Modelli "Pay or Consent": guida per DPO tra GDPR, DMA e i nuovi orientamenti

I modelli "Pay or Consent" sono a un punto di svolta. Da un lato, il GDPR: l’uso dei modelli genera tassi di consenso superiori al 99%, cifra che non suggerisce affatto una scelta libera, ma un’adesione forzata. Dall’altro lato, il DMA: i nuovi orientamenti congiunti EDPB/Commissione impongono l’obbligo di un’alternativa "equivalente" e gratuita. In attesa di chiarimenti da parte delle Autorità (EDPB e Garante in primis), quali strategie i DPO devono ora considerare?

Il dilemma "Pay or Consent" e l’attualità normativa

Il modello "Pay or Consent" (noto anche come "Pay or Okay") descrive una richiesta di consenso binaria in cui all’utente viene presentata una scelta: acconsentire al trattamento dei propri dati personali (solitamente per il tracciamento pubblicitario) per accedere gratuitamente al servizio, oppure pagare un corrispettivo monetario per rifiutare.

Questo approccio, introdotto in Europa da alcuni editori di notizie già nel 2018 (in Austria, Germania, Francia, Italia e Spagna), è tornato prepotentemente al centro del dibattito quando, nel 2023, anche Meta (Facebook e Instagram) lo ha implementato. Nella quasi totalità dei casi, l’opzione a pagamento si configura come un abbonamento, con fatturazione automatica indipendentemente dall’uso effettivo del servizio da parte dell’interessato.

L’attualità del tema è oggi determinata da due novità cruciali. In primo luogo, la decisione della Commissione Europea del 23 aprile 2025 (caso DMA.100055), che ha multato Meta per 200 milioni di euro, ritenendo il suo modello non conforme al Digital Markets Act (DMA). In secondo luogo, la pubblicazione degli orientamenti congiunti di EDPB e Commissione Europea sull’interazione tra DMA e GDPR, che definiscono i criteri stringenti per un’"alternativa equivalente".

L’argomento economico: il business della pubblicità digitale

I sostenitori del modello "Pay or Consent" si basano in gran parte su una presunta necessità economica di finanziare media di qualità. Questa argomentazione, tuttavia, non trova pieno riscontro nei dati di settore. Un recente report sviluppato dall’Associazione NOYB evidenzia come la pubblicità digitale rappresenti solo una quota pari a circa il 10% delle entrate totali della stampa.

Andando più a fondo, in media, solo il 5% (o meno) dei ricavi di giornali e riviste deriva specificamente dall’elaborazione di dati personali per la pubblicità programmatica. Sebbene questa opzione svolga un ruolo finanziario marginale, viene spesso pubblicizzata come un vero e proprio finanziamento del servizio.

Fonte: Report NOYB “Pay or Okay”

L’argomento giuridico: i criteri del GDPR

Sebbene le argomentazioni economiche vengano usate per giustificare il modello, i criteri di valutazione previsti dal GDPR sono ben diversi: gli interessati dovrebbero essere posti nelle condizioni di esprimere una "scelta genuina e libera". Se un sistema non rispecchia la reale volontà degli interessati, è da considerarsi manipolativo.

È qui che il modello "Pay or Consent" mostra la sua criticità legale più profonda. Introducendo una "commissione di rifiuto" (reject fee), i siti web possono raggiungere costantemente un tasso di consenso del 99%, anche quando solo una piccola percentuale di utenti desidera effettivamente e liberamente prestare il proprio consenso.

I dati del report di NOYB sono oggettivamente emblematici: si evidenzia una discrepanza incolmabile tra la "scelta genuina" degli utenti (stimata tra lo 0,16% e il 7%) e i tassi di consenso effettivi registrati con questi modelli, che raggiungono il 99-99,9%.

Fonte: Report NOYB “Pay or Okay”

Il DMA e l’obbligo di una "alternativa equivalente"

Se il GDPR mette in crisi la validità del consenso così acquisto, il Digital Markets Act (DMA) mina l’intera struttura dei modelli "Pay or Consent". L’Articolo 5(2) del DMA vieta ai gatekeeper di combinare dati personali provenienti dai loro diversi servizi principali (es. Facebook e Instagram) o di incrociarli con dati di servizi terzi (combining e cross-use), a meno che non ottengano un consenso valido ai sensi del GDPR. Tuttavia — e qui sta il punto cruciale — per poter richiedere quel consenso, il DMA impone una condizione stringente: il gatekeeper deve presentare all’utente una "scelta specifica", offrendo un’alternativa "meno personalizzata ma equivalente" per l’utente che rifiuta di acconsentire .

Il caso Meta ha fatto scuola: la Commissione ha ritenuto che il modello "paga o acconsenti" non offrisse affatto un’alternativa "equivalente" al servizio gratuito finanziato dalla pubblicità.

Perché pagare non è una "alternativa equivalente"?

I recenti orientamenti congiunti di EDPB/Commissione fanno chiarezza e definiscono il concetto di "alternativa equivalente" richiesta dal DMA. La Sezione 2.1, in particolare, specifica che:

l’alternativa offerta a chi nega il consenso “non dovrebbe differire, in termini di prestazioni, esperienza e condizioni di accesso, rispetto al servizio offerto agli utenti finali consenzienti”;
"quando il servizio per gli utenti consenzienti è offerto da un gatekeeper gratuitamente (free of monetary charge), anche il servizio alternativo offerto agli utenti non consenzienti dovrebbe, in linea di principio, essere fornito gratuitamente".

