Il meccanismo del Pay or OK: avvio di una consultazione pubblica

A quanti di voi, da qualche tempo, navigando in rete capita di imbattersi nella scelta, obbligata e senza alternative, tra pagare un servizio (o un abbonamento) o conferire il consenso, incondizionato, al trattamento dei propri dati personali per poter accedere a quella pagina?

È il c.d. meccanismo del “pay or ok”, noto anche come “pay or consent” o “consent paywall”.

Personalmente per principio, nego il consenso (o, potendo, faccio una complicata e lunga deselezione) quasi sempre rinuncio ad accedere a quel sito. L’ho sempre trovata una pratica scorretta: l’evidente mercificazione dei miei dati personali. Ci deve essere un’altra via.

La posizione della Commissione europea

Con una decisione del 23 aprile 2025, la Commissione Europea, ai sensi del Digital Market Act ha sanzionato Meta Platform Ireland Ltd. per aver violato l’obbligo di offrire ai consumatori la scelta di un servizio che utilizza meno dei loro dati personali. Al centro dell’intervento proprio il modello Pay or Ok implementato dalla società: i gatekeeper devono chiedere il consenso degli utenti per combinare i loro dati personali tra i servizi. Gli utenti che non acconsentono devono avere accesso a un’alternativa meno personalizzata ma equivalente.

Il provvedimento del Garante italiano

Il provvedimento n. 272 del 19 aprile 2025 del Garante parte proprio dalla constatazione di un elevato numero di segnalazioni e reclami pervenuti dagli utenti che determinano la necessità di una più ampia e complessiva valutazione del fenomeno in questione, che ha assunto proporzioni di sistema.

È infatti emerso un consistente incremento dei casi in cui titolari di siti web, hanno implementato nuove tipologie di banner per l’acquisizione del consenso degli utenti all’impiego di cookie e altri strumenti di tracciamento diversi da quelli tecnici che di fatto vincolano la fruizione dei diversi servizi o funzionalità offerti ad una scelta alternativa da parte dell’utente: accettare di prestare il proprio consenso alla ricezione di cookie per trattamenti di profilazione, oppure sottoscrivere una delle diverse tipologie di abbonamento a titolo oneroso. La mancata prestazione del consenso alla ricezione dei cookie impedisce l’accesso al sito.

Meccanismo inizialmente limitato ai siti di news (e apertamente tollerato, anzi consentito) ora si sta diffondendo anche ad altri ambiti ed è stato, tra l’altro, implementato relativamente a servizi di social media, di posta elettronica, di accesso alle previsioni meteo, di traduzione linguistica ed altri.

Tale modello, continua il Garante nei presupposti della sua decisione, solleva rilevanti questioni in materia di protezione dei dati personali, in termini di libertà di scelta degli utenti (ancor più nei casi di clienti vulnerabili), specificità del consenso, trasparenza, libertà di impresa e sostenibilità stessa dei modelli economici digitali. In sostanza ad essere in gioco è il principio, centrale nel GDPR, della correttezza del trattamento di dati personali sotteso all’impiego dei modelli in questione. Allo stesso tempo l’adozione di tale modello di business impatta su diversi comparti industriali e settori di fornitura di servizi ai quali è già stato esteso o potrebbe essere esteso.

Da qui il Garante motiva l’esigenza di promuovere un confronto pubblico e trasparente con tutti i portatori di interesse, incluse imprese, consumatori, esperti, associazioni, professionisti, accademia e cittadini al fine di raccogliere osservazioni, suggerimenti, contributi e valutazioni tecniche sui modelli di Pay or Ok e sulle loro implicazioni giuridiche, economiche e sociali con l’obiettivo di verificare direttamente se e quali alternative sussistano rispetto all’attuale assetto.

La consultazione

Tutti i soggetti interessati entro 60 giorni dalla pubblicazione in Gazzetta Ufficiale dell’avviso di consultazione pubblica, volta ad acquisire osservazioni e proposte indicando nell’oggetto: Consultazione pubblica sul modello “pay or ok”. La consultazione, rivolta a tutti i portatori di interessi, mira a raccogliere contributi utili a individuare soluzioni tecniche e operative – come modelli alternativi di accesso ai contenuti – in grado di garantire agli utenti il rispetto dei principi di libertà, specificità e consapevolezza del consenso, compatibili con la vigente disciplina e, ovviamente, fatto salvo ogni questione de iure condendo relativa a eventuali proposte di modifica, a livello europeo o nazionale, della normativa vigente.

In particolare, tre sono i punti centrali da approfondire:

• la compatibilità del consenso così espresso con le finalità e i principi propri del GDPR che stabilisce che sia “liberamente prestato”[1] e soprattutto il fatto che l’interessato deve accettare la condivisione automatica dei propri dati personali per ogni finalità sottesa, in ragione di un consenso prestato necessariamente in forma aggregata senza che siano note le effettive conseguenze della sua prestazione e permanga un controllo effettivo sui propri dati personali;
• l’esistenza di possibili alternative, come anche indicate a livello europeo, con proposta da parte dei titolari di ulteriori opzioni, analoghe alla prestazione originaria, ma meno impattanti sui dati personali;
• possibili soluzioni idonee a garantire all’interessato consapevolezza e piena prevedibilità degli effetti dell’eventuale prestazione del consenso in termini di diritto di accedere a una quantità e qualità date di contenuti editoriali ovvero di altra tipologia di servizi e funzionalità offerti, in modo da rispettare la disciplina di legge che impone che il consenso eventualmente prestato risulti, oltre che libero e specifico, anche debitamente informato.

Non ci resta che attendere i risultati della consultazione e i provvedimenti che verranno adottati dal Garante italiano ma anche i prossimi passi della Commissione europea e dell’EDPB.

L’intendimento della Commissione europea è chiaramente espresso nelle dichiarazioni di due suoi illustri rappresentanti[2] che evidenziano la un lato come l’obiettivo della legge sui mercati digitali sia quello di sbloccare il potenziale, la scelta e la crescita garantendo che gli operatori digitali possano operare in mercati equi e contendibili ma contemporaneamente e con forza protegge i consumatori europei e crea condizioni di parità. Occorre necessariamente e soprattutto, quindi, garantire che i cittadini abbiano il pieno controllo su quando e come i loro dati vengono utilizzati online e che le imprese possano comunicare liberamente con i propri clienti.

È quello che ci aspettiamo.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Cfr. in particolare l’art. 7 del GDPR laddove al par. 4 testualmente si precisa che “Nel valutare se il consenso sia stato liberamente prestato si tiene nella massima considerazione l’eventualità, tra le altre cose, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento dei dati personali non necessario all’esecuzione del contratto”.

[2] Cfr. Interventi di Teresa Ribera, Vicepresidente esecutiva per una Transizione pulita, giusta e competitiva, e Henna Virkkunen, Vicepresidente esecutiva per la Sovranità tecnologica, la sicurezza e la democrazia.