Ho parlato della liceità giuridica del paywall intervenendo (NB, collegamento a Youtube) all’interno di una nota rassegna di approfondimento curata da Matteo Flora, che ringrazio.
Ma partiamo dall’inizio: innanzitutto che cos’è un paywall? E’ quel “banner cookie” che pone l’utente di fronte alla scelta tra pagare per la fruizione di un contenuto, per esempio un articolo di giornale, oppure accettare i cookie.
Letteralmente quindi un muro invalicabile, “wall”, che si può superare solo pagando, “pay”, o in denaro… o in dati personali. Bene, ma è consentito? Ad avviso di chi scrive, no. Vediamo insieme perché.
Possono essere usati i dati personali come strumenti di pagamento?
Proprio qui sta il punto: possono essere usati i dati personali come strumento di pagamento? Da sempre, la risposta, nella normativa sulla protezione dei dati personali*, è no. Pagare in dati personali è un avvilimento della persona, anche perché il consenso che viene richiesto è quello alla profilazione, all’uso cioè di cookie di tracciamento che cercano di comprendere le scelte dell’utente, le sue preferenze, i suoi bisogni per indirizzargli messaggi mirati.
A ben vedere, tutto il ragionamento, che è complesso, diventa più semplice se si tengono ben fermi due capi concettuali, ossia:
Guardiamo rapidamente entrambi i punti, perché sono le leve che spostano la questione.
Unica base: il consenso
Eccoci davanti a una norma molto chiara, una volta tanto: l’art. 122, co. 1 codice privacy (d.lgs. 196/2003). La disposizione permette l’installazione di cookie (non tecnici) “unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso”. Si tratta dell’attuazione nazionale dell’art. 5, par. 3 direttiva 2002/58, più nota come direttiva “ePrivacy”, che stabilisce testualmente la stessa cosa.
Attenzione qui: parliamo di consenso, non di legittimo interesse. Qual è la differenza? Se la base è il legittimo interesse, a decidere di procedere o no al trattamento dei tuoi dati è il titolare del sito, previo test di bilanciamento (cd. “LIA”), che deve essere in grado di esibire. Se la base è il consenso, sei tu utente del sito a decidere. La differenza è sostanziale, perché sposta da un soggetto all’altro il fulcro del potere di innescare la profilazione. Questo ha previsto il legislatore, e andrebbe osservato.
Ora, il consenso “privacy” è una cosa seria. Per essere un consenso autentico e non un sì meccanico occorre – anche questo lo impone il legislatore – che sia informato, libero e incondizionato. Sono, insieme ad altri, i requisiti che leggiamo all’art. 7 GDPR, e sono parzialmente diversi da quelli prescritti dal diritto civile di tradizione romanistica, nel senso che il registro a cui attenersi in ambito “privacy” è molto più sensibile. Calando il tutto nella pratica: se negando il consenso perdo occasioni, il consenso è condizionato. Dunque: se non posso fruire del tuo sito, e perdo quindi (negando il consenso) un contenuto che vorrei, il consenso non è libero.
Ora, per mettere a fuoco il quid decisivo, spostiamoci sul secondo elemento della coppia che avevamo introdotto: la profilazione arbitraria, perché è con questo secondo elemento che divengono veramente chiari il significato, il peso e l’oggetto di questo consenso.
La profilazione
Ricordiamo una cosa: stiamo parlando di cookie non tecnici, ossia – semplificando – di cookie di profilazione. Ora, la domanda è semplice: che cosa c’entra la profilazione con la lettura di un articolo di giornale o la fruizione di un sito di avvocati o la consultazione del meteo? Nulla.
Questi siti vogliono farsi pagare – supponiamo – per i contenuti che offrono? Nessun problema: pongano allora l’alternativa secca tra il non fruire i loro contenuti o il fruirne a pagamento. Ma fornire la controprestazione con i dati personali che cosa c’entra?
La verità è che l’alternativa secca toglierebbe molto traffico ai siti, perché un numero (molto) limitato di utenti sarebbe disposto a pagare, anche per la semplice ragione di buon senso che non si può pagare qualsiasi proposta di servizio si incontra in rete, peraltro a scatola chiusa. Dunque, si conta sul fatto che l’utente alla fine pagherà in dati, non potendo/volendo farlo in denaro, e il sito monetizzerà sulla profilazione, ossia sul mercato di quei dati.
