Il modello pay or consent continua a dividere giuristi, regolatori e media. Al Privacy Symposium di Venezia 2026, il dibattito si è spostato su un nodo centrale: non se il modello sia lecito, ma se il consenso sia davvero la base giuridica più adeguata per fondarlo.
Le criticità emerse durante il panel veneziano tracciano un quadro complesso, in cui la velocità del consumo digitale si scontra con i requisiti stringenti del GDPR — e le risposte disponibili appaiono, tutte, ancora parziali.
Indice degli argomenti
Pay or consent: un dibattito che non invecchia
Il tema del “si può fare o non si può fare” era emerso già in un panel nel Symposium 2024. Le principiali testate giornalistiche online avevano da qualche mese implementato i famigerati cookies pay wall, di fatto ponendo i consumatori di fronte alla scelta tra il concedere l’uso delle proprie informazioni personali o pagare per accedere alle notizie. Si discusse ampiamente dei risvolti potenzialmente critici rispetto alla effettiva composizione delle informazioni personali raccolte durante la navigazione. Informazioni che, a parere del sottoscritto, ricomprendono potenzialmente anche dati relativi a opinioni politiche o convinzioni religiose o filosofiche e che, pertanto, sarebbero di default impossibili da raccogliere lecitamente senza una idonea condizione abilitante. Mi spinsi a sostenere che se il giornale “legge” il lettore, ergo se il lettore viene tracciato durante la lettura del giornale, vengono raccolte informazioni potenzialmente molto intime del suo pensiero politico/filosofico. Nel 2024, inoltre, era molto accesa la discussione in ordine alla liceità della valorizzazione e della monetizzazione del dato personale. Oggi (a mio modo di vedere “per fortuna”) tale scoglio è stato parzialmente superato e, se bene il dibattito sia ancora attuale e meritevole di approfondimento, le questioni sul tavolo sono altre.
Il consenso al centro: le 4 criticità emerse a Venezia 2026
In particolare, quest’anno, al centro della discussione, a Venezia, è emerso il tema del consenso. Ci si è chiesti se davvero il consenso sia la base giuridica ex art. 6 GDPR più corretta da utilizzare. Ci si è chiesti se nel contesto di una transazione complessa e allo stesso tempo veloce come quella attraverso cui si accede a piattaforme web che offrono, ad esempio, i servizi tipici dei mass media, sia davvero possibile ottenere un consenso che sia liberamente prestato, informato, specifico e inequivocabile. Le criticità in tal senso sono note e sono state analizzate nel corso del panel veneziano:
Criticità 1: informare correttamente è quasi impossibile
Prima criticità: data la velocità di fruizione del servizio, informare correttamente l’interessato è molto complicato. In realtà, come spesso accade, forse la verità in questo caso sta, per così dire, nel mezzo. Rispetto ai trattamenti effettuati in ambito digitale, informare correttamente è in effetti estremamente complesso, ma non impossibile. Un primo fondamentale passo in avanti, in tal senso, sarebbe quello di sforzarsi di evitare di utilizzare, in ambito digitale, sistemi nati per i trattamenti “analogici”. L’informativa in forma scritta, spesso in formato PDF, in campo digitale il più delle volte semplicemente NON è adatta. Anzi, non è efficace. Stupisce, a dirla tutta, che i soggetti che per mestiere fanno informazione o comunicazione non appaiano in grado di trovare metodi per erogare le informazioni obbligatorie in modo intellegibile e, appunto, efficace.
Criticità 2: l’equivalenza economica tra dati e denaro
Una seconda criticità attiene alla difficoltà nell’individuare una effettiva equivalenza dell’alternativa tra accettare il trattamento dei propri dati e pagare per il servizio. Anche su questo la riflessione è stata approfondita e puntuale. L’Opinion 8/2024 dello European Data Protection Board indica come non sufficiente, per i modelli di “pay or consent”, l’offerta di una alternativa a pagamento. Questa alternativa, secondo il Board, deve garantire una scelta libera. L’ammontare stesso della contropartita economica scatena dibattiti di grande spessore. Da un lato, chiaramente, si sostiene che la somma da pagare in alternativa alla concessione della possibilità di trattare le informazioni non debba essere così elevata da creare una forma di pressione economica. Dall’altro lato, però, c’è chi, come il sottoscritto, insiste col sostenere che anche una somma troppo bassa possa indurre l’interessato a ritenere che l’uso dei suoi dati non sia così importante da creare particolare valore per il titolare. In questo senso, essa potrebbe costituire una sorta di dark pattern. Si parla di prezzo ragionevole. Già. Ma chi decide quale sia un prezzo ragionevole? Chi determina la c.d. “fair fee”? È davvero una prerogativa del regolatore, di una istituzione europea o di una autorità di controllo stabilire l’equo costo di un servizio o l’equivalenza dell’alternativa economica rispetto ad uno o più trattamenti di dati personali?
