Sari la conținut

Audit de GDPR: ce verifici în 2026, de la cookie consent la EU AI Act

În 2026, axa s-a mutat de la „ai un banner de cookie?” la „banner-ul tău blochează efectiv tracking-ul până la consimțământ, fără dark patterns, și ai dovada?”. Checklist tehnic 2026, de la Consent Mode v2 la noul strat AI (EU AI Act).

Dan Cristian Alexandrescu9 min citire
Notă

Acesta e un material informativ, nu consultanță juridică. Websem nu e firmă de avocatură. Pentru conformitate cu valoare juridică, lucrează cu un avocat specializat / DPO. Auditul nostru acoperă latura tehnică și de marketing (tracking, consimțământ, configurare), nu opinii legale.

Un audit de GDPR verifică dacă modul în care site-ul tău colectează, stochează și procesează date personale — în special prin cookie-uri, tracking și unelte de marketing — respectă regulamentul: consimțământ valid înainte de colectare, transparență, control real al utilizatorului și documentare.

În 2026, axa centrală a mutat de la „ai un banner de cookie?” la „banner-ul tău blochează efectiv tracking-ul până la consimțământ, fără dark patterns, și ai dovada?”.

TL;DR · ce trebuie să reții
05
  • €1,2 mld în amenzi doar în 2024 (cumulat €5,88 mld). Plafon: €20M sau 4% din cifra de afaceri globală.
  • Banner ≠ conformitate. Contează prior blocking, granularitate, „Refuz” egal cu „Accept” și dovada (log).
  • Consent Mode v2 obligatoriu EEA din martie 2024 — fără el pierzi și date, și conformitate.
  • Nou în 2026: EU AI Act (termen august 2026) — cere explicabilitate pentru decizii automate care afectează userii.
  • Conformitatea bine făcută păstrează mai multe date, nu mai puține — prin Consent Mode v2 + server-side + modelare.

De ce contează acum (și mai mult ca în 2018)

Aplicarea e agresivă: €1,2 miliarde în amenzi doar în 2024, cumulat peste €5,88 miliarde de la intrarea GDPR în vigoare. Încălcările pe cookie consent pot ajunge la €20 milioane sau 4% din cifra de afaceri globală. În plus, în 2026 se adaugă două straturi noi: Consent Mode v2 (obligatoriu pentru EEA din martie 2024) și termenul EU AI Act din august 2026, care cere explicabilitate pentru deciziile automate care afectează userii.

În România, autoritatea de supraveghere este ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal), care a aplicat amenzi locale în mod constant.

— Checklist 2026

Ce verifică un audit GDPR

06
  • 01

    Consimțământ valid (cookie banner)

    Tracking-ul (analytics, ads, pixeli) blocat până la consimțământ (prior blocking), nu pornit din start; consimțământ granular (separat pentru analytics și marketing); „Refuz” la fel de ușor ca „Accept”, fără dark patterns; reînnoire și posibilitatea de retragere oricând.

  • 02

    Consent Mode v2 (Google)

    Obligatoriu pentru traficul EEA din martie 2024. Cere semnale granulare separate (analytics_storage, ad_storage). Verificăm că e implementat corect — altfel pierzi date și ești neconform în același timp.

  • 03

    Logarea consimțământului

    Dovada cine, când și la ce a consimțit. Fără log, nu poți demonstra conformitatea la o sesizare.

  • 04

    Inventar de date și unelte (RoPA)

    Records of Processing Activities: ce date colectezi, prin ce unelte (GA4, Meta Pixel, GTM, CRM, chat), pe ce temei legal, cât le păstrezi, cu cine le partajezi.

  • 05

    Politici și temeiuri legale

    Politică de confidențialitate și de cookie-uri actualizate, corecte și ușor de găsit; temei legal clar pentru fiecare prelucrare; contracte cu procesatorii (DPA) și clauze de transfer (SCC) pentru unelte non-EU.

  • 06

    Stratul AI (EU AI Act — termen august 2026)

    Dacă folosești personalizare, prețuri dinamice, targetare AI sau decizii automate care afectează userul, stratul de tracking trebuie documentabil și auditabil, cu explicabilitate. Tot mai multe audituri 2026 includ o evaluare de „legitimate interests” pentru procesarea AI.

Cum se face (metodologie)

Auditul tehnic urmează fluxul real al userului: încarci site-ul cu un cont curat → verifici ce se declanșează înainte de orice click pe banner (n-ar trebui să se declanșeze tracking) → testezi „Refuz” și „Accept” granular → inspectezi în consolă/network ce request-uri pleacă și către cine → verifici Consent Mode v2 → confruntă cu RoPA și politici. Apoi: raport cu riscuri clasificate (critic / major / minor) și remediere prioritizată.

Constatări frecvente (și cele mai riscante)

Tracking care pornește înainte de consimțământ (cel mai comun și cel mai amendat); banner cu „Accept” colorat și „Refuz” ascuns (dark pattern); Consent Mode v2 lipsă sau prost configurat (pierzi și date, și conformitate); GTM care încarcă tag-uri fără să respecte semnalul de consimțământ; politici de confidențialitate copiate, neactualizate; unelte non-EU fără SCC; lipsa unui RoPA și a logării consimțământului.

Tensiunea reală: conformitate vs. date

Mulți cred că GDPR „omoară” datele de marketing. Adevărul tehnic: un setup corect (Consent Mode v2 + server-side + consimțământ granular bine proiectat) îți păstrează mai multe date utile decât un banner prost care blochează tot sau decât unul ilegal care te expune la amenzi. Conformitatea bine făcută e și protecție juridică, și recuperare de date prin modelare. Asta verificăm.

Ce primești (deliverable)

Raport cu riscuri clasificate pe severitate (critic/major/minor) și referințe, checklist de remediere prioritizat, verificarea Consent Mode v2 și a fluxului de consimțământ, plus recomandări pentru stratul AI (AI Act). Pentru partea strict juridică (politici, temeiuri, DPA), recomandăm validare cu un avocat/DPO.

— FAQ

Întrebări frecvente

04
  • Am un banner de cookie. Sunt conform?

    Nu automat. Contează dacă blochează tracking-ul înainte de consimțământ, dacă „Refuz” e la fel de ușor ca „Accept”, dacă e granular și dacă ai dovada (log). Un banner cosmetic care lasă pixelii să pornească din start e tocmai ce se amendează.

  • Ce e Consent Mode v2 și de ce contează?

    E mecanismul Google (obligatoriu EEA din martie 2024) prin care semnalele de consimțământ ajung granular la Google Ads/Analytics. Fără el, ești neconform și pierzi și date.

  • Ce se schimbă cu EU AI Act în 2026?

    Termenul din august 2026 cere explicabilitate pentru decizii automate care afectează userii. Dacă folosești personalizare sau targetare AI, stratul de date trebuie documentabil și auditabil.

  • Faceți și partea juridică?

    Acoperim latura tehnică și de marketing (tracking, consimțământ, configurare, documentare). Pentru opinii și documente cu valoare juridică, colaborăm cu / te direcționăm spre un avocat sau DPO.

Pasul tău

Vrei un audit GDPR tehnic al site-ului și al tracking-ului?

Verificăm fluxul de consimțământ, Consent Mode v2 și ce request-uri pleacă înainte de „Accept” — cu riscuri clasificate și remediere prioritizată. Latura tehnică, nu juridică.

Vezi serviciul de audit