A meno di un mese dall’entrata in vigore del GDPR iniziano già a sorgere i primi dubbi sulle misure adottate dalle aziende per adeguarsi ai nuovi standards di tutela dei dati personali introdotti dalla nuova normativa europea, ed in questo contesto si inizia a sentir parlare di Tracking Wall.
Tracking Wall e pubblicità targetizzata
La maggiore difficoltà che stanno incontrando i titolari dei trattamenti riguarda la cd. Pubblicità targetizzata che consiste nella raccolta di dati personali degli utenti al fine di ricavare delle informazioni comportamentali, poi utilizzate per creare degli annunci pubblicitari personalizzati. Poiché tale tipologia di trattamento è considerata particolarmente invasiva per i diritti fondamentali degli interessati, tra i quali in primis il diritto alla privacy e alla non discriminazione, infatti, il nuovo Regolamento Europeo ha imposto limiti più stringenti, primo tra tutti quello di una base giuridica solida sulla quale fondare il trattamento.
Siccome, come intuibile, la profilazione ai fini di marketing è una pratica estremamente redditizia, soprattuto per social network e siti web che offrono i propri servizi “gratuitamente” (o forse sarebbe più corretto dire senza chiedere denaro ai propri utenti, ma monetizzando i loro dati personali) molte aziende, dai colossi del web del calibro di Facebook e Google ai più piccoli siti di news o di alcuni noti marchi di moda, stanno applicando il GDPR utilizzando un Tracking Wall.
Si tratta di una tecnica “prendere o lasciare” (cd. take it or leave it) mediante la quale i titolari chiedono agli utenti il consenso a molteplici tipologie di trattamento, tra le quali, appunto, quella finalizzata alla profilazione, specificando che in assenza dello stesso non sarà più possibile usufruire dei propri servizi.
Da un punto di vista tecnico la tergetizzazione avviene attraverso tecnologie di tracciamento come i cookies, i web bacon ed i fingerprint, la cui disciplina è affidata alla Direttiva E-Privacy, attualmente oggetto di una riforma, volta a sostituirla con un Regolamento che andrà ad affiancarsi al GDPR, con il quale manterrà uno stretto di rapporto di interconnessione. Ed infatti, sulla base del progetto presentato nel gennaio 2017 sembrerebbe che la normativa E-Privacy, diretta a regolamentare i trattamenti di dati nella fruizione di servizi di comunicazioni elettroniche, si porrà in un rapporto di specialità rispetto al GDPR che è e resta la normativa generale europea della materia data protection.
Il WP 29 sul tracking wall
Ad ogni modo, sia il WP 29 che il Garante Europeo, nei relativi pareri alla proposta di Regolamento E-Privacy hanno sottolineato la necessità che la nuova normativa introduca un divieto esplicito al “ricorso a barriere di tracciamento (tracking wall), ossia la pratica tramite la quale l’accesso a un sito web o a un servizio viene negato a meno che le persone non acconsentano ad essere tracciate su altri siti web o servizi”, sottolineando che “tali approcci di tipo prendere o lasciare sono raramente legittimi” e che “Data l’importanza fondamentale di internet nel consentire l’esercizio del diritto fondamentale di libertà di espressione, ivi incluso il diritto di accesso alle informazioni, la capacità delle singole persone di accedere ai contenuti on line non dovrebbe dipendere dall’accettazione delle attività di tracciamento su tutti i dispositivi e i siti web/le applicazioni” (cfr. parere WP29 n. 1/2017 relativo alla proposta di regolamento sulla vita privata e le comunicazioni elettroniche).
In attesa di verificare se il testo definitivo subirà le modifiche invocate dai summenzionati pareri, la valutazione della legittimità del Tracking wall dovrà, comunque, essere operata alla luce del GDPR ed in particolare alla luce delle norme che regolano il consenso. Laddove l’unica opzione dell’utente è acconsentire al tracciamento ovvero rinunciare al servizio, infatti, viene in rilievo il principio della libertà del consenso.
In materia di consenso l’art. 7 del GDPR prevede che“nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione del contratto”.
Ebbene il tracciamento a fini di marketing può considerarsi un trattamento necessario ai fini dell’esecuzione di un contratto di fornitura di beni o di servizi, come ad esempio quello che si stipula per l’utilizzo di un social network come Facebook?
La risposta è fornita in modo chiaro dal WP 29 che nell’opinion 6/2014 (sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE) specifica che “l’art. 7 lett b) (che riguarda l’ipotesi di trattamento consentito perchè necessario all’esecuzione del contratto concluso con la persona interessata o all’esecuzione di misure pre-contrattuali prese su richiesta di tale persona) non è un fondamento giuridico adeguato per creare un profilo dei gusti e delle scelte di stile di vita dell’utente sulla base della sequenza di clic che ha effettuato su un sito web e degli articoli che ha acquistato. Questo perché il responsabile del trattamento dei dati non ha firmato un contratto per elaborare profili, bensì per fornire beni e servizi particolari, per esempio. Anche se tali attività di trattamento sono espressamente menzionate in caratteri minuscoli nel contratto, questo fatto, da solo, non le rende “necessarie” all’esecuzione del contratto”.
Considerazioni sul tracking wall
Alla luce delle considerazioni sin qui operate, sembrerebbe quindi potersi affermare che tutti i siti web, i social network e le piattaforme on line che negli ultimi giorni stanno inviando ai propri utenti richieste di consenso “minatorie” obbligandoli ad accettare tutti i trattamenti imposti, senza possibilità di rifiutare quelli non strettamente necessari al servizio fornito, stiano in realtà palesemente violando il GDPR, sia nelle sue disposizioni che nel suo “spirito” di fornire un maggiore potere agli interessati nella gestione dei propri dati personali.
Non è un caso, quindi, che il famoso attivista in materia di data protection, Maximilian Schrems abbia già presentato un mega ricorso milionario contro Facebook, Google, Amazon e Whatsapp censurando proprio le strategie di consenso forzato utilizzate per raccogliere i dati personali dei propri utenti.
E proprio nel caso di colossi del calibro di quelli appena citati, a parere di chi scrive, non va sottovalutato il regime di quasi monopolio in cui le stesse operano, che crea uno squilibrio significativo nel rapporto con i propri utenti e, se dal lato delle aziende rafforza l’efficacia delle strategie del prendere o lasciare, in quanto gli utenti hanno poche se non nessuna possibilità di trovare un servizio dello stesso livello altrove, di contro incide ancor più pericolosamente sulla tutela dei diritti degli interessati.
Non resta, quindi, che attendere la reazione delle autorità di controllo ed in primis del Garante Europeo, sperando che pongano immediatamente un veto espresso al Tracking Wall ed, in generale, a tutte le strategie Take it or leave it.
Lucrezia D’Avenia