Reglementările privind cookie-urile și confidențialitatea: o perspectivă globală
Conformitatea în materie de cookie-uri nu este reglementată printr-o singură lege. Ea este configurată de un mozaic de reglementări naționale și regionale care variază considerabil ca sferă de aplicare, cerințe și modalități de aplicare. Pentru orice site web cu un public internațional — adică, pe internetul deschis, aproape orice site — este esențial să înțelegeți care legi se aplică și în ce fel diferă acestea.
Acest ghid cartografiază peisajul de reglementare global privind cookie-urile și urmărirea online, de la modelul bazat pe consimțământ al UE la abordarea de tip informare-și-alegere din SUA și cadrele emergente din alte părți ale lumii.
Mozaicul global
Nu există o singură „lege privind cookie-urile”. În schimb, conformitatea în materie de cookie-uri se află la intersecția dintre reglementările privind confidențialitatea, directivele privind comunicațiile electronice și legile de protecție a consumatorilor. Rezultatul este un peisaj complex, uneori contradictoriu, în care același site web poate fi supus unor reguli diferite în funcție de locul în care se află vizitatorii săi.
Au apărut două modele de bază:
- Modelul UE (bazat pe consimțământ): Cookie-urile neesențiale pot fi plasate doar după ce utilizatorul și-a dat consimțământul informat, specific și acordat în mod liber. Valoarea implicită este absența urmăririi. Utilizatorul trebuie să opteze în mod activ (opt-in).
- Modelul american (informare-și-alegere): Firmele trebuie să comunice practicile lor de colectare a datelor și să ofere utilizatorilor posibilitatea de a renunța la anumite utilizări (în special vânzarea sau partajarea informațiilor personale). Valoarea implicită este urmărirea, utilizatorul având posibilitatea de a renunța (opt-out).
Majoritatea noilor reglementări privind confidențialitatea din întreaga lume converg spre modelul UE, deși cu variații locale. Înțelegerea ambelor modele — precum și a legilor specifice din cadrul lor — este necesară pentru orice site web care operează la nivel transfrontalier.
Cadrul UE: Directiva ePrivacy + GDPR
Abordarea Uniunii Europene privind reglementarea cookie-urilor se bazează pe două instrumente juridice care funcționează împreună:
Directiva ePrivacy (2002/58/CE)
Directiva ePrivacy — deseori numită „Directiva privind cookie-urile” — este principala lege a UE care reglementează utilizarea cookie-urilor și a tehnologiilor de urmărire similare. Prevederea sa cheie, articolul 5 alineatul (3), stabilește:
Statele membre se asigură că stocarea de informații sau obținerea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă numai cu condiția ca abonatul sau utilizatorul în cauză să își fi dat consimțământul, după ce a primit informații clare și complete.
Singura excepție se referă la cookie-urile care sunt „strict necesare” pentru furnizarea unui serviciu solicitat în mod explicit de utilizator — de exemplu, cookie-urile de sesiune pentru un coș de cumpărături sau pentru starea de autentificare.
Important: Directiva ePrivacy este o directivă, nu un regulament. Aceasta înseamnă că fiecare stat membru al UE a transpus-o în legislația națională cu variații locale. Principiul de bază (consimțământul obligatoriu pentru cookie-urile neesențiale) este consecvent, dar detaliile de implementare diferă. De exemplu:
- Franța (CNIL): A emis orientări detaliate privind cookie-urile, inclusiv o exceptare limitată pentru anumite instrumente de măsurare a audienței care îndeplinesc condiții stricte (anonimizare, absența urmăririi între site-uri, retenție limitată).
- Germania: Implementată prin TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), care a intrat în vigoare în decembrie 2021 și a codificat în mod explicit cerința de consimțământ.
- Italia (Garante): A publicat orientări detaliate privind cookie-urile în 2021, care impun un buton de respingere pe primul nivel și interzic zidurile de cookie-uri.
- Țările de Jos (AP): A adoptat o poziție ceva mai permisivă cu privire la zidurile de cookie-uri, sugerând că acestea ar putea fi acceptabile dacă utilizatorul dispune de o modalitate alternativă reală de a accesa conținutul.
GDPR (Regulamentul (UE) 2016/679)
Regulamentul general privind protecția datelor nu menționează în mod specific cookie-urile, dar reglementează prelucrarea datelor cu caracter personal — iar cookie-urile implică frecvent date cu caracter personal. GDPR este relevant pentru conformitatea în materie de cookie-uri în mai multe moduri:
- Standardul de consimțământ (articolul 4 punctul 11, articolul 7): GDPR definește ce constituie un consimțământ valabil: acordat în mod liber, specific, informat, lipsit de ambiguitate, dat printr-o acțiune afirmativă clară. Acest standard se aplică consimțământului pentru cookie-uri obținut în temeiul Directivei ePrivacy.
