Skip to main content

CCPA, CPRA și legislația americană privind confidențialitatea: conformitatea cookie-urilor dincolo de Europa

Statele Unite abordează confidențialitatea cookie-urilor într-un mod fundamental diferit de Europa. Nu există o lege federală privind cookie-urile, nu există o cerință universală de consimțământ și nici o autoritate unică pentru protecția datelor. În schimb, un ansamblu tot mai fragmentat de legi statale privind confidențialitatea creează un peisaj din ce în ce mai complex pentru operatorii de site-uri web. Înțelegerea abordării americane — și a modului în care aceasta diferă de GDPR — este esențială pentru orice companie care are vizitatori de pe ambele maluri ale Atlanticului.

Peisajul american al confidențialității: o privire de ansamblu

Cea mai importantă distincție dintre legislația americană și cea europeană privind cookie-urile este modelul de reglementare:

  • Modelul UE: opt-in. Trebuie să obțineți consimțământul înainte de a plasa cookie-uri neesențiale. Setarea implicită este lipsa monitorizării.
  • Modelul american: opt-out. Puteți colecta și partaja informații personale în mod implicit, dar trebuie să oferiți consumatorilor posibilitatea de a se retrage. Setarea implicită este monitorizarea, cu un buton de dezactivare.

Această diferență de filozofie se reflectă în fiecare aspect al reglementării cookie-urilor. În UE, un banner de cookie-uri solicită permisiunea. În SUA, un banner de cookie-uri (dacă există) informează de obicei utilizatorii cu privire la dreptul lor de a se retrage.

La începutul anului 2026, legi complete privind confidențialitatea au fost adoptate în cel puțin 15 state, altele fiind în curs de analiză activă. Totuși, doar câteva au implicații specifice pentru conformitatea cookie-urilor.

California: CCPA și CPRA

California este cel mai important stat american în ceea ce privește reglementarea confidențialității. California Consumer Privacy Act (CCPA), în vigoare de la 1 ianuarie 2020, a fost prima lege completă statală privind confidențialitatea. Aceasta a fost modificată substanțial prin California Privacy Rights Act (CPRA), care a intrat pe deplin în vigoare la 1 ianuarie 2023, aplicarea de către California Privacy Protection Agency (CPPA) începând la 1 iulie 2023.

Cum se raportează cookie-urile la CCPA/CPRA

CCPA/CPRA nu reglementează cookie-urile în mod direct. În schimb, reglementează colectarea, vânzarea și partajarea informațiilor personale, care includ datele colectate prin intermediul cookie-urilor. Conceptele-cheie sunt:

  • „Informațiile personale” în cadrul CCPA/CPRA includ identificatorii online, adresele IP, istoricul de navigare și informațiile despre interacțiunea unui consumator cu un site web — toate fiind colectate frecvent prin cookie-uri.
  • „Vânzarea” este definită pe larg ca punerea la dispoziția unei terțe părți a informațiilor personale în schimbul unei contraprestații monetare sau de altă valoare. Dacă cookie-urile publicitare terțe de pe site-ul dvs. partajează datele vizitatorilor cu rețelele publicitare, acest lucru poate constitui o „vânzare” în sensul CCPA.
  • „Partajarea” (adăugată prin CPRA) acoperă punerea la dispoziția terților a informațiilor personale în scopul publicității comportamentale în context încrucișat, indiferent dacă are loc un schimb de bani. Aceasta include în mod explicit cookie-urile publicitare în domeniul de aplicare.

Cerințe-cheie

  1. Linkul „Do Not Sell or Share My Personal Information”: Dacă site-ul dvs. web vinde sau partajează informații personale (ceea ce include majoritatea scenariilor de cookie-uri publicitare), trebuie să oferiți un link clar etichetat pe pagina de pornire care să permită consumatorilor să se retragă. Acesta este echivalentul american al unui mecanism de consimțământ pentru cookie-uri, deși funcționează pe bază de opt-out, nu de opt-in.
  2. Global Privacy Control (GPC): Conform reglementărilor CPRA finalizate de CPPA, companiile trebuie să trateze semnalele GPC trimise de browserul unui utilizator ca o cerere validă de retragere. GPC este un semnal la nivel de browser (similar în concept cu vechiul Do Not Track, dar obligatoriu din punct de vedere juridic în cadrul CCPA/CPRA). Dacă browserul unui utilizator trimite un semnal GPC, trebuie să încetați vânzarea sau partajarea informațiilor sale personale — ceea ce înseamnă dezactivarea cookie-urilor publicitare și de urmărire pentru acel utilizator.
  3. Dezvăluirea în politica de confidențialitate: Politica dvs. de confidențialitate trebuie să dezvăluie categoriile de informații personale colectate, scopurile colectării, categoriile de terți cu care se partajează informațiile și dacă informațiile sunt vândute sau partajate.
  4. Informații personale sensibile: CPRA introduce dreptul „Limit the Use of My Sensitive Personal Information”. Dacă cookie-urile colectează informații sensibile (cum ar fi geolocalizarea precisă), consumatorii trebuie să poată limita utilizarea acestora.
  5. Minori: Pentru consumatorii sub 16 ani, CCPA/CPRA trece la un model opt-in. Nu puteți vinde sau partaja informațiile personale ale unui consumator despre care știți că are sub 16 ani fără consimțământ afirmativ (de la consumator dacă are 13-15 ani, de la un părinte/tutore dacă are sub 13 ani).

