Când este necesar consimțământul pentru cookie-uri?
Regula generală este simplă: consimțământul este necesar pentru toate cookie-urile, cu excepția celor strict necesare. Însă detaliile contează. Cunoașterea exactă a situațiilor în care consimțământul este sau nu necesar previne atât supraconformarea (deranjarea utilizatorilor cu solicitări de consimțământ inutile), cât și subconformarea (plasarea de cookie-uri fără temei legal).
Regula generală
Articolul 5(3) din Directiva ePrivacy stabilește principiul de bază:
Statele membre se asigură că stocarea de informații sau obținerea accesului la informații deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă numai cu condiția ca abonatul sau utilizatorul în cauză să își fi dat consimțământul, după ce i s-au furnizat informații clare și complete [...] cu privire la scopurile prelucrării.
Acest lucru acoperă toate cookie-urile, tot stocarea locală, toate stocările sau accesările la nivel de dispozitiv. Dacă site-ul dumneavoastră scrie ceva pe dispozitivul utilizatorului, consimțământul este cerința implicită.
Excepția pentru cookie-urile strict necesare
Același articol prevede singura excepție:
Aceasta nu împiedică nicio stocare sau acces tehnic al cărui scop unic este realizarea transmisiei unei comunicări printr-o rețea de comunicații electronice sau care este strict necesar pentru ca furnizorul unui serviciu al societății informaționale solicitat în mod explicit de abonat sau utilizator să poată furniza serviciul respectiv.
Această excepție are două componente:
- Transmiterea tehnică: Cookie-uri care sunt necesare din punct de vedere tehnic pentru realizarea comunicării. Aceasta este o categorie restrânsă — practic limitată la cookie-urile de echilibrare a încărcării (load balancing) și la necesități similare la nivel de rețea.
- Strict necesare pentru serviciu: Cookie-uri care sunt esențiale pentru un serviciu solicitat în mod explicit de utilizator. Sintagma-cheie este „solicitat în mod explicit de abonat sau utilizator”. Serviciul trebuie să fie ceva cerut de utilizator, iar cookie-ul trebuie să fie indispensabil pentru furnizarea acestuia.
Cookie-uri care sunt strict necesare (fără consimțământ)
- Cookie-uri de autentificare a sesiunii. Când un utilizator se autentifică, cookie-ul de sesiune care menține starea autentificată este strict necesar pentru serviciul solicitat (accesarea contului).
- Cookie-uri pentru coșul de cumpărături. Pe un site de e-commerce, cookie-ul care ține evidența produselor din coș este strict necesar pentru serviciul de cumpărături pe care îl folosește utilizatorul.
- Token-uri de protecție CSRF. Acestea sunt strict necesare pentru funcționarea sigură a trimiterii formularelor.
- Cookie-uri pentru preferințele de consimțământ. Cookie-ul care stochează opțiunile de consimțământ ale utilizatorului este strict necesar — fără el, nu puteți respecta preferințele de confidențialitate ale acestuia.
- Cookie-uri legate de introducerea datelor. Cookie-uri care rețin datele introduse într-un formular pe parcursul unui proces în mai mulți pași (cum ar fi un formular de finalizare a comenzii), inițiat de utilizator.
- Cookie-uri de echilibrare a încărcării. Cookie-uri tehnice care direcționează cererile către serverul corect. Acestea se încadrează în componenta de „transmitere” a excepției.
- Cookie-uri de personalizare a interfeței. Când un utilizator selectează în mod explicit o limbă sau o temă printr-un control de pe pagină, cookie-ul care stochează această alegere este strict necesar pentru serviciul solicitat. Totuși, acest lucru depinde de context — vezi mai jos.
Cookie-uri care NU sunt strict necesare (consimțământ necesar)
- Cookie-uri de analiză. Măsurarea traficului site-ului aduce beneficii operatorului site-ului, nu utilizatorului. Utilizatorul nu a solicitat un serviciu de analiză a traficului.
- Cookie-uri de publicitate și retargeting. Acestea servesc intereselor agenților de publicitate și ale operatorului site-ului, niciodată utilizatorului.
