Di seguito l'intervento di Giulio Uras al panel "Pay or okay e monetizzazione dei dati: a che punto siamo? Sviluppi e prospettive della valorizzazione dei dati", nell'ambito del Privacy Symposium 2026.
Sapete tutti che sui meccanismi di Consent or Pay si basano – nel senso che dal loro funzionamento dipendono – alcuni modelli di business. Su tutti, quello dell’editoria online: con i ricavi pubblicitari, i giornali pagano i giornalisti.
E sapete tutti anche che la questione giuridica che questi modelli sollevano è, da anni, sempre la stessa: la libertà del consenso.
Secondo le autorità di controllo, il consenso non è libero – e quindi non è valido – se l’alternativa offerta all’utente, cioè pagare, lo induce di fatto a prestarlo. È un’impostazione coerente con l’art. 7 del GDPR e con la lettura rigorosa che ne dà lo European Data Protection Board.
Confesso però che, dopo anni di dibattiti, continuo a non capire quale sia, in concreto, questa “alternativa equivalente” che renderebbe il consenso libero. Ma credo di non essere il solo. Perché è facile dire che 1,99 euro al mese possono influenzare una scelta. È molto più difficile dire quale alternativa, realisticamente sostenibile, non la influenzerebbe.
E mentre noi discutevamo di questo – cioè del prezzo del consenso – la Commissione Europea ha spostato il piano del discorso.
Con il Digital Omnibus, il legislatore prende atto di un fatto noto a tutti: gli utenti non leggono i cookie banner, non capiscono cosa stanno accettando, e prestano il consenso solo per liberarsi del fastidio di non poter visualizzare una pagina web nella sua interezza a causa della presenza dei cookie banner.
Il consenso, in altre parole, non è espressione di una scelta libera e informata.
Per rimediare, la proposta introduce i segnali automatizzati: si tratta di strumenti tecnici che consentono all’utente di esprimere le proprie preferenze una volta per tutte senza dover interagire ogni volta con i cookie banner. Ai titolari è fatto obbligo di dotarsi di strumenti in grado di leggere questi segnali e di rispettarli.
È, se vogliamo, un tentativo di superare il consenso come lo abbiamo conosciuto finora.
Ma – ed è qui che il discorso diventa interessante – il legislatore introduce una deroga: i media service provider, quando offrono servizi mediali, non sono tenuti a rispettare questi segnali.
E la giustificazione di questa deroga non è tecnica. È economica: si vuole preservare la possibilità per gli editori di interagire direttamente con gli utenti per raccoglierne il consenso e, così facendo, preservare i flussi di ricavi che sostengono il giornalismo indipendente, definito pilastro della società democratica.
Ora, da un lato, il legislatore ci dice che il sistema dei cookie banner è inefficace, genera fatica (la fatica del consenso), e non produce decisioni realmente consapevoli.
Dall’altro, decide di mantenerlo – e anzi di proteggerlo – proprio per il settore dei media.
La domanda, allora, è: come si può, nello stesso tempo, riconoscere che il meccanismo è strutturalmente inadeguato a raccogliere un consenso libero e continuare a fondare su quel meccanismo la validità del consenso stesso?
Forse la risposta è più semplice – e più scomoda – di quanto siamo stati disposti ad ammettere finora.
Forse dovremmo dire apertamente che il Consent or Pay, così come oggi è strutturato, presenta dei limiti. Che la scelta dell’utente è inevitabilmente condizionata. Che il consenso, in questi contesti, non è mai completamente “puro”.
Ma che questo non lo rende automaticamente illegittimo.
Perché entra in gioco qualcos’altro: il bilanciamento.
Il diritto alla protezione dei dati personali, del resto, non vive nel vuoto. Convive con altri diritti e libertà: la libertà di espressione, la libertà di informazione, la libertà d’impresa.
Il punto non è negare la natura fondamentale del diritto alla protezione dei dati personali. Il punto è riconoscere che, in un sistema costituzionale, anche i diritti fondamentali possono entrare in tensione e devono essere bilanciati.
E qui, a mio avviso, il Digital Omnibus segna un passaggio importante.
Non dice che i dati personali sono una merce.
Non dice che il diritto alla protezione dei dati è disponibile.
Ma dice qualcosa di più preciso: che quando sono in gioco interessi sufficientemente rilevanti – strutturali, democraticamente giustificati – il bilanciamento è non solo possibile, ma legittimo.
E lo dice in una norma di rango primario, non in una costruzione dottrinale.
Questo, inevitabilmente, lascia un segno.
Perché rende più difficile sostenere una posizione assolutista, come quella espressa dallo stesso European Data Protection Board, secondo cui i dati personali non possono mai essere oggetto di scambio economico o di condizionamento.
La realtà normativa che si sta delineando è più sfumata.
E allora forse la vera domanda non è più: “il dato può avere un prezzo?”. Ma un’altra: “quali interessi giustificano che, in certe condizioni, possa averlo?”.
E soprattutto: chi decide questo bilanciamento?
Il legislatore, certamente.
Le autorità di controllo, attraverso l’interpretazione.
I giudici, nei casi concreti.
E, in una certa misura, anche il mercato – che però non può essere lasciato solo.
Perché il rischio, altrimenti, è evidente: che il bilanciamento diventi progressivamente una mercificazione.
E allora il punto – il vero punto – su cui, a mio avviso, il dibattito deve spostarsi è questo: l’architettura valoriale che il sistema europeo sta costruendo.
Se la deroga per i media è giustificata dalla rilevanza democratica del giornalismo, quali altri interessi economici possono aspirare alla stessa dignità?
Penso alla sostenibilità delle piattaforme, all’innovazione tecnologica, all’accesso ai servizi digitali, alla ricerca scientifica.
La domanda che rimane aperta è dove si traccia il confine tra un bilanciamento legittimo e una progressiva erosione del diritto fondamentale.
Molto, secondo me, si giocherà sull’interplay tra Digital Omnibus e Consent or Pay.
Ed è per questo che, forse, il Consent or Pay non è più solo un problema di consenso.
È il luogo in cui si sta decidendo qualcosa di più grande: che tipo di rapporto vogliamo costruire, nel diritto europeo, tra diritti fondamentali ed economia dei dati.