Cine trebuie să se conformeze

CCPA/CPRA se aplică companiilor cu scop lucrativ care desfășoară activități în California și îndeplinesc oricare dintre următoarele praguri: venituri brute anuale de peste 25 de milioane de dolari; cumpărarea, vânzarea sau partajarea informațiilor personale a 100.000 sau mai multor consumatori sau gospodării; sau obținerea a 50% sau mai mult din veniturile anuale din vânzarea sau partajarea informațiilor personale ale consumatorilor.

Alte legi statale americane privind confidențialitatea

Câteva alte state au adoptat legi complete privind confidențialitatea, cu implicații pentru conformitatea cookie-urilor. Deși niciuna nu este la fel de detaliată ca CCPA/CPRA, ele stabilesc teme consecvente în jurul drepturilor de retragere și al transparenței datelor.

Colorado Privacy Act (CPA)

În vigoare: 1 iulie 2023. Aplicată de: Procurorul General din Colorado.

Impune drepturi de retragere pentru publicitatea direcționată și vânzarea datelor personale. Companiile trebuie să respecte mecanismele universale de retragere (precum GPC). Reglementările din Colorado impun în mod specific o metodă de retragere „clară și vizibilă” și recunosc semnalele universale de retragere, făcând conformitatea GPC practic obligatorie pentru companiile vizate.

Connecticut Data Privacy Act (CTDPA)

În vigoare: 1 iulie 2023. Aplicată de: Procurorul General din Connecticut.

Similară cu legea din Colorado. Impune retragerea pentru publicitatea direcționată, vânzarea datelor personale și profilare. Impune recunoașterea mecanismelor universale de retragere începând cu 1 ianuarie 2025. Oferă protecții specifice pentru datele sensibile, care necesită consimțământ opt-in.

Virginia Consumer Data Protection Act (VCDPA)

În vigoare: 1 ianuarie 2023. Aplicată de: Procurorul General din Virginia.

Oferă drepturi de retragere pentru publicitatea direcționată și vânzarea datelor personale. Nu impune recunoașterea semnalelor universale de retragere (spre deosebire de California, Colorado și Connecticut). Impune consimțământul pentru prelucrarea datelor sensibile.

Texas Data Privacy and Security Act (TDPSA)

În vigoare: 1 iulie 2024. Aplicată de: Procurorul General din Texas.

Deosebit de largă ca domeniu de aplicare, fără prag de venituri — se aplică oricărei entități care desfășoară activități în Texas, prelucrează date personale și nu este o mică afacere conform definiției SBA. Impune retragerea pentru publicitatea direcționată și vânzările de date. Impune recunoașterea mecanismelor universale de retragere.

Oregon Consumer Privacy Act (OCPA)

În vigoare: 1 iulie 2024. Aplicată de: Procurorul General din Oregon.

Se aplică companiilor care controlează sau prelucrează datele a peste 100.000 de consumatori din Oregon sau a peste 25.000 de consumatori dacă obțin peste 25% din venituri din vânzarea datelor. Oferă drepturi standard de retragere și impune o perioadă de remediere de 30 de zile pentru încălcări.

Comparație: statele americane vs. GDPR

Cerință GDPR/ePrivacy CCPA/CPRA Alte state americane
Modelul de consimțământ Opt-in (consimțământ prealabil) Opt-out Opt-out
Consimțământ pentru cookie-uri necesar înainte de plasare Da Nu Nu
Banner de cookie-uri obligatoriu Practic da Nu (link de retragere necesar) Nu
Consimțământ granular pe categorii Da Nu Nu
Dreptul de a te retrage din monitorizare Da (prin neexprimarea consimțământului) Da („Do Not Sell/Share”) Da (reclame direcționate/vânzare date)
GPC/retragere universală obligatorie Nespecificat Da Variază (CA, CO, CT, TX: da)
Politică de confidențialitate obligatorie Da Da Da
Date sensibile: opt-in obligatoriu Da (consimțământ explicit) Dreptul de a limita utilizarea Variază (majoritatea: opt-in)
Aplicare DPA-uri + acțiune privată (limitată) CPPA + AG + drept de acțiune privată (încălcări de date) Doar Procurorul General
Amenzi maxime 4% din cifra de afaceri globală / 20 mil. € 2.500 $/încălcare; 7.500 $/încălcare intenționată Variază; de obicei 7.500-10.000 $

