Liġijiet dwar il-Cookies skont il-Pajjiż: Gwida għall-UE u ż-ŻEE
Filwaqt li d-Direttiva dwar il-Privatezza Elettronika (ePrivacy) u l-GDPR jipprovdu qafas komuni madwar l-Unjoni Ewropea, kull stat membru ttrasponia d-Direttiva ePrivacy fil-liġi nazzjonali tiegħu bil-preċiżjonijiet tiegħu. L-intensità tal-infurzar, l-interpretazzjoni tal-eżenzjonijiet, u d-daqs tal-multi jvarjaw b'mod sinifikanti minn pajjiż għall-ieħor. Din il-gwida tkopri l-ispeċifiċitajiet ewlenin tal-liġijiet dwar il-cookies għal tnax-il suq Ewropew ewlieni.
Tabella ta' Referenza Malajr
| Pajjiż | Awtorità | Liġi Nazzjonali | Livell ta' Infurzar | Notevoli |
|---|---|---|---|---|
| Il-Ġermanja | DPAs tal-Istati + BfDI | TTDSG (2021) | Għoli | Infurzar deċentralizzat; qafas PIMS |
| Franza | CNIL | Loi Informatique et Libertés | Għoli Ħafna | Multi rekord; linji gwida dettaljati dwar il-cookies |
| L-Italja | Garante | Kodiċi tal-Privatezza (D.Lgs. 196/2003) | Għoli | Linji gwida komprensivi tal-2021 dwar il-cookies |
| Spanja | AEPD | LSSI-CE + LOPDGDD | Moderat | Storja ta' dibattitu dwar l-eżenzjoni tal-analytics |
| L-Olanda | AP | Telecommunicatiewet | Għoli | Projbizzjoni stretta tal-ħitan tal-cookies |
| Il-Belġju | APD/GBA | Att ePrivacy (2012) | Moderat | Deċiżjoni dwar l-IAB Europe TCF |
| L-Awstrija | DSB | TKG 2021 | Moderat-Għoli | Deċiżjonijiet bikrin dwar Google Analytics |
| Id-Danimarka | Datatilsynet | Cookiebekendtgørelsen | Moderat | Infurzar li qed jiżdied mill-2022 |
| L-Isvezja | IMY | LEK (2003:389) | Moderat-Għoli | Multi kbar fl-2023-2024 |
| L-Irlanda | DPC | SI 336/2011 | Moderat | Ċentru għal Big Tech; skrutinizzata għall-pass tal-infurzar |
| Il-Polonja | UODO | Liġi tat-Telekomunikazzjoni | Moderat | Attività ta' infurzar li qed tikber |
| In-Norveġja | Datatilsynet | Ekomloven | Moderat | Membru taż-ŻEE; issegwi mill-qrib il-gwida tal-EDPB |
Il-Ġermanja
Awtorità tal-infurzar: Il-Kummissarju Federali għall-Protezzjoni tad-Data (BfDI) fil-livell federali, flimkien ma' 16-il Awtorità tal-Protezzjoni tad-Data tal-Istati (Landesdatenschutzbehörden).
Liġi nazzjonali: It-Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), li daħal fis-seħħ fl-1 ta' Diċembru 2021, ikkonsolida r-regoli Ġermaniżi dwar il-cookies. Is-Sezzjoni 25 tat-TTDSG tittrasponi l-Artikolu 5(3) tad-Direttiva ePrivacy, li teħtieġ kunsens għall-ħażna jew l-aċċess ta' informazzjoni fuq l-apparat tal-utenti finali sakemm il-ħażna ma tkunx strettament meħtieġa.
Rekwiżiti ewlenin: It-TTDSG iċċara li l-kunsens għall-cookies irid jilħaq l-istandard tal-GDPR. Il-Qorti Federali tal-Ġustizzja tal-Ġermanja (BGH) kienet diġà kkonfermat dan fl-implimentazzjoni tad-deċiżjoni Planet49 (Mejju 2020), fejn iddeċidiet li kaxxi diġà mmarkati mhumiex biżżejjed. It-TTDSG introduċa wkoll dispożizzjonijiet għal Sistemi rikonoxxuti ta' Ġestjoni tal-Informazzjoni Personali (PIMS), li jippermettu lill-utenti jamministraw il-preferenzi tal-kunsens b'mod ċentralizzat aktarx milli fuq kull sit web — għalkemm ir-regolamenti implimentattivi għall-PIMS kienu bil-mod biex jitwettqu.
