La Commissione Europea sanziona Meta e il modello “Pay or Consent”

Il 23 aprile 2025, la Commissione Europea ha inflitto a Meta Platforms una sanzione di 200 milioni di euro per violazione del Regolamento (UE) 2022/1925, noto come Digital Markets Act (DMA). Al centro della questione, il controverso modello “Pay or Consent” adottato da Meta su Facebook e Instagram, che offre agli utenti una scelta binaria: accettare la profilazione per ricevere pubblicità personalizzate o pagare un abbonamento per un’esperienza senza annunci. Per approfondire questi temi abbiamo organizzato il corso di formazione Master in Cybersecurity e compliance integrata

Cos’è il modello “Pay or Consent”?
Il modello “Pay or Consent” (o “Paga o Acconsenti”) è una strategia adottata da alcune piattaforme digitali, tra cui Meta, per ottenere il consenso degli utenti al trattamento dei dati personali. In pratica, agli utenti viene presentata una scelta: acconsentire alla raccolta e all’uso dei propri dati per ricevere un servizio gratuito con pubblicità personalizzate, oppure pagare un abbonamento per accedere al servizio senza annunci.Meta ha introdotto questo modello in Europa nel novembre 2023, offrendo agli utenti la possibilità di pagare 9,99 euro al mese (12,99 euro su app) per utilizzare Facebook e Instagram senza pubblicità. In caso contrario, gli utenti dovevano accettare la profilazione per continuare a utilizzare gratuitamente i servizi. La scelta è stata fornita agli interessati tramite una e-mail spedita a tutti gli utilizzatori dei social network di Menlo Park, e naturalmente non stupisce constatare che sostanzialmente nessuno ha optato per la scelta pay, preferendo di gran lunga il consent: perché pagare epr qualcosa che per anni si è avuto gratis (si fa per dire, ovviamente, perché i social li abbiamo sempre pagati a caro prezzo, con la nostra privacy e i nostri dati, ma tutto questo la maggior parte degli utenti non lo sa).

Potrebbe interessarti anche: Modello “pay or ok”: il Garante avvia una consultazione pubblica

La posizione della Commissione Europea
La Commissione Europea ha avviato un’indagine su questo modello il 25 marzo 2024, concludendo che viola l’articolo 5, paragrafo 2 del DMA. Secondo la Commissione, il modello di Meta non offre agli utenti una reale alternativa gratuita e meno personalizzata, costringendoli di fatto ad acconsentire alla raccolta dei dati per continuare a utilizzare i servizi.In particolare, la Commissione ha rilevato che:
-La scelta binaria imposta agli utenti non rispetta il principio di libertà del consenso previsto dal DMA.
-Non viene offerta una versione gratuita e meno personalizzata dei servizi, come richiesto dal regolamento.
-Il modello rafforza la posizione dominante di Meta, ostacolando la concorrenza e limitando la scelta degli utenti.

La sanzione e le reazioni di Meta
A seguito delle conclusioni dell’indagine, la Commissione ha inflitto a Meta una sanzione di 200 milioni di euro per il periodo compreso tra marzo 2024 e novembre 2024, quando il modello “Pay or Consent” era in vigore. Inoltre, la Commissione ha avvertito che, se le modifiche introdotte da Meta a novembre 2024 non fossero ritenute sufficienti, l’azienda potrebbe affrontare ulteriori sanzioni giornaliere fino al 5% del fatturato medio mondiale, un calcolo talmente enorme, da non riuscire nemmeno a farlo con la calcolatrice. Meta ha annunciato l’intenzione di presentare ricorso contro la decisione, definendola “illegittima” e sostenendo che il modello adottato è conforme alla normativa europea. L’azienda ha anche sottolineato che le modifiche apportate al modello, tra cui la riduzione del costo dell’abbonamento a 5,99 euro al mese (7,99 euro su app), dimostrano la volontà di adeguarsi alle richieste della Commissione.

Implicazioni per la privacy e la concorrenza
La decisione della Commissione Europea rappresenta un importante precedente nell’applicazione del DMA e solleva questioni rilevanti in materia di privacy e concorrenza. In particolare, evidenzia la necessità di garantire che gli utenti abbiano un reale controllo sui propri dati personali e che le piattaforme digitali non abusino della loro posizione dominante per imporre scelte limitate. Inoltre, la sanzione inflitta a Meta potrebbe avere un effetto deterrente su altre aziende che intendono adottare modelli simili, promuovendo una maggiore attenzione al rispetto delle normative europee in materia di protezione dei dati e concorrenza.

Conclusioni – Oltre Meta: il futuro (e il vero senso) del DMA
Il caso Meta non è – e non sarà – un’eccezione. È il primo banco di prova, il precedente giurisprudenziale ma soprattutto culturale che segna un cambio di passo nell’attuazione concreta del Digital Markets Act. La sanzione da 200 milioni di euro non punisce soltanto un modello di monetizzazione aggressivo, ma mette in discussione l’intero equilibrio tra potere economico e autodeterminazione digitale.Il punto, infatti, non è (solo) se gli utenti siano disposti a pagare per la privacy. Il vero nodo è se la privacy – e più in generale il controllo dei propri dati – possa mai essere messa in vendita come un’opzione accessoria, anziché riconosciuta come un diritto inviolabile. Il DMA, in questo senso, non è una legge sulla pubblicità, ma uno strumento di regolazione strutturale delle asimmetrie di potere nei mercati digitali.Il modello “Pay or Consent”, come proposto da Meta, crea una falsa alternativa: o accetti la profilazione, o paghi. Nessuna reale opzione gratuita e non personalizzata, nessun “opt-out” sostanziale, solo una scelta economicamente distorsiva. Ed è qui che l’intervento della Commissione colpisce nel segno: non basta una parvenza di scelta, serve una vera libertà di autodeterminazione informata, come ribadito anche dal Comitato europeo per la protezione dei dati (EDPB) nelle sue Linee guida sul consenso.Per gli operatori economici, il messaggio è chiaro: non basta piegarsi formalmente al testo del regolamento, occorre aderire anche al suo spirito. I gatekeeper digitali, per definizione, non possono invocare “libertà contrattuale” quando il loro potere di mercato distorce le dinamiche della libera scelta. La regolazione ex ante del DMA serve proprio a prevenire abusi, laddove la posizione dominante non è ancora illecita, ma già pericolosa.Per il giurista, il caso Meta rappresenta uno spartiacque dottrinale: segna l’incontro operativo tra protezione dei dati (GDPR) e regolazione della concorrenza (DMA). Due mondi spesso trattati separatamente che qui si sovrappongono, si parlano, si rafforzano. E lo fanno non a livello teorico, ma nella concretezza contrattuale dei modelli di business. Per l’utente, infine, questa è una vittoria silenziosa. Non farà notizia sui feed di chi ha premuto “accetta tutto” con rassegnazione, ma segna un punto fermo: la dignità digitale non è una merce da scontare a colpi di cookie wall. La libertà – anche online – comincia da ciò che possiamo rifiutarci di accettare.

Formazione per professionisti

Master in Cybersecurity e compliance integrata
Il Master è un percorso formativo avanzato per imprese e pubbliche amministrazioni, professionisti, DPO e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica e integrata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa gli step degli adempimenti richiesti, e la complessa interazione delle normative di riferimento, dalla Direttiva NIS 2 al GDPR, alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il Master esplora: 
•  L’evoluzione della strategia europea di cybersicurezza
•  L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori
•  Il perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato
•  Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA)
•  Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa
•  Ruoli e poteri dell’ACN: atti attuativi e misure tecniche
•  Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!