Il problema che i banner non risolvono
Otto anni di GDPR. Oltre €7,1 miliardi di sanzioni cumulative dal 2018 ( GDPR Enforcement Tracker / ComplianceHub.Wiki, gennaio 2026 ). Migliaia di cookie banner implementati su altrettanti siti.
Eppure chiunque navighi su internet conosce bene la scena: ogni volta che si apre un sito, compare un banner. Si sceglie. Si chiude. Si apre un altro sito. Si ricomincia. Il giorno dopo, sullo stesso sito, il browser ha cancellato le preferenze e il banner è di nuovo lì.
Questa consent fatigue è reale e documentata. Ma la sua causa principale non è il meccanismo del consenso in sé: è la qualità delle implementazioni. Dark pattern. Assenza del pulsante "Rifiuta" al primo livello. Browser in-app che non condividono lo storage con il browser di sistema. Banner cookie di bassa qualità che non implementano correttamente i requisiti normativi.
Il consenso non è il problema. Le implementazioni scadenti lo sono.
Una Consent Management Platform correttamente configurata, in conformità con le linee guida EDPB, può ridurre significativamente le interazioni non necessarie. Il consenso, quando è ben implementato, non alimenta la consent fatigue - la riduce.
Ma esistono inefficienze strutturali reali che nessuna Consent Management Platform, da sola, può risolvere completamente. Il dibattito normativo in corso a livello europeo lo ha reso evidente - ed è da lì che nasce la proposta navigator.consent.
Il Digital Omnibus e la nostra posizione alla Commissione Europea
navigator.consent si inserisce in un dibattito normativo più ampio che riguarda direttamente il futuro del consenso in Europa: il Digital Omnibus (COM(2025) 837), la proposta legislativa della Commissione Europea che tra le altre cose introduce gli articoli 88a e 88b nel GDPR, aprendo alla possibilità di segnali di preferenza configurabili a livello di browser.
L'11 marzo 2026 abbiamo presentato il Position Paper di My Agile Privacy® nell'ambito della consultazione pubblica sul Digital Fitness Check. Il documento è disponibile sulla piattaforma Have Your Say della Commissione Europea.
La nostra posizione è articolata: condividiamo l'obiettivo di ridurre la consent fatigue e semplificare il quadro normativo, ma segnaliamo rischi specifici che, se non affrontati nella fase di revisione, potrebbero produrre effetti contrari a quelli dichiarati - in particolare per le PMI europee e per la sovranità digitale dell'Unione.
Il rischio centrale dell'articolo 88b è preciso: se i segnali browser sostituissero la Consent Management Platform, non soddisferebbero i requisiti di consenso specifico e informato richiesti dall'art. 4(11) GDPR. Una preferenza espressa in termini generali non incorpora le informazioni necessarie a costituire un consenso informato rispetto al trattamento specifico di ogni titolare.
Delegare il consenso al browser senza una Consent Management Platform non è semplificazione. È un trasferimento di responsabilità a chi non ha gli strumenti per gestirla.
È in questo contesto che navigator.consent offre una risposta diversa - e più coerente con i requisiti GDPR.
Cos'è navigator.consent e come funziona
navigator.consent è una proposta di API browser - attualmente in stato di RFC (Request for Comments) pubblico, non ancora uno standard W3C (World Wide Web Consortium, l'organismo internazionale che definisce gli standard tecnici del web) - che crea uno strato di interoperabilità neutro tra le Consent Management Platform e i "Privacy Assistant": estensioni browser che applicano automaticamente le preferenze di consenso dell'utente.
Tra i sostenitori figurano già Consent Management Platform come Axeptio e AdOpt, strumenti di consenso assistito come SuperAgent e Taste, l'Electronic Frontier Foundation con Privacy Badger, e aziende come TWIPLA ed Edgee. Il panorama completo dei supporter è consultabile su navigatorconsent.org .
