Skip to main content

CCPA, CPRA & Νόμοι Απορρήτου των ΗΠΑ: Συμμόρφωση Cookie πέρα από την Ευρώπη

Οι Ηνωμένες Πολιτείες υιοθετούν μια θεμελιωδώς διαφορετική προσέγγιση για το απόρρητο των cookie σε σχέση με την Ευρώπη. Δεν υπάρχει ομοσπονδιακός νόμος για τα cookie, καμία καθολική απαίτηση συγκατάθεσης, ούτε μία ενιαία αρχή προστασίας δεδομένων. Αντ' αυτού, ένα διαρκώς αυξανόμενο μωσαϊκό νόμων απορρήτου σε επίπεδο πολιτείας δημιουργεί ένα ολοένα και πιο περίπλοκο τοπίο για τους διαχειριστές ιστότοπων. Η κατανόηση της προσέγγισης των ΗΠΑ — και του πώς διαφέρει από τον GDPR — είναι απαραίτητη για κάθε επιχείρηση με επισκέπτες και από τις δύο πλευρές του Ατλαντικού.

Το Τοπίο Απορρήτου των ΗΠΑ: Μια Επισκόπηση

Η σημαντικότερη διαφορά μεταξύ του νόμου περί cookie των ΗΠΑ και της ΕΕ είναι το ρυθμιστικό μοντέλο:

  • Μοντέλο ΕΕ: Opt-in. Πρέπει να λάβετε συγκατάθεση πριν την τοποθέτηση μη απαραίτητων cookie. Η προεπιλογή είναι η μη παρακολούθηση.
  • Μοντέλο ΗΠΑ: Opt-out. Μπορείτε να συλλέγετε και να μοιράζεστε προσωπικές πληροφορίες από προεπιλογή, αλλά πρέπει να δίνετε στους καταναλωτές τη δυνατότητα να εξαιρεθούν. Η προεπιλογή είναι η παρακολούθηση, με έναν διακόπτη απενεργοποίησης.

Αυτή η φιλοσοφική διαφορά αντικατοπτρίζεται σε κάθε πτυχή της ρύθμισης των cookie. Στην ΕΕ, ένα banner cookie ζητά άδεια. Στις ΗΠΑ, ένα banner cookie (αν υπάρχει καν) συνήθως ενημερώνει τους χρήστες για το δικαίωμά τους να εξαιρεθούν.

Από τις αρχές του 2026, ολοκληρωμένοι νόμοι απορρήτου σε επίπεδο πολιτείας έχουν θεσπιστεί σε τουλάχιστον 15 πολιτείες, με περισσότερους υπό ενεργή εξέταση. Ωστόσο, μόνο μια χούφτα από αυτούς έχουν συγκεκριμένες επιπτώσεις για τη συμμόρφωση cookie.

Καλιφόρνια: CCPA και CPRA

Η Καλιφόρνια είναι η πιο σημαντική πολιτεία των ΗΠΑ για τη ρύθμιση του απορρήτου. Ο California Consumer Privacy Act (CCPA), που τέθηκε σε ισχύ την 1η Ιανουαρίου 2020, ήταν ο πρώτος ολοκληρωμένος νόμος απορρήτου σε επίπεδο πολιτείας. Τροποποιήθηκε ουσιαστικά από τον California Privacy Rights Act (CPRA), ο οποίος τέθηκε σε πλήρη ισχύ την 1η Ιανουαρίου 2023, με την επιβολή από την California Privacy Protection Agency (CPPA) να ξεκινά την 1η Ιουλίου 2023.

Πώς Σχετίζονται τα Cookie με τον CCPA/CPRA

Ο CCPA/CPRA δεν ρυθμίζει τα cookie άμεσα. Αντ' αυτού, ρυθμίζει τη συλλογή, πώληση και κοινοποίηση προσωπικών πληροφοριών, στην οποία περιλαμβάνονται τα δεδομένα που συλλέγονται μέσω cookie. Οι βασικές έννοιες είναι:

