’utente in relazione a servizi essenziali. Ma ciò può accadere anche con i privati: se il privato si trova in una posizione di semi-monopolio nel mercato di riferimento – cioè quando è sostanzialmente difficile per l'utente abbandonare il servizio e trovare un servizio analogo – , oppure quando l’abbandono di un servizio è scoraggiato dal fatto che l’utente non può portare con sé, verso un servizio concorrente, contatti e contenuti. Come ad esempio accade se si abbandona un servizio di messaggistica per un altro, laddove nel primo l’utente ha già costruito una rete di contatti che ovviamente non ha nel secondo (effetto lock-in).

In queste ipotesi non è raro trovare servizi che utilizzato un “consenso forzato”, costringendo l’utente a “pagare” il servizio con i propri dati e acconsentendo alla profilazione, anche di terzi, per ottenere l’accesso al servizio. Questo è un problema di “concorrenza”, perché in tal modo un servizio, sfruttando l’effetto lock-in, può mantenere la sua clientela senza doversi preoccupare troppo di innovare rispetto ai concorrenti, laddove questi ultimi partono sempre svantaggiati, dovendo realizzare una base clientelare da zero. Per questo motivo il GDPR introduce, a parziale correzione, il diritto alla portabilità dei dati, anche se sarebbe opportuno spingere sulla interoperabilità tra servizi.

Infine, un altro aspetto da considerare è la specificità del consenso (anche granularità) che prevede un consenso separato per ogni finalità. Anche qui ci aiuta il Considerando 43: “Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali”. Ad esempio, con rifermento ai cookie, non sarebbe valido un consenso unico riferito a tutti i cookie (analytics, marketing, advertising, ecc…).
Nel caso specifico, invece, Facebook presenta all’utente la richiesta di consenso unico per una serie di finalità.

In conclusione, l’utilizzo di un tracking wall potrebbe non essere conforme alla normativa in materia di dati personali in tutti quei casi in cui non vi è un servizio concorrente analogo oppure se risulta difficile passare da un servizio ad un concorrente.

Ma anche altri dubbi si addensano sul funzionamento di Facebook. Ad esempio, il GDPR prevede il principio di privacy by design e by default, in base alla quali il software dovrebbe essere disegnato in modo che tuteli per impostazione predefinita la privacy degli utenti. Attualmente, invece, Facebook rende pubblici determinati dettagli del profilo utente per impostazione predefinita.

Attenderemo le conclusioni della autorità di controllo.

Immagine in anteprima via pixabay.com