Abordare practică: conformitatea GDPR acoperă majoritatea cerințelor americane

Dacă site-ul dvs. web respectă deja GDPR, sunteți bine poziționat pentru conformitatea americană. Modelul opt-in al GDPR este mai strict decât modelul opt-out al oricărui stat american. Totuși, există cerințe americane specifice pe care GDPR nu le abordează:

  1. Linkul „Do Not Sell or Share”: GDPR impune gestionarea consimțământului, dar nu un link specific „Do Not Sell or Share”. Dacă aveți vizitatori din California și îndepliniți pragurile CCPA, aveți nevoie de acest link.
  2. Recunoașterea semnalului GPC: Deși GDPR nu impune recunoașterea semnalelor de browser, câteva state americane o impun. Implementarea recunoașterii GPC este simplă și demonstrează respect față de preferințele utilizatorilor.
  3. Dezvăluiri specifice în politica de confidențialitate: CCPA/CPRA impune dezvăluiri formatate în moduri specifice (categoriile de informații colectate în ultimele 12 luni, categoriile de surse etc.) care diferă de cerințele privind notificarea de confidențialitate GDPR.
  4. „Do Not Track” vs. GPC: Vechiul semnal de browser Do Not Track (DNT) nu a fost niciodată obligatoriu din punct de vedere juridic. GPC este succesorul său și este obligatoriu din punct de vedere juridic în cadrul CCPA/CPRA și al mai multor alte legi statale. Asigurați-vă că platforma dvs. de gestionare a consimțământului recunoaște și acționează asupra semnalelor GPC.

Perspectiva unei legi federale americane privind confidențialitatea

American Data Privacy and Protection Act (ADPPA) s-a apropiat mai mult de adoptare decât orice altă propunere federală anterioară privind confidențialitatea, când a trecut prin House Energy and Commerce Committee în iulie 2022, dar în cele din urmă a stagnat. Sesiunile ulterioare ale Congresului au adus propuneri reînnoite, dar la începutul anului 2026, nicio lege federală privind confidențialitatea nu a fost adoptată.

Principalele obstacole rămân:

  • Preempțiunea: Dacă o lege federală ar trebui să prevaleze asupra legilor statale (California se opune preempțiunii care ar slăbi CCPA/CPRA).
  • Dreptul de acțiune privată: Dacă persoanele fizice ar trebui să poată da în judecată companiile în mod direct pentru încălcări ale confidențialității.
  • Opt-in vs. opt-out: Dacă standardul federal ar trebui să adopte un model opt-in pentru datele sensibile sau să mențină abordarea opt-out.

Până la adoptarea unei legi federale, companiile trebuie să navigheze prin ansamblul fragmentat de la stat la stat. Sfatul practic rămâne: construiți un sistem de gestionare a consimțământului care poate face față celor mai restrictive cerințe (opt-in GDPR) și adăugați funcții specifice americane (linkuri de retragere, suport GPC), după caz.

Recomandări pentru conformitatea globală

Pentru site-urile web care deservesc atât vizitatori din UE, cât și din SUA, cea mai eficientă abordare este:

  1. Implementați gestionarea consimțământului conformă cu GDPR ca bază. Aceasta vă oferă cel mai strict model, care satisface inerent cerințe mai puțin stricte.
  2. Adăugați un mecanism „Do Not Sell or Share” dacă îndepliniți pragurile CCPA sau aveți trafic semnificativ din California.
  3. Implementați recunoașterea semnalului GPC pentru toți vizitatorii. Este o implementare tehnică simplă cu beneficii juridice semnificative.
  4. Folosiți geolocalizarea pentru a oferi experiențe de consimțământ adecvate. Vizitatorii din UE văd un banner opt-in; vizitatorii din SUA văd o notificare mai puțin intruzivă cu opțiuni de retragere. Astfel se echilibrează conformitatea cu experiența utilizatorului.
  5. Mențineți dezvăluiri complete privind confidențialitatea care să satisfacă atât cerințele GDPR, cât și cele CCPA/CPRA.

Tendința globală este, fără îndoială, spre o mai mare protecție a confidențialității și un control sporit al utilizatorilor asupra tehnologiilor de urmărire. Construirea acum a unui sistem robust de gestionare a consimțământului este o investiție care va aduce dividende pe măsură ce continuă să apară noi reglementări.

Site-ul tău respectă regulile privind cookie-urile?

Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.

Scanează-ți cookie-urile gratuit