Cercetare
Which EU Countries Take Cookie Compliance Most Seriously?
GDPR Privacy Monitor Research · 2026-04-12 · 5 min citire
GDPR este un singur regulament. Un singur text. Direct aplicabil in fiecare stat membru UE fara necesitatea transpunerii nationale (spre deosebire de Directiva ePrivacy, care necesita transpunere, adaugand un alt nivel de variatie). In teorie, un site web din Ungaria se confrunta cu aceleasi obligatii legale ca un site web din Germania. In practica, decalajul dintre teorie si realitate este enorm.
Cand am scanat 97.304 site-uri web din 25 de state membre UE, am constatat ca proportia site-urilor cu risc ridicat variaza de la 20,9% in Austria la 58,8% in Ungaria -- un raport de aproape trei la unu. Acelasi regulament, aceeasi metodologie de scanare, aceleasi criterii de clasificare, rezultate marcat diferite. Datele sugerează că conformitatea corelează mai puțin cu ceea ce spune legea decât cu modul activ în care este aplicată.
Clasamentul complet
Tabelul de mai jos prezinta fiecare tara din studiul nostru, clasificata dupa procentul de site-uri web scanate considerate cu risc ridicat. Risc ridicat inseamna ca site-ul a prezentat incalcari semnificative ale consimtamantului: urmarire inainte de consimtamant, esecuri in fluxul de refuz, mecanisme de consimtamant lipsa alaturi de urmarire activa, sau combinatii ale acestora. De asemenea, prezentam scorul mediu de risc (o metrica continua de la 0 la 100) si rata de detectare a bannerelor -- procentul de site-uri scanate unde sistemul nostru a identificat un banner de consimtamant.
| Pozitie | Tara | % Risc ridicat | Scor mediu de risc | Rata detectare banner |
|---|---|---|---|---|
| 1 | Austria | 20,9% | 31,2 | -- |
| 2 | Germania | 23,7% | 33,9 | 46,1% |
| 3 | Suedia | 33,4% | 49,0 | -- |
| 4 | Finlanda | 40,3% | 46,4 | 54,6% |
| 5 | Belgia | 42,1% | 47,4 | -- |
| 6 | Danemarca | 42,1% | 48,3 | 57,0% |
| 7 | Tarile de Jos | 43,5% | 53,1 | 40,3% |
| 8 | Franta | 44,1% | 49,7 | -- |
| 9 | Spania | 44,1% | 50,2 | -- |
| 10 | Italia | 44,6% | 51,8 | -- |
| 11 | Grecia | 52,5% | 54,9 | -- |
| 12 | Polonia | 53,3% | 56,1 | -- |
| 13 | Romania | 53,9% | 56,2 | -- |
| 14 | Cehia | 55,1% | 59,0 | -- |
| 15 | Ungaria | 58,8% | 60,1 | -- |
Scorul mediu de risc ofera o perspectiva mai nuantata decat clasificarea binara de risc ridicat. Observati ca Tarile de Jos au o rata de risc ridicat relativ moderata (43,5%) dar un scor mediu de risc comparativ ridicat (53,1), sugerand ca, desi mai putine site-uri olandeze depasesc pragul de risc ridicat, cele care o fac tind sa fie mai grav neconforme. Suedia prezinta un tipar similar, dar invers: o rata de risc ridicat mai scazuta (33,4%) dar un scor mediu relativ ridicat (49,0), indicand o distributie larga de incalcari moderate.
Nivelul 1: Liderii -- Germania si Austria
Germania (23,7% risc ridicat) si Austria (20,9% risc ridicat) sunt valori aberante clare. Site-urile lor au probabilitate de aproximativ doua ori mai mica de a fi clasificate ca risc ridicat comparativ cu media la nivel UE de 41%. Intelegerea motivelor necesita examinarea ecosistemului de aplicare din ambele tari.
Germania: profunzimea si amploarea aplicarii
Peisajul protectiei datelor din Germania este unic in Europa. Pe langa BfDI federal (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit), fiecare din cele saisprezece landuri ale Germaniei are propria autoritate independenta de protectie a datelor. Aceasta inseamna ca Germania are in total saptesprezece autoritati de protectie a datelor, dintre care mai multe au fost printre cele mai active din Europa in ceea ce priveste aplicarea regulilor privind consimtamantul.
