I giornali italiani stanno cambiando il loro approccio sui dati personali degli utenti online
Su molti siti d'informazione chi non paga un abbonamento è costretto ad accettare i “cookie”, e potrebbero esserci problemi di privacy
Da lunedì i giornali del gruppo GEDI, quello che pubblica tra gli altri Repubblica e La Stampa, hanno aggiornato le condizioni per accedere ai contenuti dei loro siti: ora chi entra in un articolo o nell’homepage di quei giornali non trova più il solito banner che propone di accettare o rifiutare i “cookie di terze parti” per continuare la navigazione, ma ne trova uno che costringe a scegliere tra l’accettazione degli stessi cookie e la sottoscrizione di un abbonamento. Significa insomma che non si possono più leggere gli articoli di quei giornali gratuitamente se non si dà il consenso all’utilizzo dei propri dati personali per finalità promozionali. L’alternativa è leggerli in abbonamento.
Avevano già introdotto sistemi simili anche altri giornali, ma se ne sta discutendo soprattutto in questi giorni dopo che lo ha fatto GEDI, uno dei più grandi gruppi editoriali in Europa. Su questa operazione ci sono però diversi dubbi: la maggior parte degli esperti ritiene che questo utilizzo dei “cookie di terze parti” vìoli le norme sulla privacy degli utenti, ma ci sono anche interpretazioni diverse che lo ritengono accettabile. A livello europeo si applicano regole e criteri diversi a seconda dei paesi, e in Italia si attende ancora un’indicazione definitiva da parte delle autorità. Il Garante della privacy ha comunque annunciato che sta valutando le iniziative degli editori.
[Aggiornamento del 21 ottobre: in una nuova comunicazione, il Garante della privacy non ha escluso «in linea di principio» la legittimità di questa pratica sui cookie, ma ha comunque avviato un’istruttoria].
I “cookie di terze parti” sono i più comuni sistemi di tracciamento oggi disponibili online: semplificando, i “cookie” sono piccole parti di codice che vengono conservate sul browser di un utente e che vengono utilizzate per diversi scopi, tra cui quello di ricostruire le attività online di quell’utente per mostrargli di conseguenza annunci pubblicitari personalizzati e – almeno teoricamente – basati sui suoi gusti. Quelli “di terze parti” sono ciò che rende possibile l’ormai abituale situazione in cui, dopo aver cercato informazioni online su una lampada, ci si imbatte ovunque – anche navigando su siti che si occupano di tutt’altro – in pubblicità di lampade e accessori per l’illuminazione.
Il motivo per cui ai giornali conviene vendere pubblicità basata sulle preferenze degli utenti, piuttosto che pubblicità generica, è che si vende agli inserzionisti a un prezzo molto più alto: permette infatti di suggerire prodotti che – sempre teoricamente – hanno più probabilità di essere interessanti per la persona che sta navigando sul sito, e quindi di aumentare le possibilità che decida di acquistarli. Lo fa capire abbastanza chiaramente anche il banner del gruppo GEDI, che dice: «I ricavi ottenuti dalla pubblicità personalizzata ci aiutano a supportare il lavoro della nostra redazione».
Prima del gruppo GEDI, in Italia avevano già mostrato banner simili sui cookie, tra gli altri, il Fatto Quotidiano, i giornali del gruppo Caltagirone come il Messaggero e il Gazzettino, ma anche il Corriere della Sera, cioè il primo quotidiano italiano per diffusione (su cui però è meno evidente perché quasi tutti i contenuti sono accessibili solo in abbonamento).
È quindi una faccenda che ha a che fare con la più ampia crisi dei modelli di ricavo dei giornali, con il valore sempre più basso della pubblicità che compare sui loro siti e con la loro necessità di far quadrare i conti. Ma ha anche implicazioni sulla privacy delle persone che navigano su quei siti per leggere le notizie e sul loro eventuale diritto a farlo senza cedere dati personali che saranno usati per inviare loro pubblicità personalizzata.
