Which EU Countries Take Cookie Compliance Most Seriously?

O GDPR e uma regulacao unica. Um texto. Diretamente aplicavel em todos os estados-membros da UE sem necessidade de transposicao nacional (ao contrario da Diretiva ePrivacy, que a exige, adicionando mais uma camada de variacao). Em teoria, um website na Hungria enfrenta as mesmas obrigacoes legais que um website na Alemanha. Na pratica, o fosso entre teoria e realidade e enorme.

Quando analisámos 97.304 websites em 25 estados-membros da UE, descobrimos que a percentagem de websites de alto risco varia de 20,9% na Austria a 58,8% na Hungria -- uma proporcao de quase tres para um. A mesma regulacao, a mesma metodologia de analise, os mesmos criterios de classificacao, resultados marcadamente diferentes. Os dados sugerem que a conformidade correlaciona-se menos com o que a lei diz do que com a forma como é aplicada.

O Ranking Completo

A tabela abaixo mostra cada pais no nosso estudo, classificado pela percentagem de websites analisados classificados como de alto risco. Alto risco significa que o site exibiu violacoes significativas de consentimento: rastreamento pre-consentimento, falhas no fluxo de rejeicao, mecanismos de consentimento em falta juntamente com rastreamento ativo, ou combinacoes destes. Tambem mostramos a pontuacao media de risco (uma metrica continua de 0-100) e a taxa de detecao de banners -- a percentagem de sites analisados onde o nosso sistema identificou um banner de consentimento.

(Taxas de detecao de banners mostradas quando disponiveis no nosso conjunto de dados. "--" indica que os dados nao foram desagregados para esse pais.)

A pontuacao media de risco fornece uma visao mais matizada do que a classificacao binaria de alto risco. Note que os Paises Baixos tem uma taxa de alto risco relativamente moderada (43,5%) mas uma pontuacao media de risco comparativamente elevada (53,1), sugerindo que embora menos sites holandeses ultrapassem o limiar de alto risco, os que ultrapassam tendem a ser mais severamente nao conformes. A Suecia mostra um padrao semelhante ao inverso: uma taxa de alto risco mais baixa (33,4%) mas uma pontuacao media relativamente elevada (49,0), indicando uma ampla dispersao de violacoes moderadas.

Nivel 1: Os Lideres -- Alemanha e Austria

A Alemanha (23,7% alto risco) e a Austria (20,9% alto risco) sao outliers claros. Os seus websites tem aproximadamente metade da probabilidade de serem classificados como de alto risco comparados com a media da UE de 41%. Compreender porquê requer olhar para o ecossistema de aplicacao em ambos os paises.

Alemanha: profundidade e amplitude da aplicacao

A paisagem de protecao de dados da Alemanha e unica na Europa. Alem do BfDI federal (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit), cada um dos dezasseis estados da Alemanha tem a sua propria autoridade de protecao de dados independente. Isto significa que a Alemanha tem dezassete DPAs no total, varias das quais estiveram entre as mais ativas da Europa na aplicacao de consentimento.

A DPA da Baviera (BayLDA) conduziu uma auditoria setorial de consentimento de cookies em websites em 2020-2021, enviando questionarios formais a centenas de empresas e dando seguimento com acoes de aplicacao. A DPA de Hamburgo emitiu orientacoes detalhadas sobre Google Analytics e requisitos de consentimento. Multiplas DPAs estaduais conduziram campanhas de aplicacao coordenadas visando violacoes especificas -- rastreamento pre-consentimento, opcoes de rejeicao em falta e banners de cookies nao conformes.

Esta densidade de aplicacao cria um calculo de risco diferente para os operadores de websites alemaes. Quando os seus pares da industria receberam inquéritos formais da DPA, e quando as orientacoes de aplicacao sao suficientemente especificas para lhe dizer exatamente o que e e nao e aceitavel, o custo da nao conformidade torna-se concreto em vez de teorico.

