Skip to main content

Opt-in vs. opt-out: înțelegerea celor două modele de consimțământ

Lumea are două abordări fundamental diferite ale consimțământului pentru cookie-uri. Uniunea Europeană impune modelul opt-in: niciun cookie până când utilizatorul nu spune da. Statele Unite (în majoritatea statelor) permit modelul opt-out: cookie-urile sunt plasate implicit, iar utilizatorul poate spune nu. Înțelegerea acestor două modele — temeiul lor legal, implicațiile lor și zonele în care se aplică fiecare — este esențială pentru orice site web cu un public global.

Modelul opt-in

În cadrul modelului opt-in, cookie-urile neesențiale nu pot fi plasate până când utilizatorul nu și-a dat consimțământul explicit și afirmativ. Lipsa unei acțiuni din partea utilizatorului înseamnă lipsa cookie-urilor. Acesta este modelul impus de Directiva ePrivacy a UE (articolul 5 alineatul (3)), interpretată prin prisma definiției consimțământului din GDPR (articolul 4 alineatul (11)).

Cum funcționează modelul opt-in în practică

  1. Utilizatorul vizitează site-ul web pentru prima dată.
  2. Sunt active doar cookie-urile strict necesare. Cookie-urile de analiză, marketing și preferințe sunt blocate.
  3. Apare un mecanism de consimțământ care prezintă categoriile de cookie-uri și îi cere utilizatorului să facă o alegere.
  4. Utilizatorul selectează activ ce categorii acceptă (sau apasă pe „Acceptă toate" ori „Respinge toate").
  5. Se încarcă doar scripturile corespunzătoare categoriilor acceptate.
  6. Dacă utilizatorul nu întreprinde nicio acțiune, nu se plasează niciun cookie neesențial. Mecanismul de consimțământ rămâne vizibil (sau accesibil) până când utilizatorul face o alegere.

Temeiul legal

Cerința de opt-in decurge din două surse:

  • Articolul 5 alineatul (3) din Directiva ePrivacy: impune „consimțământul" înainte de stocarea de informații pe dispozitivul unui utilizator.
  • Articolul 4 alineatul (11) din GDPR: definește consimțământul ca necesitând o „acțiune afirmativă clară" — ceea ce exclude inacțiunea, căsuțele bifate în prealabil și acordul implicit.
  • Hotărârea CJUE Planet49 (C-673/17): a confirmat faptul că este necesar un consimțământ activ și că fiind căsuțele bifate în prealabil nu constituie un consimțământ valabil.

Unde se aplică modelul opt-in

În toate statele membre ale UE/SEE (cele 27 de țări ale UE, plus Norvegia, Islanda și Liechtenstein), precum și în Regatul Unit (care a păstrat regulile ePrivacy după Brexit prin Privacy and Electronic Communications Regulations, sau PECR).

Implicații pentru operatorii de site-uri web

  • Așteptați-vă la rate semnificative de respingere a consimțământului. Datele din industrie sugerează că 30-50% dintre vizitatorii europeni resping cookie-urile neesențiale atunci când li se oferă o alegere reală.
  • Datele de analiză vor fi incomplete. Veți avea date doar de la utilizatorii care și-au dat consimțământul. Nu este o defecțiune — este rezultatul intenționat al reglementării.
  • Încărcarea scripturilor trebuie să fie condiționată. Aveți nevoie de un mecanism tehnic care să blocheze scripturile până la înregistrarea consimțământului. Acest lucru nu se poate realiza doar cu un banner — necesită o gestionare efectivă a scripturilor.

Modelul opt-out

În cadrul modelului opt-out, cookie-urile pot fi plasate în mod implicit. Utilizatorul are dreptul de a refuza sau de a renunța, dar, cât timp nu întreprinde o acțiune, urmărirea este permisă. Acesta este modelul utilizat în Statele Unite și în alte câteva jurisdicții.

Cum funcționează modelul opt-out în practică

  1. Utilizatorul vizitează site-ul web.
  2. Toate cookie-urile — inclusiv cele de analiză și marketing — sunt plasate imediat.
  3. O notificare informează utilizatorul că se utilizează cookie-uri și oferă o modalitate de a renunța.
  4. Dacă utilizatorul nu întreprinde nicio acțiune, cookie-urile rămân active.
  5. Dacă utilizatorul renunță, preferințele sale sunt respectate pe viitor (iar în unele jurisdicții, este posibil să fie necesară ștergerea datelor colectate anterior).

