Lo scorso 21 ottobre 2022, l’Autorità garante per la protezione dei dati personali (il “Garante” o l’”Autorità”) ha comunicato di aver avviato una serie di istruttorie per accertare la conformità alla normativa in materia di protezione dei dati personali di alcune iniziative intraprese recentemente da diverse testate giornalistiche online, siti web e aziende del settore televisivo operanti su Internet (complessivamente intesi come gli “Editori”) che hanno adottato sui propri siti i c.d. cookie wall. In particolare, gli Editori hanno attivato sistemi e filtri che condizionano l’accesso ai contenuti online previa sottoscrizione di un abbonamento (c.d. paywall) o, in alternativa, previo rilascio del consenso da parte degli utenti all’installazione di cookie e altri strumenti di tracciamento dei dati personali (c.d. cookie wall). Per cookie wall si intendono i meccanismi vincolanti volti a richiedere all’utente il consenso ad accettare i sistemi di tracciamento presenti nel sito in cambio dell’accesso a contenuti normalmente riservati agli abbonamenti (un esempio di cookie wall comparso sul sito di una testata giornalistica è il seguente: “I ricavi ottenuti dalla pubblicità personalizzata ci aiutano a supportare il lavoro della nostra redazione che si impegna a fornirti ogni giorno una informazione di qualità. Per questo chiediamo il tuo consenso all'utilizzo di cookie o tecnologie simili per finalità diverse da quelle strettamente necessarie, come specificato nella cookie policy. Sei libero di rifiutare in qualsiasi momento accedendo a questa informativa, ma in tal caso ti chiederemo di sottoscrivere uno dei nostri abbonamenti”). L’avvio dell’attività istruttoria è la conseguenza di una serie di segnalazioni ricevute dal Garante. Sul punto, con la nota del 21 ottobre u.s., il Garante ha comunque rilevato che “la normativa europea sulla protezione dei dati personali non esclude in linea di principio che il titolare di un sito subordini l’accesso ai contenuti, da parte degli utenti, al consenso prestato dai medesimi per finalità di profilazione, attraverso l’utilizzo di cookie o di altri strumenti di tracciamento, o, in alternativa, al pagamento di una somma di denaro”. Tuttavia, l’istruttoria è stata aperta per accertare la conformità di tali iniziative con la normativa europea e, in particolare, con il Regolamento UE 2016/679 (il “GDPR”). Le linee guida del Garante sui cookie e gli altri strumenti di tracciamento Sul tema dei cookie wall, nelle Linee guida sui cookie e gli altri strumenti di tracciamento del 10 giugno 2021 (le “Linee Guida”), il Garante aveva già specificato che tali meccanismi sono vietati nel caso in cui l’utente venga obbligato, senza alternativa, a esprimere il proprio consenso alla ricezione di cookie o di altri strumenti di tracciamento, pena l’impossibilità di accedere al sito (c.d. “take it or leave it”). Infatti, posto che ai sensi dell’art. 4(11) del GDPR il consenso è “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato […]”, il consenso ottenuto tramite cookie wall non sarebbe da ritenersi lecito, poiché non libero. In ogni caso, le Linee Guida specificano che è necessario verificare caso per caso se il titolare del sito offra all’interessato la possibilità di accedere a un contenuto o a un servizio equivalenti senza che questi presti il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento. In tale ultimo caso, la pratica sarebbe infatti permessa e il cookie wall sarebbe da ritenersi in linea con la disciplina vigente. Ad ogni modo, la questione è finita sotto la lente del Garante in quanto, sebbene le testate giornalistiche offrano comunque all’interessato la possibilità di accedere a un contenuto o a un servizio equivalenti senza richiedere il loro consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento, nel caso di specie, l’accesso a tali contenuti del sito da parte degli utenti risulta poter avvenire esclusivamente previa sottoscrizione e pagamento di un abbonamento. Sul punto si rammenta altresì che anche il tema dell’utilizzo dei dati personali come corrispettivo di un servizio (la c.d. monetizzazione dei dati personali) è questione a sua volta dibattuta. Il problema, infatti, è se il trattamento dei dati personali da parte di un soggetto possa rappresentare il corrispettivo di un servizio offerto dallo stesso ai propri utenti. In merito, il Garante ha da sempre escluso qualsiasi forma di mercificazione dei dati personali, in quanto la protezione dei dati personali è da considerarsi come un diritto assoluto e, pertanto, indisponibile. La monetizzazione dei dati personali andrebbe, inoltre, in contrasto con la posizione delle Linee guida 5/2020 sul consenso dell’EDPB, ove viene espressamente chiarito che “se il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio”. Per leggere la nota ufficiale, si rimanda al seguente link.
