Oggi l'EDPB ha emesso la sua prima decisione sul "Pay or Okay" in relazione a grandi piattaforme online come Instagram e Facebook, come riportato per la prima volta da Politico. La decisione vieta a Meta di utilizzare una richiesta di consenso illegale per il trattamento dei dati personali. Sembra che ormai Meta abbia esaurito le opzioni per continuare a utilizzare i dati delle persone per la pubblicità nell'UE senza un meccanismo di consenso che sia effettivamente conforme alla legge.
Parere sulle grandi piattaforme online. Come sostenuto in precedenti cause intentate dalla noyb, l'EDPB sembra aver seguito l'unica interpretazione logica del termine "consenso liberamente dato" quando ha analizzato il sistema "Pay or Okay" di Meta, che faceva pagare agli utenti più di 250 euro all'anno per Instagram e Facebook se non acconsentivano "liberamente" all'uso dei loro dati personali. Politico cita le parole dell'EDPB:"Nella maggior parte dei casi, non sarà possibile per le grandi piattaforme online rispettare i requisiti per un consenso valido se mettono gli utenti di fronte a una scelta binaria tra il consenso al trattamento dei dati personali per scopi di pubblicità comportamentale e il pagamento di una tariffa".
Max Schrems:"Nel complesso, Meta non ha più opzioni nell'UE. Ora deve dare agli utenti una vera opzione "sì/no" per la pubblicità personalizzata. Può ancora far pagare i siti per la portata, impegnarsi nella pubblicità contestuale e simili - ma il tracciamento delle persone per gli annunci pubblicitari ha bisogno di un chiaro 'sì' da parte degli utenti"
Discussione dichiarata - servono prove. Il parere odierno dell'EDPB dovrà essere analizzato più in dettaglio una volta pubblicato integralmente. È probabile che sia solo un punto di partenza per una discussione più ampia su "Pay or Okay" in vari contesti, dato che l'EDPB intende pubblicare ulteriori linee guida nel corso dell'anno che vadano oltre le "grandi piattaforme online". La questione centrale rimane quella di stabilire se un modello "Pay or Okay" sia in grado di soddisfare il requisito legale secondo cui il consenso deve essere "liberamente dato" e che vengano rispettati i "desideri genuini" degli utenti. Dopo tutto, acconsentire al trattamento dei dati personali significa decidere di rinunciare al diritto fondamentale alla protezione dei dati. Di solito, i diritti fondamentali non possono essere "venduti" o concessi solo a pagamento. L'EDPB ha finora deciso in gran parte nel vuoto, senza prove indipendenti e complete di come il modello "Pay or Okay" interferisca con la reale e libera scelta degli utenti.
Max Schrems, presidente di noyb:"Siamo lieti che l'EDPB abbia avviato una discussione più sfumata sul "pay or okay" e abbia almeno chiarito che le grandi piattaforme non possono utilizzare il "pay or okay". Tuttavia, siamo preoccupati che il primo parere di oggi sia piuttosto cauto e si basi su fatti limitati. Una volta che tutti i fatti saranno sul tavolo, siamo fiduciosi che "Pay or Okay" sarà dichiarato illegale su tutta la linea. Sappiamo che "Pay or Okay" sposta i tassi di consenso da circa il 3% a oltre il 99%, quindi è tanto lontano dal consenso "liberamente dato" quanto la Corea del Nord da una democrazia. È fondamentale ottenere tutti i numeri rilevanti per ulteriori decisioni al di là di Meta e delle piattaforme più grandi"
È necessaria una terza opzione. L'EDPB ha anche menzionato la possibilità di introdurre una terza opzione oltre a "Pay or Okay", che finora è stata ampiamente ignorata dal settore. Esistono infatti molti modi per monetizzare un sito web, come la pubblicità contestuale, l'inserimento di prodotti, i contenuti a pagamento o i modelli freemium, in cui alcuni contenuti sono disponibili solo a pagamento. Mentre l'industria cerca di limitare la discussione a due opzioni ("pay" o "ok"), l'EDPB ha sottolineato che il GDPR non limita altri modi di finanziare i prodotti, anche se possono essere meno redditizi.