Temeiul legal

Modelul opt-out se regăsește în:

  • CCPA/CPRA (California): consumatorii din California au dreptul de a renunța la „vânzarea" sau „partajarea" datelor cu caracter personal. Cookie-urile folosite pentru publicitate comportamentală în context încrucișat constituie „partajare" în temeiul CPRA. Obligația este de a oferi un mecanism de opt-out (adesea printr-un link „Do Not Sell or Share My Personal Information"), nu de a obține un consimțământ prealabil.
  • Legea CAN-SPAM și îndrumările FTC: abordarea federală a SUA privind urmărirea online a fost, din punct de vedere istoric, una bazată pe informare și alegere, mai degrabă decât pe consimțământ afirmativ.
  • Diverse legi statale din SUA: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) și altele urmează variații ale modelului opt-out pentru publicitatea direcționată și vânzarea de date.

Unde se aplică modelul opt-out

În Statele Unite (cu variații de la un stat la altul), Canada (PIPEDA — deși acest lucru s-ar putea schimba în urma reformelor propuse), Australia (în temeiul Privacy Act — de asemenea în curs de revizuire) și în alte câteva jurisdicții din afara UE/SEE.

Implicații pentru operatorii de site-uri web

  • Mai multă colectare de date în mod implicit. Întrucât cookie-urile sunt plasate cât timp utilizatorul nu se opune, datele de analiză și publicitate sunt mai complete.
  • Trebuie să oferiți un mecanism clar de opt-out. În temeiul CCPA/CPRA, acesta înseamnă un link „Do Not Sell or Share My Personal Information" ușor de găsit și de utilizat.
  • Trebuie să respectați Global Privacy Control (GPC). Legislația din California impune întreprinderilor să trateze semnalul de browser GPC ca pe o cerere validă de opt-out.

Comparație detaliată

Aspect Opt-in (UE/GDPR) Opt-out (SUA/CCPA)
Starea implicită Cookie-uri blocate până la consimțământ Cookie-uri active în mod implicit
Acțiune necesară din partea utilizatorului Trebuie să acționeze pentru a permite cookie-urile Trebuie să acționeze pentru a opri cookie-urile
Tăcere / inacțiune Înseamnă lipsa consimțământului (fără cookie-uri) Înseamnă consimțământ presupus (cookie-uri active)
Mecanism de consimțământ Alegere granulară pe fiecare categorie Link sau comutator de opt-out
Căsuțe bifate în prealabil Nu sunt permise (hotărârea Planet49) Permise (modelul opt-out)
Impact asupra analizei Pierdere de date de 30-50% din lipsa consimțământului Pierdere minimă de date (puțini renunță)
Retragere La fel de ușoară ca acordarea consimțământului (art. 7 alin. (3) GDPR) Trebuie oferită, fără cerința unei ușurințe egale
Copii Consimțământul parental sub 13-16 ani (variază) COPPA se aplică celor sub 13 ani
Reglementare principală Directiva ePrivacy + GDPR CCPA/CPRA + legi statale
Amenzi maxime 20 mil. EUR sau 4% din cifra de afaceri globală 7.500 USD per încălcare intenționată (CCPA)

Puteți folosi modele diferite pentru regiuni diferite?

Da, și multe site-uri web globale procedează astfel. Această abordare se numește gestionarea consimțământului direcționată geografic. Site-ul web detectează localizarea vizitatorului (de obicei prin geolocalizarea IP) și prezintă modelul de consimțământ potrivit:

  • Vizitatori din UE/SEE/Regatul Unit: modelul opt-in cu consimțământ granular.
  • Vizitatori din California: modelul opt-out cu link „Do Not Sell or Share".
  • Alți vizitatori din SUA: doar notificare (în funcție de aplicabilitatea legislației statale).
  • Alte jurisdicții: pe baza legislației locale aplicabile.

