Il Modello pay or consent e la Pubblicità Comportamentale: le indicazioni dell'EDPB per un consenso valido
Con l’“Opinion 08/2024”, l'EDPB evidenzia i requisiti previsti dal GDPR per un consenso valido, nell’ambito del modello “pay or consent”, tra cui – in particolare – la necessità di considerare un'opzione "equivalente" al pagamento per accedere a servizi senza pubblicità comportamentale.
L'European Data Protection Board (EDPB) ha recentemente affrontato un tema di grande rilevanza nell'era digitale: la conformità dei modelli "pay or consent" nel contesto della pubblicità comportamentale.
A seguito della richiesta mossa da talune autorità di vigilanza all’EDPB di esprimere un parere sulla questione inerente alle circostanze e alle condizioni con le quali i modelli "pay or consent" possono essere implementati in modo da costituire un consenso valido, il Board ha sottolineato la necessità di rispettare tutti i principi delineati nell’articolo 5 del GDPR nonché le prescrizioni del GDPR specificatamente inerenti alla validità del consenso raccolto (caratteristica che, inevitabilmente, richiede una valutazione caso per caso che tenga conto delle specificità di ciascuno).
L’EDPB fornisce, inoltre, chiarimenti sul contenuto di alcuni concetti chiave, tra cui l’ambito di applicazione soggettiva del parere, che include:
◾ le piattaforme online di cui all’art. 3 e 33 del Digital Service Act;
◾ le piattaforme che effettuano un trattamento dei dati su larga scala o che attirano un numero elevato di utenti o che occupano una posizione dominante sul mercato;
◾ cd. "Gatekeepers" come definiti dall’art. 3 del Digital Markets Act.
In relazione, invece, alla validità del consenso ai sensi del GDPR, l'EDPB ha sottolineato la necessità di considerare una terza opzione. Infatti, nonostante siano diverse le modalità per finanziare un sito web (pubblicità contestuale, l'inserimento di contenuti a pagamento o i c.d. modelli “freemium”), spesso le aziende tendono a concentrare la discussione sulle due opzioni ("pay or consent"). Di contro, l’EDPB evidenzia che – per garantire che il consenso sia “valido” – è fondamentale offrire agli interessati un'opzione "equivalente" che non richieda il pagamento di una tariffa.
In relazione ai requisiti del GDPR per un consenso valido il Board precisa che la sua validità è strettamente legata a tre elementi fondamentali: libertà, granularità e informazione.
Il consenso deve essere libero affinché gli individui possano esprimere una decisione senza coercizione o impedimenti: è imperativo che nessuna tariffa o qualsiasi altra limitazione possa inibire effettivamente la scelta dell’interessato.
La granularità del consenso, altrettanto cruciale, è garantita attraverso la possibilità di scegliere quale finalità del trattamento accettare: se la richiesta di consenso è inerente a diverse finalità, è necessario procedere con una richiesta dedicata per ciascuna di esse.
Infine, il consenso deve essere informato al fine di consentire agli interessati una piena comprensione delle conseguenze delle loro possibili scelte.
In altri termini, alla luce delle importanti indicazioni fornite dall’EPDB, si può concludere che il consenso raccolto dalle Piattaforme Online, nel contesto di modelli “pay or consent”, può essere considerato solo quando lo stesso è conforme a tutti i requisiti previsti dal GDPR e purché il Titolare offra all’Interessato un’alternativa ulteriore, non a pagamento, e che non comporti il trattamento di dati.