Infurzar: L-istruttura deċentralizzata tal-infurzar fil-Ġermanja tfisser li l-infurzar tal-konformità tal-cookies ivarja skont l-istat. Id-DPAs ta' Berlin, Hamburg u Baden-Württemberg kienu fost l-aktar attivi. Il-Konferenza tal-Awtoritajiet tal-Protezzjoni tad-Data (DSK) perjodikament toħroġ pożizzjonijiet konġunti dwar ir-rekwiżiti tal-kunsens tal-cookies.
Azzjonijiet notevoli: Diversi investigazzjonijiet dwar banners tal-cookies li użaw dark patterns, partikolarment disinji ta' "nudging" fejn il-buttuna ta' aċċettazzjoni kienet prominenti viżwalment filwaqt li l-opzjoni ta' rifjut kienet deemphasizzata. Il-multi ġeneralment kienu aktar baxxi milli fi Franza iżda l-attività ta' infurzar żdiedet b'mod kostanti minn meta t-TTDSG daħal fis-seħħ.
Franza
Awtorità tal-infurzar: Commission Nationale de l'Informatique et des Libertés (CNIL).
Liġi nazzjonali: Loi Informatique et Libertés (Liġi Nru 78-17), emendata biex timplimenta d-Direttiva ePrivacy. Il-CNIL ħareġ linji gwida komprensivi dwar il-cookies f'Settembru 2020 b'perjodu ta' grazzja għall-konformità li ntemm f31 ta' Marzu 2021.
Rekwiżiti ewlenin: Franza hija l-aktar suq ewlieni strett tal-UE għall-konformità tal-cookies. Il-linji gwida tal-CNIL jeħtieġu: kunsens qabel ma jkun stabbilit kwalunkwe cookie mhux essenzjali; opzjoni ta' rifjut fl-ewwel saff tal-banner li tkun daqstant faċli biex tintuża daqs l-opzjoni ta' aċċettazzjoni; l-ebda ħitan tal-cookies (b'eċċezzjonijiet limitati affermati mill-Conseil d'État); informazzjoni dettaljata dwar l-iskop ta' kull cookie.
Eżenzjoni tal-kejl tal-udjenza: Il-CNIL jipprovdi eżenzjoni limitata għall-cookies ta' kejl tal-udjenza li jilħqu kundizzjonijiet stretti: l-għodda trid tkun ikkonfigurata biex tipproduċi biss data statistika anonima, il-cookies iridu jkunu limitati għas-sit tal-pubblikatur, il-ħajja tal-cookie ma tridx taqbeż it-13-il xahar, u d-data ma tridx tiġi kkombinata ma' proċessar ieħor. Għodod bħal Matomo (b'konfigurazzjoni speċifika) u AT Internet ġew rikonoxxuti taħt din l-eżenzjoni. Google Analytics ma jikkwalifikax.
Multi notevoli: Franza ħarġet l-akbar multi relatati mal-cookies fl-Ewropa. Google LLC ġie mmultat €150 miljun f'Diċembru 2021 talli għamel ir-rifjut tal-cookies aktar diffiċli mill-aċċettazzjoni. Facebook ġie mmultat €60 miljun fl-istess azzjoni. Microsoft ġie mmultat €60 miljun f'Diċembru 2022. TikTok ġie mmultat €5 miljun f'Diċembru 2022. Criteo ġie mmultat €40 miljun f'Ġunju 2023. B'kollox, il-CNIL impona aktar minn €400 miljun f'multi speċifiċi għall-cookies.
L-Italja
Awtorità tal-infurzar: Garante per la protezione dei dati personali (Garante).
Liġi nazzjonali: Kodiċi tal-Privatezza (Decreto Legislativo 196/2003), emendat biex jallinja mal-GDPR. Il-Garante ħareġ linji gwida komprensivi dwar il-cookies fl-10 ta' Ġunju 2021, bil-konformità meħtieġa sal-10 ta' Jannar 2022.