  • Οι «προσωπικές πληροφορίες» βάσει του CCPA/CPRA περιλαμβάνουν διαδικτυακά αναγνωριστικά, διευθύνσεις IP, ιστορικό περιήγησης και πληροφορίες σχετικά με την αλληλεπίδραση ενός καταναλωτή με έναν ιστότοπο — όλα αυτά συλλέγονται συνήθως μέσω cookie.
  • Η «πώληση» ορίζεται ευρέως ως η διάθεση προσωπικών πληροφοριών σε τρίτο έναντι χρηματικού ή άλλου πολύτιμου ανταλλάγματος. Εάν τα cookie διαφήμισης τρίτων στον ιστότοπό σας μοιράζονται δεδομένα επισκεπτών με διαφημιστικά δίκτυα, αυτό ενδέχεται να συνιστά «πώληση» βάσει του CCPA.
  • Η «κοινοποίηση» (προστέθηκε από τον CPRA) καλύπτει τη διάθεση προσωπικών πληροφοριών σε τρίτους για συμπεριφορική διαφήμιση σε διαφορετικά περιβάλλοντα, ανεξάρτητα από το αν υπάρχει χρηματική συναλλαγή. Αυτό εντάσσει ρητά τα διαφημιστικά cookie στο πεδίο εφαρμογής.

Βασικές Απαιτήσεις

  1. Σύνδεσμος «Do Not Sell or Share My Personal Information»: Εάν ο ιστότοπός σας πωλεί ή μοιράζεται προσωπικές πληροφορίες (που περιλαμβάνει τα περισσότερα σενάρια διαφημιστικών cookie), πρέπει να παρέχετε έναν σαφώς επισημασμένο σύνδεσμο στην αρχική σας σελίδα που επιτρέπει στους καταναλωτές να εξαιρεθούν. Αυτό είναι το αντίστοιχο μηχανισμού συγκατάθεσης cookie των ΗΠΑ, αν και λειτουργεί με βάση το opt-out αντί για το opt-in.
  2. Global Privacy Control (GPC): Σύμφωνα με τους κανονισμούς του CPRA που οριστικοποιήθηκαν από την CPPA, οι επιχειρήσεις πρέπει να αντιμετωπίζουν τα σήματα GPC που αποστέλλονται από το πρόγραμμα περιήγησης ενός χρήστη ως έγκυρο αίτημα εξαίρεσης. Το GPC είναι ένα σήμα σε επίπεδο προγράμματος περιήγησης (παρόμοιο στην έννοια με το παλιό Do Not Track, αλλά νομικά δεσμευτικό βάσει του CCPA/CPRA). Εάν το πρόγραμμα περιήγησης ενός χρήστη αποστέλλει σήμα GPC, πρέπει να σταματήσετε την πώληση ή κοινοποίηση των προσωπικών του πληροφοριών — πράγμα που σημαίνει απενεργοποίηση των cookie διαφήμισης και παρακολούθησης για τον συγκεκριμένο χρήστη.
  3. Γνωστοποίηση στην πολιτική απορρήτου: Η πολιτική απορρήτου σας πρέπει να γνωστοποιεί τις κατηγορίες προσωπικών πληροφοριών που συλλέγονται, τους σκοπούς της συλλογής, τις κατηγορίες τρίτων με τους οποίους μοιράζονται οι πληροφορίες και αν οι πληροφορίες πωλούνται ή κοινοποιούνται.
  4. Ευαίσθητες προσωπικές πληροφορίες: Ο CPRA εισάγει το δικαίωμα «Limit the Use of My Sensitive Personal Information». Εάν τα cookie συλλέγουν ευαίσθητες πληροφορίες (όπως ακριβή γεωγραφική θέση), οι καταναλωτές πρέπει να μπορούν να περιορίσουν τη χρήση τους.
  5. Ανήλικοι: Για καταναλωτές κάτω των 16 ετών, ο CCPA/CPRA μετατρέπεται σε μοντέλο opt-in. Δεν επιτρέπεται να πωλείτε ή να μοιράζεστε τις προσωπικές πληροφορίες ενός καταναλωτή που γνωρίζετε ότι είναι κάτω των 16 χωρίς ρητή συγκατάθεση (από τον καταναλωτή αν είναι 13-15 ετών, από γονέα/κηδεμόνα αν είναι κάτω των 13).

Ποιοι Πρέπει να Συμμορφωθούν

Ο CCPA/CPRA εφαρμόζεται σε κερδοσκοπικές επιχειρήσεις που δραστηριοποιούνται στην Καλιφόρνια και πληρούν οποιοδήποτε από τα ακόλουθα όρια: ετήσια ακαθάριστα έσοδα που υπερβαίνουν τα 25 εκατομμύρια δολάρια· αγορά, πώληση ή κοινοποίηση προσωπικών πληροφοριών 100.000 ή περισσότερων καταναλωτών ή νοικοκυριών· ή άντληση 50% ή περισσότερο των ετήσιων εσόδων από την πώληση ή κοινοποίηση προσωπικών πληροφοριών καταναλωτών.

