Il consenso libero e informato e i modelli “Pay or Consent”: l’attuale scenario e la consultazione pubblica avviata dal Garante per la protezione dei dati personali
La nota vicenda dei modelli c.d. “Pay or Consent” o “Pay or Ok” che ha catturato l’attenzione (e le critiche) degli utenti, interessato le Autorità di controllo europee e mobilitato le associazioni di categoria del settore della pubblicità digitale negli ultimi anni, non si è ancora conclusa ma potrebbe essere ad un punto di svolta.
Si tratta della pratica adottata, ormai da alcuni anni, da editori di testate giornalistiche e da piattaforme online che, per continuare ad offrire agli utenti l’accesso ai propri servizi digitali, richiedono a questi ultimi di scegliere tra due opzioni: (i) prestare il consenso al trattamento dei propri dati personali per finalità di profilazione ai fini di marketing oppure (ii) decidere di pagare un corrispettivo, spesso sotto forma di abbonamento e ottenere così l’accesso al servizio online, senza quindi che i dati personali siano trattati per finalità di profilazione.
La mancata scelta comporta il blocco dell’accesso al sito web e dunque l’impossibilità per l’utente di visualizzarne i contenuti.
1. Il modello “Pay or Consent”: funzionamento e prime criticità
Il meccanismo si sostanzia dunque nell’implementazione di nuove tipologie di banner per l’acquisizione del consenso degli utenti all’impiego di cookie e altri strumenti di tracciamento diversi da quelli tecnici, tali per cui la possibilità di fruizione dei diversi servizi o funzionalità offerti è subordinata alle scelte alternative di cui sopra.
Tale modalità ha suscitato rilevanti perplessità da un punto di vista privacy in quanto tocca un aspetto particolarmente importante e delicato quale l’esistenza o meno, in questi casi, di un libero e valido consenso del soggetto interessato, ossia dell’utente web.
L’interrogativo in sostanza era, ed è tuttora, il seguente: è possibile considerare lecito, ai sensi del Regolamento (UE) 679/2016 (di seguito, “GDPR”)(1) e della normativa e regolamentazione data protectionapplicabili, un consenso condizionato alla pubblicità comportamentale?
Ci si è chiesti se gli interessati che si trovano di fronte a simili modelli siano realmente in grado di operare una scelta consapevole e libera, tenendo conto del rischio di eventuali conseguenze negative, o se vi siano elementi di costrizione che comportino l’incapacità di esercitare una vera scelta.
La questione giuridica è legata all’interpretazione della nozione di consenso e, nello specifico, riguarda le circostanze in cui il consenso raccolto da piattaforme ed editori online, che trattano dati personali per finalità di pubblicità comportamentale e attuano modelli “Pay or Consent”, possa essere considerato valido.
Oltre al profilo delle caratteristiche, obbligatorie, del consenso, entrano in gioco, in tale contesto, inevitabilmente, anche i principi fondamentali che devono guidare ogni attività di trattamento di dati personali.
In particolare, i titolari del trattamento sono tenuti a rispettare i principi di necessità e proporzionalità: anche se il trattamento è basato sul consenso, ciò non giustifica la raccolta di dati personali al di là di quanto necessario per la finalità determinata e nel rispetto del principio di minimizzazione, con l’obbligo di valutare se gli scopi possano essere perseguiti anche con mezzi meno intrusivi; ad esempio, trattando meno dati personali o dati aggregati.
2. Impatto sui diritti e intervento delle autorità europee
Tutto ciò nell’ottica della tutela dei diritti e delle libertà di un considerevole numero di soggetti interessati, di cui la normativa data protection impone il rispetto ai titolari del trattamento.
Non si può negare, infatti, che tale significativo mutamento del modello di business abbia comportato, in brevissimo tempo, un generalizzato impatto sui diritti e sulle aspettative degli interessati, come rilevato espressamente dall’Autorità Garante per la protezione dei dati personali italiana (di seguito, “Garante Privacy”)(2), che è risultata destinataria di un elevato numero di segnalazioni e reclami pervenuti nei confronti di diversi titolari del trattamento.
Già nel gennaio del 2024 l’Autorità di controllo dei Paesi Bassi, agendo anche per conto dell’Autorità di controllo norvegese e dell’Autorità di controllo tedesca, aveva chiesto al Comitato europeo per la protezione dei dati (Euopean Data Protection Board, di seguito “EDPB” o “Comitato”) di emettere un parere in relazione ai modelli “Pay or Consent“.