Rekwiżiti ewlenin: Il-linji gwida tal-2021 tal-Garante huma fost l-aktar dettaljati fl-Ewropa. Jeħtieġu: banner tal-ewwel saff b'buttuna ta' aċċettazzjoni u buttuna ta' rifjut murija b'mod prominenti (immarkata b'"X" jew "Kompli mingħajr ma taċċetta"); tieni saff aċċessibbli mill-ewwel banner b'kontrolli granulari tal-kategoriji tal-cookies; l-iscrollar espliċitament ma jikkostitwixxix kunsens; il-kunsens tal-cookies irid jerġa' jintalab wara massimu ta' 6 xhur.
Notevoli: Il-Garante introduċa l-kunċett li jeħtieġ buttuna speċifika ta' "għeluq" fuq il-banners tal-cookies aktarx milli jħalli t-tibqigħ tal-ibbrawżjar iservi bħala rifjut. Il-linji gwida indirizzaw ukoll il-kwistjoni tal-analytics tal-cookies, fejn jeħtieġu kunsens għall-analytics kollha ta' partijiet terzi u jippermettu eżenzjoni limitata biss għall-għodod tal-analytics ta' parti waħda b'data anonimizzata sew.
Spanja
Awtorità tal-infurzar: Agencia Española de Protección de Datos (AEPD).
Liġi nazzjonali: Ley de Servicios de la Sociedad de la Información (LSSI-CE) u Ley Orgánica de Protección de Datos (LOPDGDD).
Rekwiżiti ewlenin: Spanja inizjalment ħadet approċċ aktar lax għall-konformità tal-cookies, bil-gwida tal-cookies tal-2013 tal-AEPD tissuġġerixxi li ċerti cookies tal-analytics jistgħu jintużaw fuq bażi ta' interess leġittimu. Madankollu, l-AEPD progressivament allinjat mal-kunsens Ewropew aktar strett wara l-gwida tal-EDPB u d-deċiżjoni Planet49. Il-gwida attwali tal-AEPD teħtieġ kunsens minn qabel għall-cookies tal-analytics u l-marketing.
Azzjonijiet notevoli: L-AEPD immulta lil Vueling Airlines €30,000 fl-2020 għal banner tal-cookies li pprovda biss opzjoni ta' aċċettazzjoni mingħajr mod kif jiġu rrifjutati l-cookies. CaixaBank ġie mmultat €6 miljun fl-2021, parzjalment relatat ma' prattiki ta' proċessar tad-data marbuta ma' traċċar ibbażat fuq il-cookies. Aktar reċentement, l-AEPD iffoka fuq il-ħitan tal-cookies u d-dark patterns fl-interfaċċi tal-kunsens.
L-Olanda
Awtorità tal-infurzar: Autoriteit Persoonsgegevens (AP).
Liġi nazzjonali: Telecommunicatiewet (Att tat-Telekomunikazzjoni), Artikolu 11.7a.
Rekwiżiti ewlenin: L-Olanda ħadet waħda mill-aktar pożizzjonijiet stretti dwar il-ħitan tal-cookies fl-Ewropa. L-AP iddikjarat b'mod ċar li l-kundizzjonament tal-aċċess għal sit web fuq l-aċċettazzjoni tal-cookies mhuwiex kunsens validu, għaliex il-kunsens ma jkunx "mogħti liberament" jekk l-alternattiva hija t-telf tal-aċċess għas-servizz. L-AP teħtieġ ukoll kunsens espliċitu qabel ma jiġu stabbiliti kwalunkwe cookies ta' traċċar u kienet kritika ta' pjattaformi ta' ġestjoni tal-kunsens li jużaw disinn manipulattiv.
Azzjonijiet notevoli: L-AP investigat bosta siti web għal falliment tal-konformità tal-cookies u ħarġet gwida li timmira speċifikament d-dark patterns fil-banners tal-cookies. L-awtorità ħadet sehem ukoll fi tfittxijiet ikkoordinati ta' siti web tal-gvern għall-konformità tal-cookies. Fl-2024, l-AP żiedet l-attività ta' infurzar tagħha kontra organizzazzjonijiet iżgħar, u tat is-sinjal li l-aspettattivi ta' konformità tal-cookies japplikaw irrispettivament mid-daqs tal-kumpanija.
