Salta al contenuto
Novità Cookie Principi GDPR Privacy Autorità di controllo Cookie banner EDPB GDPR Reclami

L’EDPB ordina al Garante belga di esaminare un reclamo su cookie banner

L’EDPB ordina al Garante belga di esaminare un reclamo su cookie banner

In sintesi

L'EDPB ha emesso una decisione vincolante che impone al Garante belga (LSA) di valutare nel merito un reclamo relativo all'uso di cookie banner da parte della VRT, una società di radiodiffusione pubblica. La decisione scaturisce da una disputa con il Garante austriaco (CSA), che contestava la proposta del Garante belga di archiviare il reclamo per presunto abuso di diritto. L'EDPB ha stabilito che non vi è stato alcun abuso da parte del reclamante, ordinando la prosecuzione dell'esame del caso.

Contesto

La decisione vincolante dell'EDPB del 28 maggio 2026, pubblicata il 14 luglio 2026, riguarda una disputa sottoposta dal Garante Belga (DPA) in merito a un reclamo contro la Vlaamse Radio-en Televisieomroeporganisatie (VRT), una società di radiodiffusione pubblica con sede in Belgio. Il reclamo, presentato al Garante Austriaco dall'ONG Noyb per conto di un individuo, concerne l'uso di cookie banner sul sito web della VRT.
Il Garante Belga, agendo come Autorità di Vigilanza Capofila (LSA), aveva presentato una bozza di decisione proponendo di archiviare il reclamo per un presunto abuso degli articoli 77 e 80(1) GDPR. Il Garante Austriaco, Autorità di Vigilanza Interessata (CSA), si è opposto, argomentando che l'LSA non avrebbe dovuto archiviare il reclamo per motivi procedurali e avrebbe invece dovuto emettere una decisione nel merito. Il Garante Belga ha deciso di non seguire l'obiezione e ha sottoposto il caso all'EDPB.
L'EDPB ha considerato l'obiezione del Garante Austriaco rilevante e motivata ai sensi dell'Art. 4(24) GDPR e delle Linee guida EDPB sul concetto di obiezione rilevante e motivata, valutandola nel merito. L'EDPB ha riscontrato che, sulla base delle informazioni disponibili e in linea con il test della CGUE per il presunto abuso, il reclamante non ha abusato dei propri diritti ai sensi degli Art. 77 e Art. 80(1) GDPR, poiché le componenti oggettive e soggettive necessarie per provare tale abuso non sono state dimostrate. Pertanto, l'EDPB ha istruito l'LSA a non archiviare il reclamo, ma a valutarlo nel merito e a presentare una nuova bozza di decisione ai CSAs ai sensi dell'Art. 60(3) GDPR.

Perché conta

Questa decisione dell'EDPB è cruciale per le organizzazioni che gestiscono dati personali, in quanto chiarisce i limiti entro cui un'autorità di controllo può archiviare un reclamo per presunto abuso di diritto. Ciò rafforza la tutela dei diritti degli interessati e l'importanza di una gestione trasparente e conforme dei cookie banner, che sono frequentemente oggetto di reclami e di attenzione da parte delle autorità di vigilanza.
Inoltre, la decisione evidenzia l'efficacia del meccanismo di risoluzione delle controversie transfrontaliere (Art. 65 GDPR), fondamentale per garantire un'applicazione corretta e coerente del GDPR nei casi che coinvolgono più giurisdizioni. Le aziende con attività transnazionali devono essere consapevoli che le decisioni delle Autorità di Vigilanza Capofila possono essere contestate e revisionate dall'EDPB, sottolineando la necessità di un approccio rigoroso e documentato alla compliance.

Cosa fare

  • Verificare la piena conformità dei propri cookie banner alle normative GDPR e alle linee guida pertinenti delle autorità di controllo.
  • Assicurarsi che le procedure interne per la gestione dei reclami degli interessati siano robuste e che l'archiviazione di un reclamo per abuso di diritto sia supportata da prove oggettive e soggettive chiare.
  • Monitorare le decisioni e le linee guida dell'EDPB per comprendere le interpretazioni e le aspettative delle autorità di controllo in merito all'applicazione del GDPR, specialmente in contesti transfrontalieri.

Cosa evitare

  • Non archiviare i reclami degli interessati per presunto abuso di diritto senza un'analisi approfondita e una chiara dimostrazione delle componenti oggettive e soggettive dell'abuso, come specificato dalla decisione EDPB.
  • Non sottovalutare il meccanismo di cooperazione tra autorità (LSA/CSA) e il ruolo dell'EDPB nella risoluzione delle dispute, poiché le decisioni possono essere impugnate e modificate.

Implicazioni pratiche

Le organizzazioni devono adottare un approccio rigoroso alla configurazione e gestione dei cookie banner, assicurandosi che siano compliant con il GDPR e le linee guida aggiornate. La decisione rafforza la legittimità dei reclami degli interessati e la supervisione dell'EDPB sull'operato delle autorità di controllo, indicando che le aziende non possono contare su facili archiviazioni di reclami validi basate su presunti abusi non dimostrati.

Azioni da fare

  • Rivedere e, se necessario, aggiornare le proprie politiche e configurazioni sui cookie per garantire la piena conformità al GDPR e alle best practice.
  • Formare il personale responsabile della gestione dei dati personali e dei reclami per riconoscere e trattare correttamente le richieste degli interessati, evitando archiviazioni premature o infondate.
  • Consultare regolarmente le linee guida dell'EDPB e delle autorità nazionali in materia di cookie e gestione dei reclami per mantenere un alto livello di compliance.

Errori da evitare

  • Implementare cookie banner non conformi che non garantiscono il consenso libero, specifico, informato e inequivocabile degli utenti.
  • Ignorare o minimizzare i reclami degli interessati relativi alla gestione dei dati personali, inclusi quelli sui cookie, senza un'adeguata valutazione del merito.

Domande di self-assessment

  • I nostri cookie banner sono conformi ai requisiti del GDPR e alle indicazioni più recenti delle autorità di controllo?
  • Abbiamo una procedura chiara e documentata per la gestione dei reclami degli interessati e il personale è adeguatamente formato?
  • Come valutiamo e documentiamo i casi di potenziale abuso di diritto da parte di un reclamante, e sono i nostri criteri allineati con la giurisprudenza e le decisioni dell'EDPB?

Riferimenti

Normativa nazionale: GDPR Art. 65(1)(a) · GDPR Art. 77 · GDPR Art. 80(1) · GDPR Art. 4(24) · GDPR Art. 60(3) · Linee guida EDPB sul concetto di obiezione rilevante e motivata

Leggi l'articolo originale su EDPB ↗

Leggi anche