Le Autorità richiedenti evidenziavano la necessità di una posizione europea univoca e coerente sull’attuazione di modelli “Pay or Consent” che fornisse una risposta anche alle piattaforme online di grandi dimensioni, al fine di garantire un’interpretazione e un’applicazione coerenti del GDPR.
L’EDPB, nel parere reso ad aprile 2024, ha rilevato le criticità insite nell’adozione di simili modalità di ottenimento del consenso per scopi di profilazione ai fini marketing, sottolineando l’importanza del principio per cui gli interessati devono godere di una reale ed effettiva libertà di scelta quando sono invitati a prestare il loro consenso al trattamento dei dati personali e che “l’offerta di (solo) un’alternativa a pagamento al servizio, che include il trattamento per finalità di pubblicità comportamentale, non dovrebbe costituire la modalità predefinita da seguire per i titolari del trattamento”(3).
Pertanto, il Comitato ha ritenuto dirimente l’esistenza della messa a disposizione di un’alternativa gratuita priva di pubblicità comportamentale e, in particolare, “nello sviluppare l’alternativa alla versione del servizio con pubblicità comportamentale, le piattaforme online di grandi dimensioni dovrebbero prendere in considerazione la possibilità di fornire agli interessati un’alternativa equivalente, che non comporti il pagamento di un corrispettivo”.
Tale alternativa equivalente gratuita potrà comportare il trattamento di una quantità inferiore di dati personali nel rispetto del principio di necessità e di minimizzazione di cui al GDPR.
3. Il ruolo della CGUE e la questione della posizione dominante
Inoltre, preme segnalare che nel Parere dell’EDPB è stato considerato il precedente giurisprudenziale della Sentenza della Corte di Giustizia dell’Unione Europea (di seguito, “CGUE”), citata proprio dalle Autorità di controllo che hanno interrogato l’EDPB. In tale pronuncia la CGUE aveva affrontato, tra le altre questioni, il quesito se un consenso prestato dall’utente di un social network online all’operatore di tale social network soddisfi le condizioni di validità previste all’articolo 4, punto 11), del GDPR, in particolare quella relativa alla libertà del consenso, qualora tale operatore occupi una posizione dominante sul mercato dei social network online.
Sul punto la CGUE, ricordando la definizione e i requisiti essenziali del consenso dell’interessato ai sensi del GDPR, aveva affermato che l’esistenza di una posizione dominante di un fornitore di social network online non osta, di per sé, a che gli utenti di tale social network possano prestare un valido consenso al trattamento dei loro dati personali effettuato da tale fornitore; tuttavia, tale posizione dominante costituisce “un elemento importante per determinare se il consenso sia stato effettivamente prestato validamente e, in particolare, liberamente, circostanza che spetta a detto operatore dimostrare in quanto ciò potrebbe incidere sulla libertà di scelta dell’interessato, che potrebbe sentirsi costretto ad accettare al solo fine di non subire un pregiudizio”(4).
Inoltre, la CGUE specificava che, laddove taluni trattamenti non fossero necessari ai fini dell’esecuzione della prestazione del servizio (esecuzione del contratto), gli interessati dovevano poter disporre della libertà di rifiutare individualmente, nell’ambito della procedura contrattuale, di prestare un consenso, senza essere per questo obbligati a rinunciare del tutto alla fruizione del servizio offerto dall’operatore del social network online. Conseguenza di ciò è che a questi ultimi venisse proposta, se del caso a fronte di un adeguato corrispettivo, un’alternativa equivalente non accompagnata da simili operazioni di trattamento di dati.
Tale ultimo assunto in particolare non ha risolto l’interrogativo ad oggi ancora oggetto di discussione e l’EDPB ha concluso il parere insistendo sul concetto di “alternativa equivalente”(5) e puntualizzato che i dati personali non possono essere considerati un bene commerciabile, dal momento che la protezione dei dati personali è un diritto fondamentale delle persone.
Alla luce di tali principi, risulta pertanto indispensabile valutare, caso per caso, se un corrispettivo sia in effetti adeguato ed, eventualmente, quale sia l’importo adeguato in determinate circostanze, tenendo in considerazione le possibili alternative alla pubblicità comportamentale che comportano il trattamento di una quantità inferiore di dati personali, nonché della posizione degli interessati e l’esistenza di uno squilibrio di potere tra l’interessato e il titolare del trattamento(6), senza impedire a questi ultimi di compiere una scelta vera e propria alla luce dei requisiti del valido consenso.
4. Il Garante italiano e la consultazione pubblica
Il parere dell’EDPB non ha però portato, di fatto, ad una soluzione definitiva e l’adozione di modelli “Pay or Consent” sono sempre più diffusi tra i siti web.
