Un GDPR indebolito: la riforma europea, il "consent-by-design" e la prospettiva di un web controllato dai browser
La revisione del GDPR non è più un’ipotesi accademica: dal 19 novembre 2025, con il lancio ufficiale del Digital Omnibus Package, la Commissione Europea ha inaugurato un percorso che mira a trasformare radicalmente il modo in cui la privacy viene gestita online. Il linguaggio istituzionale parla di “riduzione degli oneri amministrativi”, “modernizzazione del quadro normativo” e “maggiore competitività per le imprese europee”, ma dietro queste formule diplomatiche si intravede una direzione diversa: una progressiva riduzione della centralità del consenso informato, sostituito da un modello di consent-by-design in cui non è più il sito visitato a chiederti il permesso, ma il browser o il sistema operativo a decidere “per tuo conto” quali dati possono essere trattati e in quali condizioni. Questo spostamento di potere, presentato come un modo per “semplificare la vita agli utenti”, finisce per concentrare la gestione della privacy nelle mani di entità sovranazionali private - Google, Apple, Microsoft, Meta - che diventano arbitri silenziosi della tua identità digitale.
Il cuore del problema non è la modernizzazione tecnologica, ma l’indebolimento del principio cardine del GDPR: la volontarietà del consenso. Se una decisione sul trattamento dei dati personali non viene più espressa in modo puntuale e contestuale dal cittadino, ma è incorporata “a monte” nel software che usa per navigare, la relazione diretta tra utente e servizio si rompe. Le decisioni sulla privacy vengono incorporate nell’interfaccia, nella UI/UX del browser, in impostazioni predefinite spesso opache, difficili da trovare e ancora più difficili da comprendere. Non è un miglioramento: è un cambio di paradigma che rischia di sacrificare trasparenza, autodeterminazione e controllo consapevole dei dati. A beneficiarne sarebbero soprattutto i colossi globali, già proprietari dei browser più diffusi, che avrebbero la possibilità tecnica di interpretare il “consenso” in forma aggregata, modulare, preimpostata – una forma di governo algoritmico del dato che non passa più attraverso il cittadino.
L'ironia è evidente: il GDPR è nato per frenare gli abusi delle big-tech, ma la sua riforma rischia di rafforzare quegli stessi attori. Meno banner, sì; meno frizioni, certo; ma anche meno capacità dell’utente di capire quando e come viene tracciato, e soprattutto meno possibilità per piccoli editori e piccole piattaforme di stabilire una relazione diretta con il proprio pubblico. La semplificazione promessa rischia di essere un gigantesco regalo al capitalismo del dato, che potrà operare con meno trasparenza e meno obblighi, perché “tanto ci pensa il browser a raccogliere il consenso”. E mentre i giganti guadagnano spazio, gli attori più piccoli perdono la capacità di negoziare condizioni eque: un utente che non vede più il banner di un sito, ma solo le impostazioni del proprio browser, non percepisce più chi effettivamente usa i suoi dati. È il trionfo della mediazione tecnologica nella sua forma più brutale: una privacy che smette di essere un diritto e diventa un’impostazione di sistema.
Non si deve salvare il GDPR o abolirlo: il punto è impedire che venga sostituito da qualcosa di ancora più pericoloso per gli editori e per la trasparenza online.
"Pay or Consent", il grande equivoco del Garante: il 29 aprile 2025 parte una crociata inutile contro l’unico modello che permette agli editori di sopravvivere
Il 29 aprile 2025, con il provvedimento n. 272, il Garante Privacy italiano ha aperto una consultazione pubblica per valutare la liceità dei modelli "Pay-or-Ok", cioè quei sistemi in cui puoi leggere gratuitamente solo se accetti la pubblicità tracciante, oppure paghi un abbonamento per farne a meno. Sulla carta sembra un intervento nobile, un tentativo di difendere il “consenso libero”: nella realtà è l’ennesima prova che le istituzioni non hanno la minima idea di cosa significhi mantenere online un progetto editoriale nel 2025. Il Garante parla come se gli editori vivessero d’aria, come se mettere online contenuti aggiornati, server veloci, sezioni dinamiche, guide approfondite e analisi originali non avesse alcun costo. Il modello "Pay or Consent" non è un abuso: è una delle pochissime soluzioni rimaste per chi non vuole trasformarsi in un venditore di abbonamenti o dipendere da tre sponsor. Eppure, invece di colpire le piattaforme che tracciano tutto e tutti senza nemmeno chiedere il permesso, ci si accanisce contro chi tenta semplicemente di finanziare il proprio lavoro attraverso pubblicità legittima, necessaria per dare ai lettori contenuti gratuiti di qualità.
