Directiva ePrivacy: Legea privind cookie-urile din UE explicată
Când oamenii se referă la „legea privind cookie-urile din UE", de obicei se referă la Directiva ePrivacy — mai exact la Articolul 5(3). Deși GDPR-ul acaparează majoritatea titlurilor, Directiva ePrivacy este reglementarea care guvernează direct utilizarea cookie-urilor și a tehnologiilor similare de urmărire. Înțelegerea acestei directive, a relației sale cu GDPR-ul și a viitorului Regulament ePrivacy este esențială pentru oricine este responsabil de conformitatea privind cookie-urile pe un site web european.
Ce este Directiva ePrivacy?
Directiva ePrivacy (oficial Directiva 2002/58/CE) a fost adoptată la 12 iulie 2002, ca parte a cadrului UE privind confidențialitatea în telecomunicații. Inițial, aceasta se concentra pe confidențialitatea comunicațiilor electronice — acoperind subiecte precum confidențialitatea comunicațiilor, datele de trafic, spam-ul și identificarea apelantului.
În 2009, directiva a fost modificată substanțial prin Directiva 2009/136/CE (deseori numită „Directiva privind drepturile cetățenilor"). Această modificare a introdus cerința de consimțământ pentru cookie-uri pe care o cunoaștem astăzi, înlocuind regimul anterior de opt-out cu un model de opt-in. Înainte de 2009, site-urile web trebuiau doar să informeze utilizatorii despre cookie-uri și să le acorde dreptul de a le refuza. După 2009, consimțământul prealabil a devenit obligatoriu pentru toate cookie-urile neesențiale.
Spre deosebire de GDPR, care este un regulament (direct aplicabil în toate statele membre), Directiva ePrivacy este o directivă (fiecare stat membru trebuie să o transpună în legislația națională). Aceasta înseamnă că regulile specifice privind cookie-urile variază de la o țară la alta, chiar dacă cerințele de bază sunt aceleași.
Articolul 5(3): Regula consimțământului pentru cookie-uri
Articolul 5(3) al Directivei ePrivacy este dispoziția care guvernează direct cookie-urile. În forma sa modificată, acesta prevede:
„Statele membre se asigură că stocarea de informații sau obținerea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat consimțământul, după ce a primit informații clare și complete, în conformitate cu [Directiva privind protecția datelor, acum GDPR], printre altele, cu privire la scopurile prelucrării."
Această dispoziție stabilește mai multe cerințe esențiale:
- Domeniul de aplicare: Acoperă orice stocare de informații pe dispozitivul unui utilizator sau accesul la informațiile stocate pe dispozitivul unui utilizator. Aceasta include cookie-urile, dar și stocarea locală, IndexedDB, amprentarea dispozitivelor, pixelii de urmărire și orice altă tehnologie care citește de pe sau scrie pe dispozitivul utilizatorului.
- Consimțământ prealabil: Consimțământul trebuie obținut înainte ca informațiile să fie stocate sau accesate — nu după.
- Consimțământ informat: Utilizatorului trebuie să i se furnizeze informații clare și complete despre scopurile stocării sau ale accesării.
- Standardul consimțământului: Referința la GDPR (inițial la Directiva privind protecția datelor) înseamnă că se aplică definiția și condițiile GDPR pentru consimțământ. Consimțământul trebuie să fie acordat în mod liber, specific, informat și lipsit de ambiguitate.
Exceptarea pentru cookie-urile „strict necesare"
Articolul 5(3) include o excepție importantă în a doua sa frază:
„Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua transmiterea unei comunicări printr-o rețea de comunicații electronice sau atât cât este strict necesar pentru ca furnizorul unui serviciu al societății informaționale solicitat în mod explicit de către abonat sau utilizator să poată furniza serviciul respectiv."
Această excepție acoperă două categorii de cookie-uri care nu necesită consimțământ:
- Cookie-uri necesare pentru transmiterea unei comunicări (de exemplu, cookie-uri de echilibrare a încărcării).
- Cookie-uri strict necesare pentru furnizarea unui serviciu solicitat în mod explicit de utilizator (de exemplu, cookie-uri pentru coșul de cumpărături, cookie-uri de sesiune pentru autentificare, cookie-uri pentru preferințele utilizatorului referitoare la un serviciu pe care acesta îl utilizează activ).
Predecesorul Comitetului European pentru Protecția Datelor, Grupul de Lucru Articolul 29, a oferit îndrumări detaliate cu privire la ce cookie-uri se califică drept strict necesare în Avizul 04/2012. Printre exemple se numără:
- Exceptate (fără consimțământ necesar): cookie-uri de sesiune pentru introducerea datelor de către utilizator (formulare cu mai mulți pași), cookie-uri de autentificare, cookie-uri pentru coșul de cumpărături, cookie-uri de securitate (token-uri CSRF), cookie-uri de sesiune pentru playere multimedia, cookie-uri de echilibrare a încărcării, cookie-uri de personalizare a interfeței (preferința de limbă) pentru sesiunea curentă.
