Giudizio sui modelli "Pay or Okay": La vera libertà di scelta è obbligatoria

Giudizio sui modelli "Pay or Okay".
Categorie:
, ,
Immagine di Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.

I cookie banner fanno da tempo parte della vita quotidiana, ma la loro ammissibilità legale rimane controversa. Particolarmente controversa è la questione se i cosiddetti modelli "pay or ok" siano compatibili con la normativa sulla privacy. GDPR sono compatibili. Ciò comporta la scelta tra Consenso in un'ampia elaborazione dei dati o in un abbonamento a pagamento. Nella sentenza del 13 agosto 2025, il Tribunale amministrativo federale austriaco (BVwG) ha tracciato per la prima volta una linea chiara a questo proposito. La decisione non riguarda solo le aziende del settore dei media, ma tutte le aziende che si affidano al finanziamento della pubblicità digitale.

Contesto della procedura

Il procedimento è iniziato in una da noyb - Centro europeo per i diritti digitali portato in casa Reclamo per conto di un utente interessato. Oggetto del Reclamo era la questione se il derStandard.at La combinazione del cookie banner e del modello di abbonamento PUR ("Pay or Okay") costituisce una valida base giuridica per l'utilizzo del sito. Elaborazione dei dati personali.

La critica di Noyb: "Invece di dare agli utenti una vera scelta, possono sottoscrivere un abbonamento mensile al prezzo attuale di 9,90 euro o accettare il tracciamento online da parte di centinaia di fornitori terzi".

Nel procedimento di primo grado, l'Autorità per la protezione dei dati (DPA) aveva accolto alcune delle obiezioni, ma allo stesso tempo aveva avanzato richieste centrali, in particolare per quanto riguardava il divieto di Elaborazionenon trattati o trattati solo in misura limitata. Questo ha portato a un Reclamo al BVwG, che doveva esaminare in modo esaustivo la situazione di fatto e di diritto.

Il BVwG non solo ha dovuto affrontare la questione dell'ammissibilità di Biscotti e le tecnologie di tracciamento, ma anche con le questioni fondamentali della natura volontaria del consenso e della legittimità dei modelli "consent or pay" o "pay or OK". I lavori si sono quindi svolti all'interfaccia tra il finanziamento dei media, l'industria della pubblicità digitale e la legge europea sulla protezione dei dati.

Inammissibilità del trattamento dei cookie

Nella sua decisione, il BVwG ha affrontato in dettaglio le questioni sollevate da derStandard.at set Biscotti e la relativa elaborazione dei dati. Ha chiarito che anche la mera memorizzazione o lettura di Biscotti Dati personali come l'indirizzo IP, le informazioni sul browser o gli identificatori univoci e pertanto soddisfa i requisiti della legge. GDPR è soggetto a.

In particolare, il tribunale ha criticato il fatto che tali trattamenti siano stati effettuati senza un'effettiva e specifica Consenso dell'utente. Il semplice consenso attraverso il banner iniziale dei cookie non era sufficiente perché né un informato Un'altra decisione scopo differenziato scelta è stata data. Secondo il BVwG, ciò costituisce una chiara Violazione contro l'art. 6 comma 1 lett. a GDPR.

Di conseguenza, il tribunale ha seguito l'organo di conciliazione, che era già giunto alla conclusione che non vi era alcuna valida Consenso era disponibile. Ha respinto la Reclamo del proprietario del media, nella misura in cui quest'ultimo aveva sostenuto che il trattamento era legittimo. In particolare, è stato sottolineato che "tecnicamente non necessario". Biscottiad esempio per Tracciamento o a fini pubblicitari, non possono in alcun caso essere utilizzati senza un esplicito consenso.

Inoltre, il Tribunale Amministrativo Federale ha sottolineato l'obbligo di fornire informazioni complete: gli utenti devono essere in grado di riconoscere chiaramente quali dati vengono trattati per quali scopi, quali fornitori terzi sono coinvolti e quali sono le conseguenze di un rifiuto. Un riferimento generico al "miglioramento dell'esperienza dell'utente" o formule simili non è sufficiente.

Le conclusioni del tribunale dimostrano che non si tratta solo di una questione di presentazione formale di un Consenso ma piuttosto la qualità e l'efficacia di questo consenso. La sentenza è quindi in linea con la precedente giurisprudenza della Corte di giustizia europea (ad esempio, Planet49) e specifica i requisiti nel contesto austriaco.

Requisito del consenso

Il BVwG ha elaborato in modo molto dettagliato quali siano le GDPR e la giurisprudenza della Corte di giustizia europea ad una valida Consenso da impostare. Non è sufficiente che gli utenti accettino tutti i possibili scopi con un solo clic. Piuttosto, il Consenso informato, specifico, volontario e non ambiguo.