Ha tambem uma dimensao cultural. A consciencia de protecao de dados da Alemanha e mais profunda do que o GDPR. A decisao Volkszahlung (censo) de 1983 pelo Tribunal Constitucional Federal estabeleceu a autodeterminacao informacional como um direito constitucional decadas antes do GDPR existir. Isto criou uma expectativa social em torno da protecao de dados que influencia tanto o comportamento corporativo como as expectativas dos consumidores de formas mais dificeis de quantificar mas claramente refletidas nos dados.

Austria: aplicacao precoce pos-Schrems II

A DSB (Datenschutzbehorde) da Austria ganhou atencao internacional ao emitir uma das primeiras decisoes de aplicacao no rescaldo do Schrems II, considerando que o uso de Google Analytics por um website violava o GDPR porque as transferencias de dados para os EUA careciam de salvaguardas adequadas. Esta decisao -- mais tarde ecoada pela CNIL francesa e pelo Garante italiano -- enviou um sinal claro aos operadores de websites austriacos de que o consentimento e o rastreamento eram prioridades ativas de aplicacao.

A taxa de 20,9% de alto risco da Austria, a mais baixa no nosso estudo, sugere que este sinal foi recebido. Quando uma DPA demonstra atraves de decisoes especificas e publicitadas que violacoes de consentimento serao perseguidas, a taxa de conformidade responde. A Áustria é um dos exemplos mais claros nos nossos dados de correlação entre aplicação e mudança comportamental mensurável, embora outros fatores -- estrutura de mercado, atitudes culturais -- provavelmente também contribuam.

Nivel 2: O Meio-Termo Nordico -- Suecia, Finlandia, Dinamarca

A Suecia (33,4%), a Finlandia (40,3%) e a Dinamarca (42,1%) ocupam uma faixa intermedia que e melhor do que a media da UE mas significativamente atras dos lideres germano-austriacos.

Os paises nordicos partilham fortes valores culturais em torno da privacidade e da confianca institucional, mas as suas DPAs geralmente adotaram uma postura de aplicacao menos agressiva no consentimento especificamente. A IMY sueca (Integritetsskyddsmyndigheten) emitiu decisoes notaveis -- incluindo uma multa significativa ao Google por falhas no direito ao esquecimento -- mas a sua aplicacao especifica de consentimento foi mais limitada. O tietosuojavaltuutettu da Finlandia e o Datatilsynet da Dinamarca concentraram-se igualmente na notificacao de violacoes de dados e em orientacoes setoriais em vez de campanhas de consentimento de cookies em larga escala.

A taxa de 33,4% de alto risco da Suecia e no entanto notavelmente melhor do que a media da Europa Ocidental, sugerindo que as atitudes culturais em relacao a privacidade podem parcialmente compensar aplicacao menos frequente. Os utilizadores de internet nordicos sao, em geral, mais conscientes da privacidade, o que pode criar pressao de mercado para melhores implementacoes de consentimento mesmo na ausencia de pressao regulatoria.

As taxas de detecao de banners sao instrutivas aqui. A Dinamarca mostra uma taxa de detecao de banners de 57,0% -- a mais alta para qualquer pais onde temos este ponto de dados -- e a Finlandia mostra 54,6%. Isto significa que os sites nordicos sao mais propensos a implementar um banner de consentimento, mesmo que a implementacao por tras desse banner nem sempre seja totalmente conforme. Sugere consciencia da obrigacao mesmo onde a execucao fica aquem.

Nivel 3: Europa Ocidental -- Franca, Paises Baixos, Belgica, Espanha, Italia

Cinco paises da Europa Ocidental agrupam-se estreitamente entre 42,1% e 44,6% de alto risco: Belgica (42,1%), Paises Baixos (43,5%), Franca (44,1%), Espanha (44,1%) e Italia (44,6%). Este grupo situa-se proximo da media da UE de 41% e pode representar uma linha de base de conformidade -- o nivel que se obtem quando a aplicacao existe mas nao e frequente ou direcionada o suficiente para mover o ponteiro substancialmente.

Franca: o paradoxo da aplicacao de alto perfil

A França é notável porque a CNIL e provavelmente a DPA mais internacionalmente visivel da Europa. Emitiu multas recorde contra o Google (150 milhoes de euros por violacoes de consentimento em 2022), a Amazon (35 milhoes de euros) e a Microsoft (60 milhoes de euros). Publicou diretrizes detalhadas sobre cookies e consentimento em 2020 e deu aos websites franceses um periodo de graca de seis meses para cumprir. Conduziu vagas de aplicacao coordenadas visando sites que falharam em implementar opcoes de rejeicao.