Criticità 3: la specificità del consenso in un click
Difficoltà, sempre a causa della velocità di fruizione, di garantire la corretta specificità dei consensi in sede di acquisizione degli stessi. Anche su questo è stata aperta una importante parentesi, durante il panel. La specificità del consenso è legata alle singole finalità di trattamento e non ad altri aspetti quali, ad esempio, la necessaria specifica delle categorie di destinatari dei dati che, invece, va garantita in sede di informativa. In effetti, per una piattaforma web, è già complesso raccogliere un consenso per ciascuna finalità di trattamento senza minare la user experience che, come detto, richiede velocità di fruizione e, al contempo, dovrebbe comunque garantire la piena consapevolezza da parte dell’interessato.
Le finalità di trattamento per cui raccogliere consensi specifici, tipicamente, sono almeno quattro: cookies non tecnici/sistemi di tracciamento, profilazione con finalità di marketing, marketing diretto, trasferimento a terzi con finalità di marketing. Aggiungere incombenze non richieste dal GDPR, quali ad esempio raccogliere consensi “granulari” per categoria di destinatari o, peggio, per singoli destinatari, costituisce un aggravio, per così dire, volontario che dovrebbe pertanto essere valutato in termini di opportunità da parte dei titolari e non imposto tramite provvedimenti di autorità di controllo.
Criticità 4: la revoca del consenso nel caos dei dati
Come gestire l’efficacia delle revoche dei consensi, a fronte di processi di trattamento così complessi come quelli posti in essere a valle del pay or consent? In sostanza, il consenso è davvero la soluzione utile a lasciare nelle mani dei consumatori il controllo dei propri dati o è solo una “trappola” illusoria? Lo stato dell’arte, almeno stando alle riflessioni ed al confronto scaturiti dal panel veneziano, è che, di fatto, il consenso non è davvero il punto di caduta migliore.
Due strade possibili: legittimo interesse o deroga europea
E quindi le strade appaiono solo due. La prima strada, in fondo, non è affatto nuova. Semplicemente percorre quella che dovrebbe essere la direzione da intraprendere in tutti i casi di trattamento di dati personali: valutare con serietà e, davvero, caso per caso, quale sia la più corretta base giuridica su cui fondare il trattamento dei dati. In questo caso, del trattamento o dei trattamenti proposti in alternativa al pagamento di una somma di denaro. Optare per il consenso solo se è possibile ottenere un consenso libero, specifico, informato, inequivocabilmente prestato e revocabile e vagliare, in caso contrario, il legittimo interesse o, perché no, la necessità contrattuale. Voler prevedere in astratto la base giuridica più corretta, è un esercizio di stile a mio parere puramente accademico che mal si concilia con la concreta applicazione del principio di accountability e, soprattutto, con le peculiari situazioni dei singoli titolari del trattamento.
La deroga per i media: bandiera bianca o soluzione pragmatica?
La seconda strada, anch’essa prospettata e vagliata durante il panel, passa per la suggestione (in realtà tratteggiata nel Digital Omnibus, nella formulazione proposta dalla Commissione a novembre 2025) e appare a chi scrive più come una sorta di bandiera bianca da parte delle istituzioni europee. Si parla, infatti, di una deroga, per media service providers, all’obbligo di rispettare i segnali automatizzati delle preferenze dell’utente. Tale proposta tende a preservare, quindi, il giornalismo indipendente salvaguardandone gli interessi economici (i ricavi). Al di là delle correttissime riflessioni scaturite durante il panel rispetto ai limiti di tale impostazione, corre l’obbligo di chiedersi se tale deroga sia effettivamente necessaria o se, invece, la prima strada non sia quella più naturale e meno impattante sia per le imprese (che per certo guadagnerebbero in fiducia da parte dei consumatori) che degli interessati, che con una corretta impostazione dell’informazione (informative efficaci) gioverebbero di una vera sensibilizzazione nonché del vero controllo dei propri dati personali.
Pay or ok: l’unico modo per valorizzare i propri dati
Perché in ultima istanza è di questo che si sta parlando. Si tende a difendere il consumatore/interessato come se fosse un essere del tutto sprovveduto e incapace di tutelarsi, salvo poi impedirgli di valorizzare esso stesso, a suo vantaggio, le informazioni che lo riguardano. Già, perché, a ben vedere, il “pay or ok“ (meglio definirlo così, per togliere dal tavolo l’incombenza del consenso) è forse l’unico canale che permette davvero all’interessato di valorizzare/monetizzare le proprie informazioni che, in generale, “arricchiscono” tutti tranne che lui stesso, compreso il caso delle sanzioni erogate da parte delle Autorità di Controllo.
Partecipa alla community