Babele Oggi

Una selezione di notizie dalla Galassia

Blog costituzionale

Superamento del GDPR?

Babele Oggi

I. Controversia sulla classificazione ai sensi della legge sulla protezione dei dati

Varie istituzioni in Europa stanno attualmente effettuando una valutazione giuridica dei cosiddetti modelli “pay-or-consent”. Il termine si riferisce a modelli di business online in cui il fornitore di servizi cerca un compenso per i propri servizi offrendo agli utenti una scelta: o pagano un prezzo monetario ("pagare") per i media o l'offerta di servizi (ad esempio servizi di social network, blog, giornali, Eccetera); o consentire ai marchi di pagare attraverso il posizionamento di pubblicità personalizzata, che – secondo la CGUE nella decisione Meta/Bundeskartellamt 1) – richiede il consenso dell'utente al trattamento e alla valutazione dei propri dati personali (“consenso”). Il Comitato europeo per la protezione dei dati (EDPB) sta attualmente preparando una dichiarazione sulla compatibilità dei modelli “pay-or-consent” con il GDPR, che dovrebbe essere pubblicata all’inizio di maggio dopo che Meta ha introdotto questo modello per i suoi social network servizi Facebook e Instagram nel novembre 2023, diverse autorità nazionali per la protezione dei dati hanno chiesto all'EDPB di chiarire la compatibilità di questo modello con il GDPR. 2) L'Ufficio del Commissario per l'Informazione nel Regno Unito vede la necessità di fornire certezza giuridica alle aziende che utilizzano tali modelli e ha lanciato una consultazione pubblica nel marzo 2024. 3) La Commissione Europea ha anche annunciato nel marzo 2024 che avrebbe indagato sulla decisione di Meta ai sensi della DMA. 4)

Il chiarimento è sottoposto a un’enorme pressione politica da parte degli attivisti per la protezione dei dati e delle ONG che attaccano l’introduzione di un modello “retributivo” per motivi socio-politici (“tassa sulla privacy”/”prezzo per la privacy”). 5) Secondo loro, la legge sulla protezione dei dati deve essere utilizzata come leva per vietare alle società di media o ai fornitori di servizi online di offrire un servizio che sia più minimalista dei dati rispetto al modello di business tradizionale. Le autorità di protezione dei dati si trovano quindi ad affrontare la questione se il GDPR debba affrontare le preoccupazioni di “giustizia sociale”. 6)

II. Libertà di consenso e offerte alternative equivalenti

Al centro delle controversie legali c’è la nozione di “libertà” di consenso ai sensi dell’articolo 6, paragrafo 1, lettera a) e dell’articolo 4, paragrafo 11, GDPR. Secondo la posizione ormai consolidata delle autorità europee per la protezione dei dati e confermata dalla CGUE, il consenso al trattamento dei dati personali per l’inserimento di pubblicità personalizzata può essere considerato “libero” solo se il responsabile del trattamento pone l’interessato e l’utente un “equivalente” ”offrono e quindi creano libertà di scelta. Alla luce della decisione della CGUE Meta v Bundeskartellamt , tre punti devono essere considerati diritto consolidato:

1) Anche un’azienda con potere di mercato può utilizzare un modello di pagamento o consenso. L'affermazione occasionale secondo cui la posizione dominante sul mercato di un'azienda riduce o ostacola la libertà di consenso degli utenti non solo è errata, ma anche irrealistica.

2) La CGUE ha inoltre chiarito in modo conclusivo che un modello “paga o acconsenti” può, in linea di principio, offrire agli utenti una scelta reale, necessaria per un consenso valido ai sensi del GDPR. La CGUE afferma espressamente che “a tali utenti deve essere offerta, se necessario dietro pagamento di un corrispettivo adeguato, un’alternativa equivalente non accompagnata da tali operazioni di trattamento dei dati” (punto 150). Secondo l’articolo 19 del Trattato sull’Unione Europea (TUE), le decisioni della CGUE sono vincolanti per tutte le istituzioni, organi e organismi dell’UE. Sarebbe un evento senza precedenti se un’istituzione amministrativa dell’UE ignorasse apertamente una decisione della CGUE.