No entanto, a Franca situa-se em 44,1% de alto risco -- bem na media para a Europa Ocidental. Como pode o aplicador mais ativo produzir apenas conformidade media?

A resposta provavelmente reside na estrutura da web francesa. A Franca tem uma economia digital grande e diversificada com centenas de milhares de websites operados por pequenas e medias empresas, entidades governamentais locais e organizacoes que podem nao acompanhar de perto as noticias de aplicacao da CNIL. As acoes de alto perfil da CNIL contra gigantes tecnologicos geram manchetes internacionais mas podem nao mudar o comportamento entre os milhares de sites de pequenas empresas que usam instalacoes WordPress predefinidas com plugins de consentimento nao configurados. A aplicacao que visa a cabeca da distribuicao nao necessariamente move a cauda.

Esta e uma percepcao importante para todas as DPAs: multas de manchete dissuadem grandes empresas mas podem nao alterar a taxa de conformidade agregada, que e dominada pela cauda longa de sites pequenos e medios. A mudanca comportamental ampla requer ou aplicacao em massa (impraticavel com os recursos atuais das DPAs) ou ferramentas que tornem a conformidade o padrao em vez da excecao.

Paises Baixos: baixa taxa de banners, risco moderado

Os Paises Baixos mostram um padrao interessante: uma taxa de alto risco de 43,5% (moderada) mas apenas 40,3% de taxa de detecao de banners -- a mais baixa entre os paises onde temos estes dados. Isto significa que os sites holandeses sao menos propensos a implementar um banner de consentimento mas, entre os que o fazem, a qualidade da implementacao pode ser algo melhor. Pode tambem refletir um ecossistema web holandes que inclui muitos sites com rastreamento minimo (sem necessidade de banner) ao lado de sites que rastreiam pesadamente sem se preocuparem com um banner.

A AP holandesa (Autoriteit Persoonsgegevens) tem sido ativa na aplicacao do GDPR em geral mas emitiu menos decisoes especificas de consentimento comparadas com as DPAs alemas ou a CNIL. As prioridades de aplicacao da AP centraram-se no tratamento de dados governamentais, dados de saude e vigilancia em larga escala, com violacoes de consentimento a receber relativamente menos atencao.

Nivel 4: Europa Central e de Leste e Sul -- Grecia, Polonia, Romenia, Chequia, Hungria

O fundo do ranking e dominado por paises da Europa Central e de Leste, com taxas de alto risco que variam de 52,5% (Grecia) a 58,8% (Hungria). Nestes paises, mais de metade dos websites analisados apresentam um perfil de conformidade de alto risco.

O fio condutor nao e a falta de obrigacao legal -- o GDPR aplica-se de forma identica -- mas um padrao de DPAs subfinanciadas com menos acoes de aplicacao visando especificamente o consentimento. A NAIH da Hungria, a UODO da Polonia, a ANSPDCP da Romenia e a UOOU da Chequia concentraram todas os seus orcamentos limitados de aplicacao em areas como notificacao de violacoes de dados, pedidos de acesso dos titulares e queixas de alto perfil em vez de auditorias proativas de consentimento de cookies.

Este e um comportamento racional para reguladores subfinanciados. Quando se tem uma equipa pequena e uma grande economia para supervisionar, priorizam-se queixas sobre aplicacao proativa, e as queixas sobre consentimento de cookies sao relativamente raras comparadas com queixas sobre violacoes de dados ou recusas de acesso dos titulares. O resultado e que violacoes de consentimento passam largamente sem policiamento, e os operadores de websites nao enfrentam risco significativo de aplicacao.

Estes dados não refletem a competência ou dedicação destas DPAs. Varias DPAs da Europa Central e de Leste operam com racios pessoal-populacao que sao uma fracao do que as DPAs estaduais alemas dispoem. A NAIH hungara, por exemplo, supervisiona um pais de 10 milhoes de pessoas. A BayLDA da Baviera, supervisionando uma populacao de dimensao semelhante dentro de um estado alemao, tem historicamente tido mais recursos e um mandato mais focado.