La Corte ha sottolineato in particolare:

  • Separazione degli scopi: Per ogni finalità di trattamento - come l'analisi web, la personalizzazione Pubblicitàplug-in per i social media: è necessario un opt-in separato. Un "consenso generale" è in contrasto con gli articoli 6 e 7. GDPR.
  • Trasparenza: Gli utenti devono essere informati in anticipo, con un linguaggio chiaro e comprensibile, su quali dati vengono trattati, con quali mezzi, da chi e per quale scopo. Formule vaghe come "migliorare l'esperienza dell'utente" non sono sufficienti.
  • Revocabilità: Uno Consenso deve essere revocabile in qualsiasi momento con la stessa facilità con cui è stata concessa.
  • Obbligo di documentazione: Il Persone responsabili l'onere di provare che un'efficace Consenso è disponibile.


In questo contesto, il BVwG ha fatto riferimento alle sentenze Planet49 (C-673/17) e TC-String (C-604/22). Entrambe le sentenze chiariscono che un modello "tutto o niente" non soddisfa i requisiti di volontarietà e granularità. La giurisprudenza austriaca adotta questi standard e richiede che gli utenti abbiano una reale libertà di scelta sulle singole operazioni di trattamento dei dati.

Suggerimento di lettura: Il banner dei cookie deve includere anche l'opzione "rifiuta tutto"?

"Pay or Ok": inammissibilità del trattamento dei cookie

Nella sua decisione, il BVwG ha affrontato in dettaglio le questioni sollevate da derStandard.at set Biscotti e la relativa elaborazione dei dati. Ha chiarito che anche la mera memorizzazione o lettura di Biscotti Dati personali come l'indirizzo IP, le informazioni sul browser o gli identificatori univoci e pertanto soddisfa i requisiti della legge. GDPR è soggetto a.

In particolare, il tribunale ha criticato il fatto che tali trattamenti siano stati effettuati senza un'effettiva e specifica Consenso dell'utente. Il semplice consenso attraverso il banner iniziale dei cookie non era sufficiente perché né un informato Un'altra decisione scopo differenziato scelta è stata data. Secondo il BVwG, ciò costituisce una chiara Violazione contro l'art. 6 comma 1 lett. a GDPR.

Di conseguenza, il tribunale ha seguito l'organo di conciliazione, che era già giunto alla conclusione che non vi era alcuna valida Consenso era disponibile. Ha respinto la Reclamo del proprietario del media, nella misura in cui quest'ultimo aveva sostenuto che il trattamento era legittimo. In particolare, è stato sottolineato che "tecnicamente non necessario". Biscottiad esempio per Tracciamento o a fini pubblicitari, non possono in alcun caso essere utilizzati senza un esplicito consenso.

Inoltre, il Tribunale Amministrativo Federale ha sottolineato l'obbligo di fornire informazioni complete: gli utenti devono essere in grado di riconoscere chiaramente quali dati vengono trattati per quali scopi, quali fornitori terzi sono coinvolti e quali sono le conseguenze di un rifiuto. Un riferimento generico al "miglioramento dell'esperienza dell'utente" o formule simili non è sufficiente.

Le conclusioni del tribunale dimostrano che non si tratta solo di una questione di presentazione formale di un Consenso ma piuttosto la qualità e l'efficacia di questo consenso. La sentenza è quindi in linea con la precedente giurisprudenza della Corte di giustizia europea (ad esempio, Planet49) e specifica i requisiti nel contesto austriaco.

Valutazione del modello "Pay or Okay

Il BVwG chiarisce: "Pay or Okay" non è una carta bianca per un'offerta completa. Tracciamento. La natura volontaria del Consenso deve essere esaminata caso per caso (art. 4 n. 11, art. 7 GDPRconsiderando 32, 42 e 43). Il fattore decisivo è se gli utenti dispongono di un'alternativa reale e non pressante all'elaborazione dei dati e se la Consenso è specificamente progettato per ogni scopo.

Standard di controllo della corte:

  1. Autentica libertà di scelta anziché coercizione de facto
    Nessun design che costringa effettivamente gli utenti a fare clic su "Accetto" (ad esempio, attrito eccessivo/dispendio di tempo, percorsi di rifiuto nascosti, nudging visivo). Le opzioni di rifiuto e di consenso devono essere ugualmente accessibili (simmetria dell'interfaccia utente, assenza di inganni).
  2. Granularità degli scopi anche con Pay-Alternative
    Un percorso di sottoscrizione non sostituisce l'obbligo di fornire un servizio di Consenso. Rimane inammissibile la combinazione di più scopi ("consenso generale").
  3. Trasparenza e l'informazione
    Informazioni chiare e comprensibili su categorie di dati, destinatari/fornitori terzi, finalità, durata della conservazione e conseguenze del rifiuto.
  4. Equità del rendimento alternativo ("retribuzione")
    L'opzione di pagamento deve essere seria e ragionevole (nessun prezzo proibitivo, nessun "lock-in" nascosto, nessun degrado funzionale).
  5. Minimizzazione dei dati e Stanziamento di fondi
    Anche con una concessione Consenso possono essere trattati solo i dati necessari per lo scopo previsto. Qualsiasi altro dato Tracciamento è inammissibile.