3) La CGUE ha inoltre chiaramente affermato che è sufficiente offrire agli utenti un'opzione alternativa equivalente. Sarebbe incompatibile con la decisione della Corte se le imprese fossero obbligate a presentare tre, quattro o anche più offerte. Mentre il legislatore dell’UE potrebbe stabilire in uno strumento normativo separato che un modello di pubblicità monetariamente gratuita e non personalizzata debba essere affiancato a un modello “paga o consensi”, le autorità di protezione dei dati non possono interpretare il GDPR in un ordine quasi legislativo perseguire preferenze politiche. Dal punto di vista della protezione dei dati, il modello “a pagamento” che offre una raccolta minima di dati a fini pubblicitari è ottimale. Non si può ragionevolmente sostenere che la normativa sulla protezione dei dati richieda inoltre la fornitura di un modello basato sulla pubblicità non personalizzata. Poiché questo modello rimane più invasivo dell’opzione “retribuzione”, l’ipotesi che il GDPR richieda all’azienda di offrire tale modello sarebbe incoerente.

III. Quattro principi per l’interpretazione del GDPR

Nel dibattito attuale è chiaro che il concetto di libero consenso viene ampliato e utilizzato come base per rivendicare la regolamentazione dei modelli di business digitali. Ciò vale non solo, come appena accennato, per il numero di opzioni da offrire, ma soprattutto per la struttura delle opzioni: l'art. 6, comma 1, lettera a), art. 11 GDPR hanno lo scopo di fornire risposte alla domanda su quali opzioni dovrebbero essere presentate agli utenti. In molti casi, le richieste non sono guidate dalla preoccupazione per la protezione dell’autodeterminazione e della privacy informativa, ma da preferenze politiche normative che vanno oltre lo scopo della legge sulla protezione dei dati. Si tratta di un superamento della protezione dei dati che equivale a una regolamentazione del settore attraverso la legge sulla protezione dei dati. Le autorità per la protezione dei dati eccederebbero i loro poteri e agirebbero ultra vires se interpretassero il GDPR da una prospettiva di giustizia sociale o da una prospettiva di politica di protezione dei consumatori.

In risposta a quelle voci che sostengono un'interpretazione piuttosto ampia e arbitraria del GDPR alla luce degli interessi politici, l'articolo si propone di formulare quattro tesi sull'interpretazione del concetto di volontarismo del GDPR e dissipare così i malintesi suscitati dagli interessati. partiti nel dibattito sulla protezione dei dati.

Il modello “paga o acconsenti” implica la fine della cultura libera in Internet

La valutazione giuridica del modello pay-or-consent dipende essenzialmente da come questi modelli si adattano alle norme socio-culturali del tempo. Se si presuppone che i servizi di un’impresa, sia essa industriale o digitale, siano generalmente offerti a pagamento, il modello “pay” deve essere concepito come la regola e un’offerta gratuita finanziata dalla pubblicità deve essere considerata una concessione eccezionale . Questa ricostruzione della realtà del mercato su Internet riflette la constatazione che i tempi in cui l’attività economica su Internet era dominata da una “cultura libera” stanno volgendo al termine. Nel terzo decennio del nuovo secolo, l’evoluzione in corso segna un allontanamento dal precedente predominio di una concezione dell’economia digitale basata su una “cultura libera”. In gran parte dell’economia digitale prevalgono ormai modelli puramente retributivi (offerte mediatiche come FT, WSJ, NYT ecc.; servizi di streaming come Netflix, HBO, Spotify ecc.). È chiaro che la “cultura libera” ha portato alla perdita di diversità, al declino della qualità e allo sfruttamento dei fornitori di contenuti, in particolare nel settore dei media. Una cultura libera non consente la creazione di valore di alta qualità. Nell’economia sociale di mercato stabilita dal TFUE (articolo 119 TFUE), ogni azienda è libera di ristrutturare il proprio modello di business, il che può comportare il passaggio da contenuti gratuiti a offerte di modelli a pagamento. Nel dibattito attuale non è seriamente contestato il fatto che un'azienda sia libera, ai sensi della legge sulla protezione dei dati, di basare la propria offerta sul principio "pay or Leave".

Se oltre al “servizio a pagamento” l’azienda offre anche un servizio finanziato dalla pubblicità e finanziariamente gratuito, ciò amplia il campo d’azione degli utenti, che si trovano finanziariamente più avvantaggiati rispetto al caso normale, anche se accettano la utilizzo dei tuoi dati personali per l'inserimento di pubblicità personalizzata. L'elevato numero di utenti che scelgono questa offerta indica una struttura di preferenze che deve essere accettata dalla legge sulla protezione dei dati. L’errore commesso da alcuni attivisti per la protezione dei dati è quello di negare la fine della “cultura libera” nell’economia digitale per singoli settori economici – selezionati arbitrariamente. Solo se la cultura libera viene dichiarata norma e ideale normativo, l’introduzione di un’offerta retributiva può essere presentata come una “tassa sulla privacy” o “tassa sulla privacy”. Tuttavia una simile ricostruzione socio-culturale del mondo dei mercati digitali non può essere ricavata dal GDPR. Sarebbe senza precedenti se l’EDPB utilizzasse tale interpretazione.