A conclusao e estrutural: regulacao uniforme sem aplicacao uniforme produz conformidade nao uniforme. Este é um achado importante nos dados ao nível dos países.

A Correlacao da Aplicacao

Se tracarmos a intensidade de aplicacao das DPAs contra as taxas de conformidade (em narrativa, ja que nao publicamos um grafico aqui), a relação é aparente. Os paises com mais acoes de aplicacao especificamente visando o consentimento -- Alemanha, Austria -- tem as taxas de alto risco mais baixas. Paises com aplicacao chamativa mas concentrada (Franca) mostram conformidade media. Paises com aplicacao especifica de consentimento minima mostram as taxas de violacao mais elevadas.

Esta correlacao nao prova causalidade -- fatores culturais, estrutura de mercado e a maturidade do setor tecnologico local desempenham todos papeis. Mas a forca do padrao em 25 paises e dificil de explicar sem a aplicacao como motor primario.

Algumas acoes de aplicacao notaveis que parecem ter movido o ponteiro:

• Alemanha (2020-2022): Multiplas DPAs estaduais conduziram auditorias coordenadas de consentimento de cookies, enviando cartas formais a centenas de websites. A BayLDA publicou uma FAQ sobre consentimento que se tornou um padrao de conformidade de facto.
• Austria (2022): A decisao da DSB sobre Google Analytics foi amplamente coberta nos media tecnologicos e de negocios austriacos, desencadeando uma onda visivel de migracoes de GA para Matomo.
• Franca (2021-2022): A vaga de aplicacao de cookies da CNIL visou 100+ websites por implementacoes de consentimento nao conformes, embora o impacto pareca concentrado entre operadores maiores.
• Italia (2022): O Garante emitiu diretrizes de cookies atualizadas que motivaram atividade de conformidade entre websites italianos maiores, embora a taxa de 44,6% de alto risco sugira que o efeito nao se propagou amplamente.

Taxas de Detecao de Banners por Pais

A taxa de detecao de banners -- a percentagem de sites onde o nosso scanner identificou um mecanismo de consentimento -- varia significativamente entre paises:

A Dinamarca lidera com 57,0%, sugerindo que os websites dinamarqueses sao mais propensos a implementar alguma forma de mecanismo de consentimento mesmo que a sua qualidade geral de conformidade (42,1% alto risco) seja mediana. Os 46,1% da Alemanha sao mais baixos do que seria de esperar dada a sua baixa taxa de violacao, mas isto e consistente: sites alemaes que rastreiam sao mais propensos a faze-lo com consentimento adequado, enquanto sites alemaes que nao rastreiam podem razoavelmente operar sem banner.

Os 40,3% dos Paises Baixos sao o numero mais baixo que temos, o que se alinha com o padrao holandes notado acima: menos banners no geral, mas nao necessariamente pior conformidade entre os que os implementam.

Estas taxas tambem refletem a realidade metodologica. Um site que nao define cookies nao essenciais e nao contacta dominios de rastreamento de terceiros genuinamente nao precisa de um banner de consentimento ao abrigo da excecao ePrivacy para cookies estritamente necessarios. Alguma variacao nas taxas de banners e portanto esperada e legitima.

O Que Isto Significa para Empresas Transfronteiricas

Se opera um website ou servico digital que serve utilizadores em multiplos paises da UE, estes dados tem implicacoes praticas diretas.