Il-Belġju
Awtorità tal-infurzar: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Liġi nazzjonali: Att tat-13 ta' Ġunju 2005 dwar il-komunikazzjonijiet elettroniċi, emendat mill-Att tal-10 ta' Lulju 2012.
Rekwiżiti ewlenin: Il-Belġju jsegwi r-rekwiżiti standard tad-Direttiva ePrivacy. Id-DPA Belġjan sar sinifikanti globalment fir-regolament tal-cookies meta ddeċieda dwar l-IAB Europe Transparency and Consent Framework (TCF) fi Frar 2022, fejn sab li l-consent string tal-TCF jikkostitwixxi data personali u li l-IAB Europe kien kontrollur konġunt. Din id-deċiżjoni, parzjalment ikkonfermata mill-QĠUE f'Marzu 2024, għandha implikazzjonijiet għal kull sit web li juża l-TCF għall-ġestjoni tal-kunsens tal-cookies.
Notevoli: Id-deċiżjoni dwar l-IAB TCF bagħtet skossi mal-industrija tar-reklamar online, peress li l-TCF huwa l-aktar qafas ta' kunsens użat b'mod wiesa' għar-reklamar programmatiku fl-Ewropa. Filwaqt li l-IAB Europe implimenta bidliet biex jindirizza t-tħassib tad-DPA, il-każ enfasizza r-riskji li tiddependi fuq oqfsa ta' kunsens iddisinjati mill-industrija li jistgħu ma jilħqux għalkollox ir-rekwiżiti tal-GDPR.
L-Awstrija
Awtorità tal-infurzar: Datenschutzbehörde (DSB).
Liġi nazzjonali: Telekommunikationsgesetz 2021 (TKG 2021), Sezzjoni 165.
Rekwiżiti ewlenin: Ir-regoli tal-Awstrija dwar il-cookies jsegwu l-qafas standard tad-Direttiva ePrivacy. Id-DSB Awstrijak kiseb attenzjoni internazzjonali f'Jannar 2022 meta sar l-ewwel DPA Ewropew li ddeċieda li l-użu ta' Google Analytics kiser il-GDPR, speċifikament rigward it-trasferimenti ta' data personali lejn l-Istati Uniti wara d-deċiżjoni Schrems II. Filwaqt li din kienet primarjament kwistjoni ta' trasferiment tad-data, kellha implikazzjonijiet diretti għall-konformità tal-cookies, peress li l-cookies ta' Google Analytics instabu li jikkostitwixxu data personali trasferita lejn pajjiż terz mingħajr salvagwardji adegwati.
Notevoli: Id-deċiżjoni dwar Google Analytics ikkawżat kaskata ta' deċiżjonijiet simili madwar l-Ewropa (Franza, l-Italja u oħrajn segwew) u aċċellerat l-iżvilupp ta' alternattivi tal-analytics li jippreżervaw il-privatezza. Id-DSB baqa' attiv fuq kwistjonijiet ta' teknoloġija tal-cookies u tat-traċċar.
Id-Danimarka
Awtorità tal-infurzar: Datatilsynet.
Liġi nazzjonali: Cookiebekendtgørelsen (Ordni Eżekuttiva dwar l-Informazzjoni u l-Kunsens Meħtieġa għall-Ħażna jew l-Aċċess għall-Informazzjoni f'Apparat Terminali tal-Utent Finali), li timplimenta d-dispożizzjonijiet tad-Direttiva ePrivacy.
Rekwiżiti ewlenin: Id-Danimarka teħtieġ kunsens għall-cookies kollha ħlief dawk strettament meħtieġa għal servizz mitlub espliċitament mill-utent. Id-Datatilsynet ħareġ gwida li tikkonferma li l-cookies tal-analytics jeħtieġu kunsens, u li t-tibqigħ tal-ibbrawżjar ma jikkostitwixxix kunsens validu. Il-gwida Daniża dejjem aktar allinjat mal-pożizzjonijiet aktar stretti meħuda mill-CNIL u l-EDPB.