Il vero equivoco è questo: si continua a trattare il tracciamento pubblicitario come se fosse un atto immorale, una violazione esistenziale, quando nella stragrande maggioranza dei casi serve solo a mostrare banner più rilevanti e a permettere agli editori di pagare le spese. Non stiamo parlando di intercettazioni telefoniche o profilazione politica: stiamo parlando del modo con cui un sito cerca di non affondare mentre tutti si aspettano che sia tutto gratuito e perfetto. Ma nella narrativa del Garante, la pubblicità è sempre qualcosa da arginare, controllare, reprimere. Il risultato è che il peso ricade sempre sugli stessi: i piccoli editori, gli unici che non hanno infrastrutture proprietarie, ad-server interni, data-center, CRM miliardari o legioni di avvocati. E mentre loro vengono messi sotto la lente, i veri padroni del tracciamento - big-tech e grandi gruppi editoriali - possono permettersi qualunque soluzione alternativa: abbonamenti aggressivi, login obbligatori, modelli misti, servizi a pagamento, app first-party che aggirano qualsiasi vincolo.
Il paradosso finale è che il Garante colpisce l’unico meccanismo che tiene ancora in vita l’informazione gratuita, mentre difende un concetto di "consenso puro" che non esiste più da anni, perché l’utente medio europeo vuole tutto gratis, non vuole pubblicità, non vuole cookie, non vuole pagare, non vuole tracking…ma pretende che i contenuti continuino a esistere magicamente. Invece di aiutare chi produce valore, si rischia di distruggere l'unico modello economico sostenibile rimasto per chi non ha 300 dipendenti e un conglomerato alle spalle. Se l’obiettivo era proteggere gli utenti, si sarebbe dovuto iniziare dai colossi che vivono di mining dei dati, non dagli editori che cercano solo di sopravvivere. Qui non si sta difendendo la privacy: si sta attaccando la sostenibilità della piccola editoria, e questa è la parte più assurda di tutta la questione.
Il tracciamento pubblicitario non è il nemico: demonizzare i cookie mentre si ignora chi davvero abusa dei dati è la più grande ipocrisia del dibattito europeo
Da anni il dibattito sulla privacy in Europa ha preso una piega surreale: sembra che il male assoluto del web siano i cookie pubblicitari, come se un banner che vuole mostrarti un’auto invece di un frullatore fosse una minaccia esistenziale alla libertà individuale. La verità è che il tracciamento pubblicitario standard non ha nulla di pericoloso, non profila vite private, non viola segreti personali, non scandaglia la psicologia dell’utente. Serve unicamente a rendere sostenibili i contenuti gratuiti e a evitare che gli editori siano costretti a riempire ogni centimetro dello schermo con pubblicità casuali e invendibili. Ma nell’immaginario costruito da anni di retorica anti-cookie, il semplice fatto che un sito voglia capire quali pagine leggi per proporti banner meno intrusivi è diventato un peccato mortale.
Il problema non sono i cookie: sono le grandi piattaforme che raccolgono dati al di fuori dei siti, dentro i sistemi operativi, nelle app, negli ecosistemi chiusi, negli account obbligatori, nel login persistente che nessuna autorità mette davvero in discussione. Mentre l’Europa combatte la sua guerra santa contro i cookie di terze parti, ignoriamo il fatto che Google, Apple, Meta e gli altri attori dominanti non hanno bisogno dei cookie: hanno sistemi di identificazione infinitamente più precisi, basati su segnali ambientali, fingerprinting, telemetria, sincronizzazione cross-device. Ma il Garante e una buona fetta dell’opinione pubblica continuano a fare la guerra al piccolo editore che usa un semplice script pubblicitario per tirare avanti. Una battaglia confusa, ideologica, completamente fuori fuoco: si colpiscono gli unici attori che usano i dati in modo limitato, contestuale e trasparente, lasciando indisturbati coloro che li raccolgono in quantità industriale senza nemmeno chiedere il permesso.