Applicazione al modello PUR/"Pay or Okay" di derStandard.at:

La Corte riconosce la fondamentale ammissibilità delle alternative retributive, ma ne critica l'attuazione specifica:

  • Il Consenso è stato non granulare; diversi scopi sono stati efficacemente combinati.
  • Il Rifiuto è stata associata ad un attrito significativamente più elevato rispetto al consenso (asimmetria UI/flusso), per cui la pressione per Consenso è stato creato.
  • Il Isituazione informativa nel banner/flusso era insufficiente. Gli utenti non erano in grado di riconoscere la gamma e le conseguenze del Elaborazione non hanno una visione d'insieme sufficiente.
  • Il Alternativa di pagamento è stato non come un'opzione equa a tutti gli effetti (in parte a causa della struttura del percorso dell'ordine e del collegamento a pacchetti forfettari per scopi speciali).


Conseguenze legali:

In assenza di un'attività volontaria e di uno scopo Consenso applica il Elaborazione per scopi non essenziali è illegale. Il BVwG conferma: "Pay or Okay" rimane possibile, ma richiede un alto livello di protezione. In particolare, una vera libertà di scelta, opt-in finemente granulari, informazioni trasparenti e un'alternativa di pagamento ragionevole ed equivalente.

Diritti degli interessati

Il BVwG ha chiarito che colpiti Le persone dopo il GDPR hanno un'ampia gamma di diritti che vanno oltre i singoli reclami. Non solo possono ottenere informazioni, Correzione, Cancellazione o restrizione della Elaborazione domanda. In base all'art. 80 GDPR possono anche avvalersi della rappresentanza di organizzazioni come le ONG.

Nel presente procedimento, il tribunale ha confermato che la noyb non aveva Reclamo efficacemente per conto dell'interessato. L'obiezione della controparte secondo cui ciò costituirebbe un abuso di diritto è stata espressamente respinta. Il BVwG ha quindi rafforzato il ruolo delle organizzazioni della società civile nell'applicazione delle richieste di protezione dei dati.

La sentenza chiarisce che Parti interessate non dipendono solo dalle loro risorse individuali, ma possono avvalersi del supporto di istituzioni specializzate. Ciò dovrebbe garantire che anche le violazioni complesse o strutturali della protezione dei dati possano essere efficacemente perseguite.

Chiarimenti definitivi su "Pay or Okay" prima della Corte di giustizia europea?

La sentenza è stata impugnata in appello. Ricorso al Tribunale amministrativo (VwGH) possibile Inoltre, un Presentazione alla Corte di giustizia europea non può essere esclusa. Ciò significa che la classificazione ai sensi del diritto dell'UE, in particolare per quanto riguarda i requisiti di volontarietà e granularità dello scopo nel caso di "pay or okay", rimane potenzialmente aperta a ulteriori chiarimenti.

Significato per la pratica e le aziende

La sentenza va ben oltre il singolo caso e ha un effetto di segnale per un gran numero di settori che si basano sulla pubblicità online, Tracciamento e modelli di abbonamento. Il documento chiarisce che il consenso puramente formale senza un'autentica libertà di scelta non è più praticabile e che le autorità di vigilanza e i tribunali stanno esaminando intensamente la qualità dei processi di consenso.

Per Società di media Ciò significa che non solo devono rivedere e riprogettare i banner dei cookie, ma anche tutti i modelli di finanziamento ibridi. In futuro, le offerte PUR o "accetta o paga" dovranno essere concepite in modo tale da offrire un'alternativa equa e ragionevole al trattamento dei dati, senza coercizione di fatto al consenso.

Piattaforme di gestione del consenso si trovano di fronte al compito di fornire opzioni di opt-in differenziate e specifiche per ogni scopo in modo tecnico e facile da usare. Devono sviluppare interfacce che presentino il rifiuto e il consenso in modo uguale e che rendano trasparente la granularità del consenso.

Autorità di vigilanza Questa sentenza fornisce una chiara linea guida: i reclami devono essere esaminati in modo completo, le richieste di divieto di trattamento devono essere valutate seriamente e i requisiti della Corte di giustizia europea devono essere attuati in modo coerente nei procedimenti nazionali.

Infine, la sentenza mostra anche per il Pratiche di conformità nelle aziendeche in futuro i modelli aziendali conformi alla protezione dei dati si concentreranno ancora di più sull'autentica libertà di scelta, Trasparenza e verificabilità. Questo vale non solo per le aziende del settore dei media, ma anche per il commercio elettronico, gli operatori di piattaforme e gli sviluppatori di app che utilizzano modelli analoghi.

Supportiamo l'implementazione di strategie di consenso conformi alla legge

Nel complesso, la sentenza pone fine alle zone d'ombra legali e fornisce una chiara direzione per i futuri modelli di business nello spazio digitale. Le aziende dovrebbero prendere sul serio questa tendenza e investire tempestivamente in soluzioni conformi alla protezione dei dati.

Fonte: Sentenza del Tribunale amministrativo federale austriaco del 13 agosto 2025 (W 291 2272970 1/30E)

Se avete bisogno di assistenza per implementare strategie di consenso conformi alla legge e modelli "Pay or Okay", contattateci. Con Ailance® offriamo la soluzione perfetta che combina facilità d'uso e sicurezza legale.

Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.

Contattateci
Tag:
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi