Provvedimento del 29 aprile 2025 - Consultazione pubblica volta ad...
Provvedimento del 29 aprile 2025 - Consultazione pubblica volta ad acquisire contributi, osservazioni e proposte riguardo l’implementazione di modelli di Pay or Ok [10126652]
CondividiVEDI ANCHE:
- AVVISO di consultazione pubblica
- Comunicato stampa del 5 maggio 2025
[doc. web n. 10126652]
Provvedimento del 29 aprile 2025 - Consultazione pubblica volta ad acquisire contributi, osservazioni e proposte riguardo l’implementazione di modelli di Pay or Ok
Registro dei provvedimenti
n. 272 del 29 aprile 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, segretario generale reggente;
VISTO il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);
VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. direttiva ePrivacy), come modificata dalla direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio;
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTO il decreto legislativo 28 maggio 2012, n. 69 “Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori”;
VISTA la direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali e, in particolare, il suo considerando 24;
VISTI:
- il Parere del Gruppo di lavoro “Art. 29” (di seguito WP29) n. 04/2012 in materia di Cookie Consent Exemption, adottato il 7 giugno 2012:
- il Working Document del medesimo WP29 n. 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013;
- le Linee Guida del WP29 sul consenso ai sensi del Regolamento (UE) 2016/679 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020;
- le Linee Guida del WP29 sulla trasparenza ai sensi del regolamento 2016/679, versione emendata dell’11 aprile 2018;
- la lettera dell’EDPB adottata il 13 dicembre 2023 in replica all’iniziativa della Commissione in materia di cookie pledge;
- il Parere dell’EDPB n. 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms adottato il 17 aprile 2024;
VISTO il parere congiunto dell’EDPB e dell’European Data Protection Supervisor (di seguito, EDPS) n. 2/2022 del 4 maggio 2022 sulla Proposta del Parlamento Europeo e del Consiglio recante norme armonizzate per l’accesso equo ai dati e sul loro utilizzo (Data Act);
Vista la decisione sanzionatoria della Commissione Europea, del 23 Aprile 2025, adottata ai sensi del Digital Market Act nei confronti di Meta Platform Ireland Ltd. e, in particolare, sul modello Pay or Ok implementato dalla società;
VISTE le Linee Guida del Garante per la protezione dei dati personali in materia di cookie e altri strumenti di tracciamento, del 10 giugno 2021 (di seguito anche Linee Guida);
VISTE le segnalazioni ed i reclami pervenuti a questa Autorità;
PREMESSO che, negli ultimi mesi, un numero crescente di titolari di siti web, ed innanzitutto, ma non esclusivamente, quelli relativi a siti di news, hanno implementato nuove tipologie di banner per l’acquisizione del consenso degli utenti all’impiego di cookie e altri strumenti di tracciamento diversi da quelli tecnici tali che, a seguito di queste modifiche, la possibilità di fruizione dei diversi servizi o funzionalità offerti è stata subordinata ad una scelta alternativa da parte dell’utente: accettare di prestare il proprio consenso alla ricezione di cookie per trattamenti di profilazione, oppure sottoscrivere una delle diverse tipologie di abbonamento a titolo oneroso previste;
ACCERTATO che tale modello di business è pertanto caratterizzato da un sistema, denominato cookie wall, in cui la mancata prestazione del consenso alla ricezione dei cookie impedisce l’accesso al sito, in alternativa ad uno denominato paywall, intendendo per tale espressione un meccanismo che, invece, inibisce l’accesso ai contenuti informativi o, comunque, ai servizi ed alle funzionalità offerti se non previo pagamento di un prezzo e che esso è altrimenti noto anche come Consent paywall, Pay or Ok, Consent or Pay etc.;
TENUTO CONTO che il modello descritto, che dunque prevede la possibilità per l’utente di scegliere tra l’erogazione di un servizio o di una funzionalità online a fronte di un pagamento oppure la fruizione gratuita in cambio dell’accettazione della profilazione pubblicitaria, si sta diffondendo tra le piattaforme digitali, ed è stato, tra l’altro, implementato anche con riferimento a servizi di social media, di posta elettronica, di accesso alle previsioni meteo, di traduzione linguistica etc.;
