Il 5 maggio 2025 il Garante per la protezione dei dati personali ha avviato una consultazione pubblica che ha il potenziale di riscrivere le regole (o almeno chiarirle una volta per tutte) su uno dei modelli di “user experience” online più controversi degli ultimi anni: il cosiddetto “Pay or OK”, noto anche come pay or consent, consent wall, consent paywall… insomma, il marketing cambia i nomi, ma la sostanza resta. E qual è la sostanza? Una scelta che ha tutto il sapore di un bivio obbligato: o paghi, o ci dai i tuoi dati. E se non scegli nessuna delle due, il sito non ti fa nemmeno vedere l’home page.
In altre parole, il consenso come pedaggio per l’informazione digitale. Ma può davvero essere considerato libero un consenso “estorto” sotto minaccia di altrimenti fuori dai giochi? Il Garante ha deciso di affrontare la questione con metodo: prima ascoltare, poi – eventualmente – colpire. Per approfondire il tema, abbiamo organizzato il corso di formazione Cybersecurity e Direttiva NIS 2 – Step di adeguamento per imprese e pubbliche amministrazioni
Indice
- 1. Che cos’è il “Pay or OK” (per chi non è del mestiere)
- 2. Il nodo giuridico
- 3. Le istruttorie già avviate
- 4. Lode al metodo: il Garante ascolta prima di giudicare
- 5. Il consenso: tra teoria e prassi
- 6. Cosa possiamo fare noi (operatori, consulenti, cittadini digitali)
- 7. Conclusioni
- Formazione in materia per professionisti
1. Che cos’è il “Pay or OK” (per chi non è del mestiere)
Il modello è semplice e ormai piuttosto diffuso, soprattutto tra gli editori online: l’utente, per accedere a un contenuto online (che sia un articolo, una funzione o un servizio), deve scegliere tra: pagare un abbonamento, oppure acconsentire all’utilizzo dei cookie e altri strumenti di tracciamento a fini di profilazione commerciale.
In mancanza di una scelta, l’accesso viene negato. Non c’è né opzione “solo necessari”, né navigazione limitata: o dentro con tutto, o fuori da tutto.
La proposta sembra “equa”: ti offro un servizio, tu paghi – in euro o in dati e già questa scelta dovrebbe fare riflettere sul vero valore dei dati e su quanto il concetto di gratis online sia quanto mai ingannevole.
Perché attenzione: la legge, almeno quella europea, non equipara soldi e dati personali. Il GDPR non intende la privacy e la protezione dei dati personali come un servizio premium, ma come un diritto fondamentale di tutti gli interessati. E soprattutto, pretende che il consenso sia libero, specifico, informato e inequivocabile. Quattro aggettivi che, nel modello “pay or OK”, iniziano a tremare. Il volume “Il Regolamento Europeo sull’intelligenza artificiale” curato da Giuseppe Cassano ed Enzo Maria Tripodi si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale.
Il Regolamento Europeo sull’Intelligenza Artificiale
Con la diffusione inarrestabile dell’Intelligenza Artificiale nella quotidianità, gli operatori del diritto sono chiamati a interrogarsi sulla capacità dell’attuale tessuto normativo – nazionale, europeo e internazionale – di reggere la forza d’urto dell’IA garantendo al tempo stesso la tutela dei diritti fondamentali a singoli e collettività o, piuttosto, sulla indispensabilità di un nuovo approccio normativo.Il Legislatore europeo è intervenuto dettando la nuova normativa dell’AI ACT, il Regolamento n. 1689/2024, che si muove lungo più direttrici: raggiungere un mercato unico dell’IA, aumentare la fiducia dei consociati, prevenire e mitigarne i rischi e, infine, sostenere anche l’innovazione della medesima IA. In un contesto di così ampio respiro, e in continuo divenire, qual è il ruolo del giurista?Il volume offre al lettore un primo strumento organico approfondito ed esaustivo per mettere a fuoco l’oggetto delle questioni e la soluzione alle stesse come poste dalla normativaeurounionale, dallo stato dell’arte tecnico e giuridico alle problematiche in campo: la proprietà intellettuale, le pratiche di IA proibite, il rapporto con il GDPR e la compliance per l’IA in base al rischio, i nuovi obblighi a carico di imprese, fornitori e utenti. Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics di Roma e Milano, ha insegnato Istituzioni di Diritto Privato presso l’Università Luiss di Roma. Avvocato cassazionista, studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato numerosissimi contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria TripodiGiurista specializzato nella contrattua listica d’impresa, nella disciplina della distribuzione commerciale, nel diritto delle nuove tecnologie e della privacy e la tutela dei consumatori. Già docente presso la LUISS Business School e professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss Guido Carli di Roma. Ha insegnato in numerosi Master post-laurea ed è autore di numerose pubblicazioni con le più importanti case editrici.