Autoritatea bavareza de protectie a datelor (BayLDA) a efectuat un audit la nivel de sector privind consimtamantul pentru cookie-uri pe site-uri web in 2020-2021, trimitand chestionare formale la sute de companii si urmand cu actiuni de aplicare. Autoritatea din Hamburg a emis instructiuni detaliate privind Google Analytics si cerintele de consimtamant. Mai multe autoritati de protectie a datelor din landuri au desfasurat campanii coordonate de aplicare vizand incalcari specifice -- urmarire inainte de consimtamant, optiuni lipsa de refuz si bannere de cookie-uri neconforme.
Aceasta densitate a aplicarii creeaza un calcul de risc diferit pentru operatorii de site-uri web germani. Cand colegii din industrie au primit solicitari formale de la autoritatea de protectie a datelor, si cand instructiunile de aplicare sunt suficient de specifice pentru a va spune exact ce este si ce nu este acceptabil, costul neconformitatii devine concret in loc de teoretic.
Exista si o dimensiune culturala. Constientizarea protectiei datelor in Germania este mai profunda decat GDPR. Decizia Volkszahlung (recensamant) din 1983 a Curtii Constitutionale Federale a stabilit autodeterminarea informationala ca drept constitutional cu decenii inainte de existenta GDPR. Aceasta a creat o asteptare sociala in jurul protectiei datelor care influenteaza atat comportamentul corporativ, cat si asteptarile consumatorilor in moduri mai greu de cuantificat, dar clar reflectate in date.
Austria: aplicare timpurie post-Schrems II
Autoritatea austriaca DSB (Datenschutzbehorde) a atras atentia internationala prin emiterea uneia dintre primele decizii de aplicare in urma Schrems II, constatand ca utilizarea Google Analytics de catre un site web a incalcat GDPR deoarece transferurile de date catre SUA nu aveau garantii adecvate. Aceasta decizie -- ulterior confirmata de CNIL din Franta si Garante din Italia -- a transmis un semnal clar operatorilor de site-uri web austrieci ca consimtamantul si urmarirea erau prioritati active de aplicare.
Rata de risc ridicat de 20,9% a Austriei, cea mai scazuta din studiul nostru, sugereaza ca acest semnal a fost receptionat. Cand o autoritate de protectie a datelor demonstreaza prin decizii specifice si mediatizate ca incalcarile consimtamantului vor fi urmarite, rata de conformitate raspunde. Austria este unul dintre cele mai clare exemple din datele noastre de corelație între aplicare și schimbarea comportamentală măsurabilă, deși alți factori -- structura pieței, atitudinile culturale -- probabil contribuie și ei.
Nivelul 2: Zona de mijloc nordica -- Suedia, Finlanda, Danemarca
Suedia (33,4%), Finlanda (40,3%) si Danemarca (42,1%) ocupa o banda de mijloc care este mai buna decat media UE, dar semnificativ in urma liderilor germano-austrieci.
Tarile nordice impartasesc valori culturale puternice in jurul confidentialitatii si increderii institutionale, dar autoritatile lor de protectie a datelor au adoptat in general o postura mai putin agresiva de aplicare specific privind consimtamantul. Autoritatea suedeza IMY (Integritetsskyddsmyndigheten) a emis decizii notabile -- inclusiv o amenda semnificativa impotriva Google pentru nerespectarea dreptului la uitare -- dar aplicarea sa specifica privind consimtamantul a fost mai limitata. Autoritatile din Finlanda (tietosuojavaltuutettu) si Danemarca (Datatilsynet) s-au concentrat in mod similar pe notificarea incalcarilor de date si instructiuni sectoriale, in loc de campanii la scara larga privind consimtamantul pentru cookie-uri.
