Which EU Countries Take Cookie Compliance Most Seriously?

Il GDPR è un unico regolamento. Un unico testo. Direttamente applicabile in ogni Stato membro dell'UE senza necessità di recepimento nazionale (a differenza della Direttiva ePrivacy, che lo richiede, aggiungendo un ulteriore livello di variazione). In teoria, un sito web in Ungheria è soggetto agli stessi obblighi giuridici di un sito web in Germania. In pratica, il divario tra teoria e realtà è enorme.

Quando abbiamo scansionato 97.304 siti web in 25 dei 27 Stati membri dell'UE, abbiamo riscontrato che la percentuale di siti web ad alto rischio varia dal 20,9% in Austria al 58,8% in Ungheria -- un rapporto di quasi tre a uno. Lo stesso regolamento, la stessa metodologia di scansione, gli stessi criteri di classificazione, risultati marcatamente diversi. I dati suggeriscono che la conformità è meno correlata a ciò che dice la legge che al modo in cui viene applicata.

La classifica completa

La tabella seguente mostra ogni paese nel nostro studio, classificato in base alla percentuale di siti web scansionati classificati come ad alto rischio. Alto rischio significa che il sito presentava violazioni significative del consenso: tracciamento pre-consenso, fallimenti del flusso di rifiuto, meccanismi di consenso assenti in presenza di tracciamento attivo, o combinazioni di questi. Mostriamo anche il punteggio medio di rischio (una metrica continua 0-100) e il tasso di rilevamento dei banner -- la percentuale di siti scansionati in cui il nostro sistema ha identificato un banner di consenso.

(I tassi di rilevamento dei banner sono mostrati dove disponibili nel nostro dataset. "--" indica che il dato non era disaggregato per quel paese.)

Il punteggio medio di rischio fornisce una visione più sfumata rispetto alla classificazione binaria ad alto rischio. Si noti che i Paesi Bassi hanno un tasso di alto rischio relativamente moderato (43,5%) ma un punteggio medio di rischio comparativamente alto (53,1), suggerendo che sebbene meno siti olandesi superino la soglia di alto rischio, quelli che lo fanno tendono a essere più gravemente non conformi. La Svezia mostra un pattern simile all'inverso: un tasso di alto rischio più basso (33,4%) ma un punteggio medio relativamente alto (49,0), indicando un'ampia distribuzione di violazioni moderate.

Livello 1: I leader -- Germania e Austria

Germania (23,7% alto rischio) e Austria (20,9% alto rischio) sono chiari outlier. I loro siti web hanno circa la metà delle probabilità di essere classificati come ad alto rischio rispetto alla media UE del 41%. Capire perché richiede un'analisi dell'ecosistema di enforcement in entrambi i paesi.

Germania: profondità e ampiezza dell'enforcement

Il panorama tedesco della protezione dei dati è unico in Europa. Oltre al BfDI federale (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit), ciascuno dei sedici stati federali tedeschi ha la propria autorità indipendente per la protezione dei dati. Questo significa che la Germania ha diciassette DPA in totale, diverse delle quali sono state tra le più attive in Europa sul tema dell'enforcement del consenso.

La DPA bavarese (BayLDA) ha condotto un audit settoriale sul consenso ai cookie dei siti web nel 2020-2021, inviando questionari formali a centinaia di aziende e proseguendo con azioni esecutive. La DPA di Amburgo ha emanato linee guida dettagliate su Google Analytics e i requisiti del consenso. Molteplici DPA statali hanno condotto campagne di enforcement coordinate mirando a violazioni specifiche -- tracciamento pre-consenso, opzioni di rifiuto mancanti e banner di consenso non conformi.

Questa densità di enforcement crea un calcolo del rischio diverso per gli operatori di siti web tedeschi. Quando i tuoi colleghi di settore hanno ricevuto richieste formali dalla DPA, e quando le linee guida sull'enforcement sono abbastanza specifiche da dirti esattamente cosa è e cosa non è accettabile, il costo della non conformità diventa concreto piuttosto che teorico.

C'è anche una dimensione culturale. La consapevolezza tedesca sulla protezione dei dati è più profonda del GDPR. La sentenza del 1983 Volkszahlung (censimento) della Corte Costituzionale Federale ha stabilito l'autodeterminazione informativa come diritto costituzionale decenni prima dell'esistenza del GDPR. Questo ha creato un'aspettativa sociale sulla protezione dei dati che influenza sia il comportamento aziendale che le aspettative dei consumatori in modi difficili da quantificare ma chiaramente riflessi nei dati.