- Cookie-uri de partajare pe rețelele sociale. Acestea sunt setate de rețele sociale terțe, nu pentru un serviciu solicitat de utilizator.
- Cookie-uri pentru teste A/B. Acestea servesc obiectivelor de optimizare ale operatorului.
- Cookie-uri de urmărire a afiliaților. Acestea urmăresc partenerul care a recomandat utilizatorul, servind intereselor comerciale ale operatorului.
- Cookie-uri de autentificare persistentă („ține-mă minte”). EDPB a subliniat că, deși un cookie de sesiune pentru o autentificare curentă este necesar, un cookie persistent care menține utilizatorul autentificat între sesiuni depășește ceea ce este strict necesar. Utilizatorul se poate autentifica din nou.
- Cookie-uri de monitorizare a performanței. Cookie-urile utilizate pentru a monitoriza timpii de încărcare a paginilor, ratele de eroare și indicatorii tehnici similari servesc operatorului, nu utilizatorului.
Dezbaterea privind analiza de tip first-party
Unul dintre cele mai disputate aspecte în conformitatea cu privire la cookie-uri este dacă cookie-urile de analiză de tip first-party pot fi utilizate fără consimțământ. Răspunsul variază în funcție de jurisdicție și este în continuă evoluție.
Poziția CNIL (Franța)
CNIL din Franța a emis orientări specifice care precizează că anumite cookie-uri de măsurare a audienței pot fi exceptate de la consimțământ, cu condiția ca:
- Scopul să fie strict limitat la măsurarea audienței (fără urmărire între site-uri)
- Datele să nu fie partajate cu terți
- Cookie-urile să fie exclusiv de tip first-party
- Datele să fie utilizate doar pentru a produce statistici anonime
- Cookie-urile să aibă o durată de viață limitată (maximum 13 luni)
- Utilizatorii să fie informați cu privire la utilizarea lor
- Utilizatorii să poată renunța
În aceste condiții, CNIL consideră că anumite instrumente (cum ar fi Matomo configurat într-un mod care respectă confidențialitatea) sunt eligibile pentru excepție. Google Analytics nu se califică, în principal deoarece Google prelucrează datele pe propria infrastructură și le poate utiliza în scopuri proprii.
Poziția AP olandeză (Țările de Jos)
Autoriteit Persoonsgegevens din Țările de Jos a indicat în mod similar că cookie-urile de analiză cu impact minim asupra confidențialității pot fi utilizate fără consimțământ, dar a stabilit condiții comparabile cu cele ale CNIL.
Alte jurisdicții
Majoritatea celorlalte autorități europene de protecție a datelor nu au adoptat o excepție explicită pentru analiză. ICO (Regatul Unit) a declarat că cookie-urile de analiză necesită consimțământ. Autoritățile germane de protecție a datelor solicită, în general, consimțământul pentru toate cookie-urile neesențiale. Poziția AEPD din Spania este aliniată cu cerința de consimțământ.
Recomandare practică
Dacă nu operați exclusiv în Franța sau în Țările de Jos și nu puteți îndeplini toate condițiile CNIL/AP, cea mai sigură abordare este să tratați cookie-urile de analiză ca necesitând consimțământ. Dacă vă bazați totuși pe excepția pentru analiză, documentați-vă raționamentul, asigurați-vă că îndepliniți fiecare condiție și monitorizați evoluțiile de reglementare — acest domeniu este încă în evoluție.
Excepții de consimțământ în funcție de scopul cookie-ului: o schemă de decizie
Pentru fiecare cookie de pe site-ul dumneavoastră, parcurgeți aceste întrebări:
- Este cookie-ul necesar din punct de vedere tehnic pentru transmiterea comunicării? (de exemplu, echilibrarea încărcării) Dacă da: nu este necesar consimțământul. Dacă nu: continuați.
- A solicitat utilizatorul în mod explicit un serviciu care necesită acest cookie? (de exemplu, autentificarea, adăugarea de produse în coș) Dacă da: continuați. Dacă nu: consimțământul este necesar.
