Cookie banner di nuovo sotto la lente: l’EDPB ordina di decidere nel merito i reclami di noyb.

Cosa deve verificare chi gestisce un sito

Il 14 luglio 2026 il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato la decisione vincolante 1/2026, adottata il 28 maggio ai sensi dell’art. 65, par. 1, lett. a), del GDPR. La vicenda nasce da un reclamo presentato dall’organizzazione austriaca noyb, per conto di un interessato, contro VRT, l’emittente radiotelevisiva pubblica belga, per il modo in cui il suo sito raccoglieva il consenso ai cookie.

Il punto interessante non è (ancora) il banner in sé, ma ciò che l’autorità belga avrebbe voluto fare del reclamo: archiviarlo qualificandolo come un abuso del diritto di reclamo previsto dagli artt. 77 e 80, par. 1, del GDPR, verosimilmente in ragione del carattere “seriale” delle iniziative di noyb, che ha presentato centinaia di reclami analoghi in tutta Europa. L’autorità austriaca si è opposta e la controversia è arrivata all’EDPB, che ha dato torto all’autorità belga: applicando i criteri elaborati dalla Corte di giustizia in materia di abuso del diritto, gli elementi oggettivi e soggettivi dell’abuso non erano dimostrati. Il reclamo, dunque, va esaminato nel merito, con un nuovo progetto di decisione da sottoporre alle autorità interessate ai sensi dell’art. 60, par. 3, GDPR.

Attenzione a un aspetto: l’EDPB non ha stabilito che il banner di VRT violi il GDPR. Ha stabilito qualcosa di più generale e, per certi versi, di più importante: le autorità di controllo non possono liberarsi dei reclami sui cookie banner per ragioni procedurali, nemmeno quando arrivano “in serie” da organizzazioni specializzate. Ogni reclamo va istruito e deciso nel merito.

 

Data Passaggio
Reclamo iniziale noyb presenta all’autorità austriaca, per conto di un interessato, un reclamo sull’uso dei cookie banner nel sito dell’emittente pubblica belga VRT.
Progetto di decisione L’autorità belga (capofila) propone di archiviare il reclamo per presunto abuso degli artt. 77 e 80, par. 1, GDPR.
Obiezione L’autorità austriaca (interessata) obietta: il reclamo va deciso nel merito, non archiviato per ragioni procedurali.
28 maggio 2026 L’EDPB adotta la decisione vincolante 1/2026 ex art. 65, par. 1, lett. a), GDPR: l’abuso non è dimostrato, il reclamo va esaminato nel merito con nuovo progetto di decisione ex art. 60, par. 3, GDPR.
14 luglio 2026 L’EDPB pubblica la decisione e il relativo comunicato.

 

Fonte: EDPB, comunicato del 14 luglio 2026 e decisione vincolante 1/2026.

 

Perché riguarda anche voi

Il caso belga riguarda un soggetto pubblico, ed è un dettaglio che i nostri lettori della Pubblica Amministrazione non dovrebbero trascurare: anche i siti istituzionali usano piattaforme di gestione del consenso, servizi di statistica e contenuti incorporati di terze parti. La decisione conferma che il presidio sui banner di consenso rimane una priorità dell’enforcement europeo e che chiunque — un singolo cittadino assistito da una organizzazione — può attivare un procedimento che attraversa i confini nazionali. In Italia il quadro di riferimento resta quello delle Linee guida del Garante su cookie e altri strumenti di tracciamento, cui si sono aggiunte, ad aprile 2026, le Linee guida sui tracking pixel nelle e-mail, con un termine di adeguamento fissato al 29 ottobre 2026 [data da verificare su fonte ufficiale].

La conseguenza pratica è semplice: non aspettare il reclamo. Un controllo del banner richiede poche ore di lavoro; un procedimento davanti al Garante ne richiede molte di più, con il rischio di sanzioni e di dover rifare comunque tutto. Ecco le verifiche che consigliamo di calendarizzare subito.

Verifica Cosa controllare Riferimento
Rifiuto al primo livello Il banner deve consentire di rifiutare i cookie non tecnici con la stessa facilità con cui si accettano (pulsante equivalente al primo livello). Linee guida del Garante su cookie e altri strumenti di tracciamento (2021)
Nessun tracciamento pre-consenso Cookie e tracker non tecnici non devono attivarsi prima della scelta dell’utente; verificare con strumenti di scansione del sito. Artt. 5-7 GDPR; Linee guida Garante 2021
Revoca del consenso Deve essere possibile modificare o revocare la scelta in ogni momento, con un comando facilmente raggiungibile. Art. 7, par. 3, GDPR
Prova del consenso Conservare la registrazione dei consensi resi tramite la piattaforma di gestione (CMP). Art. 7, par. 1, GDPR
Tracciamenti nelle e-mail Per chi usa pixel di tracciamento nelle comunicazioni e-mail: adeguamento alle Linee guida del Garante entro il 29 ottobre 2026 [data da verificare su fonte ufficiale]. Linee guida Garante sui tracking pixel (aprile 2026)
Informativa e cookie policy Coerenza tra banner, cookie policy e trattamenti effettivi; elenco aggiornato di terze parti. Artt. 12-13 GDPR

 

Fonte: GDPR (Regolamento UE 2016/679); Linee guida del Garante per la protezione dei dati personali. I riferimenti puntuali sono indicati nel riquadro di verifica in calce.

 

Come sempre, il consiglio è di documentare le verifiche svolte: è il modo migliore per dimostrare l’accountability richiesta dal GDPR se l’autorità dovesse bussare alla porta.

 

Enrico Capirone – Presidente iSimply srl, DPO

Fonte ufficiale: https://www.edpb.europa.eu/news/edpb-requires-belgian-dpa-to-handle-the-merits-of-noyb-cookie-banner-complaint_en