Austria: enforcement precoce post-Schrems II

La DSB austriaca (Datenschutzbehorde) ha ottenuto attenzione internazionale emettendo una delle prime decisioni di enforcement nel periodo successivo a Schrems II, stabilendo che l'uso di Google Analytics da parte di un sito web violava il GDPR perché i trasferimenti di dati verso gli USA mancavano di garanzie adeguate. Questa decisione -- successivamente echeggiata dalla CNIL francese e dal Garante italiano -- ha inviato un segnale chiaro agli operatori di siti web austriaci che il consenso e il tracciamento erano priorità attive di enforcement.

Il tasso di alto rischio del 20,9% dell'Austria, il più basso nel nostro studio, suggerisce che questo segnale è stato recepito. Quando una DPA dimostra attraverso decisioni specifiche e pubblicizzate che le violazioni del consenso saranno perseguite, il tasso di conformità risponde. L'Austria è uno degli esempi più chiari nei nostri dati di enforcement che correla con cambiamenti comportamentali misurabili, anche se altri fattori -- struttura di mercato, atteggiamenti culturali -- probabilmente contribuiscono anch'essi.

Livello 2: La via di mezzo nordica -- Svezia, Finlandia, Danimarca

Svezia (33,4%), Finlandia (40,3%) e Danimarca (42,1%) occupano una fascia intermedia che è migliore della media UE ma significativamente dietro i leader tedesco-austriaci.

I paesi nordici condividono forti valori culturali riguardo alla privacy e alla fiducia istituzionale, ma le loro DPA hanno generalmente adottato una postura di enforcement meno aggressiva specificamente sul consenso. L'IMY svedese (Integritetsskyddsmyndigheten) ha emesso decisioni notevoli -- inclusa una multa significativa contro Google per violazioni del diritto all'oblio -- ma il suo enforcement specifico sul consenso è stato più limitato. Il tietosuojavaltuutettu finlandese e il Datatilsynet danese si sono similmente concentrati sulla notifica delle violazioni dei dati e sulle linee guida settoriali piuttosto che su campagne diffuse sul consenso ai cookie.

Il tasso di alto rischio del 33,4% della Svezia è comunque notevolmente migliore della media dell'Europa occidentale, suggerendo che gli atteggiamenti culturali verso la privacy possano parzialmente compensare un enforcement meno frequente. Gli utenti internet nordici sono, in generale, più consapevoli della privacy, il che può creare pressione di mercato per migliori implementazioni del consenso anche in assenza di pressione regolamentare.

I tassi di rilevamento dei banner sono istruttivi qui. La Danimarca mostra un tasso di rilevamento banner del 57,0% -- il più alto per qualsiasi paese per cui abbiamo questo dato -- e la Finlandia mostra il 54,6%. Questo significa che i siti nordici hanno maggiori probabilità di implementare un banner di consenso, anche se l'implementazione dietro quel banner non è sempre pienamente conforme. Suggerisce consapevolezza dell'obbligo anche dove l'esecuzione è carente.

Livello 3: Europa occidentale -- Francia, Paesi Bassi, Belgio, Spagna, Italia

Cinque paesi dell'Europa occidentale si raggruppano strettamente tra il 42,1% e il 44,6% di alto rischio: Belgio (42,1%), Paesi Bassi (43,5%), Francia (44,1%), Spagna (44,1%) e Italia (44,6%). Questo cluster si colloca vicino alla media UE del 41% e potrebbe rappresentare una baseline di conformità -- il livello che si ottiene quando l'enforcement esiste ma non è abbastanza frequente o mirato da spostare significativamente l'ago della bilancia.

Francia: il paradosso dell'enforcement ad alto profilo

La Francia è degna di nota perché la CNIL è probabilmente la DPA più visibile a livello internazionale in Europa. Ha comminato multe record a Google (150 milioni di euro per violazioni del consenso nel 2022), Amazon (35 milioni di euro) e Microsoft (60 milioni di euro). Ha pubblicato linee guida dettagliate sui cookie e il consenso nel 2020 e ha concesso ai siti web francesi un periodo di grazia di sei mesi per adeguarsi. Ha condotto ondate di enforcement coordinate mirando a siti che non avevano implementato opzioni di rifiuto.

