ePrivacy nel 2026: la riforma non arriva ma la Direttiva morde ancora

9 anni di riforma: il Regolamento ePrivacy non esiste ancora

La Commissione UE ha pubblicato la prima proposta di Regolamento ePrivacy nel gennaio 2017. Doveva sostituire la Direttiva 2002/58/EC e affiancare il GDPR come lex specialis per le comunicazioni elettroniche. Siamo ad aprile 2026: il testo è ancora impantanato nei triloghi.

Le ragioni del blocco sono note. L’industria adtech ha fatto pressione contro le restrizioni al tracciamento. Gli Stati membri non si accordano sul trattamento dei metadati. La Presidenza belga nel 2024 ha provato a rilanciare il negoziato. La Presidenza polacca nel 2025 ha prodotto un nuovo testo di compromesso. Nessuno dei due ha portato a un accordo.

Risultato: la normativa di riferimento per cookie, tracciamento online, email marketing e riservatezza delle comunicazioni resta una Direttiva del 2002, recepita in modo diverso da ogni Stato membro. E le autorità garanti la stanno applicando con intensità crescente.

La Direttiva 2002/58/EC è quello che conta adesso

Ignorare la Direttiva ePrivacy perché “tanto arriva il Regolamento” è un errore che vedo ripetere. La Direttiva è pienamente in vigore. È stata recepita in Italia con il d.lgs. 196/2003 (Codice Privacy, artt. 121-134) e integrata dalle Linee Guida del Garante sui cookie del giugno 2021.

L’art. 5, par. 3, della Direttiva stabilisce il principio cardine: nessuna informazione può essere memorizzata o letta dal terminale dell’utente senza consenso informato, salvo eccezioni tassative (cookie tecnici, cookie strettamente necessari alla fornitura del servizio).

Questo principio si applica indipendentemente dal GDPR. Non è un obbligo derivato dall’art. 6 GDPR. È un obbligo autonomo, con base giuridica propria. E le DPA europee lo stanno facendo valere.

Tre cose che le DPA stanno sanzionando adesso

1. Pre-consent tracking: tracker che partono prima del consenso

Il problema più diffuso. L’utente atterra sulla pagina, il cookie banner appare, ma intanto Google Analytics, Meta Pixel, hotjar e altri script sono già partiti. I cookie sono già scritti. L’evento pageview è già stato inviato.

Questo viola l’art. 5(3) della Direttiva in modo netto. Non c’è zona grigia. Se il tracker parte prima che l’utente abbia interagito con il banner, state violando la norma. Il CNIL ha sanzionato ripetutamente questo comportamento. Il Garante italiano lo contesta sistematicamente nelle ispezioni.

Il problema tecnico è reale: molti tag manager sono configurati per caricare gli script al DOM ready, non al consenso. Se il vostro CMP non blocca effettivamente il firing dei tag prima del consenso, il banner è decorativo.

2. Soft opt-in nel B2B email marketing

L’art. 13 della Direttiva consente l’invio di email commerciali senza consenso preventivo quando il destinatario ha già acquistato un prodotto o servizio analogo (soft opt-in). Ma nel B2B questa eccezione viene stiracchiata oltre ogni limite.

Scenari tipici che vedo: un prospect ha scaricato un whitepaper e finisce nella newsletter commerciale. Un partecipante a un webinar riceve offerte per servizi mai richiesti. Un contatto raccolto a una fiera viene inserito in sequenze automatizzate di email marketing.

Nessuno di questi casi rientra nel soft opt-in. Non c’è stata una vendita. Il prodotto proposto non è “analogo” a nulla che il destinatario abbia acquistato. E l’informativa all’atto della raccolta — quando esiste — non menziona l’uso per comunicazioni commerciali dirette.

3. Device fingerprinting = cookie

La Direttiva non parla di “cookie”. Parla di memorizzazione di informazioni o accesso a informazioni già memorizzate nel terminale dell’utente. Il device fingerprinting — raccolta di user agent, risoluzione schermo, font installati, canvas rendering — rientra pienamente in questa definizione.

La Corte di Giustizia UE lo ha confermato nella causa C-673/17 (Planet49). L’EDPB nelle Guidelines 2/2023 sugli identificatori online ha ribadito che qualsiasi tecnica di tracciamento che accede a informazioni dal terminale dell’utente è soggetta all’art. 5(3). Non importa se non scrivete un cookie: se leggete dati dal dispositivo per creare un identificatore, servono consenso.

Molti servizi di analytics “cookieless” si basano proprio sul fingerprinting. Se li usate senza consenso, state violando la Direttiva esattamente come con un cookie di profilazione.