O seu risco de conformidade e determinado pelo seu mercado de maior aplicacao. Se o seu site serve utilizadores alemaes, a fasquia e efetivamente definida pelas expectativas das DPAs alemas, independentemente de onde a sua empresa esta sediada. Ao abrigo do mecanismo de balcao unico do GDPR, a sua autoridade de supervisao principal pode estar no seu pais de origem, mas qualquer DPA pode agir sobre queixas dos seus proprios residentes. Um website hungaro que serve visitantes alemaes pode enfrentar escrutinio de DPAs alemas. Comparar-se com a media do seu proprio pais e insuficiente. Se e um operador de website polaco e 53,3% dos seus pares sao de alto risco, ser "medio" ainda significa que nao esta em conformidade pela letra do GDPR. A regulacao nao ajusta os seus requisitos por pais. Apenas a probabilidade de aplicacao varia -- e as tendencias de aplicacao movem-se numa direcao. DPAs que ainda nao priorizaram o consentimento provavelmente o farao a medida que a coordenacao a nivel europeu aumenta. O EDPB esta a pressionar por convergencia. As diretrizes especificas de cookies do European Data Protection Board, atividades de taskforce e pareceres de consistencia sao concebidos para reduzir o fosso de aplicacao entre estados-membros. O relatorio da taskforce de banners de consentimento do EDPB em 2023 identificou violacoes comuns e apelou a aplicacao coordenada, e varias DPAs anteriormente menos ativas sinalizaram atencao aumentada ao consentimento em resposta. É improvável que a baixa aplicação em qualquer mercado permaneça como status quo indefinidamente.

O Problema da Harmonizacao do GDPR

Os dados ao nivel dos paises neste estudo sao, em alguns aspetos, um desafio ao objetivo de harmonização do GDPR. A regulacao deveria criar um padrao unico em toda a UE, substituindo a manta de retalhos de leis nacionais de protecao de dados. Em termos do texto legal, conseguiu. Em termos de realidade de conformidade, ainda não.

Um website na Austria tem tres vezes menos probabilidade de ser de alto risco do que um website na Hungria. Um utilizador frances a clicar em "Rejeitar" enfrenta a mesma taxa de falha de 80,4% que um utilizador polaco. O banner de consentimento e mais provavel de aparecer na Dinamarca do que nos Paises Baixos. Nenhuma destas diferencas tem base legal -- sao todas consequencias de aplicacao diferencial.

Isto levanta uma questao dificil: pode um enquadramento regulatorio que depende de autoridades nacionais de aplicacao, com recursos e prioridades vastamente diferentes, proporcionar protecao uniforme? Os dados sugerem que a resposta e atualmente nao. O fosso entre Alemanha/Austria e Hungria/Chequia nao esta a fechar -- e nao fechara sem um reequilibrio significativo dos recursos das DPAs ou uma mudanca para aplicacao a nivel da UE para violacoes comuns e tecnicamente mensuraveis como o rastreamento pre-consentimento.

O consentimento de cookies e, ironicamente, uma das obrigacoes do GDPR mais faceis de verificar em escala. Ao contrario de avaliar a legalidade de uma atividade de tratamento de dados ou a adequacao de uma avaliacao de impacto sobre a privacidade, verificar se um website define cookies de rastreamento antes do consentimento e uma medicao objetiva e automatizavel. Se a UE nao consegue alcancar convergencia de aplicacao nesta mais mensuravel das violacoes, as perspetivas de convergencia em questoes mais dificeis sao sombrias.

Nota Metodologica

A selecao de websites foi retirada da lista Tranco Top 1M, filtrada por associacao de pais. A atribuicao de pais utilizou TLDs de codigo de pais como sinal primario, complementada por dados de registo e alojamento onde os TLDs eram ambiguos (ex., dominios `.com`). Sites com afiliacao de pais incerta foram excluidos da analise ao nivel dos paises mas incluidos nos numeros agregados da UE.

Cada site foi analisado usando criterios identicos: comportamento pre-consentimento, detecao de banners, teste do fluxo de rejeicao (quando um botao de rejeicao foi identificado), analise do tempo de vida dos cookies e avaliacao de acessibilidade. O scanner nao fez ajustes por pais de origem -- um site hungaro foi avaliado com a mesma metodologia e limiares que um alemao.

Os tamanhos das amostras variam por pais, refletindo a distribuicao de websites da UE na lista Tranco. Paises com economias digitais maiores (Alemanha, Franca, Paises Baixos) contribuem com mais sites. Todas as percentagens sao calculadas contra a amostra por pais, nao o total da UE.

---

Veja onde o seu website se posiciona. Execute uma analise gratuita em gdprprivacymonitor.eu para obter a mesma avaliacao de conformidade que aplicámos a cada site neste estudo -- com evidencias completas, pontuacao de risco e conclusoes acionaveis.