Eppure la Francia si colloca al 44,1% di alto rischio -- esattamente nella media dell'Europa occidentale. Come può l'enforcer più attivo produrre solo una conformità media?

La risposta risiede probabilmente nella struttura del web francese. La Francia ha un'economia digitale ampia e diversificata con centinaia di migliaia di siti web gestiti da piccole e medie imprese, enti governativi locali e organizzazioni che potrebbero non seguire da vicino le notizie sull'enforcement della CNIL. Le azioni ad alto profilo della CNIL contro i giganti tecnologici generano titoli internazionali ma potrebbero non cambiare il comportamento delle migliaia di siti di piccole imprese che utilizzano installazioni WordPress predefinite con plugin di consenso non configurati. L'enforcement che mira alla testa della distribuzione non sposta necessariamente la coda.

Questa è un'intuizione importante per tutte le DPA: le multe eclatanti dissuadono le grandi aziende ma potrebbero non spostare il tasso di conformità aggregato, che è dominato dalla lunga coda di siti piccoli e medi. Un cambiamento comportamentale ampio richiede o un enforcement di massa (impraticabile con le risorse attuali delle DPA) o strumenti che rendano la conformità l'impostazione predefinita piuttosto che l'eccezione.

Paesi Bassi: basso tasso di banner, rischio moderato

I Paesi Bassi mostrano un pattern interessante: un tasso di alto rischio del 43,5% (moderato) ma solo un tasso di rilevamento banner del 40,3% -- il più basso tra i paesi per cui abbiamo questo dato. Questo significa che i siti olandesi hanno meno probabilità di implementare un banner di consenso ma, tra quelli che lo fanno, la qualità dell'implementazione potrebbe essere un po' migliore. Potrebbe anche riflettere un ecosistema web olandese che include molti siti con tracciamento minimo (nessun banner necessario) accanto a siti che tracciano pesantemente senza preoccuparsi di un banner.

La AP olandese (Autoriteit Persoonsgegevens) è stata attiva sull'enforcement del GDPR in generale ma ha emesso meno decisioni specifiche sul consenso rispetto alle DPA tedesche o alla CNIL. Le priorità di enforcement della AP si sono concentrate sul trattamento dei dati governativi, i dati sanitari e la sorveglianza su larga scala, con le violazioni del consenso che hanno ricevuto relativamente meno attenzione.

Livello 4: Europa orientale e meridionale -- Grecia, Polonia, Romania, Cechia, Ungheria

La parte bassa della classifica è dominata dai paesi dell'Europa centrale e orientale, con tassi di alto rischio che vanno dal 52,5% (Grecia) al 58,8% (Ungheria). In questi paesi, più della metà dei siti web scansionati presenta un profilo di conformità ad alto rischio.

Il filo conduttore non è una mancanza di obbligo giuridico -- il GDPR si applica in modo identico -- ma un pattern di DPA sotto-finanziate con meno azioni di enforcement mirate specificamente al consenso. La NAIH ungherese, l'UODO polacca, l'ANSPDCP romena e l'UOOU ceca hanno tutte concentrato i loro limitati budget di enforcement su aree come la notifica delle violazioni dei dati, le richieste di accesso dei soggetti interessati e i reclami ad alto profilo piuttosto che su audit proattivi sul consenso ai cookie.

Questo è un comportamento razionale per regolatori con risorse limitate. Quando hai un team piccolo e un'economia grande da supervisionare, dai priorità ai reclami rispetto all'enforcement proattivo, e i reclami sul consenso ai cookie sono relativamente rari rispetto ai reclami sulle violazioni dei dati o sui rifiuti di accesso. Il risultato è che le violazioni del consenso restano sostanzialmente non sanzionate, e gli operatori di siti web non affrontano alcun rischio significativo di enforcement.

Questi dati non riflettono la competenza o la dedizione di queste DPA. Diverse DPA dell'Europa centrale e orientale operano con rapporti personale-popolazione che sono una frazione di quelli di cui godono le DPA statali tedesche. La NAIH ungherese, ad esempio, supervisiona un paese di 10 milioni di persone. La BayLDA bavarese, che supervisiona una popolazione di dimensioni simili all'interno di un singolo stato federale tedesco, ha storicamente avuto più risorse e un mandato più focalizzato.

