Firma la lettera al Garante

Alla cortese attenzione dell’Autorità Garante per la protezione dei dati personali,

Lettera aperta in risposta alla consultazione sul modello “Pay or OK”

Alla cortese attenzione dell’Autorità Garante per la protezione dei dati personali,

Con la presente intendiamo formulare alcune considerazioni critiche in merito alla consultazione pubblica avviata dal Garante sul cosiddetto modello “Pay or OK”. Tale modello – noto anche come “Pay or Consent” o “Consent Wall” – impone agli utenti, per accedere a contenuti o servizi online, di scegliere se sottoscrivere un abbonamento a pagamento oppure acconsentire al trattamento dei propri dati personali (tramite cookie e altri traccianti) a fini di profilazione commerciale. In mancanza dell’una o dell’altra scelta, l’accesso al sito risulta bloccato.

Di seguito argomentiamo perché riteniamo questa consultazione tardiva rispetto alla diffusione e gravità del fenomeno, perché il modello “Pay or OK” risulti incompatibile con il GDPR (in particolare con il requisito del consenso libero) e segnaliamo, pur non facendone formalmente parte, un’azione collettiva parallela intrapresa a tutela dei diritti digitali dei cittadini. Il tono delle nostre osservazioni è necessariamente formale e documentato, nella speranza di contribuire a orientare le future linee guida dell’Autorità verso soluzioni rispettose della normativa vigente e dei diritti fondamentali in gioco.

1. Una consultazione tardiva su un problema già grave

Fin dall’inizio rileviamo che la logica sottesa a questa consultazione appare problematica e in larga parte superflua. Il quadro normativo vigente – in primis il Regolamento (UE) 2016/679 (GDPR) – è infatti già chiaro nel proibire, o quantomeno nel fortemente limitare, modelli come “Pay or OK” basati sul consenso condizionato. La normativa europea stabilisce che il consenso dell’interessato debba essere liberamente prestato e non possa costituire una condizione obbligatoria per l’accesso a un servizio, qualora il trattamento dei dati non sia strettamente necessario alla fornitura di tale servizio (art. 7 GDPR; considerando 43). Questo principio fondamentale – ribadito anche dalle Linee guida del WP29/EDPB in materia di consenso e trasparenza – era già stato fatto proprio a livello nazionale: il Garante stesso, nelle Linee guida del 10 giugno 2021 sui cookie e altri strumenti di tracciamento, ha chiarito che il meccanismo del cookie wall (che vincola l’utente all’espressione del consenso per accedere a un contenuto) è da ritenersi illegittimo, salvo il caso in cui al visitatore siano comunque offerte alternative equivalenti di accesso senza richiedere il consenso ai cookie o ad altri tracciatori.

Alla luce di ciò, riaprire oggi la discussione sulla liceità del modello “Pay or OK” attraverso una consultazione pubblica risulta quantomeno ridondante, se non potenzialmente fuorviante.

Non solo il quadro giuridico era già delineato, ma il fenomeno risulta ormai ampiamente diffuso e grave. Lo stesso Garante ha avviato da tempo diverse istruttorie verso numerosi editori online che hanno adottato questa pratica, considerata controversa proprio per la dubbia libertà del consenso così raccolto.

In altri termini, il problema del “Pay or OK” non è futuribile né teorico, ma è attuale e tangibile: molte testate digitali hanno già implementato sistemi che mettono l’utente di fronte a un aut aut tra privacy e pagamento. La maggior parte degli interessati, infatti, pur di accedere “gratuitamente” ai contenuti, finisce per acconsentire al trattamento dei propri dati personali spesso senza comprenderne appieno gli effetti.

Queste dinamiche configurano un evidente squilibrio e una sostanziale compressione dei diritti dell’utente. Aprire una consultazione a questo punto – quando i consent wall sono operativi da mesi e i loro effetti negativi già conclamati – appare dunque un intervento tardivo, che rischia di normalizzare una prassi lesiva invece di sanzionarla con la dovuta tempestività.

