Il Garante privacy ha avviato una consultazione pubblica per trattamenti di profilazione raccolto da diversi titolari, ed innanzitutto dagli editori di giornali, attraverso l’adozione del cosiddetto modello “pay or ok”
-
- 27 Maggio 2025
Il quadro normativo e regolamentare
– il Parere del Gruppo di lavoro “Art. 29” (di seguito WP29) n. 04/2012 in materia di Cookie Consent Exemption, adottato il 7 giugno 2012;
– il Working Document del medesimo WP29 n. 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013;
– le Linee Guida del WP29 sul consenso ai sensi del Regolamento (UE) 2016/679 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020;[1]
– le Linee Guida del WP29 sulla trasparenza ai sensi del regolamento 2016/679, versione emendata dell’11 aprile 2018;
– la lettera dell’EDPB adottata il 13 dicembre 2023 in replica all’iniziativa della Commissione in materia di cookie pledge;[2]
– il Parere dell’EDPB n. 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms adottato il 17 aprile 2024;
– il parere congiunto dell’EDPB e dell’European Data Protection Supervisor (di seguito, EDPS) n. 2/2022 del 4 maggio 2022 sulla Proposta del Parlamento Europeo e del Consiglio recante norme armonizzate per l’accesso equo ai dati e sul loro utilizzo (Data Act);
– la decisione sanzionatoria della Commissione Europea, del 23 Aprile 2025, adottata ai sensi del Digital Market Act nei confronti di Meta Platform Ireland Ltd. e, in particolare, sul modello Pay or Ok implementato dalla società;
– le Linee Guida del Garante per la protezione dei dati personali in materia di cookie e altri strumenti di tracciamento, del 10 giugno 2021 (di seguito anche Linee Guida);
La posizione dello European Data Protection Board (EDPB)
La Presidente dell’EDPB, Anu Talus, ha dichiarato: “Le piattaforme online dovrebbero offrire agli utenti una reale scelta quando utilizzano modelli “consenso o pagamento”. I modelli attuali di solito richiedono agli utenti di fornire tutti i propri dati o di pagare. Di conseguenza, la maggior parte degli utenti acconsente al trattamento per utilizzare un servizio e non comprende appieno le implicazioni delle proprie scelte”.
Per quanto riguarda i modelli “consenso o pagamento” implementati dalle grandi piattaforme online, l’EDPB ritiene che, nella maggior parte dei casi, non sarà possibile per queste ultime rispettare i requisiti per un consenso valido se offrono agli utenti solo la possibilità di scegliere tra il consenso al trattamento dei dati personali per finalità di pubblicità comportamentale e il pagamento di un corrispettivo.
L’EDPB ritiene che offrire solo un’alternativa a pagamento ai servizi che comportano il trattamento dei dati personali per finalità di pubblicità comportamentale non dovrebbe essere la soluzione predefinita per i titolari del trattamento. Nello sviluppo di alternative, le grandi piattaforme online dovrebbero valutare la possibilità di offrire agli utenti un'”alternativa equivalente” che non comporti il pagamento di un corrispettivo. Se i titolari del trattamento scelgono di addebitare un costo per l’accesso all'”alternativa equivalente”, dovrebbero valutare attentamente l’offerta di un’alternativa aggiuntiva. Questa alternativa gratuita dovrebbe essere priva di pubblicità comportamentale, ad esempio con una forma di pubblicità che comporti il trattamento di una quantità inferiore o nulla di dati personali. Questo è un fattore particolarmente importante nella valutazione del consenso valido ai sensi del GDPR.
L’EDPB sottolinea che l’ottenimento del consenso non esonera il titolare del trattamento dall’adempimento di tutti i principi delineati nell’art. 5 del GDPR, quali la limitazione delle finalità, la minimizzazione dei dati e l’equità. Inoltre, le grandi piattaforme online dovrebbero anche considerare il rispetto dei principi di necessità e proporzionalità e sono tenute a dimostrare che il loro trattamento è generalmente conforme al GDPR.
Per quanto riguarda la necessità che il consenso sia libero, dovrebbero essere considerati i seguenti criteri: condizionalità, pregiudizio, squilibrio di potere e granularità. Ad esempio, l’EDPB sottolinea che qualsiasi compenso richiesto non può indurre gli interessati a sentirsi obbligati a prestare il consenso. I titolari del trattamento dovrebbero valutare, caso per caso, sia se un compenso sia del tutto appropriato, sia quale importo sia appropriato nelle circostanze specifiche. Le grandi piattaforme online dovrebbero inoltre valutare se la decisione di non prestare il consenso possa comportare per l’interessato conseguenze negative, come l’esclusione da un servizio importante, la mancanza di accesso a reti professionali o il rischio di perdere contenuti o contatti. L’EDPB osserva che è probabile che si verifichino conseguenze negative quando le grandi piattaforme online utilizzano un modello “consenso o pagamento” per ottenere il consenso al trattamento.