- Neexceptate (consimțământ necesar): cookie-uri de analiză (inclusiv Google Analytics), cookie-uri publicitare, cookie-uri de partajare/urmărire pentru rețelele sociale, cookie-uri persistente de preferințe care durează dincolo de sesiune, orice cookie-uri de urmărire de la terți.
Distincția esențială este între cookie-urile care servesc solicitarea explicită a utilizatorului și cookie-urile care servesc intereselor operatorului site-ului web. Un cookie de preferință de limbă setat pentru că utilizatorul a apăsat pe un selector de limbă este strict necesar. Un cookie de analiză setat pentru a ajuta operatorul site-ului să înțeleagă traficul nu este — chiar dacă operatorul îl consideră important.
Cum funcționează împreună ePrivacy și GDPR
Relația dintre Directiva ePrivacy și GDPR este una de lex specialis (lege specifică) și lex generalis (lege generală). Directiva ePrivacy este legea specifică ce guvernează confidențialitatea în comunicațiile electronice, în timp ce GDPR-ul reprezintă cadrul general de protecție a datelor.
În termeni practici:
- Directiva ePrivacy guvernează dacă puteți plasa un cookie pe dispozitivul unui utilizator. Aceasta impune consimțământul pentru cookie-urile neesențiale, indiferent dacă acel cookie conține sau nu date cu caracter personal.
- GDPR-ul guvernează ce constituie un consimțământ valabil și cum puteți prelucra orice date cu caracter personal colectate prin cookie-uri. De asemenea, oferă cadrul de aplicare, inclusiv dreptul de a depune plângeri la autoritățile de supraveghere (DPA-uri) și regimul substanțial al amenzilor.
Aceasta înseamnă că până și un cookie care nu conține date cu caracter personal (de exemplu, un identificator de analiză generat aleatoriu, fără legătură cu alte date) necesită totuși consimțământ conform Directivei ePrivacy, deoarece Articolul 5(3) se aplică oricărei stocări pe dispozitivul utilizatorului — nu doar stocării datelor cu caracter personal.
În schimb, dacă prelucrați date cu caracter personal prin cookie-uri, trebuie să respectați întregul cadru GDPR: temei legal, transparență, drepturile persoanelor vizate, evaluări ale impactului asupra protecției datelor și toate celelalte obligații.
Implementările naționale
Deoarece Directiva ePrivacy este o directivă, nu un regulament, fiecare stat membru al UE a transpus-o în legislația națională cu anumite variații. Deși cerința fundamentală — consimțământul înainte de cookie-urile neesențiale — este constantă în toate statele membre, există diferențe notabile în ceea ce privește:
- Intensitatea aplicării: Franța (CNIL) și Italia (Garante) au fost cele mai active în aplicarea legilor privind cookie-urile, în timp ce alte țări și-au concentrat resursele în alte direcții.
- Exceptări specifice: Unele țări au adoptat interpretări ușor mai largi sau mai restrânse ale exceptării pentru cookie-urile „strict necesare".
- Cookie-uri de analiză: Unele DPA-uri au explorat dacă instrumentele de analiză configurate corespunzător, care protejează confidențialitatea (de exemplu, analize anonimizate fără urmărire între site-uri), s-ar putea califica pe baza unui interes legitim. Exceptarea CNIL din Franța pentru instrumentele de măsurare a audienței în condiții specifice este cel mai notabil exemplu, deși rămâne controversată.
- Zidurile de cookie-uri: Legalitatea zidurilor de cookie-uri (care condiționează accesul la un site web de acordarea consimțământului) variază de la o jurisdicție la alta. DPA-ul olandez și EDPB au adoptat o poziție strictă împotriva acestora, în timp ce Consiliul de Stat francez le-a considerat permise în anumite condiții.
Regulamentul ePrivacy propus
Comisia Europeană a publicat o propunere de Regulament ePrivacy în ianuarie 2017, menit să înlocuiască Directiva ePrivacy și să alinieze regulile privind cookie-urile cu GDPR-ul. La peste nouă ani distanță, regulamentul rămâne încă în negocieri, fiind unul dintre cele mai îndelungate procese legislative din istoria UE.