Va aggiunto inoltre che esiste già in ambito europeo una cornice interpretativa consolidata sul tema. L’EDPB (European Data Protection Board), con l’Opinione 8/2024 adottata il 17 aprile 2024, ha affrontato specificamente i modelli di “consenso o pagamento” al fine di assicurare un’interpretazione uniforme delle norme in tutta l’UE. Tale parere mirava ad evitare frammentazioni nazionali su un tema così delicato, scongiurando il rischio che ogni Stato membro elabori criteri divergenti. Anche se l’Opinione EDPB 8/2024 si concentrava in origine sulle “piattaforme online di grandi dimensioni”, essa chiarisce esplicitamente che molti concetti chiave hanno portata generale e vanno applicati caso per caso, al di là di facili etichette dimensionali. Non esiste infatti nel GDPR una definizione univoca di “grande piattaforma online”: la qualificazione dipende da vari fattori (numero di utenti coinvolti, posizione di mercato, quantità e natura dei dati trattati, estensione geografica delle operazioni, ecc.), da valutare caso per caso. Ciò significa che anche soggetti non immediatamente annoverati tra le Big Tech potrebbero, per struttura e mole di dati trattati, rientrare di fatto nel novero delle piattaforme di grande impatto. In sostanza, le autorità europee hanno già cercato di armonizzare la posizione su questo tema con un approccio sostanziale: se un servizio online esercita un’influenza notevole su milioni di utenti o realizza trattamenti estesi di dati personali, i principi del GDPR vanno applicati con uguale rigore, indipendentemente dalle dimensioni formali dell’operatore.

Avviare oggi una consultazione nazionale parallela rischia perciò di indebolire questa coerenza sovranazionale, costruendo una cornice interpretativa fragile e disallineata rispetto al contesto UE. Inoltre, notiamo che la consultazione pubblica in corso non sembra distinguere adeguatamente tra piccoli editori indipendenti e grandi gruppi editoriali che centralizzano la gestione di enormi volumi di dati personali. Trattare realtà così eterogenee come fossero equivalenti rischia di compromettere sia la trasparenza verso gli utenti, sia l’efficacia dell’operato dell’Autorità. Senza criteri chiari e differenziati, il Garante si troverebbe poi costretto a valutazioni ex post caso per caso, affrontando situazioni molto diverse con il pericolo di decisioni incoerenti. Un approccio indistinto, dunque, oltre a generare incertezza per gli operatori, potrebbe tradursi in un inutile dispendio di risorse e in una tutela minore per gli interessati. Il timore concreto è che da questa consultazione emergano linee guida nazionali che escludano a priori dal concetto di “grande piattaforma” alcuni soggetti che invece, per scala di trattamento o pratiche adottate, dovrebbero esservi ricompresi. Ciò creerebbe una pericolosa lacuna di tutela: determinati operatori potrebbero sentirsi legittimati ad adottare il modello “Pay or OK” solo perché formalmente considerati “piccoli”, nonostante il diritto vigente ne vieti (o limiti fortemente) l’utilizzo a prescindere dalle dimensioni aziendali. Si rischierebbe, in sintesi, di introdurre eccezioni ingiustificate che indeboliscono la protezione dei dati personali garantita dal GDPR.

Giova infine sottolineare che indicazioni chiare in materia esistevano già prima di questa consultazione. Oltre al già citato quadro normativo europeo e alle linee guida nazionali del 2021, l’Autorità stessa – nelle proprie comunicazioni istituzionali dal 2022 in poi – ha più volte ribadito il principio del consenso libero e informato, stigmatizzando pratiche che configurano di fatto un “ricatto privacy”. Anche a livello europeo, la linea non è cambiata: recentemente la Commissione UE (23 aprile 2025) ha sanzionato Meta con 200 milioni di euro per violazione del Digital Markets Act, ordinandole di modificare il modello “paga o acconsenti” adottato su Facebook e Instagram.

È un intervento che conferma, seppur in altra sede normativa, quanto già affermato dall’EDPB sul piano del GDPR: costringere gli utenti a scegliere tra profilazione e pagamento non è ritenuto lecito. In definitiva, questa consultazione pubblica appare non solo tardiva ma superflua, perché rischia di rimettere in discussione principi già ampiamente delineati dalla normativa e dalle autorità, creando confusione interpretativa anziché chiarire l’applicazione delle regole esistenti.