Questo anche perché il quesito giuridico è comunque strettamente legato anche ad un altro rilevante profilo: quello, da un lato, della conseguente legittimità o meno di tale prassi commerciale e quello, dall’altro lato, della libertà di impresa e dell’attuale sostenibilità dei modelli di business digitali nonché del connesso profilo della c.d. monetizzazione dei dati personali, inevitabilmente presente nell’ambito del web-marketing.
Ragion per cui oggi ad intervenire attivamente nel dibattito pubblico non sono soltanto le Autorità di controllo, bensì anche le associazioni di categoria del settore del marketing e le aziende del settore, che hanno adottato tale modello di business.
Il Garante Privacy con provvedimento del 29 aprile 2025, n. 272, ha deliberato l’avvio di una procedura di consultazione pubblica sul modello “Pay or Ok”, proprio nella consapevolezza che le molteplici criticità di tali modelli richiedessero l’interlocuzione anche dei diretti interessati.
La consultazione(7), infatti, era indirizzata a tutti i portatori di interesse (incluse imprese, consumatori, esperti, associazioni, professionisti, accademia e cittadini) e volta all’acquisizione di osservazioni e proposte in merito al modello “Pay or Ok”, in particolare in relazione ai quesiti formulati nel testo del provvedimento pubblicato.
5. Le posizioni degli stakeholder e prospettive di regolamentazione
Tali quesiti, in estrema sintesi, riguardano:
- se il modello “Pay or Ok” sia compatibile con la vigente disciplina in materia di consenso al trattamento dei dati personali e in particolare la circostanza per cui, in caso di prestazione di un unico consenso (indispensabile a fronte dell’alternativa del pagamento per la fruizione del servizio), l’interessato accetti il trattamento dei propri dati personali per finalità di profilazione commerciale attraverso cookies e altri marcatori anche da parte di soggetti terzi;
- se e quali possibili alternative all’attuale binarietà delle proposte commerciali indirizzate agli utenti per il tramite di sistemi di “Pay or Ok” sussistano, che siano di minor impatto, che offrano servizi quantomeno analoghi e che comportino una minore compressione del diritto alla protezione dei dati personali e, dunque, un trattamento meno pervasivo di dati personali;
- quali soluzioni siano idonee a garantire all’interessato la consapevolezza e la piena prevedibilità degli effetti dell’eventuale prestazione del consenso, nel rispetto della disciplina del consenso che deve essere sempre libero, informato e specifico.
L’invito alla partecipazione a tale consultazione è stato accolto dai portatori di interesse, fra i quali si può citare l’associazione Interactive Advertising Bureau Italia (“IAB Italia”), che rappresenta la filiera del mercato della comunicazione interattiva, aderendovi aziende italiane di svariati settori (es. editori, agenzie, tech provider, inserzionisti, etc.).
IAB Italia ha precisato, innanzitutto, che non si tratta di meccanismi c.d. cookie wall (già vietati nelle Linee Guida del Garante Privacy sui cookie(8)), nei quali l’accesso al contenuto o al servizio è condizionato alla prestazione del consenso all’uso dei cookie e/o altri strumenti di tracciamento senza alternative, bensì di sistemi (c.d. “paywall”) che consentono all’utente di scegliere di accedere ai contenuti e/o servizi provvedendo al pagamento oppure, alternativamente, accettando il trattamento dei dati personali mediante utilizzo di strumenti di tracciamento a scopo promozionale.
IAB Italia, oltre ad aver risposto ai quesiti di cui alla consultazione, ha anche auspicato che il Garante Privacy possa operare in stretta sinergia, a livello europeo, con le altre Autorità di controllo, alla luce del fatto che il mercato in cui si inseriscono tali modelli è un mercato europeo, all’interno del quale si stanno registrano significative differenze di approccio in ambito data protection. Nel contributo inviato è stata citata ad esempio l’Autorità Garante francese, la Commission nationale de l’informatique et des libertés (“CNIL”) che ha, invece, già espresso indicazioni chiare in materia.
IAB Italia ha proposto altresì un confronto tra il Garante Privacy e le altre Autorità competenti tra cui, in particolare, l’Autorità Garante della Concorrenza e del Mercato (“AGCM”), anche a livello europeo.
Quanto alle risposte ai quesiti, in estrema sintesi, IAB Italia ha in particolar modo evidenziato come, a suo avviso, le decisioni imprenditoriali e le proposte commerciali relative ai modelli “Pay or Consent” rientrino nella piena ed esclusiva discrezionalità dei titolari dei siti e dei fornitori di servizi che scelgono di adottarli e che la protezione dei dati personali non debba per forza prevalere sulla libertà d’impresa e dell’iniziativa economica privata, anch’esse tutelate dalla legge.