- Transparență (articolele 12-14): Atunci când cookie-urile prelucrează date cu caracter personal, se aplică cerințele de transparență din GDPR. Aceasta înseamnă că politica ta privind cookie-urile trebuie să furnizeze informații specifice despre prelucrarea datelor implicată.
- Temei juridic (articolul 6): Prelucrarea datelor cu caracter personal prin cookie-uri necesită un temei juridic. Pentru cookie-urile neesențiale, acel temei este consimțământul. Unii operatori încearcă să se bazeze pe interesul legitim (articolul 6 alineatul (1) litera (f)), însă autoritățile de protecție a datelor au respins tot mai mult interesul legitim ca temei pentru urmărirea publicitară și analitică.
- Drepturile persoanelor vizate (articolele 15-22): Utilizatorii au drept de acces, rectificare, ștergere și portabilitate a datelor lor — inclusiv datele colectate prin cookie-uri.
- Aplicabilitate extrateritorială (articolul 3): GDPR se aplică oricărei organizații care prelucrează datele cu caracter personal ale persoanelor din UE, indiferent de locul în care este stabilită organizația. O companie americană care vizează clienți din UE trebuie să se conformeze.
Viitorul Regulament ePrivacy
Comisia Europeană a propus un Regulament ePrivacy în 2017 pentru a înlocui Directiva ePrivacy, a armoniza regulile între statele membre și a le actualiza pentru tehnologiile moderne. La începutul anului 2026, regulamentul nu a fost încă finalizat. Negocierile au fost îndelungate, cu neînțelegeri privind excepțiile de interes legitim, prevederile referitoare la zidurile de cookie-uri și mecanismele de consimțământ la nivel de browser.
Odată adoptat, Regulamentul ePrivacy se va aplica direct în toate statele membre (spre deosebire de directiva actuală, care necesită transpunere națională). Până atunci, Directiva ePrivacy existentă și implementările sale naționale rămân legea în vigoare.
Cadrul american: legile privind confidențialitatea la nivel de stat
Statele Unite nu au nici o lege federală privind cookie-urile, nici o lege federală cuprinzătoare privind confidențialitatea (la începutul anului 2026). În schimb, reglementarea confidențialității a apărut la nivelul statelor, creând un mozaic de cerințe.
California: CCPA și CPRA
California Consumer Privacy Act (CCPA), astfel cum a fost modificată prin California Privacy Rights Act (CPRA), este cea mai cuprinzătoare lege statală americană privind confidențialitatea. Prevederile cheie relevante pentru cookie-uri:
- Dreptul de a renunța la vânzare/partajare. Consumatorii au dreptul de a renunța la „vânzarea” sau „partajarea” informațiilor lor personale. În temeiul CPRA, „partajarea” include partajarea datelor cu terți în scopul publicității comportamentale între contexte diferite — exact ceea ce fac majoritatea cookie-urilor publicitare.
- Nu este necesar consimțământul prealabil. Spre deosebire de modelul UE, CCPA/CPRA nu impune consimțământ prealabil pentru cookie-uri. Valoarea implicită este că urmărirea este permisă, iar utilizatorii trebuie să renunțe în mod activ.
- Link „Do Not Sell or Share”. Firmele trebuie să afișeze un link vizibil „Do Not Sell or Share My Personal Information” pe site-ul lor web.
- Global Privacy Control (GPC). Firmele trebuie să respecte semnalul de browser GPC ca o solicitare validă de renunțare. Dacă browserul unui utilizator trimite un semnal GPC, firma trebuie să îl trateze ca și cum utilizatorul ar fi făcut clic pe „Do Not Sell or Share”.
- Notificarea la colectare. Firmele trebuie să comunice, la momentul colectării sau înainte de acesta, categoriile de informații personale colectate și scopurile pentru care vor fi utilizate.