Azzjonijiet notevoli: Id-Datatilsynet żied l-attività tal-infurzar tal-cookies tiegħu mill-2022, fejn investiga siti web kemm tas-settur pubbliku kif ukoll dak privat. Fl-2023, l-awtorità ħarġet deċiżjonijiet kontra diversi siti web Daniżi għal mekkaniżmi inadegwati ta' kunsens tal-cookies, inklużi każijiet fejn l-opzjoni ta' rifjut ma kinitx viżibbli biżżejjed. Id-Datatilsynet indirizza wkoll l-użu ta' Google Analytics u l-pixels tat-traċċar ta' Meta fuq siti web Daniżi, u ordna lil diversi organizzazzjonijiet biex jieqfu jużaw dawn l-għodod mingħajr kunsens xieraq u salvagwardji tat-trasferiment tad-data.
L-Isvezja
Awtorità tal-infurzar: Integritetsskyddsmyndigheten (IMY).
Liġi nazzjonali: Lag om elektronisk kommunikation (LEK, 2003:389).
Rekwiżiti ewlenin: L-Isvezja mxiet minn infurzar relattivament baxx tal-cookies għal azzjoni sinifikanti f'dawn l-aħħar snin. L-IMY ħareġ l-ewwel multi kbar tiegħu relatati mal-cookies fl-2023, fejn immira erba' kumpaniji (inklużi Tele2, CDON, Dagens Industri, u Coop) għal total kombinat ta' aktar minn SEK 100 miljun (madwar €9 miljun) talli użaw Google Analytics u qasmu data personali ma' Google mingħajr kunsens validu jew salvagwardji adegwati tat-trasferiment tad-data.
Notevoli: L-azzjonijiet ta' infurzar tal-2023 taw is-sinjal ta' bidla kbira fl-approċċ tal-Isvezja. L-IMY ikkoordina ma' DPAs Nordiċi oħra u segwa l-preċedenti stabbiliti mid-DSB Awstrijak u l-CNIL Franċiż dwar Google Analytics. Il-multi kienu fost l-akbar maħruġa minn kwalunkwe DPA Nordiku u stabbilew li l-infurzar Svediż issa huwa fuq l-istess livell tal-aktar awtoritajiet Ewropej stretti.
L-Irlanda
Awtorità tal-infurzar: Data Protection Commission (DPC).
Liġi nazzjonali: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Rekwiżiti ewlenin: L-Irlanda ssegwi l-qafas standard tad-Direttiva ePrivacy. Madankollu, ir-rwol tad-DPC bħala l-awtorità superviżorja ewlenija għal bosta kumpaniji tat-teknoloġija ewlenin bl-uffiċċju prinċipali fl-Irlanda (inklużi Meta, Google, Apple, Microsoft u TikTok) tah sinifikat kbir fil-protezzjoni tad-data Ewropea. Id-DPC ħareġ gwida dwar il-konformità tal-cookies u wettaq verifiki ta' siti web kemm tas-settur pubbliku kif ukoll dak privat.
Notevoli: Id-DPC iffaċċja kritika minn DPAs Ewropej oħra u l-Parlament Ewropew għall-pass perċepit tal-infurzar tiegħu kontra Big Tech. Madankollu, id-DPC ħareġ multi sinifikanti tal-GDPR, inkluża multa ta' €1.2 biljun kontra Meta fl-2023 għat-trasferimenti tad-data. Dwar il-cookies speċifikament, id-DPC wettaq tfittxijiet ta' siti web fl-2020 u l-2021, fejn ħareġ rakkomandazzjonijiet ta' konformità lil bosta organizzazzjonijiet. Il-multi diretti speċifiċi għall-cookies mid-DPC kienu relattivament modesti meta mqabbla mal-CNIL.
Il-Polonja
Awtorità tal-infurzar: Urząd Ochrony Danych Osobowych (UODO).
Liġi nazzjonali: Liġi tat-Telekomunikazzjoni (Prawo telekomunikacyjne), Artikolu 173.