Άλλοι Νόμοι Απορρήτου Πολιτειών των ΗΠΑ

Αρκετές άλλες πολιτείες έχουν θεσπίσει ολοκληρωμένους νόμους απορρήτου με επιπτώσεις για τη συμμόρφωση cookie. Αν και κανένας δεν είναι τόσο λεπτομερής όσο ο CCPA/CPRA, θεμελιώνουν συνεπείς άξονες γύρω από τα δικαιώματα εξαίρεσης και τη διαφάνεια των δεδομένων.

Colorado Privacy Act (CPA)

Ισχύς: 1 Ιουλίου 2023. Επιβολή από: Γενικό Εισαγγελέα του Κολοράντο.

Απαιτεί δικαιώματα εξαίρεσης για τη στοχευμένη διαφήμιση και την πώληση προσωπικών δεδομένων. Οι επιχειρήσεις πρέπει να τηρούν καθολικούς μηχανισμούς εξαίρεσης (όπως το GPC). Οι κανόνες του Κολοράντο απαιτούν συγκεκριμένα μια «σαφή και εμφανή» μέθοδο εξαίρεσης και αναγνωρίζουν καθολικά σήματα εξαίρεσης, καθιστώντας τη συμμόρφωση με το GPC ουσιαστικά υποχρεωτική για τις καλυπτόμενες επιχειρήσεις.

Connecticut Data Privacy Act (CTDPA)

Ισχύς: 1 Ιουλίου 2023. Επιβολή από: Γενικό Εισαγγελέα του Κονέκτικατ.

Παρόμοιος με τον νόμο του Κολοράντο. Απαιτεί εξαίρεση για τη στοχευμένη διαφήμιση, την πώληση προσωπικών δεδομένων και το προφίλ. Απαιτεί την αναγνώριση καθολικών μηχανισμών εξαίρεσης από την 1η Ιανουαρίου 2025. Παρέχει συγκεκριμένες προστασίες για ευαίσθητα δεδομένα που απαιτούν συγκατάθεση opt-in.

Virginia Consumer Data Protection Act (VCDPA)

Ισχύς: 1 Ιανουαρίου 2023. Επιβολή από: Γενικό Εισαγγελέα της Βιρτζίνια.

Παρέχει δικαιώματα εξαίρεσης για τη στοχευμένη διαφήμιση και την πώληση προσωπικών δεδομένων. Δεν απαιτεί την αναγνώριση καθολικών σημάτων εξαίρεσης (σε αντίθεση με την Καλιφόρνια, το Κολοράντο και το Κονέκτικατ). Απαιτεί συγκατάθεση για την επεξεργασία ευαίσθητων δεδομένων.

Texas Data Privacy and Security Act (TDPSA)

Ισχύς: 1 Ιουλίου 2024. Επιβολή από: Γενικό Εισαγγελέα του Τέξας.

Ιδιαίτερα ευρύς σε πεδίο εφαρμογής χωρίς όριο εσόδων — εφαρμόζεται σε κάθε οντότητα που δραστηριοποιείται στο Τέξας, επεξεργάζεται προσωπικά δεδομένα και δεν είναι μικρή επιχείρηση όπως ορίζεται από την SBA. Απαιτεί εξαίρεση για τη στοχευμένη διαφήμιση και τις πωλήσεις δεδομένων. Απαιτεί την αναγνώριση καθολικών μηχανισμών εξαίρεσης.

Oregon Consumer Privacy Act (OCPA)

Ισχύς: 1 Ιουλίου 2024. Επιβολή από: Γενικό Εισαγγελέα του Όρεγκον.

Εφαρμόζεται σε επιχειρήσεις που ελέγχουν ή επεξεργάζονται τα δεδομένα 100.000+ καταναλωτών του Όρεγκον, ή 25.000+ καταναλωτών εάν αντλούν 25%+ των εσόδων από πωλήσεις δεδομένων. Παρέχει τυπικά δικαιώματα εξαίρεσης και απαιτεί περίοδο διόρθωσης 30 ημερών για παραβάσεις.