La conclusione è strutturale: regolamentazione uniforme senza enforcement uniforme produce conformità non uniforme. Questo è un risultato importante nei dati a livello di paese.

La correlazione con l'enforcement

Se si traccia l'intensità dell'enforcement delle DPA rispetto ai tassi di conformità (in forma narrativa, poiché non pubblichiamo un grafico qui), la relazione è evidente. I paesi con il maggior numero di azioni di enforcement specificamente mirate al consenso -- Germania, Austria -- hanno i tassi di alto rischio più bassi. I paesi con un enforcement eclatante ma concentrato (Francia) mostrano una conformità media. I paesi con un enforcement minimo specifico sul consenso mostrano i tassi di violazione più alti.

Questa correlazione non dimostra la causalità -- fattori culturali, struttura del mercato e maturità del settore tecnologico locale giocano tutti un ruolo. Ma la forza del pattern su 25 paesi è difficile da spiegare senza l'enforcement come fattore primario.

Alcune azioni di enforcement notevoli che sembrano aver spostato l'ago:

• Germania (2020-2022): Molteplici DPA statali hanno condotto audit coordinati sul consenso ai cookie, inviando lettere formali a centinaia di siti web. La BayLDA ha pubblicato una FAQ sul consenso che è diventata uno standard de facto di conformità.
• Austria (2022): La decisione della DSB su Google Analytics è stata ampiamente coperta dai media tecnologici e business austriaci, stimolando un'ondata visibile di migrazioni da GA a Matomo.
• Francia (2021-2022): L'ondata di enforcement sui cookie della CNIL ha preso di mira oltre 100 siti web per implementazioni di consenso non conformi, sebbene l'impatto appaia concentrato tra gli operatori più grandi.
• Italia (2022): Il Garante ha emesso linee guida aggiornate sui cookie che hanno stimolato attività di conformità tra i siti web italiani più grandi, sebbene il tasso di alto rischio del 44,6% suggerisca che l'effetto non si sia propagato ampiamente.

Tassi di rilevamento dei banner per paese

Il tasso di rilevamento dei banner -- la percentuale di siti in cui il nostro scanner ha identificato un meccanismo di consenso -- varia significativamente tra i paesi:

La Danimarca è in testa con il 57,0%, suggerendo che i siti web danesi hanno la maggiore probabilità di implementare qualche forma di meccanismo di consenso anche se la loro qualità complessiva di conformità (42,1% alto rischio) è mediocre. Il 46,1% della Germania è più basso di quanto ci si potrebbe aspettare dato il suo basso tasso di violazioni, ma è coerente: i siti tedeschi che tracciano hanno maggiori probabilità di farlo con un consenso adeguato, mentre i siti tedeschi che non tracciano possono ragionevolmente operare senza un banner.

Il 40,3% dei Paesi Bassi è la cifra più bassa che abbiamo, il che è in linea con il pattern olandese sopra menzionato: meno banner in generale, ma non necessariamente una peggiore conformità tra quelli che li implementano.

Questi tassi riflettono anche la realtà metodologica. Un sito che non imposta cookie non essenziali e non contatta domini di tracciamento di terze parti genuinamente non ha bisogno di un banner di consenso in base all'esenzione della ePrivacy per i cookie strettamente necessari. Una certa variazione nei tassi di banner è quindi attesa e legittima.

Cosa significa per le aziende transfrontaliere

Se gestisci un sito web o un servizio digitale che serve utenti in più paesi dell'UE, questi dati hanno implicazioni pratiche dirette.