Rekwiżiti ewlenin: Il-Polonja teħtieġ kunsens għall-cookies skont id-Direttiva ePrivacy. L-UODO ħareġ gwida li tikkonferma li kaxxi diġà mmarkati u t-tibqigħ tal-ibbrawżjar ma jikkostitwixxux kunsens validu. Il-liġi Pollakka tinkludi dispożizzjonijiet speċifiċi dwar l-informazzjoni li trid tingħata lill-utenti dwar il-cookies, inklużi l-iskopijiet, l-identità tal-kontrollur, u istruzzjonijiet għall-ġestjoni tas-settings tal-cookies.
Notevoli: L-attività ta' infurzar tal-Polonja dwar il-cookies żdiedet, bl-UODO jinvestiga lmenti dwar banners tal-cookies mhux konformi u jaħdem mar-regolatur tat-telekomunikazzjoni. L-UODO ħa sehem fi tfittxijiet ikkoordinati ta' infurzar madwar l-UE u allinja l-gwida tiegħu mar-rakkomandazzjonijiet tal-EDPB.
In-Norveġja
Awtorità tal-infurzar: Datatilsynet (l-Awtorità Norveġiża tal-Protezzjoni tad-Data — distinta mill-awtorità Daniża bl-istess isem).
Liġi nazzjonali: Ekomloven (Att tal-Komunikazzjonijiet Elettroniċi).
Rekwiżiti ewlenin: Għalkemm in-Norveġja mhijiex stat membru tal-UE, hija membru taż-Żona Ekonomika Ewropea (ŻEE) u inkorporat il-GDPR u d-Direttiva ePrivacy fil-liġi nazzjonali tagħha permezz tal-Ftehim taż-ŻEE. Id-Datatilsynet Norveġiż isegwi mill-qrib il-gwida tal-EDPB u kien attiv fl-infurzar tal-cookies.
Azzjonijiet notevoli: Id-Datatilsynet Norveġiż ħareġ multa ta' €5 miljun lil Grindr f'Diċembru 2021 (aktar tard imnaqqsa għal €6.5 miljun fl-appell) talli qasam data tal-utenti ma' sħab tar-reklamar mingħajr kunsens validu. Filwaqt li primarjament kien każ ta' kunsens relatat mal-qsim tad-data aktarx milli mal-cookies speċifikament, stabbilixxa preċedenti importanti għar-rekwiżiti tal-kunsens fit-teknoloġiji tat-traċċar. L-awtorità investigat ukoll l-użu ta' Google Analytics u għodod oħra tat-traċċar fuq siti web Norveġiżi.
Punti Ewlenin
Minkejja l-varjazzjonijiet fl-implimentazzjoni u l-infurzar nazzjonali, diversi prinċipji huma konsistenti fil-pajjiżi kollha tal-UE u ż-ŻEE:
- Il-kunsens huwa meħtieġ qabel ma jiġi stabbilit kwalunkwe cookie mhux essenzjali. L-ebda pajjiż Ewropew ma jaċċetta mudell purament opt-out għall-cookies.
- Il-kunsens irid jilħaq l-istandard tal-GDPR: mogħti liberament, speċifiku, infurmat, mingħajr ambigwità, u muri permezz ta' azzjoni affermattiva ċara.
- Ir-rifjut irid ikun daqstant faċli daqs l-aċċettazzjoni. Filwaqt li l-implimentazzjoni speċifika tista' tvarja (buttuna separata, X biex tagħlaq, eċċ.), il-prinċipju li r-rifjut tal-cookies ma jridx ikun aktar diffiċli mill-aċċettazzjoni tagħhom huwa universali.
- L-infurzar qed jiżdied kullimkien. Pajjiżi li qabel kienu lax issa qed joħorġu multi u deċiżjonijiet formali. M'hemm l-ebda ġurisdizzjoni Ewropea "sikura" għan-nuqqas ta' konformità.
- L-infurzar ikkoordinat qed jikber. Id-DPAs dejjem aktar jikkooperaw permezz tal-EDPB u jwettqu tfittxijiet ikkoordinati, li jfisser li n-nuqqas ta' konformità f'pajjiż wieħed x'aktarx jiġbed l-attenzjoni f'oħrajn.
Il-website tiegħek tikkonforma mar-regoli tal-cookies?
Skannja l-website tiegħek b'xejn u sib il-cookies kollha fi ftit minuti.
Skannja l-cookies tiegħek b'xejn