Il Digital Omnibus vuole esentare dal consenso l'analytics first-party

Il 19 novembre 2025 la Commissione europea ha pubblicato il Digital Omnibus, una proposta che riscrive dove risiedono le regole di consenso per cookie e tracciamento. Il punto chiave per chi sviluppa è sepolto in un articolo della bozza: la misurazione dell'audience first-party, aggregata e a uso interno, non richiederebbe più alcun consenso.

Quella deroga non descrive uno strumento futuro. Descrive il modello di dati che l'analytics senza cookie ha eseguito per tutto questo tempo.

Cosa sposta davvero la proposta

Oggi l'obbligo di chiedere prima di leggere o scrivere sul dispositivo dell'utente discende dall'articolo 5, paragrafo 3 della Direttiva ePrivacy — la radice giuridica del banner cookie. Il Digital Omnibus estrae quella regola dall'ePrivacy e la inserisce nel GDPR tramite un nuovo articolo 88a.

L'effetto pratico è un regime unico. Dove si trattano dati personali, il consenso ePrivacy cessa di applicarsi e vale solo il GDPR. La Commissione lo presenta come una semplificazione di un corpus normativo sovrapposto, basandosi su oltre un anno di riscontri delle parti interessate sull'affaticamento da banner.

È una proposta della Commissione, non una legge. È entrata nella procedura legislativa ordinaria il giorno stesso della pubblicazione e passa ora al Parlamento europeo e al Consiglio, dove il testo può cambiare in modo sostanziale prima di vincolare chiunque.

La deroga sulla misurazione dell'audience

L'articolo 88a mantiene il consenso come regola predefinita per l'accesso al dispositivo e poi elenca eccezioni ristrette. Accanto alla trasmissione strettamente necessaria e alla sicurezza, ne aggiunge una che conta per l'analytics: memorizzare o accedere a informazioni per generare dati aggregati di misurazione dell'audience, purché il fornitore lo faccia unicamente per il proprio servizio online e il proprio uso interno.

Le analisi giuridiche convergono sulle condizioni che quella deroga comporta:

• Solo first-party. Il gestore del sito controlla i dati; il fornitore di analytics agisce come responsabile e non li usa mai per fini propri.
• Nessuna condivisione con terzi. Nulla fluisce verso inserzionisti, piattaforme pubblicitarie o reti di misurazione cross-site.
• Solo statistiche. La finalità è la statistica web e l'ottimizzazione del sito — non l'attivazione marketing, non la profilazione.
• Opt-out facile. L'utente può rifiutare la misurazione, spiegato chiaramente nell'informativa sulla privacy.
• Conservazione breve. I dati sono mantenuti solo per il tempo necessario alle statistiche.

L'inquadramento è volutamente stretto. I commentatori che hanno letto la bozza notano che sembra escludere qualsiasi strumento che misuri attraverso più servizi, clienti o piattaforme — cioè la maggior parte della misurazione ad-tech. La deroga premia un'architettura specifica, non una categoria di fornitore.

Perché combacia con l'analytics senza cookie

Confronta quell'elenco con il modo in cui è costruito un tracker privacy-first e la sovrapposizione è quasi totale. Non c'è alcun identificatore da condividere, perché l'identità del visitatore è un hash giornaliero a senso unico — SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD) — non reversibile e che svanisce ogni notte.

visitor_hash = SHA-256( IP | UA | SALT_SECRET | "2026-06-08" )

L'IP grezzo e lo User-Agent sono usati solo in memoria per calcolare quell'hash; il database memorizza l'hash, mai i valori grezzi. Non c'è alcun grafo cross-site perché domani non c'è nulla su cui fare join. La conservazione è limitata — le pageview più vecchie di due anni vengono eliminate — e i dati sono aggregati per costruzione: conteggi, durate, tipo di dispositivo grossolano, paese ottenuto all'edge.

Il beacon /collect trasporta tempi e metadati di pagina, non una persona. È esattamente la "misurazione aggregata dell'audience, a uso interno" che la bozza mette in evidenza.

L'articolo 88b e la fine dei banner per sito

La disposizione complementare, l'articolo 88b, affronta l'affaticamento da consenso dall'altro lato. Richiede che rifiuto e opposizione siano esprimibili tramite segnali automatizzati e leggibili dalla macchina, con i fornitori di browser e sistemi operativi (escluse le piccole imprese) obbligati a supportare l'infrastruttura.

È la stessa direzione che il Global Privacy Control ha già imposto nel diritto statale USA: spostare la decisione da mille banner a un'unica impostazione a livello di dispositivo che il sito deve rispettare. Uno strumento che non imposta cookie e non costruisce profili ha poco da rispettare qui — non c'è archiviazione da controllare né registro di consenso da tenere.

Cosa fare prima che entri in vigore

Nulla nel Digital Omnibus è ancora vincolante, e la tempistica si estende su periodi di applicazione scaglionati dopo un eventuale testo finale. Ma la direzione è tracciata, e favorisce un solo design: raccogliere statistiche aggregate first-party, non condividere nulla, non identificare nessuno e conservare per poco.

Se la tua analytics raggiunge già questo livello, la riforma è vento a favore — la legge che si muove verso l'architettura, anziché l'architettura che rincorre la legge. Se non lo raggiunge, la via più economica alla conformità non è un banner migliore. È raccogliere di meno.

Fonti

• Proposta di Regolamento Digital Omnibus (Commissione europea)
• The Digital Omnibus: cookies, consent and digital advertising (Taylor Wessing)
• EU Digital Omnibus: The European Commission Proposes Important Changes to the EU's Digital Rulebook (Sidley Austin)
• First-party analytics without consent: Your Digital Omnibus compliance guide (Piwik PRO)
• Digital Omnibus reshapes EU cookie rules but leaves banner fatigue largely intact (Osborne Clarke)