Σύγκριση: Πολιτείες των ΗΠΑ vs. GDPR

Απαίτηση GDPR/ePrivacy CCPA/CPRA Άλλες Πολιτείες των ΗΠΑ
Μοντέλο συγκατάθεσης Opt-in (προηγούμενη συγκατάθεση) Opt-out Opt-out
Απαιτείται συγκατάθεση cookie πριν την τοποθέτηση Ναι Όχι Όχι
Απαιτείται banner cookie Ουσιαστικά ναι Όχι (απαιτείται σύνδεσμος εξαίρεσης) Όχι
Λεπτομερής συγκατάθεση ανά κατηγορία Ναι Όχι Όχι
Δικαίωμα εξαίρεσης από την παρακολούθηση Ναι (με μη παροχή συγκατάθεσης) Ναι («Do Not Sell/Share») Ναι (στοχευμένες διαφημίσεις/πώληση δεδομένων)
Απαιτείται GPC/καθολική εξαίρεση Δεν προσδιορίζεται Ναι Ποικίλλει (CA, CO, CT, TX: ναι)
Απαιτείται πολιτική απορρήτου Ναι Ναι Ναι
Ευαίσθητα δεδομένα: απαιτείται opt-in Ναι (ρητή συγκατάθεση) Δικαίωμα περιορισμού χρήσης Ποικίλλει (οι περισσότερες: opt-in)
Επιβολή ΑΠΔ + ιδιωτική αγωγή (περιορισμένη) CPPA + Γενικός Εισαγγελέας + ιδιωτικό δικαίωμα αγωγής (παραβιάσεις δεδομένων) Μόνο Γενικός Εισαγγελέας
Μέγιστα πρόστιμα 4% παγκόσμιου τζίρου / €20 εκατ. 2.500 $/παράβαση· 7.500 $/εκ προθέσεως Ποικίλλει· συνήθως 7.500-10.000 $

Πρακτική Προσέγγιση: Η Συμμόρφωση με τον GDPR Καλύπτει τις Περισσότερες Απαιτήσεις των ΗΠΑ

Εάν ο ιστότοπός σας συμμορφώνεται ήδη με τον GDPR, βρίσκεστε σε καλή θέση για τη συμμόρφωση με τις ΗΠΑ. Το μοντέλο opt-in του GDPR είναι αυστηρότερο από το μοντέλο opt-out οποιασδήποτε πολιτείας των ΗΠΑ. Ωστόσο, υπάρχουν συγκεκριμένες απαιτήσεις των ΗΠΑ που ο GDPR δεν καλύπτει:

  1. Σύνδεσμος «Do Not Sell or Share»: Ο GDPR απαιτεί διαχείριση συγκατάθεσης, αλλά όχι έναν συγκεκριμένο σύνδεσμο «Do Not Sell or Share». Εάν έχετε επισκέπτες από την Καλιφόρνια και πληροίτε τα όρια του CCPA, χρειάζεστε αυτόν τον σύνδεσμο.
  2. Αναγνώριση σήματος GPC: Ενώ ο GDPR δεν απαιτεί την αναγνώριση σημάτων προγράμματος περιήγησης, αρκετές πολιτείες των ΗΠΑ το επιβάλλουν. Η υλοποίηση της αναγνώρισης GPC είναι απλή και αποδεικνύει σεβασμό στις προτιμήσεις των χρηστών.
  3. Συγκεκριμένες γνωστοποιήσεις πολιτικής απορρήτου: Ο CCPA/CPRA απαιτεί γνωστοποιήσεις που διαμορφώνονται με συγκεκριμένους τρόπους (κατηγορίες πληροφοριών που συλλέχθηκαν κατά τους προηγούμενους 12 μήνες, κατηγορίες πηγών κ.λπ.) που διαφέρουν από τις απαιτήσεις ειδοποίησης απορρήτου του GDPR.
  4. «Do Not Track» vs. GPC: Το παλιό σήμα προγράμματος περιήγησης Do Not Track (DNT) δεν ήταν ποτέ νομικά δεσμευτικό. Το GPC είναι ο διάδοχός του και είναι νομικά δεσμευτικό βάσει του CCPA/CPRA και αρκετών άλλων νόμων πολιτειών. Βεβαιωθείτε ότι η πλατφόρμα διαχείρισης συγκατάθεσής σας αναγνωρίζει και ανταποκρίνεται στα σήματα GPC.

