← Toate articolele

Analiză

Am scanat 348 de site-uri din Moldova. Iată ce am găsit despre GDPR și Legea 195/2024

15 iulie 2026 · 6 min · GDPRScan.md

Rezumat pentru cei grăbiți: din 348 de site-uri .md scanate public de GDPRScan, 46% nu au politică de confidențialitate accesibilă, 67% nu au un banner de cookies corect (lipsește complet sau nu permite refuzul), 44% încarcă Google Fonts direct de la Google (transfer de date în SUA fără DPA documentat) și 5% mai folosesc Yandex Metrica (blocant sub Legea 195/2024). Un singur lucru merge aproape peste tot: 99% au HTTPS.

De ce publicăm asta acum

Legea 195/2024 privind protecția datelor cu caracter personal intră în vigoare pe 23 august 2026. Aliniată cu GDPR-ul european, aduce în Republica Moldova aceleași obligații de bază: temei legal pentru fiecare prelucrare, consimțământ verificabil, drepturile persoanei vizate, notificarea încălcărilor, sancțiuni.

Am vrut să înțelegem — nu la nivel de studiu de caz, ci la scară — cât de departe suntem. Așa că am agregat rezultatele scanărilor efectuate cu GDPRScan pe 348 de site-uri .md (turism, ONG, eCommerce, media, cultură, servicii). Nu publicăm nume. Tiparul contează, nu vinovații.

Metodologie

  • Ce am măsurat: doar comportamentul public al site-urilor — scripturi încărcate în browser, cookie-uri setate, cereri de rețea, prezența și structura politicii/bannerului, formulare vizibile. Nimic din sisteme interne.
  • Cum: scannerul automatizat GDPRScan, care simulează un vizitator obișnuit și verifică cca. 20 de semnale mapate la articole din GDPR și Legea 195/2024.
  • Când: scanări efectuate între mai 2025 și iulie 2026, cu re-scanare periodică. Cifrele reflectă starea la data ultimei scanări pentru fiecare site.
  • Confidențialitate: rezultatele sunt agregate. Nu publicăm listă de domenii, nu atribuim constatări niciunui site anume, nu am accesat conținut privat sau conturi.
  • Ce nu am măsurat: registrul de prelucrări, DPA-urile semnate, politicile de retenție interne, contractele cu subprocesatori. Toate acestea rămân obligații reale ale operatorului chiar dacă site-ul „arată bine" tehnic.

Ce am găsit — 6 tipare sistemice

1. Politica de confidențialitate lipsește sau nu e detectabilă — 46%

Din 348 de site-uri, 161 nu au un link vizibil către o politică de confidențialitate (nici în footer, nici într-o pagină dedicată).

  • De ce contează: Legea 195/2024, art. 12 (informarea persoanei vizate) și GDPR art. 13-14 obligă operatorul să comunice — înainte de colectare — cine este, ce colectează, pe ce temei, pentru cât timp, către cine transferă. Fără politică publică, obligația nu poate fi îndeplinită.
  • Fix concret: publică o pagină /confidentialitate care acoperă cele 8 capitole obligatorii (operator, DPO/contact, temei legal per scop, categorii de date, retenție, drepturi, transferuri, cookies) și adaug-o în footer pe fiecare pagină.

2. Bannerul de cookies lipsește sau nu permite refuzul — 67%

  • Absent complet: 104 site-uri (30%).

  • Prezent, dar incomplet — buton „Accept" fără „Refuz" echivalent, categorii nesegmentate, sau apare după ce trackerele au fost deja încărcate: 130 site-uri (37%).

  • Conform: 108 site-uri (31%).

  • De ce contează: GDPR art. 4(11) + art. 7 și Legea 195/2024, art. 5(1)(a) și art. 8 cer consimțământ liber, specific, informat și fără ambiguitate. Un banner cu un singur buton „Accept toate" (fără opțiune echivalentă de refuz) nu este consimțământ. Ghidurile EDPB (2020, revizuite 2023) sunt explicite: refuzul trebuie să fie la fel de ușor ca acceptul.

  • Fix concret: banner cu trei butoane egale vizual — Acceptă / Refuză / Personalizează — care blochează toate scripturile non-esențiale până la alegere, cu buton „Setări cookies" mereu accesibil în footer pentru retragere.

3. Google Fonts încărcat direct de la Google — 44%

153 site-uri încarcă fonts.googleapis.com sau fonts.gstatic.com la fiecare vizită. La fiecare încărcare, IP-ul vizitatorului și user-agentul pleacă către servere Google în SUA.

  • De ce contează: Legea 195/2024, art. 32-34 (transfer transfrontalier) și GDPR art. 44-49. SUA nu are decizie de adecvare pentru Republica Moldova; transferul e legal doar cu Clauze Contractuale Standard (SCC) semnate și documentate, plus mențiune în politică. În practică, aproape nimeni din cei 44% nu are DPA-ul semnat cu Google pentru Fonts.
  • Fix concret: self-host fonturile (descarci fișierele .woff2 și le servești din propriul domeniu). Zero cod suplimentar, zero DPA, zero transfer. Precedent bine documentat: LG München I, ianuarie 2022 — Google Fonts loaded remote fără consimțământ = încălcare GDPR.

