PROCEDURA UE PER DECISIONE DI ADEGUATEZZA CON IL BRASILE
La Commissione europea ha pubblicato il 5 settembre 2025 il progetto di decisione di adeguatezza per il Brasile, avviando formalmente l’iter che prevede ora il parere del Comitato europeo per la protezione dei dati (EDPB), il voto del comitato degli Stati membri e il diritto di scrutinio del Parlamento europeo; il draft conclude che il Brasile, alla luce dell’LGPD, dell’operatività dell’ANPD e delle garanzie costituzionali, assicura un livello di protezione “sostanzialmente equivalente” a quello UE, con revisione periodica quadriennale; una volta adottata, la decisione abiliterà flussi di dati liberi e sicuri tra UE e Brasile in vari settori, mentre in parallelo Brasilia sta lavorando a una decisione speculare per i trasferimenti verso l’UE.

AUSTRIA: IL “PAY OR OK(AY)” DI DER STANDARD VIOLA IL GDPR
Il Tribunale amministrativo federale austriaco (BVwG), con decisione del 13 agosto 2025 resa pubblica a metà agosto, ha confermato la pronuncia della The Datenschutzbehörde (DSB) contro il quotidiano Der Standard sul modello “pay or OK”, ritenendo invalido il meccanismo perché offre un’alternativa “tutto o niente” e non consente un consenso selettivo per finalità distinte; il tribunale ha ammesso ricorso alla Corte amministrativa suprema (VwGH) e il caso potrebbe essere rinviato alla Corte di giustizia dell’Unione europea (CGUE), lasciando aperto in astratto il tema dei modelli “consent-or-pay” purché strutturati con reale libertà di scelta e consenso granulare.

CNIL: SANZIONI A GOOGLE (325 MILIONI €) E SHEIN (150 MILIONI €) PER VIOLAZIONI SUI COOKIE
La CNIL ha annunciato il 3 settembre 2025 due multe nell’ambito del piano d’azione sui cookie avviato nel 2019: 325 milioni di euro a Google e 150 milioni di euro a Shein per installazione/uso di tracciatori pubblicitari senza valido consenso (inclusi casi di posizionamento prima del consenso o nonostante il rifiuto), con richieste di conformarsi alle regole sul consenso e sulle scelte degli utenti; l’autorità sottolinea la continuità della propria azione di enforcement sulle pratiche di targeting e tracciamento.

EU PROCEDURE TOWARDS AN ADEQUACY DECISION WITH BRAZIL
On 5 September 2025 the European Commission released the draft adequacy decision for Brazil, formally launching the process that now entails an EDPB opinion, a vote by the Member States’ committee and the European Parliament’s right of scrutiny; the draft finds that Brazil—considering the LGPD, the ANPD’s oversight and constitutional safeguards—ensures an “essentially equivalent” level of protection, with a four-year periodic review; once adopted, it will enable free and secure data flows across sectors between the EU and Brazil, while Brazil is concurrently preparing a reciprocal decision for transfers to the EU.

AUSTRIA: “PAY OR OK(AY)” MODEL AT DER STANDARD BREACHES THE GDPR (FOR LACK OF GRANULAR CONSENT)
Austria’s Federal Administrative Court (BVwG), in a ruling dated 13 August 2025 and reported mid-August, upheld the Austrian Data Protection Authority’s decision against Der Standard’s “pay or OK” approach, holding that it offers an all-or-nothing choice and fails to provide granular, purpose-specific consent; the court allowed an appeal to the Supreme Administrative Court (VwGH), and the case may be referred to the CJEU, leaving open in the abstract whether “consent-or-pay” schemes could be lawful if designed with genuine choice and granular consent.

CNIL: FINES AGAINST GOOGLE (€325 MILLION) AND SHEIN (€150 MILLION) FOR COOKIE BREACHES
On 3 September 2025 the CNIL announced two fines under its 2019 cookies action plan: €325 million for Google and €150 million for Shein due to the placement/use of advertising trackers without valid consent (including instances of dropping cookies before consent or despite an opt-out), coupled with orders to comply with consent and user-choice rules; the authority frames the penalties as part of sustained enforcement on online tracking and targeting practices.