Il tuo rischio di conformità è determinato dal tuo mercato con il più forte enforcement. Se il tuo sito serve utenti tedeschi, lo standard è effettivamente fissato dalle aspettative delle DPA tedesche, indipendentemente da dove ha sede la tua azienda. In base al meccanismo one-stop-shop del GDPR, la tua autorità di controllo capofila potrebbe essere nel tuo paese d'origine, ma qualsiasi DPA può intervenire sui reclami dei propri residenti. Un sito web ungherese che serve visitatori tedeschi può essere sottoposto a scrutinio dalle DPA tedesche. Fare benchmarking rispetto alla media del proprio paese è insufficiente. Se sei un operatore di siti web polacco e il 53,3% dei tuoi colleghi è ad alto rischio, essere "nella media" significa comunque essere non conforme alla lettera del GDPR. Il regolamento non adegua i suoi requisiti per paese. Solo la probabilità di enforcement varia -- e le tendenze dell'enforcement vanno in una sola direzione. Le DPA che non hanno ancora dato priorità al consenso probabilmente lo faranno man mano che il coordinamento a livello europeo aumenta. L'EDPB spinge verso la convergenza. Le linee guida specifiche sui cookie dell'European Data Protection Board, le attività delle task force e i pareri di coerenza sono progettati per ridurre il divario di enforcement tra gli Stati membri. Il rapporto della task force dell'EDPB sui banner di consenso nel 2023 ha identificato violazioni comuni e ha richiesto un enforcement coordinato, e diverse DPA precedentemente meno attive hanno segnalato una maggiore attenzione al consenso in risposta. Un enforcement basso in qualsiasi mercato è improbabile che rimanga lo status quo a tempo indeterminato.

Il problema dell'armonizzazione del GDPR

I dati a livello di paese in questo studio sono, sotto certi aspetti, una sfida all'obiettivo di armonizzazione del GDPR. Il regolamento avrebbe dovuto creare un unico standard in tutta l'UE, sostituendo il mosaico di leggi nazionali sulla protezione dei dati. In termini di testo giuridico, ci è riuscito. In termini di realtà della conformità, non ancora.

Un sito web in Austria ha tre volte meno probabilità di essere ad alto rischio rispetto a un sito web in Ungheria. Un utente francese che clicca "Rifiuta" affronta lo stesso tasso di fallimento dell'80,4% di un utente polacco. Il banner di consenso ha più probabilità di apparire in Danimarca che nei Paesi Bassi. Nessuna di queste differenze ha una base giuridica -- sono tutte conseguenze di un enforcement differenziale.

Questo solleva una domanda difficile: un quadro regolamentare che dipende da autorità nazionali di enforcement, con risorse e priorità vastamente diverse, può offrire una protezione uniforme? I dati suggeriscono che la risposta attuale è no. Il divario tra Germania/Austria e Ungheria/Cechia non si sta riducendo -- e non si ridurrà senza un significativo riequilibrio delle risorse delle DPA o un passaggio all'enforcement a livello UE per violazioni comuni e tecnicamente misurabili come il tracciamento pre-consenso.

Il consenso ai cookie è, ironicamente, uno degli obblighi GDPR più facili da verificare su larga scala. A differenza della valutazione della legittimità di un'attività di trattamento dei dati o dell'adeguatezza di una valutazione d'impatto sulla privacy, verificare se un sito web imposta cookie di tracciamento prima del consenso è una misurazione oggettiva e automatizzabile. Se l'UE non riesce a raggiungere la convergenza dell'enforcement su questa più misurabile delle violazioni, le prospettive di convergenza su questioni più difficili sono scarse.

Nota metodologica

La selezione dei siti web è stata tratta dalla lista Tranco Top 1M, filtrata per associazione al paese. L'attribuzione al paese ha utilizzato i TLD con codice paese come segnale primario, integrato da dati di registrazione e hosting dove i TLD erano ambigui (ad es., domini `.com`). I siti con affiliazione al paese poco chiara sono stati esclusi dall'analisi a livello di paese ma inclusi nelle cifre aggregate a livello UE.

Ogni sito è stato scansionato utilizzando criteri identici: comportamento pre-consenso, rilevamento del banner, test del flusso di rifiuto (dove è stato identificato un pulsante di rifiuto), analisi della durata dei cookie e valutazione dell'accessibilità. Lo scanner non ha effettuato aggiustamenti per il paese di origine -- un sito ungherese è stato valutato con la stessa metodologia e le stesse soglie di un sito tedesco.

Le dimensioni del campione variano per paese, riflettendo la distribuzione dei siti web dell'UE nella lista Tranco. I paesi con economie digitali più grandi (Germania, Francia, Paesi Bassi) contribuiscono con più siti. Tutte le percentuali sono calcolate rispetto al campione per paese, non al totale UE.

---

Scopri dove si posiziona il tuo sito web. Esegui una scansione gratuita su gdprprivacymonitor.eu per ottenere la stessa valutazione di conformità che abbiamo applicato a ogni sito in questo studio -- con prove complete, punteggio di rischio e risultati azionabili.