Skip to main content

Bune practici pentru consimțământul privind cookie-urile

Cunoașterea legii este necesară. Însă implementarea ei corectă este acolo unde se desfășoară munca reală. Această secțiune acoperă bunele practici concrete pentru consimțământul privind cookie-urile — cum să construiești o experiență de consimțământ care este conformă din punct de vedere legal, solidă din punct de vedere tehnic și respectuoasă față de utilizatorii tăi.

1. Fă consimțământul cu adevărat voluntar

Articolul 7(4) din GDPR prevede că, la evaluarea faptului dacă consimțământul a fost acordat în mod liber, „se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea unor date cu caracter personal care nu este necesară pentru executarea acestui contract.”

În practică, acest lucru înseamnă:

  • Nu folosi cookie walls care blochează conținutul dacă utilizatorul nu acceptă toate cookie-urile. EDPB a afirmat că zidurile de cookie-uri împiedică în general acordarea liberă a consimțământului. Dacă un utilizator nu poate accesa site-ul tău fără a accepta urmărirea, „consimțământul” său este constrâns, nu voluntar.
  • Nu degrada experiența pentru utilizatorii care refuză. Afișarea unui overlay persistent, reducerea funcționalității paginii sau afișarea unor mesaje pasiv-agresive („Observăm că nu ați acceptat cookie-urile — experiența dvs. ar putea avea de suferit”) subminează natura voluntară a consimțământului.
  • Oferă alternative reale. Dacă folosești un model „consimte sau plătește”, alternativa plătită trebuie să fie cu adevărat rezonabilă — nu prețuită astfel încât să penalizeze refuzul.

2. Elimină dark patterns

Dark patterns în consimțământul privind cookie-urile sunt vizate în mod specific de autoritățile de reglementare. EDPB a emis orientări privind modelele de design înșelătoare, iar CNIL, Garante și alte autorități de protecție a datelor au amendat organizații special pentru interfețe de consimțământ manipulatoare.

Evită aceste modele:

  • Butoane asimetrice. „Acceptă tot” ca buton mare și colorat, iar „Gestionează setările” ca un mic link text. Ambele opțiuni trebuie să fie la fel de proeminente. Mai multe autorități de protecție a datelor au cerut în mod specific ca „Respinge tot” să fie disponibil pe primul nivel, cu aceeași greutate vizuală ca „Acceptă tot”.
  • Limbaj confuz. „Continuă fără a accepta” vs. „Acceptă și continuă” — atunci când ambele butoane arată similar, utilizatorii nu le pot distinge rapid. Folosește etichete clare și fără ambiguități: „Acceptă tot”, „Respinge tot”, „Personalizează”.
  • Opțiuni de respingere ascunse. Obligarea utilizatorilor să navigheze către un al doilea sau al treilea nivel pentru a respinge cookie-urile, în timp ce „Acceptă tot” este la un singur clic distanță. CNIL a amendat Google cu 150 de milioane EUR parțial pentru această practică.
  • Comutatoare bifate în prealabil. Comutatoare de categorie setate implicit pe „activat” pentru analiză și marketing. Hotărârea CJUE Planet49 interzice explicit acest lucru.
  • Culori înșelătoare. Verde pentru „Acceptă” și roșu sau gri pentru „Respinge” sugerează că acceptarea este alegerea corectă, iar respingerea este o greșeală. Folosește un stil neutru și consecvent.
  • Confirm-shaming. Un limbaj precum „Nu, mulțumesc, nu îmi pasă de experiența mea” pentru opțiunea de respingere este manipulator și subminează natura voluntară a consimțământului.
  • Solicitarea repetată. Reafișarea bannerului de consimțământ la fiecare vizită a paginii după ce utilizatorul a refuzat, în speranța de a-l epuiza. Odată ce un utilizator a făcut o alegere, respect-o.

3. Fii transparent

Consimțământul informat presupune ca utilizatorii să înțeleagă la ce sunt de acord. Transparența nu ține de volumul de informații — ci de claritate.