È questo il grande paradosso della regolazione europea: più è grande il soggetto, più è facile aggirare i vincoli; più sei piccolo, più vieni colpito. Un editore indipendente che usa un tag pubblicitario standard viene trattato come un potenziale criminale; una multinazionale che profila miliardi di utenti per scopi ben più profondi viene invece vista come un “fornitore di servizi”. Il tracciamento pubblicitario( quello vero, trasparente, legittimo) è semplicemente un mezzo per finanziare il lavoro editoriale. Senza quello, i siti gratuiti chiudono, i contenuti spariscono, e la rete diventa un deserto dominato da pochi brand globali. Continuare a dipingere i cookie come un problema sociale è solo un modo per evitare di affrontare l’unico nodo serio: la privacy non è minacciata dai banner, ma dal fatto che l’Europa non ha mai osato toccare i veri protagonisti della raccolta dati. E finché non si corregge questo equivoco, il dibattito rimarrà distorto e i piccoli continueranno a pagare il prezzo di una guerra che non hanno nemmeno iniziato.
Il lavoro editoriale non riconosciuto: contenuti che richiedono ore di studio trattati come se non avessero valore
Nessuno nelle istituzioni sembra capire cosa significhi davvero produrre contenuti online oggi. Ogni articolo, ogni guida, ogni analisi che un piccolo editore pubblica è il risultato di studio, competenze, tempo, aggiornamenti costanti, ricerca normativa, revisione tecnica, scrittura pulita, editing, formattazione, test su diversi dispositivi, aggiornamenti SEO, ottimizzazione delle performance, gestione server, sicurezza, backup, manutenzione. È un lavoro enorme, complesso, frammentato, che richiede serietà e disciplina. Eppure, nella narrativa che domina il dibattito sulla privacy, sembra quasi che questi contenuti esistano spontaneamente, come se i siti nascessero già completi, funzionanti e gratuiti senza alcun costo o sforzo umano. È una percezione tossica che ha trasformato gli editori indipendenti in bersagli facili: chi crea valore viene trattato alla stregua di un intruso, mentre chi sfrutta dati su scala industriale continua indisturbato.
Il punto cieco del legislatore è drammatico: non esiste alcun riconoscimento strutturale del valore economico del contenuto. Non esiste un modello che dica chiaramente "un’informazione affidabile ha un costo, e qualcuno deve coprirlo". Al contrario, si continua a spingere l’idea romantica di un web "libero e gratuito" dove tutto dovrebbe essere accessibile immediatamente senza alcuna forma di contributo, né economico né pubblicitario. Il risultato è che gli editori piccoli, quelli che non appartengono a conglomerati industriali o gruppi finanziari, devono combattere ogni giorno contro una percezione ingiusta: sono loro a produrre informazioni utili, ma sono anche gli unici a cui si chiede di farlo gratis, senza strumenti, senza margini, senza alcuna tutela normativa.
E quando provano a difendersi con modelli sostenibili (pubblicità, tracking commerciale light, paywall selettivi, modelli ibridi) vengono puntualmente accusati di "invadere la privacy dell’utente", come se fotografassero la sua vita privata. Nulla è più falso: i piccoli editori non hanno alcun interesse a costruire profili psicologici o reti sociali; l’unico obiettivo è monetizzare quel minimo che serve per mantenere vivo un progetto editoriale. Ma le autorità continuano a ragionare come se ogni sito fosse Google, come se ogni pagina fosse un surveillance hub globale. È un errore di prospettiva che schiaccia l’editoria indipendente e la spinge verso l’estinzione. Se il lavoro editoriale continua a essere trattato come un hobby gratuito, e se chi produce contenuti non viene messo nella condizione di sostenerli economicamente, allora il web diventerà inevitabilmente un ecosistema uniforme, filtrato, dominato da poche piattaforme, dove la pluralità non è più un diritto, ma un lusso.
L’illusione del "tutto gratis": utenti che rifiutano la pubblicità ma pretendono servizi completi senza costi
Una delle contraddizioni più evidenti dell’ecosistema digitale europeo è l’idea ormai radicata che tutto debba essere gratuito, immediato e impeccabile. Gli utenti vogliono articoli ben scritti, guide aggiornate, servizi veloci, grafica curata, assistenza, compatibilità mobile, server sempre attivi, zero banner invasivi, zero cookie, zero tracking, zero abbonamenti, zero paywall. Una lista infinita di pretese, tutte accomunate da un unico punto: nessuna disponibilità a pagare o, quantomeno, a tollerare la forma minima di monetizzazione che permette a un editore di esistere. Il risultato è un modello psicologico distorto in cui il valore percepito è completamente scollegato dal valore reale: il lavoro necessario per produrre contenuti di qualità viene invisibilizzato, mentre l’utente medio si convince che un sito gratuito debba funzionare al livello di una multinazionale con migliaia di dipendenti.
