Il Garante Privacy italiano ha avviato una serie di istruttorie aventi a oggetto l’iniziativa di alcuni editori di giornali online di prevedere un banner che comunica ai potenziali lettori che la lettura del giornale digitale potrà avvenire, a loro scelta, dietro il pagamento di un prezzo in denaro o dietro l’accettazione di cookie di profilazione di terze parti.
***
Il Garante Privacy italiano ha avviato una serie di istruttorie aventi a oggetto l’iniziativa di alcuni editori di giornali online di prevedere un banner che comunica ai potenziali lettori che la lettura del giornale digitale potrà avvenire, a loro scelta, dietro il pagamento di un prezzo in denaro o dietro l’accettazione di cookie di profilazione di terze parti. La vicenda, che riguarda «la Repubblica» e altre testate (le quali in realtà hanno seguito la strada già imboccata da «Le Monde»), offre l’occasione per fare il punto sull’applicazione del regolamento UE 2016/679 sulla protezione dei dati (il Gdpr), da un lato, e la tenuta del nuovo assetto normativo disegnato dalla più recente direttiva 2019/770 sui contenuti digitali (la Dcd), dall’altro lato. Per orientarsi in questa materia, può essere utile premettere una distinzione tra due tipologie di dati personali, che possiamo chiamare «dati serventi» e «dati remuneranti». Alla prima categoria appartengono quei dati che hanno una funzione servente rispetto all’adempimento di un’obbligazione, e la cui fornitura, o permesso di raccolta, corrisponde, nella teoria delle obbligazioni, all’obbligo di cooperazione del creditore all’adempimento dell’obbligazione. L’esempio classico è quello del dato personale consistente nell’indirizzo del consumatore nella vendita che prevede a carico del venditore l’obbligazione di consegna del bene al domicilio del consumatore. Oppure si può fare l’esempio dei dati personali sulla visione dei film su Netflix, rispetto all’obbligazione contrattuale di Netflix di fornire dei consigli di visione all’utente. Anche questi sono dati serventi, nella misura in cui permettono una profilazione dell’utente funzionale al servizio fornito da Netflix. Nell’impianto del Gdpr, la base del trattamento dei dati serventi è, coerentemente, quella dell’esecuzione dei contratti e ben si spiega, di conseguenza, che non sia necessario un consenso ad hoc per il trattamento dei dati serventi, tanto meno un consenso revocabile.
I dati remuneranti, invece, sono quei dati che, in luogo di un prezzo in denaro, o insieme ad un prezzo in denaro, costituiscono la remunerazione (totale o parziale) di una prestazione cui sia tenuto un debitore, tipicamente per contratto. La direttiva Dcd contempla proprio contratti siffatti, ossia contratti nei quali il consumatore acquista contenuti digitali fornendo dati personali. A questa tipologia di contratti rispondono anche le offerte delle testate online di cui discutiamo. In questo caso, infatti, l’eventuale consenso dei lettori a far raccogliere i loro dati personali attraverso cookie di terze parti non serve lo scopo di consentire all’editore l’esecuzione della sua prestazione (l’accesso agli articoli) ma costituisce la remunerazione di tale prestazione, perché l’editore può monetizzare questo consenso facendosi pagare in denaro dalle terze parti che installano i cookie. Nel sistema del Gdpr, la base del trattamento dei dati remuneranti sembra essere quella del consenso per specifiche finalità e alla relativa disciplina bisogna sicuramente far riferimento nella specifica materia dei cookie per coordinarsi con le previsioni del consenso previsto dalla direttiva e-privacy. Il consenso previsto dal Gdpr contempla il diritto di revoca da parte dell’interessato, con effetti pro futuro. Per la delicatezza e la novità del fenomeno, si avverte l’esigenza di linee guida sulle nuove opportunità e sui nuovi obblighi che gli editori digitali hanno nel quadro normativo arricchito dalla direttiva Dcd, considerando che in tale nuovo quadro non soltanto bisogna mettere i potenziali lettori in condizione di prestare il loro consenso in modo libero, consapevole e inequivocabile, ma anche bisogna renderli edotti che si sta chiedendo loro di concludere un contratto che prevede l’acquisto di contenuti digitali in cambio dei loro dati personali; ed al contempo occorre informarli del loro diritto di revocare il consenso e delle relative conseguenze. Attesa la dimensione europea delle normative interessate, oltre all’annunciato intervento del Garante Privacy italiano, è auspicabile una presa di posizione del Garante europeo e dello Edpb (European data protection board).
L’articolo su Il Sole 24 Ore QUI