In premessa, è necessario effettuare una distinzione tra il c.d. “cookie wall” e il “paywall”.
Il “cookie wall” è un meccanismo applicabile su un sito web, che concede all’utente di accedere soltanto prestando il proprio consenso a tutti i cookie. Questo sistema è generalmente proibito, in quanto, secondo il Considerando 32 del GDPR, il consenso “dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano”. Questo concetto è stato riportato nella definizione di consenso dell’interessato, (art. 4, punto 11 del GDPR) (qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento).
In riferimento ai “cookie wall” si sono espressi:
- l’EDPB, confermando che “affinché il consenso sia prestato liberamente, l’accesso ai servizi e alle funzionalità non deve essere subordinato al consenso dell’utente alla memorizzazione di informazioni o all’ottenimento dell’accesso a informazioni già memorizzate nell’apparecchiatura terminale dell’utente”, (Linee Guida 5/2020 sul consenso, Paragrafo 39);
- il Garante per la protezione dei dati personali italiano, confermando che “tale meccanismo, non consentendo di qualificare l’eventuale consenso così ottenuto come conforme alle caratteristiche imposte dal Regolamento, […] è da ritenersi illecito, salva l’ipotesi da verificare caso per caso nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento”.
Relativamente a questa ipotesi, contenuta nelle Linee Guida del Garante italiano, è opportuno descrivere il c.d. “paywall”, un meccanismo applicabile su un sito web, per cui all’utente viene proposta un’alternativa alla prestazione del proprio consenso all’installazione dei cookie per accedere ai contenuti, come un pagamento o un abbonamento.
Il “paywall” è stato applicato da alcune importanti testate giornalistiche italiani ed internazionali, che propongono contenuti online chiedendo il consenso dell’utente per l’installazione di tutti i cookie pubblicitari e di profilazione, oppure comprare un abbonamento, al fine di poter visionare gli articoli caricati sul sito web. Chiaramente l’intento degli editori che usufruiscono di questo sistema di “paywall” è quello di acquisire i dati profilati degli utenti che navigano sul sito web, per rivenderli ai fornitori di pubblicità, con premi più remunerativi della generica pubblicità. L’attività è giustificata dagli editori come mezzo economico per supportare il lavoro delle proprie redazioni giornalistiche, al fine di fornire un’informazione di maggiore qualità.
La questione è ancora oggetto di analisi da parte dei Garanti europei, compreso quello italiano che alla data odierna non si è ancora espresso sulla liceità di questa modalità di acquisizione dei dati personali degli utenti. Infatti, in seguito alla sentenza del Consiglio di Stato n. 2631/2021 (caso Facebook), il Garante italiano ha affermato che “neppure il comitato dei Garanti, tuttavia, arriva ad escludere in maniera assoluta che il consenso al trattamento dei dati personali possa essere qualificato come controprestazione giacché ricorda che tale conclusione è, in realtà, “solo” una “presunzione forte” con la conseguenza che “in un numero molto ristretto di casi” condizionare l’erogazione di un servizio alla prestazione di un consenso potrebbe non valere a rendere invalido il consenso. Tuttavia, trattandosi di una presunzione, per di più forte, anche in tali limitate ipotesi toccherà al titolare del trattamento, in caso di contestazione, fornire prova della circostanza che il consenso, pur se condizionato può considerarsi espresso liberamente. E non sembra trattarsi di un onere probatorio facilmente soddisfacibile”.
Nel comunicato stampa dello scorso 12 novembre 2022 (ultimo in ordine di tempo sull’argomento), il Garante ha informato che sta proseguendo l’attività istruttoria e che è stato richiesto ai titolari di:
- chiarire le modalità di funzionamento del meccanismo in questione;
- fornire tutti gli elementi utili a dimostrare che la normativa in materia di protezione dei dati personali sia stata rispettata;
- produrre considerazioni contenute nelle valutazioni di impatto;
- indicare i criteri adottati per la determinazione del prezzo dell’abbonamento alternativo al servizio disponibile mediante prestazione del consenso.