Inoltre, IAB Italia ha assunto posizione anche sulla non percorribile ipotesi della terza alternativa gratuita basata sulla pubblicità contestuale, in quanto ritiene possa avere un effetto controproducente, compromettendo la sostenibilità economica dei modelli imprenditoriali ad oggi adottati che si reggono sulla pubblicità, puntualizzando che “la pubblicità contestuale può risultare penalizzante per la competitività, soprattutto a danno dei piccoli operatori ma anche di chi avvia un’attività e, nelle fasi iniziali, vorrebbe investire poco (ma bene) in pubblicità online. Grazie alla pubblicità profilata, infatti, anche una piccola impresa e/o una nuova impresa non ancora affermata nel mercato di riferimento sono in grado di raggiungere in modo mirato ed efficace i propri potenziali clienti, al pari dei grandi player del mercato”(9).
In conclusione, la questione è di non facile risoluzione anche per gli evidenti interessi in gioco e il termine per la consultazione pubblica è da poco spirato, essendo i contributi (che in ogni caso non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante Privacy) attesi entro 60 giorni dalla pubblicazione dell’Avviso sulla Gazzetta Ufficiale del 12 maggio 2025.
Si attende ora l’esito della consultazione e le eventuali conseguenti valutazioni da parte dell’Autorità Garante per la protezione dei dati personali.
Intervento di Paola GRIBALDO | Autrice per Risk & Compliance Platform Europe – Avvocato – Director, Deloitte Legal
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Articolo 4, punto 11), art. 6, par. 1, lett. a), articolo 7, paragrafo 4 e Considerando 42 e 43 del Regolamento (UE) 679/2016; European Data Protection Board, “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679“, punto 24.
(2) Garante per la protezione dei dati personali, Provvedimento del 29 aprile 2025, “Consultazione pubblica volta ad acquisire contributi, osservazioni e proposte riguardo l’implementazione di modelli di Pay or Ok”.
(3) European Data Protection Board, “Parere 8/2024 sul consenso valido nel contesto dei modelli “consenso o pagamento” attuati dalle piattaforme online di grandi dimensioni”, adottato il 17 aprile 2024.
(4) Sentenza della Corte di Giustizia dell’Unione Europea del 4 luglio 2023, Meta Platforms Inc./Bundeskartellamt, C-252/21, ECLI:EU:C:2023:537
(5) European Data Protection Board, “Parere 8/2024 sul consenso valido nel contesto dei modelli “consenso o pagamento” attuati dalle piattaforme online di grandi dimensioni”, cit., pag. 5 “Il concetto di alternativa equivalente fa riferimento a una versione alternativa del servizio offerto dal medesimo titolare del trattamento che non comporta il consenso al trattamento dei dati personali per finalità di pubblicità comportamentale. Il presente parere fornisce elementi che possono contribuire a garantire che l’alternativa sia effettivamente equivalente. In linea di principio, se si differenzia soltanto nella misura necessaria in considerazione dell’incapacità del titolare del trattamento di trattare dati personali per finalità di pubblicità comportamentale, tale versione alternativa può essere considerata equivalente”.
(6) European Data Protection Board, “Parere 8/2024 sul consenso valido nel contesto dei modelli “consenso o pagamento” attuati dalle piattaforme online di grandi dimensioni”, cit., pag. 5 “I titolari del trattamento devono inoltre valutare, caso per caso, se vi sia uno squilibrio di potere tra l’interessato e il titolare del trattamento. Tra i fattori da valutare figurano la posizione delle piattaforme online di grandi dimensioni sul mercato, l’esistenza di effetti di dipendenza o di rete, la misura in cui l’interessato fa affidamento sul servizio e il pubblico principale del servizio”.
(7) Garante per la protezione dei dati personali, Avviso pubblico di avvio della consultazione riguardo l’implementazione di modelli “Pay or Ok”, pubblicato sulla Gazzetta Ufficiale Serie Generale n. 108 del 12 maggio 2025.
(8) Garante per la protezione dei dati personali, “Linee guida cookie e altri strumenti di tracciamento”, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021.
(9) Contributo IAB Italia per la Consultazione pubblica sul modello “Pay or Ok” indetta dall’Autorità Garante per la protezione dei dati personali, 8 luglio 2025, pag. 8, in https://iab.it/iab-italia-partecipa-alla-consultazione-pubblica-del-garante-privacy-sul-modello-pay-or-ok/ .