Giuseppe Cassano, Enzo Maria Tripodi | Maggioli Editore 2024
89.30 €
2. Il nodo giuridico
Il punto critico, già segnalato anche dall’EDPB, è chiaro: possiamo davvero parlare di “libero consenso” se l’utente è messo di fronte a una scelta binaria e asimmetrica?
In teoria, la risposta potrebbe essere sì – la Corte di Giustizia, in alcune sentenze (ad es. Bundesverband der Verbraucherzentralen, C-252/21), ha lasciato intendere che una qualche forma di paywall possa essere compatibile con il GDPR.
Ma in pratica? In pratica, gran parte degli utenti clicca “OK” senza nemmeno sapere cosa sta concedendo, pur di accedere velocemente ai contenuti. E così, dati di navigazione, comportamenti online, interessi e preferenze diventano la valuta invisibile con cui si compra l’informazione.
Il Garante lo sa bene e lo dice chiaramente: l’interesse economico dei titolari non può giustificare un modello che spinge sistematicamente verso l’acquiescenza digitale, con buona pace del principio di autodeterminazione informativa.
3. Le istruttorie già avviate
L’Autorità aveva già messo nel mirino numerosi editori che adottano questo modello, sollevando dubbi – più che legittimi – sulla compatibilità con il GDPR e la direttiva ePrivacy. La questione si concentra soprattutto sull’art. 7 GDPR, che impone che il consenso sia revocabile, non condizionato, e che venga dato con piena consapevolezza.
E invece, in troppi casi, gli utenti non sanno che:
- i dati ceduti saranno usati per profilazione pubblicitaria anche cross-site;
- i cookie di terze parti permettono una tracciabilità estesa ben oltre il singolo sito;
- il consenso dato è spesso globale e difficilmente gestibile ex post.
Insomma: clicchi una volta “OK” e ti sei comprato una pubblicità personalizzata per tutto il mese, a voler essere ottimisti (ma in generale per molto più tempo: non c’è nulla di eterno in questo mondo, ma forse un consenso privacy mal dato è la cosa che più ci si avvicina).
Potrebbero interessarti anche:
4. Lode al metodo: il Garante ascolta prima di giudicare
Invece di partire con il bazooka delle sanzioni, il Garante stavolta ha scelto la via della consultazione pubblica. E questo è, a mio avviso, un segnale importante: non solo autorità, ma anche laboratorio di confronto.
Obiettivo dichiarato? Evitare un approccio meramente repressivo, che rischierebbe di:
- destabilizzare un settore già economicamente fragile (quello dell’editoria digitale),
- non offrire alternative sostenibili,
- e paradossalmente ridurre la fruibilità dell’informazione online, proprio mentre si vorrebbe tutelare la libertà di informazione.
La consultazione apre quindi a tutti i portatori di interesse (aziende, giuristi, consumatori, associazioni) per raccogliere soluzioni operative concrete, modelli alternativi di accesso, proposte tecniche capaci di coniugare esigenze economiche e tutela dei diritti fondamentali.
5. Il consenso: tra teoria e prassi
Nel mondo ideale, il consenso è una scelta libera, informata, consapevole. Nella realtà, spesso è un atto impulsivo dettato dalla fretta, una firma invisibile su un contratto mai letto.
Il Garante lo sa. Ecco perché l’iniziativa mira anche a stimolare maggiore trasparenza, design etico e soluzioni differenziate. Perché se le opzioni sono acconsenti e vai oppure paghi e vai, allora manca una terza via, che potrebbe essere limita il tracciamento e accedi comunque, magari con pubblicità meno personalizzata. Una via intermedia che oggi è tecnicamente possibile, ma raramente offerta.
6. Cosa possiamo fare noi (operatori, consulenti, cittadini digitali)
Innanzitutto, partecipare. I contributi alla consultazione vanno inviati entro 60 giorni dalla pubblicazione in Gazzetta Ufficiale, agli indirizzi:
• protocollo@gpdp.it
• protocollo@pec.gpdp.it
Nell’oggetto va indicato: “Consultazione pubblica sul modello ‘pay or ok’”.
E non serve essere un’autorità garante per dire la propria. Anche una PMI, un singolo esperto, un’associazione di consumatori può contribuire a modellare il futuro dell’informazione digitale, portando esperienze, soluzioni, proposte.
