Piattaforme, una terza via al modello «Pay or ok»

Non a caso, si sottolinea l’importanza del principio di responsabilizzazione (“accountability”) che impone all’azienda (“controller”) di fare, portandone le prove, le valutazioni necessarie nel bilanciare i propri interessi commerciali e i diritti dell’utente, valutazione che sarà poi soppesata dalle autorità garanti. L’indicazione per le LOPs è che queste valutino in primis se sia opportuno prevedere un’opzione a pagamento, quindi quale sia l’ammontare. Il suggerimento è dunque di evitare un sistema binario (consenso alla profilazione o pagamento) ma di offrire una terza opzione, sempre gratuita, che non preveda la profilazione ma una pubblicità generica o, al più, contestuale, basata sugli interessi indicati dall’utente, quindi con un grado di invasività molto inferiore rispetto alla profilazione comportamentale.Soprattutto nel caso delle LOPs, che offrono un servizio usato da una larga fetta della popolazione e sono molti rilevanti sul mercato, sarà più difficile dimostrare la validità del consenso, per via dello squilibrio di potere tra le parti.

Disegnare una terza via

Spetta alla piattaforma dimostrare che il mancato consenso non comporti alcun pregiudizio per l’utente. Per l’Edpb il tipo di servizio offerto dalle piattaforme è talmente radicato nella vita degli utenti che il non poterle usare causerebbe sicuramente un danno, complici anche i network e lock-in effects, per cui tutti i propri contatti sono su una piattaforma ed è difficile abbandonarla o spostarsi su una alternativa. Per questo l’Edpb suggerisce che offrire una terza via permetterebbe di superare quella presunzione di invalidità del consenso in caso di chiaro sbilanciamento di poteri tra le parti.

Altro punto da segnalare è che, per l’Edpb, la possibilità di offrire un servizio con meno funzionalità, ma gratuito, e uno con più funzionalità, ma con profilazione, non potrebbe considerarsi “equivalente”, e quindi il consenso prestato non sarebbe comunque valido. Nel giudicare la scelta della piattaforma, l’Autorità garante dei dati potrà consultarsi con altre autorità competenti per materia come quella di tutela dei consumatori e della concorrenza (in Italia Agcom e Agcm). Sul punto giova evidenziare come, con il diffondersi della data economy, il perimetro di attività di queste tre autorità, in Italia come altrove in Europa, sia andato col tempo sovrapponendosi. Basti pensare che il caso giudicato dalla Corte di giustizia precedentemente citato nasce da un provvedimento dell’autorità per la concorrenza tedesca, non del garante privacy. Sarà sempre più necessario in futuro fare considerazioni che tengano conto di tutte queste circostanze, a maggior ragione vista la stretta correlazione che intercorre tra Gdpr, Dsa e Dma.

Le piattaforme dovranno dunque, oltre scegliere un giusto prezzo che non faccia diventare il diritto alla protezione dei dati personali un lusso per pochi, anche informare in modo appropriato gli utenti sulle conseguenze del prestare o meno il consenso alla profilazione, evitando formule ambigue e dark pattern visto che anche il consenso non informato è da considerarsi invalido. Quello di fornire sufficienti informazioni all’utente sappiamo essere un nodo difficile da sciogliere, considerato anche che le informazioni da darsi sono diverse, ma devono essere date in modo semplice e chiaro, spesso sullo schermo di un telefono, dove c’è poco spazio e, di certo, sempre poca voglia di leggere contenuti considerati “noiosi”.

Si può dire che la partita non sia ancora chiusa e che le piattaforme, seppur in un perimetro ancor più limitato, hanno ancora qualche spazio di manovra per trovare la quadra. Il principio di responsabilizzazione resta comunque molto elastico quando si tratta di trovare delle soluzioni, purché siano poi giudicate legittime dall’Autorità. Per quanto riguarda i giornali, forse questi avranno qualche carta in più da giocarsi, in attesa delle prossime linee guida, ma non è ancora arrivato il loro momento.