La questione a livello legale è dibattuta, perché è regolata da due fonti normative dell’Unione europea che si basano su princìpi differenti: la prima è una direttiva europea sul trattamento dei dati personali del 2002 (la numero 58), che quindi non teneva in considerazione moltissime variabili che sono state introdotte negli anni successivi. Il secondo è il regolamento noto come GDPR (sigla che sta per “regolamento generale sulla protezione dei dati”), che è in vigore dal 2016 e obbligatorio dal 2018: anche questo riguarda la tutela della privacy dei cittadini europei ma tratta più da vicino i problemi attuali, prestandosi però a interpretazioni un po’ più larghe sul diritto alla protezione dei dati.
– Leggi anche: Perché siti e app vi perseguitano coi messaggi sulla privacy
In breve, la direttiva del 2002 prevedeva che fosse necessario il consenso degli utenti per installare nella loro «apparecchiatura» un «marcatore o un dispositivo analogo»: fra questi si faceva esplicitamente l’esempio dei cookie. Il GDPR invece ha tolto un po’ di importanza al consenso, e ha autorizzato chi acquisisce dati personali a non trattarli più soltanto sulla base di quello, ma anche su altre basi giuridiche, come quella “contrattuale”.
Ogni volta che un utente accetta i “termini e le condizioni di utilizzo” di un sito sta implicitamente stipulando un contratto con la società che lo gestisce. Il nuovo contratto di GEDI, per esempio, spiega che per accedere a molti contenuti dei suoi siti ci sono due modi: attivare un’offerta a pagamento o prestare il consenso all’utilizzo dei cookie di tracciamento. Se si accetta il contratto, si accetta anche questa condizione (quella di essere tracciati per fini promozionali).
Se ci si basasse solo sulla direttiva del 2002, questo tipo di proposta non sarebbe accettabile. In Italia la direttiva del 2002 è stata recepita con diversi provvedimenti, più volte aggiornati, il più recente dei quali è una delibera del 2021 del Garante della privacy, l’autorità per la protezione dei dati personali. In questa si dice che l’utente deve poter esprimere il proprio consenso all’utilizzo dei dati personali in maniera «libera», e che questo consenso non deve rientrare nel meccanismo dei cosiddetti “cookie wall”, cioè le barriere che impediscono l’accesso a un sito se non viene dato il consenso ai cookie.
Per accertare che un meccanismo come quello applicato di recente dai giornali non sia considerabile come un “cookie wall”, che di fatto costringe ad accettare i cookie, l’utente deve avere «la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento». Insomma, bisogna stabilire se offrire la possibilità di abbonarsi sia un’alternativa “equivalente” ai cookie, cioè a leggere un articolo gratis ma offrendo i propri dati. In Italia l’interpretazione prevalente è che questo tipo di scelta non garantisca sufficiente libertà all’utente.
Anche il GDPR prescrive che si debba sempre avere la possibilità di esprimere il consenso liberamente, ma introduce un parziale spostamento dell’attenzione dal consenso al contratto, che cambia un po’ le cose: se il trattamento dei dati personali è «necessario all’esecuzione di un contratto» (articolo 6), allora è lecito. Significa insomma che si possono trattare i dati degli utenti solo se farlo è necessario alla buona riuscita del contratto che le due parti hanno stipulato. A quel punto però il trattamento dei dati personali non è più solo un “favore” che il sito chiede all’utente (“possiamo trattare i tuoi dati personali per fini promozionali?”), ma diventa una merce dello scambio contrattuale (“ti do il mio servizio in cambio dei tuoi dati”).
I giornali che hanno cambiato i propri regolamenti come quelli del gruppo GEDI stanno quindi in qualche modo riconoscendo che i dati hanno un valore di scambio e che per questo motivo possono essere oggetto di un contratto.
