Cookie, GDPR e Pay or Ok: crisi dell’editoria digitale e il ruolo (ignorato) dei browser

È inutile nascondersi dietro un dito. La normativa sui cookie, in particolare l’applicazione del Regolamento (UE) 2016/679 (GDPR) e della Direttiva ePrivacy, ha generato diverse criticità per gli editori, sia sotto il profilo operativo che economico. L’obbligo di acquisire un consenso libero, specifico e informato per l’uso di cookie non tecnici ha impedito agli editori di raccogliere dati per la pubblicità comportamentale (targeted advertising).

Senza dati granulari, le piattaforme pubblicitarie offrono annunci meno personalizzati, che risultano quindi molto meno remunerativi. Questo perché, nel complesso, la pubblicità generica o contestuale ha rendimenti molto inferiori rispetto a quella profilata.

Il paradosso è che alcune tra le aziende di più grosso calibro hanno continuato a raccogliere dati tramite login cross-site o tecnologie più sofisticate (come i sistemi di fingerprinting), mentre gli editori tradizionali si sono trovati fortemente limitati dalle regole europee. In tanti, quindi, si sono trovati di fronte a una scelta: aderire scrupolosamente a tutte le prescrizioni oppure forzare l’interpretazione della normativa abilitando meccanismi conosciuti come Pay or Ok, anche noti come Consent or Pay e Consent Paywall.

Cos’è e come funziona l’approccio Pay or Ok

Come ha rilevato anche il Garante Privacy italiano, tanti soggetti che esercitano le loro attività online hanno adottato il modello Pay or Ok, altrimenti noto – impropriamente – come Cookie Wall.

Tale schema obbliga gli utenti, per accedere ai contenuti, a scegliere se sottoscrivere un abbonamento a pagamento oppure acconsentire al trattamento dei propri dati personali, attraverso cookie e strumenti di tracciamento, ai fini della profilazione commerciale. In mancanza di una delle due opzioni, l’accesso ai siti è bloccato.

Il passaggio al modello Pay or Ok (leggasi “paga/abbonati” od esprimi il consenso per i cookie non tecnici) ha inizialmente interessato il settore editoriale digitale (in particolare i portali di informazione). Si è poi rapidamente esteso a social media, servizi di posta elettronica, traduzione linguistica e altri servizi digitali.

L’Autorità Garante per la protezione dei dati personali osserva che il fenomeno solleva interrogativi rilevanti, tanto sotto il profilo della tutela dei diritti fondamentali — in particolare il diritto alla protezione dei dati personali sancito dal Regolamento (UE) 2016/679 (GDPR) — quanto in relazione alla sostenibilità economica e all’equilibrio tra le parti nel mercato digitale.

Le criticità giuridiche e sistemiche individuate dal Garante

Il Collegio del Garante ha preso atto della portata sistemica del modello Pay or Ok, evidenziando una serie di questioni che impongono un ripensamento generale:

• Libertà e specificità del consenso: il consenso ottenuto in condizioni di accesso vincolato o condizionato potrebbe non essere considerato “libero”, come richiesto dal GDPR.
• Squilibri di potere e vulnerabilità economica: il modello rischia di penalizzare gli utenti meno abbienti, escludendoli di fatto dall’accesso a servizi digitali essenziali o di interesse pubblico.
• Trasparenza e correttezza del trattamento: l’utente potrebbe non essere messo pienamente nelle condizioni di comprendere le implicazioni della scelta tra consenso e pagamento.
• Accesso equo ai contenuti e libertà di informazione: nel caso di testate giornalistiche o altri fornitori di contenuti di interesse pubblico, il vincolo all’accesso rappresenta un rischio per la circolazione dell’informazione.

Il Garante ha riconosciuto che le sole istruttorie individuali nei confronti di alcuni titolari del trattamento — già oggetto di precedenti comunicazioni ufficiali — risultano oggi insufficienti per fronteggiare una tendenza che investe l’intero ecosistema digitale. La risposta, pertanto, non può essere limitata a decisioni episodiche, ma deve poggiare su un confronto pubblico, trasparente e tecnicamente informato.

Consultazione pubblica in tema di Pay or Ok

A valle dei forti dubbi sulla condotta di tutti quei siti che usano l’approccio Pay or Ok, il Garante ha quindi deciso di avviare una consultazione pubblica della durata di 60 giorni, con il preciso obiettivo di:

• raccogliere osservazioni da parte di imprese, utenti, accademici, esperti e associazioni;
• valutare la sostenibilità e la compatibilità dei modelli Pay or Ok con la normativa vigente;
• promuovere lo sviluppo di alternative meno invasive, come l’utilizzo della pubblicità contestuale (non basata su profilazione).

In una nota, il Garante sottolinea che una corretta valutazione dei modelli Pay or Ok deve tenere conto anche delle esigenze economiche delle imprese — in particolare quelle editoriali — e del ruolo strategico che esse rivestono nella salvaguardia della libertà di informazione. Al contempo, va garantito il rispetto dei diritti fondamentali dei cittadini digitali, come il diritto alla riservatezza, alla libera scelta e all’accesso equo a contenuti e servizi.

Da qui la necessità di un approccio non punitivo, ma proattivo e dialogico, finalizzato a definire linee guida sostenibili e condivise per un’economia digitale rispettosa della persona.

La consultazione è aperta a tutti i portatori di interesse (inclusi imprese, consumatori, esperti, associazioni, professionisti, accademia e cittadini): per partecipare, basta seguire le indicazioni riportate nell’avviso pubblico del Garante.

Consenso centralizzato nel browser (o nel sistema operativo)?

In molti si chiedono se gestire il consenso per i cookie e l’autorizzazione alla profilazione a livello di browser Web non sarebbe potuta essere una soluzione molto più efficace, coerente e user-friendly rispetto al modello attuale basato su banner e CMP (Consent Management Platform).

Con il consenso centralizzato nel browser (o nel sistema operativo) l’utente configura una volta per tutte le sue preferenze sulla privacy, che vengono poi applicate automaticamente a ogni sito.

Tramonterebbe così la necessità di banner cookie ripetitivi, migliorando l’esperienza utente. L’approccio, inoltre, renderebbe più trasparente e verificabile il consenso, riducendo gli abusi e le forzature.

Il rovescio della medaglia è che, ovviamente, servirebbe una normativa specifica a livello europeo che obblighi i browser a supportare e rispettare le indicazioni. Inoltre, alcuni produttori di browser hanno conflitti d’interesse legati alla pubblicità. La ratio, però, dovrebbe essere quella di affrontare il problema alla fonte, non limitandosi all’ultimo anello della catena (spesso il più debole, come nel caso dei piccoli editori).