La cosa più paradossale è che questa cultura del “gratis o niente” si regge proprio sullo strumento che oggi viene demonizzato: la pubblicità. Senza pubblicità (inclusa quella minimamente personalizzata) il 95% dei siti indipendenti non potrebbe esistere. Ma l’utente medio non lo capisce, o non vuole capirlo. Rifiuta i cookie, blocca i banner, chiude il sito se appare un pop-up, installa estensioni che eliminano qualsiasi forma di monetizzazione… e poi si lamenta perché i contenuti sono scarsi, perché i siti chiudono, perché le informazioni online peggiorano. È un circolo vizioso alimentato da anni di messaggi semplicistici: "i cookie sono il male", "la privacy è in pericolo", "non concedere nulla a nessuno". E così, mentre i giganti tecnologici riescono comunque a profilare gli utenti tramite sistemi propri (account, app, fingerprinting, telemetria integrata), il piccolo editore si ritrova senza strumenti, senza entrate e senza alternative.
Questa mentalità non è solo irrealistica: è autodistruttiva. Se l’utente vuole qualità, pluralità, indipendenza editoriale e contenuti gratuiti, deve accettare che questi contenuti abbiano un costo e che quel costo venga coperto in qualche modo. Non esistono servizi gratuiti per magia, non esiste informazione gratuita senza una struttura economica che la sostenga. Continuare a fingere che si possa avere tutto senza dare nulla è una forma di infantilismo digitale che sta uccidendo lentamente il web libero. E finché il pubblico non capirà questa semplice verità, gli editori continueranno a essere trattati come fornitori invisibili: utili quando producono contenuti, fastidiosi quando cercano di sostenerli.
L'IA e il "consent centralizzato": dal cookie al browser-algoritmo che decide ciò che l’utente non controlla più
Il passaggio dai cookie al "consenso centralizzato" nei browser non è solo un cambiamento tecnico: è la trasformazione più radicale della privacy degli ultimi dieci anni. Quando si toglie all’utente la possibilità di esprimere un consenso consapevole e si affida tutto a un sistema di preferenze globali gestito dal browser, si introduce una forma nuova di intermediazione digitale: non decidi più tu, non decide più il sito, decide l’algoritmo. In questo modello, presentato come una liberazione dai banner, la gestione del consenso viene affidata direttamente alle piattaforme che controllano il mercato della navigazione - Google, Apple, Mozilla, Microsoft - che già dal 2024–2025 hanno iniziato a integrare sistemi di privacy sandbox, limited ads, tracciamento contestuale e modelli IA capaci di inferire preferenze senza memorizzare cookie tradizionali. Questo significa una cosa molto semplice: la tua privacy non la controlli più, la interpreta un software, e quel software appartiene a un'azienda privata con un interesse commerciale ben definito.
| Elemento | GDPR attuale | Nuovo GDPR |
| Chi richiede il consenso | Il singolo sito tramite banner | Il browser o il sistema operativo |
| Modalità di scelta | Azione esplicita (opt-in) | Preferenze preimpostate nel software |
| Trasparenza | Vedi quali cookie e tracker attivi | Decisioni automatizzate non sempre visibili |
| Relazione editor–utente | Diretta: il sito chiede consenso e spiega l'uso dati | Interrotta: decide il browser, non l'editore |
| Pubblicità | Basata su cookie e scelte utente | Basata su IA del browser e modelli contestuali |
| Gestione rifiuto | L'utente può rifiutare in ogni sito | Rifiuto globale difficilmente granulare |
| Ruolo delle Big Tech | Limitato ai cookie dei loro servizi | Dominante: controllano browser, consenso e advertising |
| Impatto per editori | Possibilità di negoziare il consenso | Margine quasi nullo, monetizzazione affidata a scelte di terzi |
La nuova generazione di browser utilizza modelli predittivi per capire che tipo di pubblicità può esserti mostrata "senza violare il GDPR", ma di fatto sostituisce la regolazione europea con un insieme di scelte automatizzate che non sono né verificabili né trasparenti. La cosa più inquietante è che queste decisioni non sono negoziabili: l'utente può solo accettare un sistema confezionato a monte, mentre gli editori non possono più stabilire un rapporto diretto con il proprio pubblico. Se il browser decide che un certo tipo di advertising è consentito, passa. Se decide che non lo è, l’editore non ha più alcun margine operativo. La relazione economica e informativa viene interamente filtrata dall'IA del browser, che diventa così la vera autorità della privacy del continente, molto più influente del legislatore stesso.