I titolari del trattamento devono inoltre valutare, caso per caso, se vi sia uno squilibrio di potere tra l’interessato e il titolare del trattamento. I fattori da valutare includono la posizione delle grandi piattaforme online sul mercato, la misura in cui l’interessato fa affidamento sul servizio e il pubblico principale del servizio.
L’iniziativa del Garante Privacy
PREMESSO che, negli ultimi mesi, un numero crescente di titolari di siti web, ed innanzitutto, ma non esclusivamente, quelli relativi a siti di news, hanno implementato nuove tipologie di banner per l’acquisizione del consenso degli utenti all’impiego di cookie e altri strumenti di tracciamento diversi da quelli tecnici tali che, a seguito di queste modifiche, la possibilità di fruizione dei diversi servizi o funzionalità offerti è stata subordinata ad una scelta alternativa da parte dell’utente: accettare di prestare il proprio consenso alla ricezione di cookie per trattamenti di profilazione, oppure sottoscrivere una delle diverse tipologie di abbonamento a titolo oneroso previste;
ACCERTATO che tale modello di business è pertanto caratterizzato da un sistema, denominato cookie wall, in cui la mancata prestazione del consenso alla ricezione dei cookie impedisce l’accesso al sito, in alternativa ad uno denominato paywall, intendendo per tale espressione un meccanismo che, invece, inibisce l’accesso ai contenuti informativi o, comunque, ai servizi ed alle funzionalità offerti se non previo pagamento di un prezzo e che esso è altrimenti noto anche come Consent paywall, Pay or Ok, Consent or Pay etc.;
TENUTO CONTO che il modello descritto, che dunque prevede la possibilità per l’utente di scegliere tra l’erogazione di un servizio o di una funzionalità online a fronte di un pagamento oppure la fruizione gratuita in cambio dell’accettazione della profilazione pubblicitaria, si sta diffondendo tra le piattaforme digitali, ed è stato, tra l’altro, implementato anche con riferimento a servizi di social media, di posta elettronica, di accesso alle previsioni meteo, di traduzione linguistica etc.;
CONSIDERATO che il significativo mutamento del modello di business ha comportato in breve tempo un generalizzato impatto sui diritti e sulle aspettative degli interessati, come risulta dall’elevato numero di segnalazioni e reclami pervenuti nei confronti di diversi titolari del trattamento e che tali circostanze impongono, allora, a questa Autorità una più ampia e complessiva valutazione del fenomeno in questione, che ha assunto proporzioni di sistema;
RITENUTO cioè che tale modello sollevi rilevanti questioni in materia di protezione dei dati personali, innanzitutto in termini di libertà di scelta degli utenti, specificità del consenso, trasparenza, libertà di impresa e sostenibilità dei modelli economici digitali, anche considerate eventuali tematiche relative agli utenti in situazioni di vulnerabilità economica, ovvero a possibili squilibri di potere tra questi e i fornitori dei servizi, all’accesso equo ai contenuti e ai connessi aspetti concorrenziali tra fornitori, come pure alla necessità di richiedere ai titolari in questione l’implementazione di una alternativa ulteriore senza costi che contempli una forma meno intrusiva di pubblicità, quale ad esempio la pubblicità contestuale, che comporti il trattamento di una minor quantità o di nessun dato personale degli utenti; che, inoltre, competa a questa Autorità la valutazione circa il rispetto di tutti i principi di protezione dati, e in modo particolare di quello relativo alla correttezza del trattamento di dati personali sotteso all’impiego dei modelli in questione;
RITENUTO inoltre che le questioni emergenti dalle istruttorie intraprese anche ex officio dall’Autorità interessino un pubblico più ampio delle società inizialmente individuate come destinatarie degli accertamenti, di cui ai comunicati stampa del 18 ottobre, del 21 ottobre e del 12 novembre 2022 (rispettivamente, doc. web 9815415, 9816536 e 9822601), e che dunque tali questioni comportino un impatto significativo sull’attuale modello di business sia dell’intero comparto industriale al quale è affidata la diffusione di contenuti di attualità in esercizio del diritto di cronaca e, dunque, della libertà di informazione, sia degli ulteriori settori di fornitura di servizi e funzionalità ai quali questo modello è stato esteso ovvero potrebbe essere esteso;
RITENUTO pertanto che tali considerazioni suggeriscano l’insufficienza e l’inidoneità di una risposta istituzionale episodica affidata alla sola adozione di singole decisioni nei confronti delle società oggetto delle istruttorie pendenti, poiché tali pronunce potrebbero rivelarsi inidonee a proporre una concreta alternativa capace di contemperare le esigenze delle imprese – innanzitutto quelle editoriali e, per il loro tramite, quelle connesse alla tutela di un adeguato livello di circolazione dell’informazione – e, più in generale, le esigenze che derivano dal necessario rispetto del diritto alla protezione dei dati personali di milioni di persone;