2. Il modello “Pay or OK” è incompatibile con il consenso libero (GDPR)

Passando al merito, ribadiamo in modo netto che il modello “Pay or OK”, non è compatibile con i requisiti posti dal GDPR in tema di consenso al trattamento dei dati personali. Questa posizione è stata espressa chiaramente anche in sede europea: ad esempio, il Comitato Europeo per la Protezione dei Dati ha affermato che, nella maggior parte dei casi, modelli che obbligano l’interessato a scegliere tra acconsentire ai propri dati o pagare un corrispettivo non potranno mai ritenersi conformi ai requisiti del consenso valido.

Come ha sintetizzato la Presidente dell’EDPB, “le piattaforme online dovrebbero dare agli utenti una scelta reale quando impiegano modelli ‘consent or pay’. I modelli odierni richiedono generalmente agli individui di o dare via tutti i propri dati o pagare. Di conseguenza la maggior parte degli utenti acconsente al trattamento pur di utilizzare il servizio, e non ne comprende appieno le implicazioni”.

In altre parole, la scelta tra pagare in denaro oppure cedere i propri dati personali non può definirsi libera, poiché sfrutta a proprio vantaggio la percezione distorta del “costo” da parte dell’utente: prevedibilmente, l’utente tenderà a scegliere l’opzione che appare economicamente meno onerosa (il consenso ai dati in cambio dell’accesso gratuito), senza rendersi conto del reale valore ceduto né delle conseguenze a lungo termine di tale decisione. Si configura così un condizionamento indebito della volontà, incompatibile con l’idea di consenso volontario.

Non si può parlare neppure di consenso effettivamente informato in questi casi. Agli utenti viene spesso richiesto di autorizzare il trattamento dei dati da parte di una molteplicità di soggetti terzi, talora un numero altissimo di partner commerciali, per finalità non immediatamente comprensibili. Ad esempio, è noto che sul sito di una primaria testata nazionale al lettore che non vuole pagare viene chiesto di accettare condizioni che implicano la condivisione dei dati con 948 (in continua crescita) aziende partner, ognuna delle quali dichiaratamente operante con un proprio “interesse legittimo” da perseguire.

È impensabile ritenere che un utente medio possa comprendere realmente ciò che sta autorizzando in simili circostanze: la frammentazione e la complessità delle informative rendono il consenso puramente “sulla carta”, ma non nella sostanza. Il GDPR, al contrario, richiede che il consenso sia specifico, informato, inequivocabile e manifestato attraverso un’azione positiva chiara. Il modello “paga o acconsenti”, per come è strutturato, non soddisfa tali requisiti di validità.

È utile richiamare al riguardo anche alcuni recenti sviluppi giurisprudenziali e normativi. In Belgio, una recente sentenza della Corte d’Appello di Bruxelles (14 maggio 2025) ha confermato l’illegittimità del Transparency & Consent Framework (TCF) – il meccanismo standard tramite cui l’industria pubblicitaria online raccoglie i consensi degli utenti per la profilazione – evidenziando come tale sistema, adottato sull’80% dei siti web, non offra in realtà un valido fondamento giuridico per la raccolta dei dati di tracciamento.

In altre parole, si tratta di un’ulteriore conferma del fatto che i cookie banner oggi diffusi (quelli con infinite combinazioni di consensi a decine di partner) non garantiscono affatto una scelta libera e consapevole, ma si traducono in una mera finzione burocratica che non tutela gli interessati. Inoltre, precisiamo che quanto affermiamo non contraddice la Direttiva (UE) 2019/770 sul contenuto digitale: tale direttiva, infatti, contempla sì la possibilità di offrire contenuti o servizi digitali in cambio di dati personali anziché di denaro, ma sempre nel rispetto pieno delle norme sul consenso del GDPR. In nessun caso la direttiva autorizza uno scambio forzato e generalizzato “dati contro servizi”; al contrario, stabilisce che anche laddove l’utente “paghi coi propri dati” debbano comunque sussistere tutte le garanzie, le alternative e i rimedi previsti a tutela dei diritti dell’interessato. In definitiva, “pay or OK” non può in alcun modo essere considerato una base legittima di trattamento, né può produrre un consenso validamente espresso alla luce della disciplina vigente.

Grazie per l’attenzione, Le organizzazioni firmatarie.