Alte legi statale americane
Urmând exemplul Californiei, numeroase state americane au adoptat legi cuprinzătoare privind confidențialitatea. La începutul anului 2026, statele cu legi active privind confidențialitatea includ:
| Stat | Lege | Data intrării în vigoare | Caracteristici relevante pentru cookie-uri |
|---|---|---|---|
| Virginia | VCDPA | ianuarie 2023 | Renunțare la publicitatea direcționată, vânzarea datelor |
| Colorado | CPA | iulie 2023 | Renunțare la publicitatea direcționată, vânzarea datelor; trebuie să respecte semnalele universale de renunțare |
| Connecticut | CTDPA | iulie 2023 | Renunțare la publicitatea direcționată, vânzarea datelor; trebuie să respecte semnalele universale de renunțare |
| Utah | UCPA | decembrie 2023 | Renunțare la publicitatea direcționată, vânzarea datelor |
| Texas | TDPSA | iulie 2024 | Renunțare la publicitatea direcționată, vânzarea datelor; trebuie să respecte semnalele universale de renunțare |
| Oregon | OCPA | iulie 2024 | Renunțare la publicitatea direcționată, vânzarea datelor; trebuie să respecte semnalele universale de renunțare |
| Montana | MCDPA | octombrie 2024 | Renunțare la publicitatea direcționată, vânzarea datelor; trebuie să respecte semnalele universale de renunțare |
Alte state au adoptat legi cu date de intrare în vigoare în 2025 și 2026. Tendința este clară: reglementarea confidențialității la nivel de stat se extinde, iar majoritatea legilor noi includ drepturi de renunțare la publicitatea direcționată care afectează în mod direct practicile privind cookie-urile.
Alte reglementări notabile
Regatul Unit: UK GDPR și PECR
După Brexit, Regatul Unit a păstrat GDPR sub denumirea de „UK GDPR” și continuă să aplice Privacy and Electronic Communications Regulations (PECR), care implementează Directiva ePrivacy. Cerințele privind cookie-urile sunt în esență identice cu cele ale UE: este necesar consimțământul prealabil pentru cookie-urile neesențiale, cu o excepție restrânsă pentru cookie-urile strict necesare. Information Commissioner's Office (ICO) aplică aceste reguli și a publicat orientări detaliate privind cookie-urile.
Brazilia: LGPD
Legea braziliană Lei Geral de Protecao de Dados (LGPD), în vigoare din 2020, este puternic inspirată de GDPR. Aceasta impune un temei juridic pentru prelucrarea datelor cu caracter personal, inclusiv a datelor colectate prin cookie-uri. Deși LGPD nu are un echivalent direct al prevederii specifice cookie-urilor din Directiva ePrivacy, trebuie stabilit consimțământul sau interesul legitim pentru prelucrarea datelor bazată pe cookie-uri. ANPD (autoritatea națională pentru protecția datelor) emite treptat orientări privind cookie-urile și consimțământul.
Canada: PIPEDA și Proiectul de lege C-27
Legea canadiană Personal Information Protection and Electronic Documents Act (PIPEDA) impune un „consimțământ semnificativ” pentru colectarea, utilizarea și divulgarea informațiilor personale. Pentru cookie-urile care colectează informații personale, organizațiile trebuie să obțină consimțământul și să furnizeze informații clare despre practicile lor. Proiectul de lege C-27, propunerea de Consumer Privacy Protection Act, ar moderniza cadrul Canadei cu cerințe mai stricte privind consimțământul, dar adoptarea sa a fost amânată.
Japonia: APPI
Legea japoneză Act on the Protection of Personal Information (APPI), modificată în 2022, a introdus conceptul de „informații care pot fi asociate unei persoane”, care pot include identificatori de cookie-uri în anumite contexte. Atunci când datele de cookie-uri sunt combinate cu alte informații pentru a identifica o persoană, se aplică cerințele de consimțământ.
Coreea de Sud: PIPA
Legea sud-coreeană Personal Information Protection Act (PIPA), modificată în 2023, impune consimțământul pentru colectarea și utilizarea informațiilor personale, care pot include datele de cookie-uri atunci când acestea identifică sau pot identifica o persoană.
Tendința de convergență
În ciuda mozaicului actual, se conturează o tendință clară: majoritatea legilor noi privind confidențialitatea urmează modelul UE de reglementare bazată pe consimțământ și pe capacitarea utilizatorului. Chiar și legile statale americane, deși tehnic bazate pe renunțare (opt-out) mai degrabă decât pe acceptare (opt-in), evoluează spre cerințe mai stricte, cu semnale universale de renunțare (GPC), principii de minimizare a datelor și definiții extinse ale „informațiilor personale” care includ identificatorii de cookie-uri.
În practică, această convergență înseamnă că site-urile web care implementează conformitatea în materie de cookie-uri la nivel UE (consimțământ prealabil, opțiuni clare de acceptare/respingere, categorii granulare, politici transparente) sunt bine poziționate pentru conformitatea cu majoritatea celorlalte jurisdicții. Standardul UE este cel mai înalt numitor comun.
Evaluarea riscurilor: care legi se aplică site-ului tău web?
Întrebarea cheie pentru orice operator de site web este: care legi mi se aplică? Răspunsul depinde de doi factori:
- Unde este stabilită organizația ta. Ești supus legilor privind confidențialitatea din jurisdicțiile în care organizația ta are un sediu (birou, filială, sucursală).