CONSIDERATO che il significativo mutamento del modello di business ha comportato in breve tempo un generalizzato impatto sui diritti e sulle aspettative degli interessati, come risulta dall’elevato numero di segnalazioni e reclami pervenuti nei confronti di diversi titolari del trattamento e che tali circostanze impongono, allora, a questa Autorità una più ampia e complessiva valutazione del fenomeno in questione, che ha assunto proporzioni di sistema;
RITENUTO cioè che tale modello sollevi rilevanti questioni in materia di protezione dei dati personali, innanzitutto in termini di libertà di scelta degli utenti, specificità del consenso, trasparenza, libertà di impresa e sostenibilità dei modelli economici digitali, anche considerate eventuali tematiche relative agli utenti in situazioni di vulnerabilità economica, ovvero a possibili squilibri di potere tra questi e i fornitori dei servizi, all’accesso equo ai contenuti e ai connessi aspetti concorrenziali tra fornitori, come pure alla necessità di richiedere ai titolari in questione l’implementazione di una alternativa ulteriore senza costi che contempli una forma meno intrusiva di pubblicità, quale ad esempio la pubblicità contestuale, che comporti il trattamento di una minor quantità o di nessun dato personale degli utenti; che, inoltre, competa a questa Autorità la valutazione circa il rispetto di tutti i principi di protezione dati, e in modo particolare di quello relativo alla correttezza del trattamento di dati personali sotteso all’impiego dei modelli in questione;
RITENUTO inoltre che le questioni emergenti dalle istruttorie intraprese anche ex officio dall’Autorità interessino un pubblico più ampio delle società inizialmente individuate come destinatarie degli accertamenti, di cui ai comunicati stampa del 18 ottobre, del 21 ottobre e del 12 novembre 2022 (rispettivamente, doc. web 9815415, 9816536 e 9822601), e che dunque tali questioni comportino un impatto significativo sull’attuale modello di business sia dell’intero comparto industriale al quale è affidata la diffusione di contenuti di attualità in esercizio del diritto di cronaca e, dunque, della libertà di informazione, sia degli ulteriori settori di fornitura di servizi e funzionalità ai quali questo modello è stato esteso ovvero potrebbe essere esteso;
RITENUTO pertanto che tali considerazioni suggeriscano l’insufficienza e l’inidoneità di una risposta istituzionale episodica affidata alla sola adozione di singole decisioni nei confronti delle società oggetto delle istruttorie pendenti, poiché tali pronunce potrebbero rivelarsi inidonee a proporre una concreta alternativa capace di contemperare le esigenze delle imprese - innanzitutto quelle editoriali e, per il loro tramite, quelle connesse alla tutela di un adeguato livello di circolazione dell’informazione - e, più in generale, le esigenze che derivano dal necessario rispetto del diritto alla protezione dei dati personali di milioni di persone;
CONSIDERATO ALTRESÌ che proprio la rilevanza del fenomeno e il potenziale impatto sui diritti e le libertà fondamentali di un considerevole numero di interessati impone all’Autorità il più ampio ricorso ad una logica di intervento partecipativa, che promuova sui temi, come sopra rappresentati, un confronto pubblico e trasparente con tutti i portatori di interesse, incluse imprese, consumatori, esperti, associazioni, professionisti, accademia e cittadini al fine di raccogliere osservazioni, suggerimenti, contributi e valutazioni tecniche sui modelli di Pay or Ok e sulle loro implicazioni giuridiche, economiche e sociali e che tale confronto avrà l’obiettivo di verificare direttamente se e quali alternative sussistano rispetto all’attuale assetto, così da tenerne debito conto anche nella definizione delle diverse istruttorie, ivi comprese quelle già avviate, con particolare riferimento all’adozione di eventuali misure correttive;
RITENUTO OPPORTUNO, per tali ragioni, avviare una consultazione pubblica della durata di 60 giorni a partire dalla data di pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, volta ad acquisire osservazioni e proposte sul tema meglio indicato in precedenza, con l’obiettivo dell’identificazione di soluzioni concrete compatibili con la vigente disciplina e con esclusione, pertanto, di ogni questione de iure condendo relativa a eventuali proposte di modifica, a livello europeo o nazionale, della normativa vigente;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario Generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