Questa interpretazione svuota di fatto la legittimità del modello "Pay" per i gatekeeper. Se l’alternativa al consenso deve essere gratuita, richiedere un pagamento non costituisce un’alternativa "equivalente".

Fra DMA e GDPR

Se il DMA riguarda solo i "gatekeeper" di mercato, un’importante sentenza parallela mostra come i principi del GDPR siano applicabili rigorosamente anche ai non-gatekeeper.

Nell’agosto 2025, il Tribunale amministrativo federale austriaco (BVwG), pronunciandosi sul caso del quotidiano "DER STANDARD", ha fornito importanti chiarimenti. La sentenza non ha messo in discussione il modello " Pay or Consent " in sé, ma ha condannato la sua specifica attuazione. Il tribunale, infatti, ha stabilito che presentare all’utente un consenso "tutto o niente" (ovvero accettare il tracciamento per tutte le finalità raggruppate o pagare) viola il principio di granularità del consenso previsto dal GDPR. Gli utenti devono essere liberi di scegliere a quali specifiche finalità prestare il consenso, senza essere costretti ad accettarle in blocco.

Questa sentenza è un segnale forte per tutti gli operatori del mercato: anche al di fuori del perimetro del DMA, l’implementazione "tutto o niente" del consenso non è sostenibile.

Vademecum per DPO: come agire nell’incertezza

Fra le recenti sentenze e in attesa di chiarimenti da parte delle Autorità competenti (attendiamo l’esito della consultazione pubblica avviata dal Garante sul tema), i DPO si trovano ad agire in un panorama molto complesso. Tuttavia, l’incertezza non giustifica l’inerzia: i DPO devono intervenire con azioni mirate a garantire il rispetto dei principi normativi fondamentali, posti a tutela dei diritti delle persone e di costante e certa applicazione:

Azione 1 (Compliance integrata): il DPO deve farsi promotore di una compliance aziendale integrata, che consideri i requisiti legali richiesti da norme distinte (come GDPR e DMA);
Azione 2 (Audit): è fondamentale avviare un audit immediato per identificare i trattamenti che comportano combining e cross-use dei dati, che si basano o intendono basarsi su modelli "Pay or Consent";
Azione 3 (Advisory): il DPO deve informare proattivamente sui rischi crescenti derivanti dall’utilizzo dei modelli "Pay or Consent" (per i gatekeeper, a causa del requisito di gratuità; per tutti, a causa della violazione del consenso "libero" e della "granularità") e proporre modelli alternativi di accesso ai contenuti che garantiscano la libertà, specificità e consapevolezza del consenso;
Azione 4 (Risk Assessment): alla luce dei recenti orientamenti, il rischio legale e sanzionatorio associato ai modelli "Pay or Consent" è aumentato esponenzialmente. È compito del DPO verificare come l’organizzazione si sta adeguando, focalizzando i controlli su analisi dei rischi e DPIA.

Verso nuovi modelli

Il modello "Pay or Consent", così come è stato prevalentemente implementato finora, si scontra con ostacoli normativi difficilmente sormontabili.

Da un lato, la struttura "paga o accetta tutto in blocco" entra in collisione con i principi del GDPR, minando la libertà del consenso (come suggeriscono i tassi di adesione forzati del 99,9% ) e la granularità della scelta. Dall’altro lato, per i gatekeeper, i nuovi orientamenti hanno di fatto invalidato il modello basato sul pagamento, imponendo un’alternativa "equivalente" che sia, in linea di principio, gratuita.

Sebbene le autorità non abbiano decretato un divieto assoluto del modello, hanno chiarito che, nella maggior parte dei casi, non è possibile ottenere un consenso valido se l’utente è messo di fronte alla sola alternativa tra acconsentire al tracciamento e pagare una tariffa in proporzione "proibitiva". La sfida per il mercato è sviluppare modelli di business (come il "freemium" o l’accesso gratuito con pubblicità contestuale) che garantiscano una "scelta genuina" (genuine choice) by design.

Iscriviti alla nostra newsletter per seguire gli sviluppi sul tema.

Altre news

AI Act e GDPR: quali interazioni impattano sull’attività dei DPO? Analisi pratica su DPIA, FRIA, legittimo interesse e obblighi

Scopo dello studio: le tre domande di ricercaLo studio, condotto dal Dipartimento per la trasformazione, l’innovazione e la salute, mira ad esaminare la [...]

Modelli "Pay or Consent": guida per DPO tra GDPR, DMA e i nuovi orientamenti

Altre news

AI Act e GDPR: quali interazioni impattano sull’attività dei DPO? Analisi pratica su DPIA, FRIA, legittimo interesse e obblighi

Procedimento disciplinare e privacy: il Tribunale di Brescia annulla la sanzione di 20.000 inflitta al Comune di Lonato

La Direttiva NIS2 e la Pubblica Amministrazione: gestire la Sicurezza nel Procurement ICT

DPO e NIS2, una opportunità di miglioramento continuo