La regolazione dei cookie viene trasferita dalla direttiva ePrivacy al GDPR tramite un nuovo articolo 88a.

Punti chiave:

• Nuove eccezioni alla necessità consenso: trasmissione dei dati, cookie strettamente necessari, misurazione dell’audience di prima parte e sicurezza del servizio o del dispositivo non richiederanno un esplicito consenso da parte dell'utente
• Accetto/Rifiuto in un clic: i banner dovranno rendere l’opzione di rifiuto semplice quanto quella di accettazione.
• Stop ai banner insistenti: dopo un rifiuto, il sito non può riproporre la richiesta per almeno sei mesi, salvo cambiamenti sostanziali nel trattamento.

Cosa non cambia:

il consenso resta necessario per pubblicità, profilazione, tracciamento cross-site e analytics di terza parte.

Arriva l’articolo 88b: i browser potranno trasmettere automaticamente segnali come “rifiuta tutto il tracciamento”. I siti dovranno leggerli e applicarli.

Implicazioni:

• Potenzialmente meno cookie banner nel lungo periodo, man mano che più utenti adotteranno impostazioni globali.
• Le CMP (Communication Privacy Management) restano essenziali per gestire consenso, prove, configurazioni tecniche e casi in cui non esistano segnali globali.

Eccezione rilevante:

i media service provider (editori e siti di informazione) non saranno obbligati a rispettare questi segnali. La Commissione, infatti, sostiene che le organizzazioni media dipendono dalla pubblicità per la loro sostenibilità economica  e che i media indipendenti sono essenziali per il pluralismo e il  dibattito democratico.     

La proposta introduce diversi aggiornamenti mirati.

La definizione di dato personale viene ristretta: un dato è personale solo se il titolare o il destinatario può identificare l’interessato in modo ragionevole.

La Commissione e l’EDPB potranno definire criteri per stabilire quando i dati pseudonimizzati cessano di essere personali per specifici soggetti.

Diritto di accesso e abusi: I titolari potranno rifiutare richieste manifestamente abusive o chiedere un contributo spese.

Sono considerati abusi:

• campagne di molestia
• richieste speculative per ottenere un risarcimento
• schemi coercitivi (“se paghi ritiro la richiesta”)

Per trattamenti a basso rischio in contesti semplici (artigiani, associazioni locali), si amplia l’eccezione quando è ragionevole ritenere che gli utenti possiedano già le informazioni essenziali.

DPIA e data breach più standardizzati.

L’EDPB definirà a livello UE:

• liste dei trattamenti che richiedono o non richiedono una DPIA,
• un modello unico e una metodologia standard per DPIA,
• un modello comune per notificare violazioni di dati ad alto rischio.

La proposta specifica che l’uso di dati personali per addestrare sistemi di intelligenza artificiale può basarsi sul legittimo interesse (art. 6(1)(f)), con condizioni stringenti:

• trasparenza,
• diritto di opposizione sempre garantito,
• misure avanzate di tutela della privacy,
• protezioni calibrate sul livello di rischio.

È prevista una deroga limitata per la presenza occasionale di categorie particolari di dati nei dataset di addestramento, purché fortemente protetti e non utilizzati per desumere informazioni sensibili.

Verrà creato un punto di accesso unico UE per notificare incidenti di cybersicurezza e data breach. L'obiettivo è quello di evitare duplicazioni e sovrapposizioni tra GDPR, NIS2, DORA, eIDAS e CER.

Il Data Act viene modificato con:

• tutele rafforzate per i segreti commerciali
• limiti alla condivisione B2G (Business to Government), ora ammessa solo in emergenze pubbliche
• regimi semplificati per alcuni contratti cloud,
• integrazione dell’Open Data Directive e del Data Governance Act.
• 
  

La Platform-to-Business Regulation viene abrogata in quanto superata dal nuovo quadro regolatorio.

• maggiore controllo per gli utenti
• chiarezza sui requisiti
• standardizzazione di DPIA, data breach e consensi
• riduzione della complessità transfrontaliera.