Pay or Okay è la fine del consenso "liberamente dato". Come abbiamo avvertito nei mesi scorsi, "Pay or Okay" comporta costi enormi per i consumatori (facilmente 35.263,20 euro per una famiglia di quattro persone), che superano di gran lunga gli attuali ricavi pubblicitari degli editori, che spesso ammontano a pochi centesimi. L'attuale ricavo medio della pubblicità programmatica nell'UE è di 1,41 euro al mese per utente - su tutti i siti web. In Paesi come l'Austria, la Germania, la Francia, la Spagna o l'Italia, visitare i primi 100 siti web può già costare più di 1.500 euro all'anno se non si acconsente al tracciamento. Nel video di approfondimento della scorsa settimana, abbiamo anche evidenziato la problematica dinamica decisionale di "Pay or Okay", che modifica il "libero desiderio" degli utenti dal 3% che vuole avere pubblicità personalizzata fino al 99,9% che (controvoglia) clicca su "accetta" se l'alternativa è un conto salato.
Max Schrems:"Quando più del 90% degli utenti acconsente a qualcosa che non vuole, non c'è bisogno di un avvocato per capire che non si tratta di un consenso "liberamente dato". In effetti, a 5 anni dall'entrata in vigore del GDPR, questo è solo l'ultimo "trucco" per minare la legge dell'UE, o almeno per ritardare la conformità per qualche altro anno. È estremamente problematico che le autorità non abbiano già preso una posizione chiara in merito. Nelle cause che abbiamo intentato in Austria o in Germania, vediamo piuttosto che le autorità chiudono un occhio su 'Pay or Okay' perché è stato introdotto per la prima volta dai media, con cui non vogliono interferire - anche se la legge è uguale per tutti"
Premessa. Fino all'entrata in vigore del GDPR il 25 maggio 2018, Meta ha utilizzato il "consenso" ai sensi dell'articolo 6, paragrafo 1, lettera a), del GDPR come base giuridica per il trattamento dei dati personali degli utenti, ad esempio per la pubblicità. Ai sensi del GDPR, il consenso deve essere specifico, informato, inequivocabile e dato liberamente. Meta temeva che dare agli utenti un'opzione "sì/no" avrebbe limitato le proprie possibilità di guadagno nell'UE, quindi alla mezzanotte del 25 maggio 2018 ha iniziato a sostenere che mostrare annunci pubblicitari faceva parte del contratto con l'utente, utilizzando l'articolo 6, paragrafo 1, lettera b), del GDPR. La Corte di giustizia dell'Unione europea (CGUE) e il Comitato europeo per la protezione dei dati (EDPB) hanno dichiarato illegale tale argomentazione nel 2023. Nel 2023, Meta ha poi brevemente sostenuto di avere un "interesse legittimo" a trattare i dati personali per la pubblicità ai sensi dell'articolo 6, paragrafo 1, lettera f), del GDPR, fino a quando ha iniziato a tornare al "consenso" ai sensi dell'articolo 6, paragrafo 1, lettera a), del GDPR - chiedendo agli utenti di acconsentire o di pagare una tariffa fino a 20,99 euro per Instagram e Facebook insieme.
Le autorità norvegesi, olandesi e di Amburgo per la protezione dei dati hanno riportato "Pay or Okay" all'EDPB, che ha ora emesso una decisione. Tutti questi tentativi di aggirare la legge sono stati fatti con il supporto attivo della Commissione irlandese per la protezione dei dati (DPC), in qualità di regolatore principale della sede europea di Meta in Irlanda. Tutti questi "accordi" con il regolatore irlandese sono stati successivamente giudicati illegali dall'EDPB o dalla CGUE.