Il Garante per la protezione dei dati italiano (GPDP), ha avviato, il 5 maggio 2025, una consultazione pubblica1 sul cosiddetto modello “Pay or consent”, un approccio sempre più diffuso tra siti di informazione (testate giornalistiche) e grandi piattaforme come Meta (Facebook e Instagram). Sul tema delle grandi piattaforme rinviamo al nostro articolo pubblicato sul blog e su Fidinam News edizione di giugno 2024. L’obiettivo non è sanzionare, ma costruire un sistema equo e condiviso che rispetti i diritti degli utenti senza compromettere la sostenibilità del mercato digitale.
Il modello si basa su un’opzione binaria:
Questo approccio, ormai sempre più diffuso in risposta al crescente rifiuto, da parte degli utenti, dei cookie di profilazione, solleva dubbi sostanziali sulla libertà del consenso e sul rispetto dei principi di trattamento ai sensi della normativa sulla protezione dei dati.
È davvero lecito subordinare l’accesso a contenuti/servizi alla scelta tra pagare un abbonamento o accettare la profilazione pubblicitaria (profilazione comportamentale)?
Questa modalità di business è al centro dell’attenzione europea e non è esente da contestazioni da parte delle istituzioni europee, come lo dimostra la multa di 200 milioni inflitta dalla Commissione europea a Meta per decisione di non conformità sul modello “pay or consent” in data 23 aprile 20252.
Con il provvedimento del 29 aprile e il successivo comunicato stampa del 5 maggio 2025, il Garante ha avviato una consultazione pubblica con un obiettivo preciso: raccogliere contributi dai soggetti coinvolti – imprese, piattaforme, esperti, associazioni e cittadini – per definire criteri condivisi sul tema del consenso nei modelli “Pay or Consent” che tengano conto del modello di business digitale.
Il cuore dell’iniziativa è duplice:
1. Chiarire in quali condizioni il consenso prestato in questi modelli possa considerarsi valido secondo il GDPR e le linee guida dell’EDPB;
2. Evitare l’applicazione di un “approccio meramente sanzionatorio che rischierebbe di compromettere l’attuale modello di mercato degli editori e degli altri titolari coinvolti”
Ai sensi del GDPR, il consenso per essere valido deve essere libero, informato specifico e inequivocabile, e revocabile senza penalizzazione.
L’art. 7(4) e il considerando 43 precisano che un consenso non è valido se l’utente è costretto ad accettarlo per accedere a servizi che non lo richiedono necessariamente. L’EDPB sottolinea che il consenso non sarà valido3 se l’interessato si sente obbligato a dare il proprio consenso o possa subire delle conseguenze negative se non acconsente.
Pertanto, nel caso in cui il pagamento di un abbonamento sia l’unica alternativa al rifiuto della profilazione commerciale, la libertà di scelta dell’utente sarebbe compromessa ai sensi della normativa sulla protezione dei dati. In effetti, molti utenti pur di accedere gratuitamente ai contenuti acconsentono al trattamento dei dati senza piena consapevolezza di come vengono trattati i loro dati personali.
L’EDPB, nel suo parere del 17 aprile 2024, ha affronto il tema del trattamento dei dati ai fini di pubblicità personalizzata nel contesto del modello “Pay or consent” adottato dalle grandi piattaforme4 e ha sottolineato che i titolari del trattamento devono essere in grado di dimostrare che il modello proposto non impone pressioni indebite, non sfrutta squilibri di potere e dovrebbe fornire altre alternative equivalenti e gratuite: vale a dire alternative che non comportino né il pagamento di un compenso né una profilazione.
Il Garante italiano, nel suo provvedimento, sottolinea, anche lui, la necessita di offrire un’alternativa senza costo o equivalente che contempla una forma di pubblicità meno invasiva secondo quanto indicato nel parere dell’EDPB del 17 aprile 2024.
La posta in gioco non è solo normativa ma anche economica e competitiva.
Il dibattito sul modello “Pay or OK” deve tenere conto della realtà del mercato digitale, composto da grandi piattaforme ma anche da numerose piccole e medie imprese che si sostengono grazie alla pubblicità personalizzata. Per questi operatori, la profilazione rappresenta spesso l’unico mezzo per offrire contenuti gratuiti. Un approccio meramente sanzionatorio, come quello adottato di recente contro Meta, rischierebbe di colpire duramente proprio queste realtà, che non dispongono delle risorse per implementare alternative a pagamento o soluzioni complesse di consenso.
Attraverso la consultazione pubblica, il Garante chiama tutti i soggetti interessati (consumatori, esperti, associazioni, professionisti, accademia e cittadini) a fornire il loro contributi entro il 6 luglio 2025, volti a trovare una “valida alternativa in grado di bilanciare adeguatamente le esigenze economiche dei settori interessati, la libera circolazione dell’informazione e il diritto fondamentale alla protezione dei dati personali”.
L’intento è di guidare il mercato digitale verso soluzioni compatibili con i principi della normativa in vigore (GDPR e le linee guide dell’EDBP) che siano anche praticabili e proporzionali per tutti gli attori coinvolti.
L’obiettivo è quello di superare la logica binaria tra consenso o pagamento, promuovendo soluzioni alternative (come, ad esempio, pubblicità non personalizzata o contestuale, servizi gratuiti a funzionalità ridotta senza tracciamento), modelli accessibili, che consentano di tutelare i diritti fondamentali degli utenti senza trasformare la protezione dei dati in un vantaggio competitivo riservato ai più forti.
Questo articolo è stato redatto da Isabel Costa, Manager Privacy di Fidinam & Partners.
Clicca qui per contattarci e rivolgerci domande specifiche sulla tematica in oggetto.
[1] Link del comunicato stampa del Garante per la protezione dei dati italiano (GPDP)
[2] Comunicato stampo del 23 aprile della Commissione europea al seguente link: https://ec.europa.eu/commission/presscorner/detail/it/ip_25_1085
[3] § 13 della Linea guida 5/2020/ sul consenso ai sensi del GDPR versione 1.1. adottate il 4 maggio 2020 al seguente link https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_it.pdf
[4] Link al parere dell’EDPB : https://www.edpb.europa.eu/system/files/2024-04/edpb_opinion_202408_consentorpay_en.pdf
Il primo settembre 2024 è entrata in vigore la nuova legge sulla protezione dei dati personali. La tua azienda è adempiente alla nLPD?
