Il Privacy Symposium di Venezia 2026 ha dato spazio a un dibattito acceso sul tema legale del modello pay or consent, ovvero la scelta tra concedere i dati personali o pagare per accedere a un servizio. Giuristi, regolatori e rappresentanti del settore media si sono confrontati su una questione centrale: se il consenso rappresenti davvero la base giuridica più adatta all’interno di un contesto così veloce e dinamico come il digitale.
L’origine del dibattito
Il tema è emerso dopo sperimentazioni da parte di alcune testate online che hanno introdotto cookie pay wall, costringendo il consumatore a decidere tra pagare un servizio o fornire informazioni personali. Il dibattito non verte più tanto sull’ammissibilità legale di queste scelte, quanto sull’efficacia pratica di farle fondare sul solo “consenso”, come previsto dal GDPR.
I quattro punti critici
Prima criticità: la velocità di offerta del servizio rende difficile garantire un consenso realmente informato;
Seconda criticità: la valutazione sull’equivalenza tra scelta di pagare o accettare di diventare tracciati;
Terza criticità: la difficoltà di ottenere un consenso specifico per ciascuna finalità di trattamento senza compromettere l’esperienza utente;
Quarta criticità: l’efficacia delle revoche di consensi precedentemente forniti.
Informare correttamente in un contesto digitale
Uno dei punti principali del dibattito è il contrasto tra la necessità di informare adeguatamente l’interessato e la velocità con cui i servizi digitali vengono consumati. Un primo passo cruciale è stato evidenziato: evitare di applicare metodologie nate dal mondo analogico al contesto digitale. L’informativa in formato PDF, ad esempio, spesso non è adatta né efficace. Chi si occupa di comunicazione e informazione non sembra riuscire a trovare strumenti validi per trasmettere informazioni obbligatorie in maniera intelligibile.
La complessità di gestire informazioni dettagliate in tempo reale rende ancora più problematica la possibilità di dare all’utente una visione chiara e consapevole del trattamento dei propri dati.
Il problema economico: costo e pressione
Un altro punto chiave è la questione dell’alternativa economica. L’Opinion 8/2024 del European Data Protection Board (EDPB) ha chiarito che, nel contesto del pay or consent, l’alternativa a pagamento non è sufficiente se non garantisce una scelta davvero libera.
L’importo richiesto in cambio dei dati suscita dibattiti: da un lato, si sostiene che non debba essere così alto da rappresentare una pressione economica; dall’altro lato, è opinione di alcuni esperti che anche un prezzo troppo basso possa indurre l’interessato a ritenere irrilevante la protezione dei propri dati. Questo rischio ha avvicinato alcune critiche al concetto di “dark pattern”, una pratica ingannevole per influenzare le scelte dell’utente.
Emerge quindi una domanda cruciale: ma chi, tra chi crea il modello, lo regolamenta o lo controlla, decide cosa è un prezzo “ragionevole”?
Spezzare in tanti i consensi aumenta le complessità
Potenziare ulteriormente il dettaglio del consenso non sembra essere la strada giusta. Richiedere consensi “granulari” per ogni singola categoria di destinatari o per singoli processi potrebbe peggiorare la user experience. L’onere di valutare l’opportunità di richiedere dettagli supplementari spetta al titolare del trattamento, non alle autorità di controllo.
Raccogliere il consenso per ogni singola finalità di trattamento è già complesso e richiede una gestione equilibrata di chiarezza e velocità di accesso del servizio. Le finalità comuni comprendono:
cookies non tecnici;
profilazione per marketing;
marketing diretto;
trasferimento a terzi per marketing.
Chiedere di dividere ulteriormente i consensi su aspetti secondari potrebbe confondere e scoraggiare l’utente.
Ripensare la base giuridica
Se il consenso non è chiaramente la soluzione migliore, sorge la necessità di prendere in considerazione altre basi giuridiche. I titolari del trattamento dovrebbero valutare, caso per caso, se il consenso rappresenti davvero l’opzione migliore per il trattamento di dati personali. Possono valutare, invece, l’utilità di basarsi su interesse legittimo o necessità contrattuale, a seconda delle circostanze.
Imporre una base giuridica unica, in modo astratto, non si concilia con principi fondamentali come il principio di accountability e le specificità organizzative di ogni trattamento.
Una deroga europea per i media?
Una seconda possibilità, avanzata durante il panel, riguarda un’ipotesi di deroga per i settori editoriali e dei mass media, formulata nel “Digital Omnibus” proposto dalla Commissione UE. Tuttavia, questa proposta non sembra rappresentare una soluzione definitiva, bensì una forma di compromesso.
I limiti del controllo post-consenso
Un altro aspetto importante da chiarire è l’efficacia delle revoche del consenso. Il consenso, per essere legittimo, deve essere revocabile in qualsiasi momento, ma in un contesto di trattamenti complessi, garantire questa libertà non è semplice.
Emergono sospetti sull’effettiva capacità del consenso di dare al consumatore un controllo reale su ciò che succede ai propri dati dopo aver fornito l’autorizzazione. Alcuni esperti lo ritenono una sorta di “trappola illusoria”, per cui si dà l’apparenza del controllo senza garantirne la realizzazione.
I risultati del panel evidenziano che, in realtà, non esiste una soluzione semplice né unica. Si apre il campo a due strade: una di tipo operativo e l’altra di tipo strategico o legislativo. Sia l’una che l’altra, però, rimangono in parte ipotetiche e in cerca di una concreta attuazione.
Conclusioni: il modello pay or consent richiede una ridefinizione
Al di là del dibattito teorico, emerge con forza la necessità di rivedere la propria strategia legale da parte di chi opera sul digitale, soprattutto in settori delicati come i media. L’uso del consenso non sembra più abbastanza per garantire l’efficacia pratica e la trasparenza.
I regolatori, per loro parte, devono affrontare il tema con una mente aperta, evitando di imporre soluzioni uniformi che non tengano conto della