  • Folosește un limbaj simplu. „Folosim cookie-uri pentru a urmări comportamentul dvs. de navigare pe web în scopuri publicitare” este clar. „Valorificăm tehnologii avansate de analiză a datelor pentru a vă îmbunătăți experiența digitală personalizată” nu este.
  • Enumeră toate cookie-urile. Politica ta privind cookie-urile ar trebui să includă un inventar complet: numele cookie-ului, furnizorul, scopul, tipul (sesiune/persistent, primă parte/terță parte) și expirarea. Acest inventar trebuie menținut la zi.
  • Numește terții. Dacă partajezi date cu rețele publicitare, numește-le. „Partajăm date cu partenerii noștri publicitari” este insuficient. „Partajăm date cu Google Ads, Meta (Facebook) și LinkedIn” este transparent.
  • Explică consecințele. Ce se întâmplă dacă utilizatorul acceptă cookie-urile de analiză? Ce se întâmplă dacă le refuză? Utilizatorii ar trebui să înțeleagă impactul practic al alegerii lor.

4. Oferă control granular

GDPR impune ca consimțământul să fie „specific” — acordat separat pentru fiecare scop. Mecanismul tău de consimțământ ar trebui să ofere:

  • Comutatoare per categorie. Utilizatorii ar trebui să poată accepta cookie-urile de analiză, respingând în același timp cookie-urile de marketing. Cele patru categorii standard (necesare, analiză, marketing, preferințe) reprezintă minimul.
  • Scurtături „Acceptă tot” și „Respinge tot”. Deși controlul granular este obligatoriu, oferirea de opțiuni în bloc ca scurtături este atât legală, cât și prietenoasă pentru utilizator — atât timp cât opțiunea granulară este la fel de accesibilă.
  • Control per furnizor (recomandat, dar nu întotdeauna obligatoriu). Pentru transparență maximă, ia în considerare posibilitatea ca utilizatorii să vadă și să controleze cookie-urile în funcție de furnizor — de exemplu, acceptând Google Analytics și respingând Hotjar, sau acceptând urmărirea LinkedIn și respingând Facebook. Unele platforme de gestionare a consimțământului numesc aceasta granularitate „IAB TCF Level 2”.

5. Fă retragerea la fel de ușoară ca acordarea consimțământului

Articolul 7(3) din GDPR este explicit: „Persoana vizată are dreptul să își retragă în orice moment consimțământul. [...] Retragerea consimțământului trebuie să fie la fel de simplă ca acordarea acestuia.”

Această cerință este încălcată frecvent. Eșecurile comune includ:

  • Nicio modalitate vizibilă de a schimba preferințele privind cookie-urile după ce bannerul a fost închis.
  • Un link „Setări cookie-uri” îngropat în politica de confidențialitate, care este ea însăși îngropată în subsol.
  • Obligarea utilizatorului să își șteargă cookie-urile din browser pentru a reseta preferințele (acesta nu este un mecanism de retragere — este o soluție de compromis).

Implementările cu bune practici includ:

  • Un link persistent „Setări cookie-uri” în subsolul site-ului.
  • O mică pictogramă flotantă (adesea o pictogramă de cookie sau de scut) care redeschide managerul de consimțământ.
  • O secțiune în setările contului utilizatorului (pentru utilizatorii autentificați) unde pot fi gestionate preferințele privind cookie-urile.

Când un utilizator își retrage consimțământul, trebuie să încetezi imediat utilizarea cookie-urilor relevante. Șterge cookie-urile din browser și oprește scripturile asociate. Retragerea trebuie să fie efectivă, nu doar înregistrată.

6. Păstrează evidența consimțământului

Articolul 7(1) din GDPR: „În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.”

Evidențele tale privind consimțământul ar trebui să includă:

  • Marcaj temporal pentru momentul în care consimțământul a fost acordat sau refuzat.
  • Categoriile acceptate și respinse.
  • Versiunea mecanismului de consimțământ afișat (cum arăta bannerul, ce text a fost afișat). Dacă îți modifici bannerul de consimțământ, trebuie să știi cu ce versiune a interacționat fiecare utilizator.
  • Metoda de consimțământ (ce buton a fost apăsat, ce opțiuni au fost selectate).
  • Identificator anonimizat care leagă evidența de dispozitiv sau de sesiune (nu numele sau adresa de e-mail a utilizatorului — evidența consimțământului în sine nu ar trebui să devină o problemă de confidențialitate).

Stochează aceste evidențe pe partea de server. Un simplu cookie pe partea de client nu constituie o dovadă suficientă — utilizatorul îl poate șterge, iar tu nu ai nicio evidență independentă. Buna practică este să înregistrezi evenimentele de consimțământ pe serverul tău și să le păstrezi pe durata recomandată de autoritatea ta de protecție a datelor (de obicei aceeași perioadă ca expirarea cookie-urilor, plus o marjă rezonabilă).