CONSIDERATO ALTRESÌ che proprio la rilevanza del fenomeno e il potenziale impatto sui diritti e le libertà fondamentali di un considerevole numero di interessati impone all’Autorità il più ampio ricorso ad una logica di intervento partecipativa, che promuova sui temi, come sopra rappresentati, un confronto pubblico e trasparente con tutti i portatori di interesse, incluse imprese, consumatori, esperti, associazioni, professionisti, accademia e cittadini al fine di raccogliere osservazioni, suggerimenti, contributi e valutazioni tecniche sui modelli di Pay or Ok e sulle loro implicazioni giuridiche, economiche e sociali e che tale confronto avrà l’obiettivo di verificare direttamente se e quali alternative sussistano rispetto all’attuale assetto, così da tenerne debito conto anche nella definizione delle diverse istruttorie, ivi comprese quelle già avviate, con particolare riferimento all’adozione di eventuali misure correttive;
Sulla scorta di quanto sopra richiamato, il Garante per la protezione dei dati personali ha avviato una consultazione pubblica volta a valutare la liceità del consenso per trattamenti di profilazione raccolto da diversi titolari, ed innanzitutto dagli editori di giornali, attraverso l’adozione del cosiddetto modello “pay or ok” (anche denominato “pay or consent” o “consent paywall” etc.)[3]. Tale modello impone agli utenti, per accedere ai contenuti, ai servizi o alle funzionalità offerte online, di scegliere se sottoscrivere un abbonamento a pagamento oppure acconsentire al trattamento dei propri dati personali, attraverso cookie e strumenti di tracciamento, ai fini di profilazione commerciale. In mancanza di una delle due opzioni, l’accesso ai siti è bloccato.
L’iniziativa si inserisce nel quadro delle istruttorie già avviate dall’Autorità nei confronti di numerosi editori di giornali che utilizzano tale modalità di business ritenuta controversa sul piano della normativa privacy (Gdpr e direttiva e-privacy), anche dall’Edpb, in particolare sulla possibilità di considerare libero il consenso eventualmente prestato dall’utente. La maggior parte degli interessati, infatti, pur di accedere “gratuitamente” ai contenuti o alle funzionalità e ai servizi offerti, acconsente al trattamento dei propri dati, spesso neppure comprendendo a pieno gli effetti delle proprie scelte.
Allo stesso tempo, l’iniziativa vuole evitare un approccio meramente sanzionatorio da parte dell’Autorità, che rischierebbe di compromettere l’attuale modello di mercato degli editori e degli altri titolari coinvolti senza offrire un a valida alternativa in grado di bilanciare adeguatamente le esigenze economiche dei settori interessati, la libera circolazione dell’informazione e il diritto fondamentale alla protezione dei dati personali.
La consultazione, rivolta a tutti i portatori di interessi, mira a raccogliere contributi utili a individuare soluzioni tecniche e operative – come modelli alternativi di accesso ai contenuti – in grado di garantire agli utenti il rispetto dei principi di libertà, specificità e consapevolezza del consenso.
[1] L’articolo 4, punto 11, del regolamento generale sulla protezione dei dati stabilisce che il consenso dell’interessato è qualsiasi: manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Le sezioni che seguono analizzano la misura in cui la formulazione dell’articolo 4, punto 11, richiede al titolare del trattamento di modificare le sue richieste/i suoi moduli di consenso affinché siano conformi al regolamento generale sulla protezione dei dati11. L’elemento della manifestazione di volontà “libera” implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati. Come regola generale, il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva o si sente obbligato ad acconsentire oppure subirà conseguenze negative se non acconsente, il consenso non sarà valido13. Se il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio14. Il regolamento generale sulla protezione dei dati ha preso in considerazione anche la nozione di squilibrio tra titolare del trattamento e interessato. Nel valutare se il consenso sia stato prestato liberamente, si deve anche tener conto dell’eventualità che il consenso sia collegato all’esecuzione di un contratto o alla prestazione di un servizio come descritto all’articolo 7, paragrafo 4. L’articolo 7, paragrafo 4, contenendo l’inciso “tra le altre”, non è esaustivo e può quindi comprendere altre eventualità. In termini generali, qualsiasi azione di pressione o influenza inappropriata sull’interessato (che si può manifestare in vari modi) che impedisca a quest’ultimo di esercitare il suo libero arbitrio, rende il consenso invalido.
[2] L’EDPB (Comitato europeo per la protezione dei dati) ha espresso preoccupazione per i modelli “consenso o pagamento”, in cui gli utenti sono costretti a scegliere tra il pagamento di un servizio o il consenso al trattamento dei dati per la pubblicità comportamentale. Il parere dell’EDPB afferma che, nella maggior parte dei casi, tali modelli non soddisfano i requisiti per un consenso valido ai sensi del GDPR, poiché gli utenti non sono realmente liberi di scegliere, ma si trovano piuttosto a dover scegliere tra il pagamento e l’accettazione del trattamento dei dati. L’EDPB sottolinea che il consenso deve essere prestato liberamente e che gli utenti non devono essere svantaggiati o costretti a prestarlo.
[3] Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10127405