RELATORE il prof. Pasquale Stanzione;
DELIBERA
di avviare una consultazione pubblica volta ad acquisire contributi, osservazioni e proposte riguardo l’implementazione dei sistemi di Pay or Ok come meglio descritti nella parte motiva della presente deliberazione e in particolare, ma non esclusivamente, sulle seguenti questioni:
A) se sia da ritenersi compatibile con le finalità e la ratio della vigente disciplina in materia di consenso al trattamento dei dati personali, che esigono che il consenso sia, tra l’altro, libero e consapevole, la circostanza che, in caso di prestazione di un unico consenso – indispensabile quale valida alternativa al perfezionamento di un contratto a titolo oneroso che implichi la corresponsione di un correspettivo economico – l’interessato accetti la condivisione automatica dei propri dati personali per ogni finalità sottesa all’effettuazione di trattamenti di profilazione commerciale attraverso cookies e altri marcatori da parte di diverse centinaia di soggetti ignoti o diversamente noti; ciò con riferimento ad un consenso prestato necessariamente in forma aggregata e in assenza di condizioni idonee a garantire all’interessato prevedibilità circa le conseguenze della sua prestazione e un controllo effettivo sui propri dati personali;
B) se e quali possibili alternative all’attuale binarietà delle proposte commerciali indirizzate agli utenti per il tramite di sistemi di Pay or Ok sussistano, di minor impatto in termini di compressione del diritto alla privacy degli interessati, secondo quanto indicato nel richiamato parere dell’EDPB, come pure nella recente pronuncia della Commissione europea menzionata in premessa che, nel suggerire un’interpretazione uniforme della vigente disciplina in materia di protezione dei dati personali, fanno riferimento all’eventualità che i titolari del trattamento che intendano proporre agli interessati un’opzione tra il pagamento di un prezzo in denaro e la prestazione di un consenso al trattamento dei dati personali per finalità di profilazione commerciale, offrano ai medesimi interessati altresì ulteriori opzioni, equivalenti, o, almeno, analoghe ma comportanti una minore compressione del loro diritto alla protezione dei dati personali e, dunque, un trattamento meno pervasivo di dati personali che implichi il trattamento di un numero minore o di nessun dato personale;
C) quali soluzioni siano idonee a garantire all’interessato consapevolezza e piena prevedibilità degli effetti dell’eventuale prestazione del consenso in termini di diritto di accedere a una quantità e qualità date di contenuti editoriali ovvero di altra tipologia di servizi e funzionalità offerti, in modo da rispettare la disciplina di legge che impone che il consenso eventualmente prestato risulti, oltre che libero e specifico, anche debitamente informato.
A tal fine, invita tutti i soggetti interessati a far pervenire le osservazioni, i commenti, le informazioni, le proposte e ogni elemento ritenuto utile, entro 60 giorni dalla pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, all’indirizzo del Garante di Piazza Venezia n. 11, 00187 – Roma, ovvero all’indirizzo di posta elettronica protocollo@gpdp.it oppure protocollo@pec.gpdp.it* indicando nell’oggetto “Consultazione pubblica sul modello “Pay or Ok””.
I contributi inviati dai partecipanti alla consultazione non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante che, ricevuti ed esaminati tali contributi, potrà invitare taluni dei partecipanti a uno o più incontri pubblici o privati per discutere le questioni oggetto della consultazione.
La presente deliberazione è resa conoscibile mediante pubblicazione nel sito web dell’Autorità www.garanteprivacy.it e Avviso pubblico nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, lì 29 aprile 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE REGGENTE
Filippi
______
* (L'indirizzo protocollo@pec.gpdp.it è configurato per ricevere SOLO comunicazioni provenienti da posta elettronica certificata)