Η Προοπτική ενός Ομοσπονδιακού Νόμου Απορρήτου των ΗΠΑ

Ο American Data Privacy and Protection Act (ADPPA) πλησίασε περισσότερο σε ψήφιση από κάθε προηγούμενο ομοσπονδιακό νομοσχέδιο απορρήτου όταν προχώρησε μέσω της Επιτροπής Ενέργειας και Εμπορίου της Βουλής τον Ιούλιο του 2022, αλλά τελικά κόλλησε. Επόμενες συνόδους του Κογκρέσου είδαν ανανεωμένες προτάσεις, αλλά από τις αρχές του 2026, κανένας ομοσπονδιακός νόμος απορρήτου δεν έχει θεσπιστεί.

Τα κύρια εμπόδια παραμένουν:

  • Υπερίσχυση (Preemption): Το κατά πόσον ένας ομοσπονδιακός νόμος θα πρέπει να υπερισχύει των νόμων των πολιτειών (η Καλιφόρνια αντιτίθεται σε υπερίσχυση που θα αποδυνάμωνε τον CCPA/CPRA).
  • Ιδιωτικό δικαίωμα αγωγής: Το κατά πόσον τα άτομα θα πρέπει να μπορούν να μηνύουν απευθείας εταιρείες για παραβιάσεις απορρήτου.
  • Opt-in vs. opt-out: Το κατά πόσον το ομοσπονδιακό πρότυπο θα πρέπει να υιοθετήσει μοντέλο opt-in για ευαίσθητα δεδομένα ή να διατηρήσει την προσέγγιση opt-out.

Μέχρι να θεσπιστεί ένας ομοσπονδιακός νόμος, οι επιχειρήσεις πρέπει να πλοηγηθούν στο μωσαϊκό των επιμέρους πολιτειών. Η πρακτική συμβουλή παραμένει: δημιουργήστε ένα σύστημα διαχείρισης συγκατάθεσης που μπορεί να χειριστεί τις πιο περιοριστικές απαιτήσεις (opt-in του GDPR) και προσθέστε επιπλέον τα χαρακτηριστικά ειδικά για τις ΗΠΑ (σύνδεσμοι εξαίρεσης, υποστήριξη GPC) όπως απαιτείται.

Συστάσεις για Παγκόσμια Συμμόρφωση

Για ιστότοπους που εξυπηρετούν επισκέπτες τόσο από την ΕΕ όσο και από τις ΗΠΑ, η πιο αποδοτική προσέγγιση είναι:

  1. Υλοποιήστε διαχείριση συγκατάθεσης συμβατή με τον GDPR ως βασική γραμμή σας. Αυτό σας δίνει το αυστηρότερο μοντέλο, το οποίο εγγενώς ικανοποιεί λιγότερο αυστηρές απαιτήσεις.
  2. Προσθέστε έναν μηχανισμό «Do Not Sell or Share» εάν πληροίτε τα όρια του CCPA ή έχετε σημαντική επισκεψιμότητα από την Καλιφόρνια.
  3. Υλοποιήστε την αναγνώριση σήματος GPC για όλους τους επισκέπτες. Πρόκειται για μια απλή τεχνική υλοποίηση με σημαντικά νομικά οφέλη.
  4. Χρησιμοποιήστε γεωεντοπισμό για να παρέχετε κατάλληλες εμπειρίες συγκατάθεσης. Οι επισκέπτες από την ΕΕ βλέπουν ένα banner opt-in· οι επισκέπτες από τις ΗΠΑ βλέπουν μια λιγότερο παρεμβατική ειδοποίηση με επιλογές εξαίρεσης. Αυτό εξισορροπεί τη συμμόρφωση με την εμπειρία χρήστη.
  5. Διατηρήστε ολοκληρωμένες γνωστοποιήσεις απορρήτου που ικανοποιούν τις απαιτήσεις τόσο του GDPR όσο και του CCPA/CPRA.

Η παγκόσμια τάση κατευθύνεται αναμφισβήτητα προς μεγαλύτερη προστασία του απορρήτου και έλεγχο των χρηστών επί των τεχνολογιών παρακολούθησης. Η δημιουργία μιας ισχυρής διαχείρισης συγκατάθεσης τώρα είναι μια επένδυση που θα αποδώσει καθώς νέοι κανονισμοί συνεχίζουν να αναδύονται.

Συμμορφώνεται ο ιστότοπός σας με τους κανονισμούς cookies;

Σαρώστε τον ιστότοπό σας δωρεάν και βρείτε όλα τα cookies σε λίγα λεπτά.

Σαρώστε τα cookies σας δωρεάν