Il 14 luglio 2026 il Comitato europeo per la protezione dei dati (CEPD) ha pubblicato la decisione vincolante 1/2026 ai sensi dell'articolo 65, paragrafo 1, lettera a) del RGPD, obbligando l'Autorità belga per la protezione dei dati a pronunciarsi sul merito di un reclamo di NOYB relativo a un cookie banner, anziché respingerlo per abuso del diritto. Adottata il 28 maggio 2026 e resa pubblica il 14 luglio 2026, la decisione ingiunge all'autorità belga, in qualità di autorità di controllo capofila, di esaminare il reclamo nel merito e di sottoporre una nuova bozza di decisione alle autorità di controllo interessate ai sensi dell'articolo 60, paragrafo 3, del RGPD.

Il reclamo era stato presentato all'autorità austriaca per la protezione dei dati dall'ONG NOYB, per conto di un singolo individuo, e prendeva di mira i cookie banner installati sul sito di VRT, l'emittente pubblica fiamminga. Essendo VRT stabilita in Belgio, l'autorità belga ha assunto la guida nell'ambito del meccanismo dello sportello unico, mentre l'autorità austriaca ha agito come autorità di controllo interessata.

Perché l'autorità belga ha cercato di respingere il reclamo?

La bozza di decisione dell'autorità belga proponeva di rigettare il caso per ragioni procedurali, sostenendo che il ricorrente avesse abusato del diritto di presentare un reclamo ai sensi dell'articolo 77 del RGPD e del diritto di conferire un mandato a un rappresentante ai sensi dell'articolo 80, paragrafo 1, del RGPD. L'autorità austriaca ha sollevato un'obiezione, sostenendo che l'autorità capofila dovesse decidere la questione nel merito anziché archiviarla su basi procedurali. Di fronte al rifiuto dell'autorità belga di accogliere l'obiezione, la controversia è stata rimessa al CEPD ai sensi del meccanismo di risoluzione delle controversie di cui all'articolo 65, paragrafo 1, lettera a), il canale preposto a garantire un'applicazione coerente del RGPD nei casi transfrontalieri.

Cosa ha deciso il CEPD sull'eccezione di abuso del diritto?

Il CEPD ha innanzitutto confermato che l'obiezione austriaca era pertinente e motivata ai sensi dell'articolo 4, punto 24, del RGPD, applicando le proprie Linee guida 09/2020 sull'obiezione pertinente e motivata, e valutandola quindi nel merito. Ha poi applicato il test della CGUE per il presunto abuso del diritto e ha accertato che il ricorrente non aveva abusato degli articoli 77 o 80, paragrafo 1, del RGPD, poiché non era dimostrata né la componente oggettiva né quella soggettiva necessarie a provare tale abuso. Il CEPD ha pertanto ingiunto all'autorità capofila di non respingere il reclamo, bensì di esaminarlo nel merito.

Chi è coinvolto e cosa dovrebbero fare i team di conformità?

La decisione si abbatte direttamente sui DPO e sui team di conformità privacy di ogni società rivolta all'UE che operi un cookie banner, nonché sui fornitori di piattaforme di gestione del consent (CMP) e sugli attori dell'adtech i cui flussi di consenso sono ora esposti a un rischio accresciuto di repressione. Il segnale pratico è chiaro: le autorità capofila non possono eludere i reclami sui cookie banner di matrice NOYB invocando l'abuso del diritto in fase procedurale. Il merito, ivi compreso se il consenso è libero, specifico e informato ai sensi della direttiva ePrivacy e del RGPD, deve essere giudicato.

Ne derivano tre azioni immediate. Primo, sottoporre a audit i propri flussi di consenso cookie rispetto alle linee guida del CEPD sulle impostazioni ingannevoli del consenso, poiché un reclamo che supera l'archiviazione procedurale sarà valutato in base alla conformità del banner stesso. Secondo, verificare se la propria CMP si basa su dark pattern o caselle pre-spuntate che un'autorità di controllo dovrebbe ora esaminare nel merito. Terzo, documentare la base giuridica e il meccanismo di acquisizione del consenso per ciascuna tecnologia di tracciamento, così da poter difendere il merito qualora un reclamo raggiunga la propria autorità capofila.

FaseCosa è accadutoBase giuridica
Reclamo presentatoNOYB presenta reclamo all'autorità austriaca sui cookie banner di VRTArt. 77 + Art. 80, par. 1 RGPD
Bozza dell'autorità capofilaL'autorità belga (capofila) propone il rigetto per abuso del dirittoArt. 60, par. 3 RGPD
Obiezione dell'autorità interessataL'autorità austriaca solleva un'obiezione, esigendo una decisione di meritoArt. 4, punto 24 RGPD
Decisione vincolante del CEPDIl CEPD accerta l'assenza di abuso e ingiunge all'autorità capofila di pronunciarsi nel meritoArt. 65, par. 1, lettera a) RGPD

Approfitti di questa sorveglianza in tempo reale

Trilogue sulla riforma dei dati Digital OmnibusLive
Monitoraggio del filo dati Digital Omnibus dell'UE per il settore IA, dati e governance digitale.
Ogni ora Email 3 notizie
La notizia che sta leggendo è stata rilevata da questo monitoraggio in tempo reale.
Attivi subito questa sorveglianza, gratis

L'autorità belga deve ora emettere una nuova bozza di decisione sul merito del reclamo relativo al cookie banner di VRT e farla circolare nell'ambito della procedura di cooperazione dello sportello unico. Ci si aspetta che l'argomentazione del CEPD sia richiamata in ulteriori reclami di NOYB sui cookie banner in tutta l'UE, restringendo le vie d'uscita procedurali per le autorità capofila. Un monitoraggio continuo in tempo reale, per giurisdizione, fa emergere questo tipo di cambio di rotta nell'applicazione della regolamentazione nel momento stesso in cui viene pubblicato, così che il tuo team non si trovi a rivedere un flusso di consenso solo dopo che un reclamo è arrivato.