- Unde se află utilizatorii tăi. În temeiul aplicabilității extrateritoriale a GDPR (articolul 3 alineatul (2)), ești supus legislației UE privind confidențialitatea dacă oferi bunuri sau servicii persoanelor din UE sau dacă monitorizezi comportamentul persoanelor din UE. Prevederi extrateritoriale similare există în UK GDPR, în LGPD din Brazilia și în alte legi.
În practică, dacă site-ul tău web este accesibil utilizatorilor din UE — și ai orice trafic din UE, lucru pe care practic toate site-urile web îl au — ar trebui să respecți Directiva ePrivacy și GDPR. Dacă ai trafic din SUA, ar trebui să tratezi CCPA/CPRA (California) și alte legi statale aplicabile.
O abordare pragmatică:
- Implementează consimțământul la standard UE pentru toți vizitatorii din UE/SEE/Regatul Unit (consimțământ prealabil de tip opt-in pentru cookie-urile neesențiale).
- Implementează mecanisme de renunțare pentru vizitatorii din SUA (link Do Not Sell/Share, suport GPC).
- Aplică în mod implicit standardul mai ridicat dacă detectarea geografică este impracticabilă. Consimțământul la nivel UE satisface practic toate jurisdicțiile.
Aplicabilitatea extrateritorială
Unul dintre cele mai importante aspecte ale reglementării moderne a confidențialității este aplicabilitatea sa extrateritorială. GDPR (articolul 3 alineatul (2)) se aplică organizațiilor din afara UE care:
- Oferă bunuri sau servicii persoanelor din UE (chiar și gratuit — un site web accesibil în UE care vizează utilizatori din UE se califică), sau
- Monitorizează comportamentul persoanelor din UE (urmărirea analitică și publicitară constituie monitorizare).
Aceasta înseamnă că o companie americană care rulează Google Analytics pe un site web care primește trafic din UE este, din punct de vedere tehnic, supusă cerințelor privind cookie-urile din GDPR și Directiva ePrivacy. Aplicarea împotriva organizațiilor din afara UE a fost istoric limitată, dar este în creștere, în special în cazul companiilor mari. Riscul practic pentru organizațiile mai mici depinde de vizibilitate și de volumul de plângeri, dar obligația juridică există indiferent de dimensiune.
Peisajul aplicării legii
Aplicarea conformității în materie de cookie-uri s-a intensificat dramatic începând cu 2020. Tendințe cheie:
Cine aplică legea
În UE, autoritățile naționale de protecție a datelor (DPA) aplică atât Directiva ePrivacy, cât și GDPR. Printre autoritățile active notabile se numără CNIL (Franța), Garante (Italia), Datatilsynet (Danemarca și Norvegia), BfDI (Germania, la nivel federal) și APD (Belgia). EDPB coordonează aplicarea transfrontalieră a legii.
În SUA, procurorul general al Californiei și California Privacy Protection Agency aplică CCPA/CPRA. Procurorii generali ai statelor aplică celelalte legi statale.
Cum aplică legea
- Investigații declanșate de plângeri. Majoritatea acțiunilor de aplicare încep cu o plângere a unui utilizator către o DPA. Plângerea declanșează o investigație a practicilor site-ului web privind cookie-urile.
- Investigații de tip „sweep”. DPA-urile efectuează periodic verificări la nivel de sector, scanând sute de site-uri web pentru conformitatea în materie de cookie-uri. CNIL, Garante din Italia și Datatilsynet din Danemarca au efectuat toate verificări făcute publice.
- Plângeri ale ONG-urilor. Organizații de promovare a confidențialității precum noyb (condusă de Max Schrems) au depus plângeri în masă împotriva a sute de site-uri web, generând un volum semnificativ de acțiuni de aplicare. Numai plângerile noyb privind bannerele de cookie-uri au condus la zeci de acțiuni de aplicare în întreaga UE.
Sancțiuni
Amenzile GDPR pentru încălcări legate de cookie-uri pot ajunge până la 20 de milioane EUR sau 4% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare. În practică, amenzile pentru încălcări legate de cookie-uri au variat de la avertismente (pentru organizații mici cu încălcări minore) până la 150 de milioane EUR (Google, CNIL, 2022). Tendința este spre amenzi mai mari și o aplicare mai frecventă.
Dincolo de amenzi, neconformitatea aduce riscuri reputaționale, deteriorarea încrederii consumatorilor și costul operațional al remedierii de urgență în temeiul unui ordin de reglementare.
Passiro te ajută să navighezi această complexitate de reglementare printr-o conformitate automatizată care se adaptează legilor aplicabile vizitatorilor tăi. Află cum simplifică Passiro conformitatea în materie de cookie-uri în diferite jurisdicții.
În această secțiune
Site-ul tău respectă regulile privind cookie-urile?
Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.
Scanează-ți cookie-urile gratuit