Il concetto normativo di libertà di scelta

Dietro l’articolo 6, paragrafo 1, lettera a) e l’articolo 4, paragrafo 11 del GDPR si nasconde il concetto normativo di libertà di scelta. La libertà di scelta non significa che le preferenze dell'utente siano soddisfatte nella massima misura possibile – o addirittura completamente. Se chiedi agli utenti quali sono le loro preferenze, scoprirai regolarmente che preferirebbero non pagare affatto. Otterresti un quadro simile se chiedessi ai clienti al supermercato se preferiscono pagare la merce o riceverla gratuitamente . Tuttavia, la preferenza generale dei privati ​​verso le offerte più economiche non mette in discussione il carattere volontario della conclusione del contratto di acquisto. Da un sondaggio sulle preferenze degli utenti emergerebbe molto probabilmente anche che gli utenti desiderano fornire il minor numero possibile di dati personali anche per fornire pubblicità personalizzata. Anche in questo caso, il rispetto di tali preferenze è irrilevante ai sensi dell'articolo 4, paragrafo 11, GDPR. Gli attivisti per la protezione dei dati spesso confondono il confine tra la natura volontaria del consenso e l’osservazione delle preferenze effettive o percepite. Neppure la legge sulla protezione dei dati può cambiare il fatto che non si può avere tutto nel mondo – e certamente non tutto allo stesso tempo. Non esiste alcun motivo sensibile per collegare il criterio di volontarietà della normativa sulla protezione dei dati alle preferenze. La chiave è piuttosto posizionare gli utenti in una situazione in cui vi sia spazio per il processo decisionale. Un modello “pagamento o consenso” apre uno spazio decisionale se il prezzo applicato non è così elevato da superare la capacità finanziaria dell’utente medio. Il fatto che un utente con risorse finanziarie limitate debba fare dei compromessi (ad esempio rinunciare ad altri acquisti) non mette in discussione la natura volontaria della sua decisione, ma indica i dilemmi legati alla gestione di risorse (finanziarie) scarse.

Nessuna commercializzazione del GDPR

Sarebbe un errore fatale se le autorità di protezione dei dati interpretassero il criterio dell'equivalenza delle offerte esclusivamente sulla base del valore economico. In questo caso bisognerebbe attribuire un valore economico (di utilità o di mercato) ai dati utilizzati per fornire pubblicità personalizzata nel caso dell'offerta finanziata con pubblicità e confrontarlo con il prezzo monetario dell'offerta “a pagamento”. Ciò costringerebbe le autorità di protezione dei dati a riconsiderare la loro posizione sulla commercializzazione dei dati personali ai sensi della legge sulla protezione dei dati. Inoltre, valutare accuratamente tale valore nel contesto della commercializzazione porrebbe sfide significative. Approcci alternativi che si concentrano sui ricavi pubblicitari per cliente o sulla struttura dei costi dell’azienda digitale e che vogliono derivare standard comparativi da questi parametri sono del tutto incoerenti in termini di diritto sulla protezione dei dati nella misura in cui sono completamente scollegati dall’autodeterminazione informativa e dalla protezione della privacy. È sorprendente come le ONG e altri attivisti per la protezione dei dati improvvisamente discutano su questioni di equità del mercato o su criteri di “profitto ragionevole” – e tutto sulla base dell’articolo 4 (11) GDPR.

Se le autorità per la protezione dei dati sostenessero che l’opzione “paga” è giusta solo se il prezzo è “ragionevole” 7) , assumerebbero di fatto il ruolo di regolatori dei prezzi dell’economia dei dati. e il GDPR diventerebbe uno strumento di controllo dei prezzi, basato sul concetto di autonomia digitale. Il danno che ciò causerebbe sarebbe enorme.

In primo luogo , ciò sarebbe contrario ai principi fondamentali di un’economia di mercato liberale riconosciuti dal diritto comunitario. L’UE deve i suoi maggiori successi e la sua legittimità politica al suo orientamento verso questo liberalismo del mercato. Costringere le aziende a modificare i prezzi attraverso il GDPR potrebbe avere gravi conseguenze negative, sia moralmente, politicamente ed economicamente. Il GDPR non è uno strumento economico pianificato che potrebbe essere utilizzato per regolare il prezzo praticato nel modello “retributivo” utilizzando criteri quali “ragionevolezza” o “adeguatezza”.

In secondo luogo , l’EDPB non solo non ha la competenza per fissare limiti massimi per il prezzo addebitato nel modello retributivo, ma potrebbe anche non avere le competenze necessarie nell’analisi economica e nelle strategie di intervento sui prezzi.

In terzo luogo , reinterpretare il GDPR come strumento per il controllo dei prezzi si allontanerebbe dall’obiettivo principale del GDPR, ovvero garantire l’autodeterminazione informativa e la privacy informativa degli individui.

In quarto luogo , l’approccio alla protezione del GDPR verrebbe deindividualizzato se non considerasse più l’autonomia individuale dei destinatari di un servizio, ma confrontasse invece l’equivalenza dei ricavi che un’impresa digitale genera dal posizionamento di pubblicità personalizzata con i ricavi che essa genera genera attraverso il prezzo monetario del suo servizio. Uno strumento giuridico che tutela le persone si trasformerebbe in uno strumento che mette a confronto i principali dati economici.

La reinterpretazione del GDPR come strumento di regolamentazione dei prezzi violerebbe i diritti fondamentali delle imprese (art. 16 CFR) – anche se viene fatta con il pretesto di garantire l’“equivalenza” del corrispettivo degli utenti di un servizio digitale. Non c’è bisogno di questo paternalismo interventista.

Nessuna distruzione dell’approccio generale del GDPR

La natura volontaria del consenso è una nozione importante ai sensi del GDPR. Il GDPR persegue un approccio normativo orizzontale, che in linea di principio formula requisiti identici per tutti i titolari del trattamento (articolo 4, paragrafo 7, GDPR) (approccio “one size fits all”). Il legislatore dell’UE ha deliberatamente deciso contro approcci normativi settoriali nella legislazione sulla protezione dei dati (a differenza del Data Act, dove le disposizioni sulla portabilità dei dati si concentrano in gran parte sui dispositivi connessi8 ) ). I requisiti che un modello “pay-or-consent” deve soddisfare per offrire una vera scelta devono quindi essere formulati in modo uniforme anche per tutti i settori economici. Ciò che vale per le aziende dei media deve valere anche per gli operatori dei social network e viceversa. Se le autorità per la protezione dei dati tentassero di formulare requisiti specifici per settore, distruggerebbero l’architettura di base del GDPR. Violerebbero inoltre il diritto alla parità di trattamento sancito dall’articolo 20 della Carta dei diritti fondamentali. Un approccio settoriale e discriminatorio sarebbe di politica industriale, di regolamentazione aziendale e quindi oltre una possibile interpretazione del GDPR. Il contenzioso sembrerebbe inevitabile.

Riferimenti

Riferimenti
1 CGUE, 4 luglio 2023, C-252/21, Meta Platforms Inc. contro Bundeskartellamt, EU:C:2023:537.
2 https://www.datatilsynet.no/en/news/aktuelle-nyheter-2024/request-for-an-edpb-opinion-on-consent-or-pay/ ; https://datenschutz-hamburg.de/news/abo-modelle-bei-grossen-online-plattformen ; e https://autoriteitpersoonsgegevens.nl/actueel/ap-privacy-is-een-grondrecht-niet-alleen-voor-rijke-mensen .
3 https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/call-for-views-on-consent-or-pay-business-models/.
4 Vedi la dichiarazione del commissario UE Breton del 30 gennaio 2024. ( https://www.europarl.europa.eu/doceo/document/E-9-2023-003424-ASW_EN.html).
5 Vedi ad esempio: https://noyb.eu/en/28-ngos-urge-eu-dpas-reject-pay-or-okay-meta e https://www.accessnow.org/press-release/open-letter -to-edpb-pay-or-consent/.
6 Nel dettaglio: https://eulawlive.com/weekend-edition/weekend-edition-no181/ .
7 Ad esempio https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/03/ico-launches-consent-or-pay-call-for-views-and- aggiornamenti-on-cookie-compliance-work/ .
8 https://eur-lex.europa.eu/eli/reg/2023/2854.

Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/gdpr-overreach/ in data Mon, 15 Apr 2024 05:55:56 +0000.