Rata de risc ridicat de 33,4% a Suediei este totusi vizibil mai buna decat media vest-europeana, sugerand ca atitudinile culturale fata de confidentialitate pot compensa partial aplicarea mai putin frecventa. Utilizatorii de internet nordici sunt, in general, mai constienti de confidentialitate, ceea ce poate crea presiune de piata pentru implementari mai bune ale consimtamantului chiar si in absenta presiunii de reglementare.
Ratele de detectare a bannerelor sunt instructive aici. Danemarca arata o rata de detectare a bannerelor de 57,0% -- cea mai mare pentru orice tara unde avem acest punct de date -- iar Finlanda arata 54,6%. Aceasta inseamna ca site-urile nordice sunt mai predispuse sa implementeze un banner de consimtamant, chiar daca implementarea din spatele acelui banner nu este intotdeauna pe deplin conforma. Sugereaza constientizarea obligatiei chiar acolo unde executia este deficitara.
Nivelul 3: Europa de Vest -- Franta, Tarile de Jos, Belgia, Spania, Italia
Cinci tari vest-europene se grupeaza strans intre 42,1% si 44,6% risc ridicat: Belgia (42,1%), Tarile de Jos (43,5%), Franta (44,1%), Spania (44,1%) si Italia (44,6%). Acest grup se situeaza aproape de media la nivel UE de 41% si poate reprezenta un nivel de referinta al conformitatii -- nivelul pe care il obtii cand aplicarea exista, dar nu este suficient de frecventa sau tintita pentru a schimba semnificativ situatia.
Franta: paradoxul aplicarii de profil inalt
Franța este notabilă deoarece CNIL este, fara indoiala, cea mai vizibila autoritate de protectie a datelor la nivel international din Europa. A emis amenzi record impotriva Google (150 milioane euro pentru incalcari ale consimtamantului in 2022), Amazon (35 milioane euro) si Microsoft (60 milioane euro). A publicat instructiuni detaliate privind cookie-urile si consimtamantul in 2020 si a acordat site-urilor franceze o perioada de gratie de sase luni pentru conformare. A desfasurat valuri coordonate de aplicare vizand site-urile care nu au implementat optiuni de refuz.
Totusi, Franta se situeaza la 44,1% risc ridicat -- exact la media pentru Europa de Vest. Cum poate cel mai activ aplicator sa produca doar o conformitate medie?
Raspunsul se afla probabil in structura web-ului francez. Franta are o economie digitala mare si diversa, cu sute de mii de site-uri web operate de intreprinderi mici si mijlocii, entitati administratiei locale si organizatii care poate nu urmaresc indeaproape stirile privind aplicarea CNIL. Actiunile de profil inalt ale CNIL impotriva gigantilor tehnologici genereaza titluri internationale, dar pot sa nu schimbe comportamentul printre miile de site-uri ale intreprinderilor mici care folosesc instalari WordPress implicite cu pluginuri de consimtamant neconfigurate. Aplicarea care vizeaza capul distributiei nu misca neaparat coada.
Aceasta este o perspectiva importanta pentru toate autoritatile de protectie a datelor: amenzile de titlu descurajeaza companiile mari, dar pot sa nu modifice rata agregata de conformitate, care este dominata de coada lunga a site-urilor mici si mijlocii. Schimbarea comportamentala pe scara larga necesita fie aplicare in masa (impracticabila cu resursele actuale ale autoritatilor), fie instrumente care fac conformitatea implicit, in loc de exceptie.
Tarile de Jos: rata scazuta a bannerelor, risc moderat
Tarile de Jos prezinta un tipar interesant: o rata de risc ridicat de 43,5% (moderata) dar doar o rata de detectare a bannerelor de 40,3% -- cea mai scazuta dintre tarile pentru care avem aceste date. Aceasta inseamna ca site-urile olandeze sunt mai putin predispuse sa implementeze un banner de consimtamant, dar, printre cele care o fac, calitatea implementarii poate fi oarecum mai buna. Poate reflecta si un ecosistem web olandez care include multe site-uri cu urmarire minima (fara nevoie de banner) alaturi de site-uri care urmaresc intens fara a se deranja cu un banner.