Cookie banner: la maggior parte è ancora non conforme

I report delle DPA europee lo confermano anno dopo anno. I problemi ricorrenti:

• Asimmetria visiva: il pulsante “Accetta tutto” è grande e colorato. “Rifiuta” è un link grigio in corpo 10 o richiede un secondo livello di navigazione. Il CNIL e il Garante italiano hanno stabilito che rifiutare deve essere altrettanto facile che accettare.
• Cookie wall: condizionare l’accesso al sito all’accettazione dei cookie non è compatibile con il requisito di consenso libero, salvo eccezioni molto limitate.
• Consenso implicito: “Continuando la navigazione acconsenti” non è mai stato valido. Eppure lo vedo ancora.
• Mancanza di revoca: l’utente accetta, ma non trova un modo per revocare il consenso senza cancellare manualmente i cookie del browser.

CNIL: 486 milioni di euro di sanzioni nel 2025

Il CNIL ha chiuso il 2025 con un totale di €486 milioni in sanzioni, una quota significativa delle quali legata a violazioni cookie ed ePrivacy. Le sanzioni più rilevanti hanno colpito aziende che caricavano tracker pubblicitari prima del consenso e piattaforme con cookie banner strutturalmente ingannevoli.

Il Garante italiano ha mantenuto un’attività ispettiva costante sui cookie, con contestazioni basate sulle Linee Guida del 2021. L’ICO britannico ha proseguito le indagini nel settore adtech. La DPA spagnola ha sanzionato casi di email marketing senza base giuridica adeguata.

Il trend è chiaro: in assenza del Regolamento, le DPA stanno usando la Direttiva esistente con sempre maggiore aggressività.

Cosa cambierebbe il Regolamento ePrivacy (se mai arriva)

Il testo in discussione introdurrebbe alcune modifiche rilevanti:

• Applicazione diretta: niente più recepimento nazionale. Regole uniformi in tutta l’UE.
• Sanzioni allineate al GDPR: fino al 4% del fatturato globale, con meccanismo di cooperazione tra autorità.
• Browser e device settings come espressione di consenso: le impostazioni del browser potrebbero valere come manifestazione di volontà, riducendo la necessità di banner sito per sito.
• Metadati: regole più chiare sul trattamento di metadati delle comunicazioni (localizzazione, dati di traffico).
• Eccezione per web audience measurement: analytics aggregati e non identificativi potrebbero non richiedere consenso.

Il problema è che queste modifiche sono in discussione da anni e il testo finale potrebbe essere molto diverso da qualsiasi bozza attuale.

Il Digital Omnibus e l’ePrivacy

Il Digital Omnibus Package, adottato dal Parlamento UE a marzo 2026, modifica anche la Direttiva ePrivacy. In particolare, razionalizza gli obblighi di notifica incidenti e allinea alcune definizioni con il GDPR aggiornato. Ma non risolve la questione di fondo: la Direttiva resta una Direttiva, con tutte le frammentazioni del recepimento nazionale.

Il Digital Omnibus non sostituisce il Regolamento ePrivacy. Lo affianca, aggiornando la Direttiva vigente in attesa che il Regolamento completi il suo iter. Per chi deve gestire la compliance cookie oggi, cambia poco nella sostanza.

Cosa controllare adesso nella vostra implementazione cookie

Sette verifiche concrete da fare questa settimana:

1. Audit dei tag pre-consenso: aprite il browser in modalità incognito, caricate il sito senza interagire con il banner. Controllate nella console quali cookie sono stati scritti e quali richieste di rete sono partite. Se trovate Google Analytics, Meta Pixel o qualsiasi tracker non strettamente necessario, avete un problema.
2. Verifica del blocco effettivo: il vostro CMP deve bloccare il firing dei tag, non solo nascondere il banner. Testate con il tag manager in modalità debug.
3. Simmetria del banner: rifiutare deve essere possibile al primo livello, con la stessa evidenza visiva di accettare.
4. Meccanismo di revoca: l’utente deve poter revocare il consenso in qualsiasi momento. Verificate che il link/pulsante sia accessibile e funzionante.
5. Audit soft opt-in: per ogni lista di email marketing, verificate che i destinatari abbiano effettivamente acquistato e che i prodotti promossi siano analoghi a quelli acquistati.
6. Fingerprinting: controllate se usate servizi di analytics o antifrode che raccolgono parametri del dispositivo. Se sì, trattarli come cookie di profilazione ai fini del consenso.
7. Registro dei consensi: dovete essere in grado di dimostrare quando e come ogni utente ha prestato il consenso. Se il vostro CMP non conserva questa prova, è un rischio concreto in caso di ispezione.

Conclusione

Il Regolamento ePrivacy arriverà. Forse. Nel frattempo, la Direttiva 2002/58/EC è la norma vigente, le DPA la applicano con sanzioni crescenti, e la maggior parte dei siti web è ancora non conforme. Non aspettate una riforma che potrebbe non arrivare prima del 2028. Sistemate quello che avete adesso.

Fonti e riferimenti

• Direttiva 2002/58/CE (ePrivacy Directive)
• Proposta di Regolamento ePrivacy — COM(2017) 10 final
• CGUE, C-673/17 — Planet49 (consenso cookie)
• Garante Privacy — Linee Guida cookie e altri strumenti di tracciamento (2021)
• CNIL — Sanctions
• EDPB — Guidelines e Raccomandazioni
• Commissione UE — Digital Omnibus Package