Il problema che vuole risolvere è concreto. Oggi le estensioni browser che gestiscono il consenso per conto dell'utente funzionano con un approccio fragile: fanno scraping del DOM , cioè analizzano il codice HTML del banner, cercano di capire quali pulsanti corrispondono ad "accetta" e "rifiuta", e simulano clic. Ogni aggiornamento della Consent Management Platform può rompere l'estensione. È una rincorsa continua, costosa, inaffidabile.
navigator.consent sostituisce questo meccanismo con un contratto strutturato: la Consent Management Platform dichiara al browser i propri vendor, le proprie finalità e il proprio stato di consenso. Il Privacy Assistant legge queste informazioni direttamente, senza interpretazioni, senza scraping.
navigator.consentnon elimina il consenso. Elimina la necessità di chiederlo ogni volta da capo.
Il flusso, in pratica, funziona così. Quando un utente arriva su un sito:
- La Consent Management Platform si registra presso il browser dichiarando nome, versione e contesto normativo applicabile.
- La Consent Management Platform pubblica il catalogo dei vendor e le finalità di trattamento, ciascuna con la rispettiva base giuridica.
- La Consent Management Platform chiama
requestConsent()- un segnale che dice al Privacy Assistant: "sto per mostrare il banner, vuoi intervenire prima?" - Se l'utente ha un Privacy Assistant installato con preferenze già espresse, l'assistente le applica automaticamente. Il banner non viene mostrato.
- Se nessun assistente è attivo, la Consent Management Platform procede normalmente con il proprio banner.
Un punto fondamentale: la Consent Management Platform mantiene il pieno controllo su storage, scope e persistenza del consenso. L'API è un livello di trasporto, non un sostituto. Le responsabilità legali e di compliance rimangono dove devono stare. navigator.consent è progettata come complemento alla Consent Management Platform, non suo sostituto - ed è esattamente per questo che è compatibile con i requisiti GDPR.
Le condizioni che restano aperte
La proposta ha valore tecnico concreto. Ma alcune condizioni vanno monitorate.
Standard aperti e interoperabili. Perché l'ecosistema funzioni, il formato dei segnali deve essere pubblicato sotto licenza aperta, accessibile a qualsiasi provider di Consent Management Platform o strumento di compliance, senza dipendenza da API proprietarie. Lo standard non deve essere delegato de facto a framework di settore come l'IAB TCF, concepito per la pubblicità programmatica e non adeguato come standard generale.
Il rischio della concentrazione. Uno dei punti che abbiamo segnalato esplicitamente nel Position Paper riguarda il controllo sui flussi di consenso nelle mani di un numero limitato di operatori non europei. Apple con ATT, Google con Privacy Sandbox: i precedenti esistono. navigator.consent è progettata con un modello di registrazione aperto, senza allow-list né attestazioni di fiducia centralizzate. Questa caratteristica è essenziale e va preservata.
I browser vendor non hanno ancora aderito. È un RFC pubblico, non uno standard adottato. Finché Google, Apple e Microsoft non implementano l'API nativamente, l'ecosistema completo non può funzionare. Esiste un polyfill JavaScript per la sperimentazione, ma non è la soluzione definitiva.
La direzione è quella giusta
Il consenso online ha un problema strutturale. Non si risolve con banner più grandi, policy più lunghe o più sanzioni. Si risolve con interoperabilità: dare agli utenti strumenti per esprimere le proprie preferenze in modo portabile e verificabile, e dare alle Consent Management Platform un canale strutturato per comunicare con questi strumenti senza perdere il controllo della compliance.
Più sanzioni non producono più Privacy. Produce più Privacy un'infrastruttura tecnica in cui il consenso funziona davvero.
navigator.consent è la proposta più concreta e tecnicamente solida che il settore abbia prodotto finora. È compatibile con la struttura del GDPR. È compatibile con il ruolo che le Consent Management Platform devono avere nell'ecosistema del consenso. Ed è coerente con la direzione che abbiamo indicato alla Commissione Europea nella nostra consultazione.
E' una proposta che monitoriamo con attenzione e siamo disponibili a integrarla nel momento in cui il quadro tecnico e normativo lo renderà operativo.
Nel frattempo, GDPR e ePrivacy sono pienamente in vigore. My Agile Privacy® è il tuo strumento per essere a norma oggi, con una Consent Management Platform che implementa correttamente blocco preventivo degli script, quattro pulsanti conformi e documentazione del consenso senza complessità inutile.