Autoritatea olandeza AP (Autoriteit Persoonsgegevens) a fost activa in aplicarea GDPR in general, dar a emis mai putine decizii specifice privind consimtamantul comparativ cu autoritatile germane sau CNIL. Prioritatile de aplicare ale AP s-au concentrat pe prelucrarea datelor guvernamentale, datele din sanatate si supravegherea la scara larga, incalcarile consimtamantului primind relativ mai putina atentie.
Nivelul 4: Europa de Est si de Sud -- Grecia, Polonia, Romania, Cehia, Ungaria
Partea de jos a clasamentului este dominata de tarile din Europa Centrala si de Est, cu rate de risc ridicat variind de la 52,5% (Grecia) la 58,8% (Ungaria). In aceste tari, mai mult de jumatate din site-urile web scanate prezinta un profil de conformitate cu risc ridicat.
| Tara | % Risc ridicat | Scor mediu de risc |
|---|---|---|
| Grecia | 52,5% | 54,9 |
| Polonia | 53,3% | 56,1 |
| Romania | 53,9% | 56,2 |
| Cehia | 55,1% | 59,0 |
| Ungaria | 58,8% | 60,1 |
Firul comun nu este lipsa obligatiei legale -- GDPR se aplica identic -- ci un tipar de autoritati de protectie a datelor sub-resurse, cu mai putine actiuni de aplicare vizand specific consimtamantul. NAIH din Ungaria, UODO din Polonia, ANSPDCP din Romania si UOOU din Cehia si-au concentrat bugetele limitate de aplicare pe domenii precum notificarea incalcarilor de date, solicitarile de acces ale persoanelor vizate si plangerile de profil inalt, in loc de audituri proactive ale consimtamantului pentru cookie-uri.
Acesta este un comportament rational pentru autoritati de reglementare cu resurse insuficiente. Cand aveti o echipa mica si o economie mare de supravegheat, prioritizati plangerile in detrimentul aplicarii proactive, iar plangerile privind consimtamantul pentru cookie-uri sunt relativ rare comparativ cu plangerile privind incalcarile de date sau refuzurile de acces. Rezultatul este ca incalcarile consimtamantului raman in mare parte nemonitorizate, iar operatorii de site-uri web nu se confrunta cu niciun risc semnificativ de aplicare.
Aceste date nu reflectă competența sau dedicarea acestor autorități. Mai multe autoritati de protectie a datelor din Europa Centrala si de Est opereaza cu raporturi personal-populatie care sunt o fractiune din ceea ce autoritatile germane de la nivel de land dispun. NAIH din Ungaria, de exemplu, supravegheaza o tara de 10 milioane de oameni. BayLDA din Bavaria, supraveghind o populatie de dimensiune similara in cadrul unui singur land german, a dispus in mod istoric de mai multe resurse si un mandat mai concentrat.
Concluzia este structurala: reglementare uniforma fara aplicare uniforma produce conformitate neuniforma. Acesta este un rezultat important în datele la nivel de țară.
Corelatia cu aplicarea
Daca reprezentati grafic intensitatea aplicarii autoritatilor de protectie a datelor in raport cu ratele de conformitate (in forma narativa, deoarece nu publicam un grafic aici), relația este vizibilă de clara. Tarile cu cele mai multe actiuni de aplicare vizand specific consimtamantul -- Germania, Austria -- au cele mai scazute rate de risc ridicat. Tarile cu aplicare de titlu, dar concentrata (Franta) prezinta conformitate medie. Tarile cu aplicare minima specifica privind consimtamantul prezinta cele mai ridicate rate de incalcare.
Aceasta corelatie nu dovedeste cauzalitatea -- factorii culturali, structura pietei si maturitatea sectorului tehnologic local joaca toate un rol. Dar puterea tiparului pe 25 de tari este dificil de explicat fara aplicarea ca factor principal.
Cateva actiuni notabile de aplicare care par sa fi miscat acul:
- Germania (2020-2022): Mai multe autoritati de protectie a datelor de la nivel de land au efectuat audituri coordonate ale consimtamantului pentru cookie-uri, trimitand scrisori formale catre sute de site-uri web. BayLDA a publicat un FAQ privind consimtamantul care a devenit un standard de facto al conformitatii.