Provocările direcționării geografice

  • Geolocalizarea IP nu este perfectă. Utilizatorii de VPN pot fi localizați greșit. Utilizatorii mobili se pot deplasa între jurisdicții.
  • Sarcina de întreținere. Trebuie să urmăriți evoluțiile de reglementare din fiecare jurisdicție pe care o deserviți și să vă actualizați fluxurile de consimțământ în consecință.
  • Complexitatea testării. Trebuie să verificați că fiecare variantă regională funcționează corect — bannere diferite, stări implicite diferite, comportamente diferite de blocare a scripturilor.
  • GDPR se aplică extrateritorial. Dacă vizați utilizatori din UE (articolul 3 alineatul (2)), GDPR se aplică indiferent de locul în care se află întreprinderea dumneavoastră. „Vizarea" include oferirea de bunuri sau servicii rezidenților UE ori monitorizarea comportamentului acestora.

Bună practică: implicit spre opt-in

Dacă gestionarea mai multor modele de consimțământ pare copleșitoare, există o cale mai simplă: aplicarea implicită a modelului opt-in la nivel global.

Iată de ce funcționează acest lucru:

  1. Conformitate pretutindeni. Modelul opt-in satisface cele mai stricte cerințe. Dacă respectați cerințele de consimțământ ale GDPR, depășiți automat cerințele CCPA, LGPD și ale majorității celorlalte cadre.
  2. Simplitate. Un singur mecanism de consimțământ, o singură implementare, un singur set de teste. Fără geodetectare, fără variante regionale, fără cazuri limită.
  3. Rezistență în timp. Tendința globală este spre cerințe de consimțământ mai stricte. Reformele propuse în SUA, Canada, Australia și India se îndreaptă toate spre un consimțământ mai explicit. Construind acum pentru opt-in, nu va trebui să faceți adaptări ulterioare.
  4. Încrederea utilizatorilor. Utilizatorii din întreaga lume reacționează pozitiv la practici de consimțământ transparente și respectuoase. Oferirea unei alegeri reale — chiar și acolo unde legea nu o impune strict — construiește încredere și credibilitate a mărcii.
  5. Calitatea datelor. Datele obținute cu consimțământ sunt mai curate, mai ușor de justificat și mai valoroase decât cele colectate într-o ambiguitate juridică.

Compromisul este real: veți colecta mai puține date la nivel global. Însă datele pe care le colectați vor fi corecte din punct de vedere legal, curate din punct de vedere etic și tot mai valoroase pe măsură ce datele de la terți devin mai puțin accesibile.

Evoluții emergente

Peisajul consimțământului nu este static. Merită urmărite mai multe evoluții:

  • Regulamentul ePrivacy. UE lucrează la un înlocuitor al Directivei ePrivacy din 2017. Când va fi adoptat, va deveni un regulament direct aplicabil (precum GDPR), nu o directivă care necesită transpunere națională. Se preconizează că regulile privind consimțământul pentru cookie-uri vor rămâne similare sau mai stricte decât cadrul actual.
  • Global Privacy Control (GPC). Acest semnal la nivel de browser comunică automat preferințele de confidențialitate ale unui utilizator. Legislația din California impune deja respectarea GPC. La fel procedează și Colorado și Connecticut. Acesta ar putea deveni un mecanism standard de comunicare a preferințelor de opt-out.
  • Modele „consimțământ sau plată". Opinia EDPB din 2024 privind „consimțământul sau plata" (în special în contextul abordării Meta) modelează felul în care autoritățile de reglementare percep relația dintre consimțământ și accesul la servicii.
  • Consimțământul la nivel de browser. Unele propuneri ar muta gestionarea consimțământului de la site-urile individuale la browserul în sine, utilizatorii setându-și preferințele o singură dată, nu pe fiecare site. Acest lucru ar schimba fundamental modul de funcționare a consimțământului în practică.

Passiro vă ajută să implementați modelul de consimțământ potrivit pentru publicul dumneavoastră, cu detectarea și categorisirea automată a tuturor cookie-urilor de pe site — indiferent dacă alegeți opt-in, opt-out sau o abordare direcționată geografic.

Pentru secțiunea noastră finală, să analizăm bunele practici în materie de consimțământ — îndrumări practice și aplicabile pentru implementarea unui consimțământ care să fie deopotrivă conform și prietenos cu utilizatorul.

Site-ul tău respectă regulile privind cookie-urile?

Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.

Scanează-ți cookie-urile gratuit