Cos'è il consenso opt-out?

Il consenso opt-out è caratterizzato da un sistema in cui gli utenti non sono tenuti a fornire un consenso attivo prima che i loro dati vengano elaborati; al contrario, devono intraprendere un'azione per negare o revocare il consenso. Ad esempio, le caselle di spunta preselezionate per l'iscrizione alle newsletter o la partecipazione predefinita alle pratiche di raccolta dati illustrano questo approccio (O’Connor et al., 2017). Nel contesto dei quadri giuridici, il California Consumer Privacy Act (CCPA) impone alle aziende di offrire ai consumatori un meccanismo chiaro per rinunciare alla vendita delle loro informazioni personali, ma non richiede un consenso esplicito preventivo per la raccolta o la condivisione dei dati (CCPA, 2018).

I risultati di studi empirici indicano che i modelli di consenso opt-out portano tipicamente a tassi più elevati di raccolta dati e partecipazione degli utenti a causa dell'inerzia o della mancanza di consapevolezza (Nissenbaum, 2011). Ciò è stato evidenziato in un esperimento di Johnson et al. (2002), in cui le impostazioni predefinite hanno portato a tassi di accettazione sostanzialmente più alti per la condivisione dei dati rispetto ai meccanismi di opt-in. L'assenza di una scelta attiva distorce i risultati a favore degli interessi dei titolari del trattamento dei dati.

Al contrario, il GDPR nell'Unione Europea impone un modello di opt-in rigoroso, che richiede un consenso esplicito, informato e inequivocabile prima di elaborare i dati personali o impostare cookie sui dispositivi degli utenti. Gli utenti devono selezionare attivamente le loro preferenze e le caselle preselezionate sono esplicitamente vietate (GDPR Articolo 7). È inoltre obbligatoria la possibilità di revocare il consenso in qualsiasi momento, rafforzando l'autonomia dell'utente.

L'analisi comparativa tra i modelli opt-in e opt-out sottolinea diversi punti critici:

• Consapevolezza dell'utente: I modelli opt-out portano spesso a una minore consapevolezza e coinvolgimento dell'utente nelle scelte sulla privacy (Symons & Bass, 2017).
• Validità del consenso: Gli studiosi di diritto sostengono che il consenso opt-out non soddisfa lo standard di consenso “informato” o “liberamente prestato” ai sensi del GDPR.
• Impatto aziendale: Le organizzazioni che preferiscono i modelli opt-out citano tassi di conversione più elevati e una maggiore facilità di conformità nell'ambito di quadri normativi incentrati sugli Stati Uniti come il CCPA.
• Controllo dell'utente: L'opt-in garantisce un maggiore controllo da parte dell'utente, ma può ridurre la partecipazione o le opportunità di business a causa di una maggiore frizione.

In sintesi, il consenso opt-out rimane prevalente nelle giurisdizioni con requisiti di privacy meno stringenti, come nel caso del CCPA, dove l'enfasi è posta sul diritto dei consumatori di opporsi piuttosto che su un accordo attivo. Al contrario, il regime di opt-in del GDPR è più protettivo dell'autonomia e della privacy dell'utente per impostazione predefinita, obbligando i titolari del trattamento a ottenere un'autorizzazione esplicita prima di qualsiasi attività di elaborazione dei dati.