- Austria (2022): Decizia DSB privind Google Analytics a fost larg mediatizata in media de tehnologie si afaceri austriaca, determinand un val vizibil de migrari de la GA la Matomo.
- Franta (2021-2022): Valul de aplicare al CNIL privind cookie-urile a vizat peste 100 de site-uri web pentru implementari neconforme ale consimtamantului, desi impactul pare concentrat in randul operatorilor mai mari.
- Italia (2022): Garante a emis instructiuni actualizate privind cookie-urile care au determinat activitate de conformitate in randul site-urilor web italiene mai mari, desi rata de risc ridicat de 44,6% sugereaza ca efectul nu s-a propagat pe scara larga.
Ratele de detectare a bannerelor pe tara
Rata de detectare a bannerelor -- procentul de site-uri unde scanerul nostru a identificat un mecanism de consimtamant -- variaza semnificativ intre tari:
| Tara | Rata detectare banner |
|---|---|
| Danemarca | 57,0% |
| Finlanda | 54,6% |
| Germania | 46,1% |
| Tarile de Jos | 40,3% |
Danemarca conduce cu 57,0%, sugerand ca site-urile daneze sunt cele mai predispuse sa implementeze o forma de mecanism de consimtamant, chiar daca calitatea lor generala de conformitate (42,1% risc ridicat) este mediocra. 46,1% al Germaniei este mai scazut decat s-ar putea astepta dat fiind rata scazuta de incalcare, dar acest lucru este consistent: site-urile germane care urmaresc sunt mai predispuse sa o faca cu consimtamant adecvat, in timp ce site-urile germane care nu urmaresc pot opera in mod rezonabil fara banner.
40,3% al Tarilor de Jos este cea mai scazuta cifra pe care o avem, ceea ce se aliniaza cu tiparul olandez mentionat mai sus: mai putine bannere in general, dar nu neaparat o conformitate mai slaba printre cele care le implementeaza.
Aceste rate reflecta si realitatea metodologica. Un site care nu seteaza cookie-uri non-esentiale si nu contacteaza domenii de urmarire terte nu necesita cu adevarat un banner de consimtamant conform exceptiei ePrivacy pentru cookie-urile strict necesare. O anumita variatie a ratelor bannerelor este deci asteptata si legitima.
Ce inseamna aceasta pentru afacerile transfrontaliere
Daca operati un site web sau un serviciu digital care deserveste utilizatori din mai multe tari UE, aceste date au implicatii practice directe.
Riscul dumneavoastra de conformitate este determinat de piata cu cea mai ridicata aplicare. Daca site-ul dumneavoastra deserveste utilizatori germani, nivelul este stabilit efectiv de asteptarile autoritatilor germane de protectie a datelor, indiferent de locul unde este inregistrata compania dumneavoastra. Conform mecanismului ghiseului unic din GDPR, autoritatea dumneavoastra de supraveghere principala poate fi in tara dumneavoastra de origine, dar orice autoritate de protectie a datelor poate lua masuri privind plangerile din partea propriilor rezidenti. Un site web unguresc care deserveste vizitatori germani poate face obiectul examinarii din partea autoritatilor germane. Compararea cu media tarii dumneavoastra este insuficienta. Daca sunteti un operator de site web polonez si 53,3% din colegii dumneavoastra prezinta risc ridicat, a fi "mediu" inseamna totusi ca sunteti neconform prin litera GDPR. Regulamentul nu isi ajusteaza cerintele in functie de tara. Doar probabilitatea aplicarii variaza -- iar tendintele de aplicare se misca intr-o singura directie. Autoritatile de protectie a datelor care nu au prioritizat inca consimtamantul vor face probabil acest lucru pe masura ce coordonarea la nivel european creste. EDPB impinge spre convergenta. Instructiunile specifice privind cookie-urile ale Comitetului European pentru Protectia Datelor, activitatile grupurilor de lucru si opiniile de coerenta sunt concepute pentru a reduce decalajul de aplicare intre statele membre. Raportul grupului de lucru EDPB privind bannerele de consimtamant din 2023 a identificat incalcari comune si a solicitat aplicare coordonata, iar mai multe autoritati de protectie a datelor anterior mai putin active au semnalat o atentie sporita fata de consimtamant ca raspuns. Aplicarea scăzută pe orice piață este puțin probabil să rămână status quo pe termen nelimitat.Problema armonizarii GDPR
Datele la nivel de tara din acest studiu sunt, in anumite privinte, o provocare pentru obiectivul de armonizare al GDPR. Regulamentul trebuia sa creeze un standard unic in intreaga UE, inlocuind mozaicul de legi nationale privind protectia datelor. In ceea ce priveste textul legal, a reusit. În ceea ce privește realitatea conformității, încă nu a reușit.