7. Conclusioni
Questa consultazione non è una formalità burocratica. È una rara occasione di incidere realmente sul modo in cui viviamo la rete, leggiamo le notizie, accediamo ai contenuti.
Se lasciamo che il consenso diventi una moneta, rischiamo di barattare i diritti fondamentali per una scorciatoia pubblicitaria. Se invece alziamo la voce – con competenza, certo, ma anche con coraggio – possiamo contribuire a creare modelli nuovi, in cui libertà e sostenibilità economica non siano più nemiche, ma alleate.
Chi lavora nel mondo della privacy sa che “consenso” è una parola magica. Ma come tutte le magie, ha bisogno di alcune condizioni rituali per funzionare: deve essere libero, specifico, informato e inequivocabile. E se anche solo uno di questi ingredienti manca, il risultato è fumo. O, peggio, illusionismo giuridico.
Il modello Pay or OK prende quel consenso e lo trasforma in una scelta binaria, condizionata, urgente. Una scelta che somiglia più a un ultimatum che a un’opzione serena. Paghi, oppure mi dai i tuoi dati. E se non vuoi né l’uno né l’altro? Arrivederci e grazie. Ecco perché non possiamo accettare che il diritto alla protezione dei dati si trasformi in un lusso per pochi, o in un balzello nascosto per i tanti.
Il problema non è (solo) economico, è concettuale. La gratuità dell’accesso all’informazione online è un pilastro della modernità democratica, ma non può reggersi sulla svendita sistematica della nostra identità digitale. Accedere a un contenuto non dovrebbe significare firmare, inconsapevolmente, una procura perpetua al proprio tracciamento pubblicitario.
Il Garante, scegliendo la strada della consultazione anziché quella della sanzione, ha lanciato un messaggio importante: non basta vietare. Occorre ripensare il modello, insieme. Non in un’aula di tribunale, ma in una stanza in cui i soggetti coinvolti – utenti, imprese, editori, giuristi, tecnologi – si confrontano per immaginare un’alternativa giuridicamente sostenibile ed economicamente realizzabile.
Questa è una partita che si gioca su due piani:
1. Il piano giuridico, dove si decide se il consenso estorto può davvero chiamarsi tale.
2. Il piano politico-culturale, dove si decide se vogliamo un internet che si fonda sull’equilibrio tra diritti e modelli di business, o che si limita a scegliere il male minore tra sorveglianza e paywall.
E chi opera nel settore – come noi – ha il dovere di non restare alla finestra. Di contribuire, di dire la propria, di spingere perché il diritto non sia solo una diga contro gli abusi, ma anche un motore per l’innovazione sostenibile.
La posta in gioco: il futuro del consenso (e della dignità digitale)
Perché diciamocelo chiaramente: se lasciamo che il consenso venga degradato a condizione d’accesso, finirà per non valere più nulla. Diventerà la moneta di scambio più inflazionata della nostra epoca. E quando ogni clic sarà un “sì” svuotato di senso, il rischio è che la protezione dei dati personali venga percepita come un lusso vintage, qualcosa che poteva funzionare nel 2018 ma che oggi “non è più sostenibile”.
Non possiamo permetterlo.
Questa consultazione è un’occasione rara per intervenire prima che la deriva diventi norma. Per affermare che il consenso è una scelta, non una concessione, e che l’accesso all’informazione non deve passare dal tornello del tracciamento.
Se il digitale è davvero il futuro, allora dobbiamo pretendere che sia anche un futuro in cui i diritti fondamentali non si possano barattare a colpi di pop-up.
Formazione in materia per professionisti
Cybersecurity e Direttiva NIS 2 – Step di adeguamento per imprese e pubbliche amministrazioni
La Direttiva NIS 2 (Direttiva UE 2022/2555) ha l’obiettivo di rafforzare il quadro normativo della cybersecurity, estendendo le misure di sicurezza informatica ad un maggior numero di settori strategici e imponendo obblighi stringenti e sanzioni più severe ai soggetti interessati.
Durante il corso verranno esaminati approfonditamente tutti gli obblighi e i relativi step di adeguamento: quali sono i soggetti obbligati? Come creare un piano di risposta agli incidenti? Cosa fare in caso di attacco informatico? Quali sono i ruoli e le responsabilità nella compliance alla NIS 2?
I partecipanti acquisiranno competenze utili per implementare la conformità alla NIS 2 attraverso una check-list pratica e case studies.
>>>Per info ed iscrizioni<<<
Scrivi un commento
Accedi per poter inserire un commento