Questa dinamica crea un ulteriore squilibrio: i piccoli editori vengono tagliati fuori dal ciclo decisionale, mentre le big-tech si ritrovano arbitri e giocatori allo stesso tempo. I siti indipendenti perdono non solo strumenti di monetizzazione, ma anche la capacità di capire come gli utenti vengono classificati, quali contenuti vengono penalizzati e quali modelli pubblicitari sono ancora praticabili. Nel giro di pochi anni, il rischio è evidente: un web in cui la privacy non è più un diritto del cittadino, ma un protocollo software controllato da quattro aziende globali. E quando la privacy diventa una “funzione di sistema”, ciò che sparisce non è il tracciamento, ma la trasparenza sul tracciamento. Per gli editori significa perdita di autonomia; per gli utenti significa vivere in un ecosistema dove la propria identità digitale viene gestita da un algoritmo che non hanno mai scelto.
Il vero fallimento europeo: una regolazione che soffoca l’innovazione, punisce chi crea contenuti e protegge solo i giganti
Il quadro che emerge dall’evoluzione normativa degli ultimi anni è impietoso: l'Unione Europea ha costruito un sistema di regole che pretende di tutelare l’utente, ma finisce per schiacciare sistematicamente chi produce valore e per agevolare chi quel valore lo assorbe senza generarlo. La burocrazia del GDPR è l’esempio perfetto di questa deriva: obblighi sproporzionati, interpretazioni ambigue, montagne di documenti, adempimenti che richiedono competenze giuridiche da multinazionale anche quando si parla di un editore con un solo server e un budget minimo. E come se questo non bastasse, lo stesso GDPR prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato globale dell’azienda, cifre talmente assurde da risultare comiche quando applicate a un singolo webmaster, a un micro-editore, oppure a un blog indipendente. È una minaccia punitiva senza senso: uno strumento progettato per frenare Facebook o Google che viene brandito, nella pratica, contro chi si limita a pubblicare contenuti e a usare un cookie di analytics. Un apparato repressivo gigantesco applicato a realtà minuscole, completamente sproporzionato rispetto ai benefici teorici che si vorrebbero ottenere.
La cosa più paradossale è che le norme europee sembrano costruite su un modello di internet che non esiste più da oltre dieci anni. Si continua a scrivere regolamentazione come se il pericolo fosse il piccolo sito che usa un cookie di terza parte per monetizzare un banner; mentre il reale ecosistema dei dati funziona attraverso app, sistemi operativi, ecosistemi chiusi, login permanenti, machine learning incorporato, profilazione server-side e identificatori multipli che bypassano completamente la logica dei cookie. Ma il legislatore ignora questa realtà e si concentra su ciò che è più facile da colpire: l'editoria indipendente, i progetti autonomi, i siti che vivono di contenuti e non di sorveglianza industriale. È una persecuzione normativa che non colpisce mai i veri responsabili dell’espropriazione digitale degli utenti, ma punisce chi ha meno risorse, meno strumenti e meno visibilità.
Questo non è un incidente burocratico: è un fallimento sistemico. Un continente che vuole competere a livello globale non può permettersi di trattare l’innovazione come una minaccia e la creazione di contenuti come un’attività marginale. Continuare su questa strada significa alimentare un web europeo povero, lento, frammentato, dipendente da infrastrutture straniere e incapace di sostenere la propria produzione culturale. Gli editori piccoli, i creatori indipendenti, chi costruisce valore reale con l'intelligenza e non con la sorveglianza, meritano di essere messi al centro della strategia digitale, non relegati ai margini da regolazioni pensate per un mondo che non esiste più. E finchè l’Europa non capirà che la protezione dei dati non può trasformarsi in una punizione per chi lavora onestamente, il risultato sarà sempre lo stesso: chi crea chiude, chi sfrutta prospera.
Il GDPR meritava una revisione seria, non una riforma che consegna tutto alle Big Tech e distrugge la piccola editoria.