Modello Pay or consent: le implicazioni privacy delle sanzioni della Commissione UE

DMA e GDPR: due regolamenti destinati a incontrarsi

Sebbene il DMA non nasca come una normativa sulla privacy, esso si intreccia con il GDPR, stabilendo obblighi per i cosiddetti “gatekeeper” che riguardano direttamente la gestione dei dati personali.

In particolare, il considerando (12) del DMA sottolinea che la sua applicazione non pregiudica le disposizioni di altri regolamenti UE, tra cui il GDPR, creando così un quadro normativo che deve essere interpretato in modo sinergico.

Ciò non toglie che la sovrapposizione tra DMA e GDPR possa generare tensioni interpretative.

Il DMA è gestito centralmente dalla Commissione europea, mentre il GDPR viene applicato dalle autorità nazionali di controllo e nel caso di trattamento transfrontaliero attraverso un modello decentrato chiamato One stop shop.

Questo modello consente alle aziende che operano in più Paesi dell’Ue di avere un unico punto di riferimento per la gestione delle violazioni sulla protezione dei dati.

Tuttavia, il One stop shop è stato criticato per la sua complessità ed efficacia in relazione alle Big tech che hanno sede in Paesi come Irlanda o Lussemburgo, dove si concentrano le principali decisioni sul GDPR.

One stop shop

Questo meccanismo può generare incertezze, soprattutto quando si tratta di trattamenti di dati legati a pratiche commerciali digitali. Alcune decisioni tardive o percepite come eccessivamente favorevoli ai giganti del web hanno sollevato critiche da parte di altre autorità.

La Corte di Giustizia, nel caso Facebook Ireland Ltd v. Belgian DPA (C- 645/19), ha riaffermato che le autorità devono agire in un quadro di reciproco rispetto e cooperazione, e che, sebbene esista un’autorità “capofila”, le altre autorità hanno il diritto (e in certi casi il dovere) di intervenire per salvaguardare gli interessi fondamentali tutelati dal GDPR.

Inoltre, l’applicazione simultanea del DMA e GDPR per lo stesso fatto potrebbe sollevare problematiche relative al principio fondamentale del Ne bis in idem ovvero il rischio di sanzionare più volte lo stesso comportamento attraverso competenze e regolamenti distinti.

Portabilità, interoperabilità e trasparenza: diritti condivisi tra DMA e GDPR

Il DMA rafforza anche alcuni diritti già riconosciuti dal Gdpr, contribuendo a un’integrazione più solida tra le normative in materia di concorrenza e tutela dei dati personali.

In particolare, il considerando 59 introduce obblighi stringenti in tema di portabilità dei dati, imponendo ai gatekeeper di garantire un accesso continuo e in tempo reale alle informazioni degli utenti, in formati facilmente utilizzabili.

Inoltre, il considerando 72 sottolinea l’importanza della trasparenza nelle pratiche di profilazione, imponendo la fornitura di descrizioni verificate che illustrino chiaramente la base giuridica, la durata del trattamento e le modalità con cui gli utenti possono negare o revocare il proprio consenso.

Queste disposizioni non solo integrano i principi fondamentali del GDPR, ma delineano anche un approccio complementare tra le logiche dell’antitrust e quelle della privacy.

Il modello Pay or consent dopo la decisione della Commissione UE

Nella sua recente azione contro Meta, la Commissione europea ha criticato la precedente adozione di un modello Pay or consent sulla base di un possibile squilibrio nell’alternativa offerta all’utente.

La critica è che l’opzione “a pagamento” potrebbe non costituire una vera alternativa libera, ma esercitare una forma di pressione indebita sul consenso dell’utente, in contrasto con l’art. 4 e l’art. 7 del GDPR, che richiedono che il consenso sia libero, specifico, informato e inequivocabile.

Benché il DMA non sia una normativa di data protection, i suoi considerando 36 e 37 stabiliscono chiaramente che i gatekeeper:

• non possono subordinare l’accesso ai servizi al conferimento del consenso alla profilazione;
• devono offrire un’alternativa non personalizzata, di pari qualità, che rispetti la libertà di scelta dell’utente;
• non possono usare le basi giuridiche del GDPR (art. 6.1 lett. b e f) per trattamenti che dovrebbero fondarsi sul consenso libero e informato (art. 6.1 lett. a GDPR).

Il modello criticato dalla Commissione – e già oggetto di attenzione da parte di diverse autorità privacy – si fonda su una logica economicamente legittima, ma giuridicamente controversa: si teme che il costo economico associato all’opzione “senza pubblicità” sia talmente elevato da indurre gli utenti ad accettare la profilazione per necessità, piuttosto che per reale scelta.

Il rischio è che il consenso venga svuotato del suo significato giuridico, non risultando più libero, né realmente alternativo.

Non solo Meta

Anche se la decisione della Commissione europea si applica in modo diretto solo ai gatekeeper come Meta, essa sta sollevando interrogativi che potrebbero estendersi anche ad altri contesti, come quello delle testate giornalistiche online. In questi casi, il modello Pay or consent potrebbe non riguardare solo le piattaforme social, ma anche i siti web che offrono contenuti gratuiti in cambio di dati personali.

A fronte di tali criticità, alcuni attori – come Meta – hanno iniziato a esplorare soluzioni alternative, come una terza opzione tra consenso pieno e accesso a pagamento.

La soluzione per le testate online

Sebbene la pubblicità personalizzata sia un elemento fondamentale per la sostenibilità economica di molti servizi online, bisogna considerare se questo valore possa giustificare la pressione esercitata sull’utente per ottenere un consenso che, nella pratica, potrebbe non essere totalmente libero.

È quindi essenziale trovare un equilibrio tra la protezione dei diritti degli utenti e la legittima necessità delle piattaforme di monetizzare i loro servizi.

La questione è dunque appena aperta, e si colloca in un dibattito sempre più centrale sull’equilibrio tra sostenibilità economica dei servizi digitali e diritti fondamentali degli utenti.

In questo contesto, non si vedono ragioni per trattare in maniera diversa situazioni sostanzialmente analoghe: le esigenze di coerenza nell’interpretazione giuridica risultano irrinunciabili, affinché i principi del diritto dell’Unione siano applicati in modo uniforme e non si creino distorsioni tra settori o attori economici diversi.

La terza opzione di Meta

Alla luce delle pressioni normative, Meta ha recentemente introdotto una terza opzione, che potrebbe rappresentare una soluzione più equilibrata e replicabile anche in altri contesti, come quello delle testate giornalistiche online:

• l’accesso gratuito ai servizi,
• accompagnato da pubblicità meno personalizzate e quindi meno invasive,
• senza obbligo di acconsentire a una profilazione dettagliata.

Questa “terza via” rappresenta un tentativo concreto di preservare la sostenibilità economica del modello pubblicitario (centrale anche per editori e testate), senza sacrificare del tutto i diritti dell’utente alla protezione dei dati.

Per i siti di informazione, che sempre più adottano forme di cookie paywall, basate sulla cessione dei dati, questa potrebbe costituire un precedente virtuoso: offrire contenuti gratuiti con inserzioni contestuali o generiche, garantendo trasparenza e un livello minimo di intrusività.

Il parere dell’EDPB

Secondo l’EDPB il consenso non è valido se pongono gli utenti di fronte soltanto a una scelta binaria tra il consenso al trattamento dei dati personali per finalità di pubblicità comportamentale e il pagamento di un corrispettivo.

L’offerta di (solo) un’alternativa a pagamento al servizio, che include il trattamento per finalità di pubblicità comportamentale, non dovrebbe costituire la modalità predefinita da seguire.

Nello sviluppare l’alternativa alla versione del servizio con pubblicità comportamentale, si dovrebbero prendere in considerazione la possibilità di fornire agli interessati un’”alternativa equivalente” che non comporti il pagamento di un corrispettivo.

Se si sceglie di addebitare un corrispettivo per l’accesso alla “alternativa equivalente”, si dovrebbe valutare la possibilità di offrire anche un’ulteriore alternativa, gratuita, priva di pubblicità comportamentale, per esempio con una forma di pubblicità che comporti il trattamento di una quantità inferiore di dati personali (o nessun trattamento di dati personali).

Si tratta di un fattore particolarmente importante nel contesto della valutazione di determinati criteri per un consenso valido ai sensi del GDPR. Nella maggior parte dei casi, l’eventuale offerta gratuita di un’ulteriore alternativa senza pubblicità comportamentale avrà un impatto sostanziale sulla valutazione della validità del consenso, in particolare per quanto concerne l’aspetto del pregiudizio.

Il concetto di “alternativa equivalente” fa riferimento a una versione alternativa del servizio offerto e che non comporta il consenso al trattamento dei dati personali per finalità di pubblicità comportamentale.

Un modello sostenibile solo con cooperazione e competenze integrate

Tuttavia, per rendere sostenibile ed efficace questa soluzione, è necessario un coordinamento istituzionale tra Commissione UE (competente per il DMA) e autorità nazionali di controllo (competenti per il GDPR), una linea interpretativa comune sulla validità del consenso e sull’alternatività reale delle opzioni offerte agli utenti e, in prospettiva, una riflessione su una centralizzazione più incisiva dei poteri di enforcement nel caso di trattamenti transfrontalieri da parte delle Big tech.

Cooperazione e dialogo istituzionale

Il principio di leale cooperazione, sancito dall’art. 4, par. 3, TUE, impone a Stati membri e istituzioni europee di collaborare per garantire l’efficace attuazione del diritto dell’Unione.

Questo obbligo, rafforzato anche dalla giurisprudenza della Corte di Giustizia, assume particolare rilievo nell’interazione tra Commissione Ue e autorità nazionali di controllo nell’enforcement del GDPR e del DMA.

In questo contesto, tale principio impone non solo rispetto reciproco tra istituzioni, ma anche un coordinamento sostanziale e procedurale, volto ad assicurare un’applicazione coerente ed efficace delle normative.

Le criticità del modello decentrato del GDPR (One stop shop), emerse soprattutto nei casi che coinvolgono grandi piattaforme digitali, rafforzano l’idea che possa essere necessaria una maggiore centralizzazione delle competenze.

In questa prospettiva, le recenti azioni della Commissione mettono in luce l’esigenza di afforzare i meccanismi di dialogo tra le autorità nazionali e Bruxelles, e di valutare una riforma che consenta una gestione più integrata delle attività di controllo, attribuendo eventualmente alla Commissione un ruolo più centrale nei casi ad alto impatto europeo.

Rapporto tra Antitrust e data protection

Sul rapporto tra Antitrust e data protection, la Corte di Giustizia ha affermato che, quando un’autorità nazionale garante della concorrenza valuta la conformità di un comportamento aziendale al GDPR nell’ambito di un procedimento per abuso di posizione dominante, non può sostituirsi all’autorità di controllo. Deve, al contrario, cooperare con essa lealmente, rispettandone ruolo e competenze.

L’obiettivo è garantire un’applicazione coerente del regolamento ed evitare il rischio di interpretazioni divergenti. In particolare, l’autorità Antitrust è tenuta a consultare l’autorità di controllo competente se nutre dubbi, o ad attendere una sua decisione qualora un comportamento sia già oggetto di esame.

Questi principi sono stati recepiti anche a livello nazionale. Si pensi, per esempio, alla giurisprudenza del Consiglio di Stato (si veda la recente sentenza sul ruolo di Agcom), secondo cui le autorità diverse dal Garante non possono esercitare competenze parallele in materia di dati personali.

Anche in questo caso, è stato ribadito che un’autorità di settore non può invadere ’ambito di competenza esclusiva attribuito dal GDPR al Garante.

Verso un futuro di competenze integrate

Ma la crescente sovrapposizione tra DMA e GDPR pone sul tavolo un’ipotesi di riforma sistemica.

L’attribuzione alla Commissione UE di una competenza esclusiva ed integrata anche in ambito privacy per le società che operano in più Paesi Ue, attuando un sistema di rete europea in ambito data protection che coinvolga le singole autorità nazionali.

E in chiave futura, potrebbe quindi essere auspicabile una maggiore sinergia tra le autorità nazionali tra enforcement concorrenziale, protezione dei dati e, sempre più, anche intelligenza artificiale, data la centralità dei dati nei processi decisionali automatizzati.

Il futuro dei servizi digitali in Europa

Le sanzioni a Meta e Apple non sono solo episodi isolati di enforcement del Digital Markets Act, ma segnano una tappa decisiva nel percorso verso una regolazione integrata e coerente dei mercati digitali.

Il caso Meta, in particolare, ha acceso i riflettori su un nodo giuridico e valoriale centrale: il modello Pay or consent è davvero compatibile con il principio di consenso libero e informato previsto dal GDPR?

In questo contesto, la recente introduzione da parte di Meta di una “terza via”, che consente l’uso gratuito dei servizi con pubblicità meno personalizzate e senza una profilazione approfondita, rappresenta un primo tentativo di equilibrio tra le esigenze economiche delle piattaforme e i diritti fondamentali degli utenti.

Questo approccio, se adeguatamente regolato e replicato, potrebbe offrire una strada percorribile anche per altri attori digitali, come le testate giornalistiche online, che si trovano a dover conciliare modelli di business sostenibili con obblighi normativi sempre più stringenti.

Un modello regolato di pubblicità contestuale, trasparente e non intrusiva potrebbe costituire una via sostenibile per il futuro dei servizi digitali in Europa: un compromesso credibile tra innovazione, libertà degli utenti e protezione dei diritti fondamentali.

Infine le decisioni della Commissione UE sembrano anche voler affermare un ulteriore principio di fondo: privacy, concorrenza e accesso ai servizi digitali non sono ambiti separati, ma devono essere governati in modo sinergico, per garantire diritti effettivi e condizioni di mercato eque in un ecosistema digitale sempre più concentrato e guidato dai dati.