Per capire quanto sia avvilente il meccanismo, immaginiamo di trasporlo nel mondo reale: supponiamo che invece di pagare il biglietto del cinema ti venisse proposto di farti montare sulle spalle una serie di telecamere che ti seguono nei vari nodi dei tuoi spostamenti. Se lo scegli, deve essere in totale libertà, questo ti garantisce il legislatore. Ti garantisce di non farlo per una contropartita economica. La privacy non può divenire una tutela per soli abbienti, mentre il resto della popolazione girerà con telecamere montate sulle spalle (è solo un’immagine naturalmente).
Vogliamo davvero un mondo di paywall?
Immaginiamo ora che il paywall, oggi chiaramente vietato (vedasi art. 122 cod. priv. e Linee guida 5/2020 EDPB, §§ 38, 39), divenga libero. Immaginiamo cioè che oltre ad alcuni giornali online lo adottino tutti.
Perché no, in fondo? I cookie wall (di cui i paywall sono una declinazione) popolavano fino a poco tempo fa la rete, come tutti ricorderete. Ogni sito era un check point: o mi dai i dati oppure non entri. Col paywall, abbiamo solo aggiunto una terza ipotesi: “oppure paghi”. E’ un’ipotesi perfino peggiore, perché discrimina sul censo. Se, in questo scenario (verosimile) di diffusione a macchia d’olio dei paywall, ci verrà chiesto, a ogni passo nella rete, a ogni singolo sito visitato, di pagare una somma sia pur modesta (ma capite che il totale modesto non è), la navigazione diverrà per i più insostenibile.
Non solo economicamente, anche sotto il profilo dell’esperienza utente.
Dunque i più, per convenienza economica o per speditezza di navigazione, accetteranno di farsi montare telecamere sulle spalle (sempre, beninteso, virtualmente) e noi avremmo compiuto uno dei più grandi balzi indietro nella tutela dei diritti fondamentali.
* L’asterisco di cui sopra
Spieghiamo adesso l’asterisco all’inizio di questo articolo. La normativa sulla protezione dei dati personali a me pare molto chiara sul no al paywall. Alcune assai rispettabili posizioni giuridiche di segno diverso danno tuttavia speciale rilievo alla normativa consumeristica, che invece consentirebbe di pagare un servizio con dati personali. Ciò in particolare si evincerebbe dall’art. 138-octies, co, 4 cod. consumo.
Tuttavia, in quella disposizione non leggiamo assolutamente la parola “controprestazione”, che è stata infatti espressamente – e, sia permesso notarlo, non a caso – eliminata dalla fonte europea, a monte. Il codice del consumo opera nel suo settore di competenza, e terrà conto della libertà del consenso “privacy” dell’interessato consumatore.
Come mai non c’è scritto più “controprestazione”? Perché l’art. 138-octies costituisce la trasposizione nazionale dell’art. 3, par. 1 direttiva (UE) 2019/770. Ora, è avvenuto che l’EDPS, ossia l’omologo per la UE del nostro Garante, nell’opinione istituzionale 4/2017 aveva infatti chiesto espressamente di eliminarla dal testo inziale (tecnicamente “proposta di direttiva”): “The EDPS recommends avoiding the use of the notion of data as counter-performance in the Proposal” (§ 14).
Così infatti è stato e trattasi di scelta del legislatore di cui il giurista non può non tenere conto in ambito ermeneutico: non credo cioè sia consentito far rientrare in via interpretativa ciò che è stato espressamente eliminato in via normativa. A ben vedere, stiamo cioè parlando di un vecchio dibattito già risolto anni fa a seguito dell’intervento dell’EDPS e che oggi ci raggiunge semmai come la luce di una stella lontana che in realtà si è spenta da tempo.
Il parere dell’EDPS merita di essere letto a fondo per riportare la dialettica tra la normativa sui dati personali e quella consumeristica in un rapporto equilibrato. In chiusura, cito ancora dall’opinione menzionata questo passaggio, insolitamente forte nei toni (evidentemente ne abbiamo bisogno), ma efficace, § 17: “There might well be a market for personal data, just like there is, tragically, a market for live human organs, but that does not mean that we can or should give that market the blessing of legislation”. Ossia:
Può ben esistere un mercato dei dati personali, così come esiste, tragicamente, un mercato degli organi umani, ma questo non vuol dire che noi possiamo o dovremmo dare a tale mercato la benedizione della liceità normativa
“