È quello che fanno da anni le grandi società tecnologiche come Google e i social network, che a partire dal GDPR hanno potuto spostare la base su cui vengono trattati i dati degli utenti dal consenso al contratto. In sostanza un social network dice di offrire un certo servizio, e che i dati degli utenti sono la merce di scambio per quel servizio. Per fare un esempio: il servizio offerto da TikTok non è solo il feed pieno di video, ma anche lo stesso sistema di profilazione dell’utente. TikTok dice di essere preferibile a Instagram, per dire, proprio perché offre un sistema migliore di profilazione, e quindi video “più personalizzati” di Instagram: la profilazione è parte integrante del pacchetto del contratto.
Sostenere una cosa del genere per i giornali però è assai più difficile, perché il prodotto principale di un giornale sono le notizie e il modo in cui vengono trattate, e secondo molti non ha altrettanto senso che vengano offerte in cambio dei dati personali degli utenti, perché le notizie e il feed di un giornale non hanno niente a che fare con quei dati (come invece il feed di un social network): se così fosse, si arriverebbe al paradosso per cui un giornale fa vedere a un utente solo le notizie che gli piacciono e gli interessano, una sorta di estremizzazione del concetto delle “bolle”.
Questa interpretazione in ogni caso, per quanto sia prevalente, non è l’unica possibile, e le differenze fra i due atti normativi europei hanno prodotto una situazione in cui ogni stato dell’Unione europea interpreta a suo modo le regole sui cookie.
In Francia per esempio praticamente tutti i siti dei giornali hanno banner sui cookie come quelli del gruppo GEDI, con la scelta tra “cedere i propri dati personali” e “abbonarsi”: avevano iniziato a farlo due anni fa e inizialmente erano stati ostacolati dalle autorità, che poi hanno progressivamente assunto posizioni più accomodanti. Ora si può fare, a patto che gli abbonamenti offerti abbiano prezzi ragionevoli e che il tracciamento dei dati sia limitato.
In altri paesi le regole sono assai più restrittive, come la Germania, i Paesi Bassi e il Belgio. Poi ci sono quelli dove non c’è una direzione chiara, come la Spagna e appunto l’Italia: martedì in un comunicato il Garante della privacy italiano ha però fatto sapere che la questione sarà affrontata molto presto, e quindi potrebbero esserci novità già nel breve periodo. Nella pratica, il Garante potrebbe bloccare l’utilizzo dei banner che impongono la scelta tra i cookie e gli abbonamenti, o rimandare la decisione a quando ci sarà una normativa più chiara a livello comunitario (sembra vicina da anni, ma viene ogni volta rimandata).
Agli estremi delle interpretazioni possibili sull’accettazione dei cookie ci sono insomma due modi di vedere i dati degli utenti: il primo, più datato, li vede come personali e inviolabili senza il consenso del soggetto; il secondo, più moderno, è quello economico, in cui i dati sono visti come una moneta di scambio da usare per pagare un servizio. Gli esperti a favore di questa interpretazione ne fanno più che altro una presa d’atto: i dati sono già di fatto una merce di scambio, dicono, perciò tanto vale usarli come tali e ottenere qualcosa in cambio.
In questo caso però non si può considerare “gratuito” il servizio che viene offerto in cambio dei dati personali: GEDI in effetti propone la sua alternativa tra cookie e abbonamento come una modalità di fruizione dei contenuti che non sono “gratuiti” (mentre per esempio il Corriere della Sera dice, in modo fuorviante: «accedi gratuitamente accettando l’uso dei cookie pubblicitari»).
Dopo anni in cui i giornali hanno criticato – in alcuni casi anche con ottime ragioni – l’utilizzo dei dati degli utenti da parte dei social network, oggi sembra che stiano cercando invece di imitarli, sfruttando quegli stessi dati anche a proprio vantaggio. La differenza però è che i giornali sono molto diversi dai social network e che il loro prodotto – l’informazione giornalistica – non ha praticamente niente a che fare con il possesso dei dati degli utenti (mentre vale il contrario per il prodotto offerto dai social network, per il cui soddisfacente funzionamento i dati degli utenti sono indispensabili).