- Serviciul solicitat ar înceta să funcționeze fără acest cookie specific? Dacă da: nu este necesar consimțământul (strict necesar). Dacă serviciul ar funcționa, dar ar fi mai puțin comod: consimțământul este necesar.
- Cookie-ul este de tip first-party, limitat la analize agregate, cu date care nu sunt partajate cu terți, iar dumneavoastră vă aflați într-o jurisdicție cu o excepție pentru analiză? Dacă da la toate: potențial exceptat, dar documentați-vă raționamentul. Dacă nu la oricare: consimțământul este necesar.
- În toate celelalte cazuri: consimțământul este necesar.
Situații speciale
Ziduri de cookie-uri (cookie walls)
Un zid de cookie-uri blochează accesul la un site dacă utilizatorul nu acceptă cookie-urile. Poziția EDPB este că zidurile de cookie-uri împiedică, în general, ca acordarea consimțământului să fie „liberă” și, prin urmare, nu sunt conforme. Cu toate acestea, unele autorități de protecție a datelor (în special AP olandeză, în urma unei hotărâri judecătorești) au indicat că zidurile de cookie-uri pot fi acceptabile dacă se oferă o alternativă autentică și echivalentă — cum ar fi o versiune plătită, fără cookie-uri, a serviciului. Acesta rămâne un domeniu disputat.
Paywall vs. zid de cookie-uri
Unii editori oferă un model „consimțământ sau plată”: acceptarea cookie-urilor de urmărire pentru acces gratuit sau plata pentru o experiență fără cookie-uri. EDPB a emis o opinie în 2024 care abordează această practică, recunoscând că ar putea fi permisă în anumite condiții, dar exprimându-și îngrijorarea că alternativa „plătită” trebuie să fie cu adevărat rezonabilă și să nu fie stabilită la un preț conceput pentru a forța consimțământul.
Copii
Conform articolului 8 din GDPR, consimțământul pentru serviciile societății informaționale destinate copiilor necesită verificare și, pentru copiii sub o anumită vârstă (variind între 13 și 16 ani în funcție de statul membru), consimțământul părinților. Dacă site-ul dumneavoastră se adresează copiilor, cerințele privind consimțământul pentru cookie-uri sunt mai stricte.
Contexte de angajați și B2B
Directiva ePrivacy se aplică „abonatului sau utilizatorului” — nu doar consumatorilor. Dacă platforma dumneavoastră B2B SaaS utilizează cookie-uri neesențiale, consimțământul este în continuare necesar din partea utilizatorului individual, chiar și într-un context de afaceri.
Ce se întâmplă fără consimțământ valabil
Dacă plasați cookie-uri neesențiale fără consimțământ valabil:
- Datele pe care le colectați pot fi ilegale atât conform Directivei ePrivacy, cât și conform GDPR.
- Vă expuneți unor posibile amenzi conform GDPR de până la 20 de milioane EUR sau 4% din cifra de afaceri anuală globală, oricare este mai mare (articolul 83(5)).
- Vi se poate ordona ștergerea datelor colectate ilegal.
- Datele dumneavoastră de analiză și publicitate pot fi compromise — dacă temeiul legal al colectării este invalid, datele nu pot fi utilizate în mod legal.
- Destinatarii ulteriori ai acestor date (rețele de publicitate, furnizori de analiză) se pot expune și ei răspunderii.
Acestea nu sunt riscuri ipotetice. CNIL a amendat Google cu 150 de milioane EUR și Facebook cu 60 de milioane EUR tocmai pentru încălcări ale consimțământului pentru cookie-uri. Întreprinderi mai mici s-au confruntat cu amenzi de zeci de mii de euro pentru nereguli similare.
Passiro identifică fiecare cookie de pe site-ul dumneavoastră și le semnalează pe cele care necesită consimțământ, astfel încât să aveți certitudinea că mecanismul de consimțământ acoperă cookie-urile potrivite — nici mai mult, nici mai puțin.
În continuare, să comparăm cele două modele fundamentale de consimțământ: opt-in versus opt-out și unde se aplică fiecare.
Site-ul tău respectă regulile privind cookie-urile?
Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.
Scanează-ți cookie-urile gratuit