“Pay or Okay”: arriva il giudizio negativo da parte dell’European Data Protection Board

Secondo quanto emerso dalle autorità europee di protezione dei dati, le grandi piattaforme social online violano il GDPR – Regolamento Generale sulla Protezione dei Dati – con la chiacchierata strategia che richiede agli utenti di concedere il consenso o pagare in cambio dell’uso dei loro servizi.

Questa pratica solleva alcune questioni legali interessanti riguardo ai diritti dei cittadini nell’era digitale.

 

“Dai il consenso o paga” e GDPR

Durante la sessione plenaria del 17 aprile 2024 dell’European Data Protection Board – EDPB – è stata raggiunta la conclusione circa la non conformità al GDPR della formula “Dai il consenso o paga” applicata dalle grandi piattaforme come Facebook e Instagram.

L’EDPB ha basato il suo parere sull’articolo 64(2) del GDPR, tenendo conto anche della sentenza C-252/21 della Corte di Giustizia dell’Unione Europea. Questo dibattito riguarda la delicatezza tra la privacy degli utenti e le pratiche commerciali delle piattaforme digitali.

Il Presidente dell’EDPB, Anu Talus, ha criticato i modelli che utilizzano le piattaforme per il trattamento dei dati personali a fini pubblicitari, noti come “Pay or Okay”. Secondo la sua opinione, questi modelli non offrono una vera scelta agli utenti, spingendo quest’ultimi a concedere il consenso senza comprendere appieno le implicazioni. Le autorità ritengono che tali modelli non soddisfino i criteri di un consenso valido nella maggior parte dei casi, mettendo gli utenti di fronte a una scelta forzata tra il pagamento e l’accettazione della pubblicità comportamentale.

In altre parole, gli utenti dovrebbero poter esprimere il loro consenso in modo informato e senza costrizioni, piuttosto che essere costretti a scegliere tra pagare o accettare la pubblicità. Questo è un importante aspetto per garantire la tutela dei dati personali e la privacy degli utenti online.

 

Principi del GDPR e libertà del consenso

L’European Data Protection Board (EDPB), che ha anticipato l’introduzione di nuove linee guida sul tema, sottolinea che l’ottenimento del consenso non esime il titolare del trattamento dalla responsabilità di rispettare tutti i principi delineati nell’articolo 5 del GDPR. Questi principi includono la limitazione delle finalità, la minimizzazione dei dati e la correttezza.

Inoltre, le grandi piattaforme online devono considerare attentamente il rispetto dei principi di necessità e proporzionalità.

L’EDPB rimarca l’importanza del consenso e del fatto che debba necessariamente essere “libero” affinché sia valido.

Per quanto riguarda la libertà del consenso, è essenziale valutare i seguenti criteri:

  • Condizionalità: Qualsiasi tariffa addebitata non deve costringere gli individui a dare il proprio consenso;

 

  • Pregiudizio: Le autorità dovrebbero valutare se una tariffa è adeguata e quale importo sia appropriato in circostanze specifiche;

 

  • Squilibrio di potere: Le grandi piattaforme online devono considerare se la decisione di non prestare il consenso può comportare conseguenze negative per l’individuo. Queste conseguenze potrebbero includere l’esclusione da servizi importanti, la mancanza di accesso a reti professionali o il rischio di perdere contenuti o connessioni.

 

L’EDPB fornisce anche dei chiarimenti sulla revoca del consenso, suggerendo di considerare attentamente la frequenza con cui è necessario aggiornare il consenso.

Condividi