7. Solicită din nou consimțământul după modificări

Consimțământul este specific scopurilor și cookie-urilor pentru care a fost acordat. Dacă adaugi cookie-uri noi, categorii noi, furnizori terți noi sau modifici semnificativ modul în care folosești cookie-urile existente, consimțământul colectat anterior poate să nu mai acopere noua prelucrare.

Solicită din nou consimțământul utilizatorilor atunci când:

  • Adaugi o nouă categorie de cookie-uri care nu era acoperită anterior.
  • Introduci un nou serviciu de urmărire terț.
  • Modifici scopul cookie-urilor existente (de ex., folosirea datelor de analiză în scopuri publicitare).
  • A trecut o perioadă semnificativă de timp de la ultimul consimțământ (CNIL recomandă maximum 13 luni).
  • Cerințele de reglementare se modifică într-un mod care afectează valabilitatea consimțământului existent.

Implementează un sistem de versionare a consimțământului. Atribuie un număr de versiune configurației tale de consimțământ. Când versiunea se schimbă (deoarece ai adăugat sau modificat cookie-uri), solicită din nou consimțământul utilizatorilor care au consimțit sub o versiune anterioară.

8. Testează A/B ratele de consimțământ în mod etic

Este legitim să îți optimizezi experiența de consimțământ — testând diferite aranjamente, formulări și designuri pentru a găsi ce funcționează cel mai bine. Dar „funcționează cel mai bine” trebuie să însemne „duce la un consimțământ cu adevărat informat la o rată rezonabilă”, nu „maximizează clicurile pe acceptă tot prin manipulare”.

Orientări pentru testarea A/B etică:

  • Toate variantele trebuie să fie conforme. Fiecare versiune pe care o testezi trebuie să îndeplinească cerințele legale pentru consimțământ valabil. Nu poți testa o versiune conformă față de una neconformă pentru a vedea care obține mai multe acceptări.
  • Testează claritatea, nu manipularea. Reformularea explicației crește înțelegerea și astfel consimțământul? Repoziționarea bannerului îmbunătățește implicarea? Acestea sunt teste legitime.
  • Nu optimiza pentru rata „Acceptă tot”. O rată ridicată de acceptare a tuturor, obținută printr-un design confuz, nu este un succes — este un risc de conformitate. Optimizează pentru rata utilizatorilor care fac o alegere activă și informată, de orice fel.
  • Monitorizează ratele de refuz. Dacă o modificare de design reduce dramatic refuzurile, întreabă-te dacă le-a redus prin claritate sau prin obstrucționare.

9. Bune practici de implementare tehnică

Mecanismul de consimțământ nu este doar o componentă de interfață — necesită o implementare tehnică corectă pentru a funcționa cu adevărat.

Blochează scripturile până la consimțământ

Cea mai critică cerință tehnică: scripturile neesențiale nu trebuie să se execute până când utilizatorul nu a consimțit pentru categoria relevantă. Există mai multe abordări:

  • Manipularea tipului de script. Schimbă type="text/javascript" în type="text/plain" și adaugă un atribut de date care indică categoria. Când consimțământul este acordat, un script de gestionare a consimțământului schimbă tipul înapoi și declanșează execuția.
  • Integrarea unui manager de etichete. Folosește un manager de etichete (Google Tag Manager, Tealium etc.) care acceptă moduri de consimțământ. Etichetele sunt configurate să se declanșeze doar atunci când există consimțământ pentru categoria lor.
  • Randare pe partea de server. Include etichetele de script în codul HTML al paginii doar dacă consimțământul este deja înregistrat (printr-o verificare pe partea de server a cookie-ului de consimțământ). Aceasta este cea mai fiabilă abordare, dar necesită logică pe partea de server.

Gestionează corect starea consimțământului

  • Prima vizită (fără consimțământ înregistrat): Încarcă doar scripturile strict necesare. Afișează mecanismul de consimțământ.
  • Vizită revenită (consimțământ înregistrat): Citește cookie-ul de consimțământ. Încarcă scripturile care corespund categoriilor acceptate. Nu reafișa mecanismul de consimțământ decât dacă reînnoirea este necesară.
  • Consimțământ retras: Oprește toate scripturile din categoria retrasă. Șterge cookie-urile relevante. Actualizează evidența consimțământului.
  • Consimțământ reînnoit: Tratează ca o primă vizită pentru orice categorie nouă. Încarcă imediat categoriile acceptate anterior.

