The Walt Disney Company ha raggiunto un accordo da 2,75 milioni di dollari con il Procuratore Generale della California Rob Bonta per presunte violazioni del California Consumer Privacy Act nella gestione degli opt-out sui servizi Disney+, Hulu ed ESPN+. La sanzione economica è solo una parte della vicenda. L’intesa, che dovrà essere approvata dal tribunale, impone una revisione tecnica profonda dei sistemi con cui vengono raccolte e gestite le preferenze privacy degli utenti.
Come funzionavano gli opt-out contestati
Secondo gli atti depositati presso la Corte Superiore di Los Angeles, le richieste di disattivazione della vendita o condivisione dei dati personali venivano applicate in modo frammentato. Un utente che interveniva tramite un interruttore su un’app o su un sito otteneva effetti limitati al servizio utilizzato in quel momento e, in diversi casi, al solo dispositivo impiegato. Una scelta effettuata da smart TV poteva quindi restare confinata a quell’ambiente, senza estendersi all’app mobile o ad altri servizi collegati allo stesso account. Anche il modulo web dedicato ai diritti privacy interrompeva alcuni flussi pubblicitari interni, mentre altri trasferimenti verso società tecnologiche terze integrate nei sistemi continuavano. L’effetto complessivo, secondo l’autorità, era una tutela parziale rispetto a quanto previsto dalla normativa californiana.
Un ulteriore profilo ha riguardato le applicazioni per connected TV, dove gli strumenti di opt-out non erano sempre disponibili direttamente nell’interfaccia dell’app. In quei casi l’utente veniva indirizzato a un modulo online esterno, con un percorso meno immediato. L’autorità ha valutato questo assetto alla luce del principio di effettività del diritto, concentrandosi sull’esperienza concreta dell’utente e non solo sulla presenza formale di un meccanismo di disattivazione.
Account, filiera pubblicitaria e controlli interni
L’accordo introduce un cambio di impostazione rilevante: per gli utenti autenticati, l’opt-out dovrà operare a livello di account e produrre effetti su tutti i servizi di streaming associati. Per chi utilizza i servizi senza login, la disattivazione dovrà essere efficace almeno rispetto al browser, all’applicazione o al dispositivo utilizzato, includendo eventuali identificativi pseudonimi collegati. Inoltre, i link per esercitare i diritti dovranno essere chiari e facilmente accessibili, con una gestione corretta dei segnali automatici di preferenza privacy inviati dai browser.
Un passaggio significativo riguarda la catena dei destinatari dei dati. Disney dovrà notificare le richieste di opt-out alle terze parti che abbiano ricevuto informazioni personali dopo l’esercizio del diritto e prima della sua piena attuazione, chiedendo loro di adeguarsi e di trasmettere la richiesta lungo eventuali ulteriori passaggi. La responsabilità, quindi, si estende oltre i confini della piattaforma e coinvolge l’intera filiera pubblicitaria. L’accordo prevede anche un programma triennale di monitoraggio interno con rendicontazione periodica all’autorità, a testimonianza di un controllo continuativo sull’architettura tecnica e organizzativa.
Il caso si colloca in un contesto di enforcement sempre più attento alla sostanza dei diritti riconosciuti agli utenti. Le autorità analizzano come le scelte di design incidano sulla reale possibilità di esercitare un diritto e verificano la coerenza tra servizi, dispositivi e partner tecnologici. Per le piattaforme digitali che operano su scala globale, con integrazioni pubblicitarie e ambienti multi-dispositivo, la progettazione della conformità diventa parte integrante dello sviluppo del prodotto.
Le implicazioni superano il perimetro statunitense. Anche chi opera in Europa deve coordinare obblighi derivanti da normative come il regolamento generale sulla protezione dei dati con modelli di business che prevedono condivisioni complesse e identificativi distribuiti su più ambienti. La vicenda Disney offre un esempio concreto di come il diritto intervenga quando la frammentazione tecnica produce una frammentazione dei diritti.
