Chiunque recentemente sia capitato sul sito web di una qualsiasi delle principali testate giornalistiche italiane si è trovato di fronte un pop up mai visto prima, con cui la redazione mette gli utenti davanti a una scelta pur di accedere ai contenuti: accettare i cookie di profilazione oppure sottoscrivere un abbonamento. Questo genere di cookie wall ha spinto il Garante della Privacy ad aprire un’istruttoria per guidicarne la legittimità.
Cosa sono i cookie wall? I cookie wall sono una forma di meccanismo di accesso che richiede agli utenti di accettare la raccolta e l’utilizzo dei dati da parte del proprietario del sito. Uno degli obiettivi è la monetizzazione dei dati personali, che il GDPR definisce come «qualsiasi trasformazione dei dati personali in una forma che consente l’utilizzo di tali dati al fine di generare entrate per i responsabili del trattamento». Si tratta quindi di un modo per trarre profitto dai dati personali dell’utente.
Vantaggi e rischi dei cookie wall
Un cookie wall è dunque un modo efficace con cui i gestori dei siti possono monetizzare i propri contenuti, in quanto permette di raccogliere dati sugli utenti e utilizzarli a fini pubblicitari o commerciali, generando così un introito. Gli stessi dati possono essere anche venduti a soggetti terzi. Tuttavia, i gestori dei siti possono guadagnare anche nel caso in cui l’utente rifiutasse i cookie e decidesse di sottoscrivere un abbonamento per accedere ai contenuti.
Anche per gli utenti l’accettazione della profilazione comporta vantaggi: non solo permette l’accesso ai contenuti bloccati ma anche a contenuti e messaggi pubblicitari personalizzati. In altre parole, i cookie possono migliorare l’esperienza utente.
Nonostante ciò, essi possono generare alcuni problemi legati alla privacy.
Per prima cosa, la raccolta di dati personali senza il consenso diretto dell’utente è una violazione del GDPR, e le multe previste per tali violazioni sono molto elevate. Poi, gli utenti potrebbero sentirsi obbligati ad accettare i cookie, come se non avessero altra scelta che quella per usufruire dei servizi del sito. Infine, i cookie wall possono costituire una forma di esclusione sociale, in quanto alcuni utenti non sarebbero in grado di sottoscrivere l’abbonamento proposto in alternativa e, quindi, verrebbero precluso loro l’accesso ai contenuti su una base discriminatoria.
Le normative di riferimento
Quando si parla di cookie wall, il riferimento principale è la direttiva europea 2002/58/CE, meglio nota come Direttiva ePrivacy, che stabilisce le regole sulla protezione dei dati personali nel settore dei servizi di comunicazione elettronica per garantire a tutti i cittadini europei la riservatezza delle comunicazioni. Secondo questa direttiva, è necessario che gli utenti siano informati sull’utilizzo dei cookie e diano il loro consenso espresso al trattamento dei dati personali.
Come conseguenza, i gestori dei siti hanno applicato le tecniche più fantasiose per ottenere tale consenso, spingendo le Autorità per la protezione dei dati personali a intervenire imponendo il divieto di utilizzare metodi ingannevoli. Il cookie wall è dunque diventato la soluzione più apprezzata, poiché il consenso rimane libero ma, allo stesso tempo, è quasi una scelta obbligata per chiunque voglia accedere ai contenuti.
A proposito dei cookie wall, l’European Data Protection Board (EDPB) 5/2020 ribadisce che: «Affinché il consenso sia prestato liberamente, l’accesso ai servizi e alle funzionalità non deve essere subordinato al consenso dell’utente alla memorizzazione di informazioni o all’ottenimento dell’accesso a informazioni già memorizzate nell’apparecchiatura terminale dell’utente».
A ribadire l’importanza del consenso, anche la Cassazione che nel 2018 scriveva: «Nulla, infatti, impedisce al gestore del sito […] di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è interdetto è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli. Insomma, l’ordinamento non vieta lo scambio di dati personali, me esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato».
Cosa dice il GDPR
Per quanto riguarda il GDPR, essendo l’utilizzo dei cookie un trattamento di dati personali, il gestore del sito ha l’obbligo di fornire agli utenti le informazioni richieste dal Regolamento stesso, nonché di ottenere il consenso all’utilizzo dei cookie. Questo consenso deve essere espresso in modo inequivocabile e ponderato, cioè senza l’applicazione di forzature come quelle presenti nei cookie wall. Inoltre, il GDPR richiede trasparenza nell’utilizzo dei dati personali e chiede che l’utente sia sempre informato su chi raccoglie i dati, per quale scopo e quale sarà la loro destinazione. Infatti, sebbene il GPDR sia il punto di riferimento per la tutela della privacy, esso non mira a limitare la circolazione dei dati. Al contrario, già al par. 3 dell’art. 1 il Regolamento stabilisce che: «La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».
Ma allora i cookie wall sono legittimi o no?
Secondo le normative, i cookie wall non sono espressamente vietati. Tuttavia, se il consenso dell’utente viene ottenuto in modo indiretto o menomando la sua libertà di scelta, l’impiego del cookie wall è illegittimo. Insomma, i gestori dei siti possono ricorrere ai cookie wall per monetizzare i propri contenuti, ma è necessario garantire che gli utenti siano informati sul loro utilizzo e liberamente consenzienti. Inoltre, è necessario che l’utente sia in grado di revocare tale consenso in qualsiasi momento.
In definitiva, i cookie wall possono essere una soluzione efficace per la monetizzazione dei contenuti, ma solo se utilizzati nel rispetto delle normative vigenti.