4. Google Tag Manager / GA fără gating de consimțământ — 53%

185 site-uri au Google Tag Manager. Marea majoritate îl încarcă înainte ca vizitatorul să apuce să facă vreo alegere (sau chiar fără banner deloc — vezi #2). GA4 și Meta Pixel (11% dintre site-uri) urmează același tipar.

  • De ce contează: GDPR art. 6(1)(a) — analytics non-esențial și marketing au ca temei legal consimțământul, nu interesul legitim. Fără consimțământ prealabil și dovedibil (jurnal cu timestamp și versiune), prelucrarea este ilegală de la primul pixel.
  • Fix concret: integrează Google Consent Mode v2 sau echivalent — GTM/GA/Pixel se activează doar după analytics_storage = granted / ad_storage = granted. Alternativă: Plausible sau Umami (self-hosted, fără cookies, fără consimțământ necesar).

5. Formulare fără casetă de consimțământ vizibilă — 31%

108 site-uri au formulare de contact / abonare / rezervare care trimit date personale fără o casetă bifabilă explicită, nebifată în avans, cu link către politica de confidențialitate.

  • De ce contează: GDPR art. 7(1) cere ca operatorul să poată demonstra consimțământul. Fără bifă → nu ai dovadă. Bifă pre-bifată → nu e consimțământ (art. 4(11) și considerentul 32).
  • Fix concret: checkbox obligatoriu, nebifat, cu text „Sunt de acord cu prelucrarea datelor conform politicii de confidențialitate", buton submit dezactivat până la bifare, coloane consent_given_at + consent_version în baza de date.

6. Resurse din Federația Rusă — 5% (BLOCANT sub Legea 195/2024)

18 site-uri încă folosesc Yandex Metrica (mc.yandex.ru). Alte câteva au scripturi din .ru / .by.

  • De ce contează: Federația Rusă și Belarus nu au decizie de adecvare pentru Republica Moldova și nu se pot semna SCC-uri valide juridic. Legea 195/2024, art. 32-34 face imposibil transferul conform. Nu e zonă galbenă — e roșie.
  • Fix concret: eliminare imediată. Înlocuiri: Plausible, Matomo self-hosted, Umami, GA4 (cu DPA + consimțământ). Yandex → oprire, fără substituire directă legală.

Trei concluzii sistemice

1. Fundamentele lipsesc mai des decât „nuanțele". Nu e vorba de subtilități juridice — jumătate din site-uri nu au deloc o politică publicată sau un banner de cookies. Acesta e nivelul zero al conformității, nu vârful.

2. „Are HTTPS, deci e ok" e un mit tehnic. 99% au HTTPS (bine!), dar HTTPS protejează datele în tranzit — nu spune nimic despre temeiul legal, retenție, consimțământ sau transferuri. Sunt lucruri complet diferite.

3. Costurile remedierii sunt mici. Costul neremedierii, nu. Aproape toate cele 6 tipare au soluții tehnice sub 2-4 zile de lucru: self-host la fonturi, banner CMP corect, gating pe GTM, casetă de consimțământ pe formulare. Sub Legea 195/2024, amenzile pot ajunge la 4% din cifra de afaceri anuală sau 20 milioane MDL. Ecuația se rezolvă singură.

Ce urmează

Vom repeta această analiză trimestrial și vom publica evoluția — să vedem dacă apropierea de 23 august 2026 mișcă acul. Dacă vrei să știi unde se plasează site-ul tău, rulează un scan gratuit — durează 60 de secunde, e complet public, îți arată aceleași 20+ semnale.

Dacă ai nevoie și de partea juridică (politici scrise de avocați, registru de prelucrări, DPA-uri cu subprocesatorii) plus implementarea tehnică într-un singur pachet — acum facem asta pentru clienți din Moldova. Contactează-ne și vedem împreună de unde începem.


Notă metodologică: cifrele reflectă comportamentul public al site-urilor (scripturi încărcate, cookies setate, cereri de rețea) așa cum îl vede orice vizitator. Nu am accesat sisteme interne. Rezultatele agregate au fost calculate pe un eșantion de 348 de site-uri scanate cu GDPRScan între mai 2025 și iulie 2026. GDPRScan oferă un scor tehnic bazat pe analiza automată a semnalelor publice — nu constituie certificare juridică, audit oficial sau consultanță legală conform Legii 195/2024 sau GDPR.

Verifică-ți site-ul

Vezi în 60 de secunde unde ești

GDPRScan analizează site-ul tău și îți arată ce lipsește față de Legea 195/2024 — gratuit, fără cont.

Scanează gratuit →