Un site web din Austria are de trei ori mai putine sanse sa fie cu risc ridicat decat un site web din Ungaria. Un utilizator francez care da clic pe "Refuza" se confrunta cu aceeasi rata de esec de 80,4% ca un utilizator polonez. Bannerul de consimtamant are mai multe sanse sa apara in Danemarca decat in Tarile de Jos. Niciuna dintre aceste diferente nu are o baza legala -- toate sunt consecinte ale aplicarii diferentiate.
Aceasta ridica o intrebare dificila: poate un cadru de reglementare care depinde de autoritati nationale de aplicare, cu resurse si prioritati extrem de diferite, sa ofere protectie uniforma? Datele sugereaza ca raspunsul in prezent este nu. Decalajul dintre Germania/Austria si Ungaria/Cehia nu se inchide -- si nu se va inchide fara fie o reechilibrare semnificativa a resurselor autoritatilor de protectie a datelor, fie o trecere la aplicare la nivel UE pentru incalcari comune, masurabile tehnic, precum urmarirea inainte de consimtamant.
Consimtamantul pentru cookie-uri este, ironic, una dintre cele mai usor de verificat obligatii GDPR la scara. Spre deosebire de evaluarea legalitatii unei activitati de prelucrare a datelor sau a adecvarii unei evaluari de impact asupra confidentialitatii, verificarea daca un site web seteaza cookie-uri de urmarire inainte de consimtamant este o masurare obiectiva, automatizabila. Daca UE nu poate realiza convergenta aplicarii pentru aceasta cea mai masurabil dintre incalcari, perspectivele de convergenta pentru intrebari mai dificile sunt sumbere.
Nota metodologica
Selectia site-urilor web a fost extrasa din lista Tranco Top 1M, filtrata dupa asocierea cu tara. Atribuirea pe tara a folosit TLD-urile cu cod de tara ca semnal principal, completat cu date de inregistrare si gazduire acolo unde TLD-urile erau ambigue (de exemplu, domenii `.com`). Site-urile cu afiliere de tara neclara au fost excluse din analiza la nivel de tara, dar incluse in cifrele agregate la nivel UE.
Fiecare site a fost scanat folosind criterii identice: comportament pre-consimtamant, detectare banner, testarea fluxului de refuz (acolo unde a fost identificat un buton de refuz), analiza duratei de viata a cookie-urilor si evaluarea accesibilitatii. Scanerul nu a facut ajustari in functie de tara de origine -- un site unguresc a fost evaluat cu aceeasi metodologie si aceleasi praguri ca unul german.
Dimensiunile esantioanelor variaza in functie de tara, reflectand distributia site-urilor web UE in lista Tranco. Tarile cu economii digitale mai mari (Germania, Franta, Tarile de Jos) contribuie cu mai multe site-uri. Toate procentele sunt calculate in raport cu esantionul per tara, nu cu totalul la nivel UE.
Vedeti unde se situeaza site-ul dumneavoastra. Rulati o scanare gratuita pe gdprprivacymonitor.eu pentru a obtine aceeasi evaluare a conformitatii pe care am aplicat-o fiecarui site din acest studiu -- cu dovezi complete, punctaj de risc si constatari actionabile.
Verifică-ți site-ul web
Rulează o scanare gratuită de conformitate GDPR — fără înregistrare.
Scanează-ți site-ul web gratuit