Modificări-cheie în regulamentul propus
Deși textul final nu a fost încă convenit, propunerea și pozițiile ulterioare ale Consiliului au sugerat câteva modificări semnificative:
- Aplicabilitate directă: Fiind un regulament, nu o directivă, Regulamentul ePrivacy s-ar aplica uniform în toate statele membre, eliminând fragmentarea actuală.
- Consimțământ la nivel de browser: Propunerile timpurii includeau dispoziții prin care utilizatorii își pot seta preferințele privind cookie-urile la nivel de browser, în loc să răspundă la bannere individuale de cookie-uri pe fiecare site web. Acest lucru ar simplifica dramatic experiența utilizatorului, deși provocările tehnice și politice sunt considerabile.
- Domeniu de aplicare extins: Regulamentul s-ar extinde pentru a acoperi serviciile de comunicare over-the-top (OTT), precum WhatsApp și Skype, care nu sunt acoperite de directiva actuală.
- Exceptări mai clare: Regulamentul urmărește să clarifice ce tipuri de cookie-uri sunt exceptate de la consimțământ, extinzând potențial exceptarea pentru a include anumite tipuri de măsurare a audienței.
- Reguli privind metadatele: Noi dispoziții care guvernează prelucrarea metadatelor de comunicare (date de localizare, timpi de conectare) dincolo de ceea ce acoperă directiva actuală.
- Aplicare armonizată: Regulamentul ar stabili un mecanism de aplicare uniform, probabil modelat după principiul ghișeului unic al GDPR.
Stadiul actual și calendarul
La începutul anului 2026, Regulamentul ePrivacy rămâne în negocieri de tip trilog între Parlamentul European, Consiliul UE și Comisia Europeană. Progresul a fost lent din cauza dezacordurilor fundamentale asupra mai multor puncte, inclusiv mecanismul de consimțământ la nivel de browser, domeniul de aplicare al exceptării pentru cookie-urile „strict necesare" și regulile privind prelucrarea metadatelor.
Cel mai realist scenariu este că regulamentul nu va fi finalizat mai devreme de 2027, cu o perioadă suplimentară de tranziție de 12-24 de luni înainte de a intra în vigoare. Operatorii de site-uri web ar trebui să continue să respecte actuala Directivă ePrivacy, așa cum a fost transpusă în legislația lor națională, completată de cadrul de consimțământ al GDPR.
Implicații practice pentru proprietarii de site-uri web
Indiferent de incertitudinea de reglementare din jurul viitorului Regulament ePrivacy, regulile actuale sunt clare și aplicate în mod activ. Proprietarii de site-uri web ar trebui:
- Să trateze regimul actual ca punct de referință. Cerința de consimțământ pentru cookie-urile neesențiale este o lege stabilită în întreaga UE. Nu așteptați Regulamentul ePrivacy pentru a implementa conformitatea.
- Să blocheze cookie-urile neesențiale înainte de consimțământ. Acesta este cel mai dificil aspect tehnic al conformității, dar este nenegociabil. Mecanismul dumneavoastră de consimțământ pentru cookie-uri trebuie să împiedice scripturile să seteze cookie-uri până când utilizatorul nu și-a dat consimțământul în mod activ.
- Să aplice standardul de consimțământ GDPR. Când Directiva ePrivacy spune „consimțământ", se referă la consimțământul GDPR: acordat în mod liber, specific, informat, lipsit de ambiguitate și demonstrat printr-o acțiune afirmativă clară.
- Să documenteze cookie-urile strict necesare. Păstrați o evidență clară a cookie-urilor pe care le considerați strict necesare și de ce. Fiți pregătiți să justificați această clasificare dacă sunteți contestați de un DPA.
- Să monitorizeze evoluțiile naționale. Deoarece Directiva ePrivacy este implementată diferit în fiecare țară, rămâneți informați cu privire la îndrumările și activitatea de aplicare a DPA-urilor din țările în care sunt localizați utilizatorii dumneavoastră.
- Să se pregătească pentru Regulamentul ePrivacy. Deși calendarul este incert, direcția este clară: reguli mai armonizate, mecanisme de consimțământ potențial mai largi și un accent continuu pe confidențialitatea utilizatorului. Construirea unui sistem robust de management al consimțământului acum va face tranziția mai lină atunci când va veni momentul.
Directiva ePrivacy poate avea peste două decenii vechime, dar rămâne piatra de temelie a legislației privind cookie-urile în Europa. Combinată cu cadrul de consimțământ al GDPR și cu programele active de aplicare ale DPA-urilor naționale, aceasta creează un mediu de reglementare în care conformitatea privind cookie-urile nu este opțională — este o obligație legală cu consecințe financiare reale în caz de neconformitate.
Site-ul tău respectă regulile privind cookie-urile?
Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.
Scanează-ți cookie-urile gratuit