Testează temeinic

  • Verifică faptul că niciun cookie neesențial nu este setat înainte de acordarea consimțământului. Folosește instrumentele de dezvoltator din browser (fila Application > Cookies) pentru a verifica.
  • Verifică faptul că scripturile se opresc efectiv când consimțământul este retras — nu doar că cookie-ul este șters, ci că scripturile nu mai rulează.
  • Testează cu JavaScript dezactivat. Mecanismul de consimțământ ar trebui să se degradeze grațios, iar niciun script de urmărire nu ar trebui să se încarce.
  • Testează pe dispozitive mobile. Mecanismul de consimțământ trebuie să fie complet funcțional și utilizabil pe ecrane mici.

10. Folosește o platformă de gestionare a consimțământului (CMP)

Construirea de la zero a unui mecanism de consimțământ pe deplin conform este posibilă, dar implică o întreținere continuă semnificativă. O platformă de gestionare a consimțământului gestionează complexitatea în locul tău: colectarea consimțământului, păstrarea evidențelor, blocarea scripturilor, direcționarea geografică și actualizările de reglementare.

Când evaluezi o CMP, ia în considerare:

  • Scanarea automată a cookie-urilor. Detectează CMP toate cookie-urile de pe site-ul tău sau trebuie să le enumeri manual?
  • Blocarea scripturilor. Blochează CMP efectiv scripturile înainte de consimțământ sau doar afișează un banner?
  • Evidențele consimțământului. Stochează CMP dovada consimțământului pe partea de server?
  • Suport pentru IAB TCF. Dacă folosești publicitate programatică, suportul pentru TCF 2.2 poate fi necesar.
  • Impactul asupra performanței. Scriptul CMP se încarcă pe fiecare pagină. Cât de mare este? Blochează randarea?
  • Personalizarea. Poți potrivi bannerul de consimțământ cu designul brandului tău?
  • Accesibilitatea. Este mecanismul de consimțământ în sine accesibil? Poate fi navigat cu tastatura? Funcționează cu cititoarele de ecran? Un banner de consimțământ inaccesibil pe un site care pretinde că îi pasă de accesibilitate arată prost.

Passiro scanează site-ul tău pentru a identifica toate cookie-urile și tehnologiile de urmărire, le clasifică automat și oferă recomandări acționabile pentru implementarea consimțământului tău — indiferent dacă îl construiești singur sau folosești o CMP.

Rezumat: lista de verificare a consimțământului

O referință rapidă pentru evaluarea implementării actuale a consimțământului:

  1. Niciun cookie neesențial nu este setat înainte de acordarea consimțământului.
  2. Mecanismul de consimțământ oferă „Acceptă tot” și „Respinge tot” cu aceeași proeminență.
  3. Utilizatorii pot face alegeri per categorie (cel puțin: necesare, analiză, marketing, preferințe).
  4. Informațiile prezentate sunt clare, specifice și într-un limbaj simplu.
  5. Căsuțele și comutatoarele bifate în prealabil nu sunt folosite pentru categoriile neesențiale.
  6. Există o metodă persistentă și ușor accesibilă de a retrage sau modifica consimțământul.
  7. Evidențele consimțământului sunt stocate pe partea de server, cu marcaje temporale și detalii despre categorii.
  8. Consimțământul este reînnoit cel puțin o dată la 13 luni (sau mai devreme dacă utilizarea cookie-urilor se schimbă).
  9. Mecanismul de consimțământ este accesibil (navigabil cu tastatura, compatibil cu cititoarele de ecran).
  10. Implementarea este testată periodic pentru conformitate (cookie-uri noi, scripturi modificate).

Consimțământul privind cookie-urile realizat corect nu este un obstacol pentru afacerea ta. Este o fundație a încrederii dintre tine și utilizatorii tăi — și, tot mai mult, este ceea ce separă afacerile conforme de cele care se confruntă cu acțiuni de reglementare.

Site-ul tău respectă regulile privind cookie-urile?

Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.

Scanează-ți cookie-urile gratuit