Skip to main content

Legislația privind cookie-urile pe țări: un ghid pentru UE și SEE

Deși Directiva ePrivacy și GDPR oferă un cadru comun în întreaga Uniune Europeană, fiecare stat membru a transpus Directiva ePrivacy în legislația națională cu propriile particularități. Intensitatea aplicării, interpretarea excepțiilor și cuantumul amenzilor variază semnificativ de la o țară la alta. Acest ghid acoperă principalele specificități ale legislației privind cookie-urile pentru douăsprezece piețe europene majore.

Tabel de referință rapidă

Țara Autoritatea Legislația națională Nivelul de aplicare Elemente notabile
Germania Autoritățile de protecție a datelor la nivel de land + BfDI TTDSG (2021) Ridicat Aplicare descentralizată; cadru PIMS
Franța CNIL Loi Informatique et Libertés Foarte ridicat Amenzi record; ghiduri detaliate privind cookie-urile
Italia Garante Codul confidențialității (D.Lgs. 196/2003) Ridicat Ghiduri cuprinzătoare privind cookie-urile din 2021
Spania AEPD LSSI-CE + LOPDGDD Moderat Istoric de dezbateri privind excepția pentru analiză
Țările de Jos AP Telecommunicatiewet Ridicat Interdicție strictă a zidurilor de cookie-uri
Belgia APD/GBA Legea ePrivacy (2012) Moderat Decizia privind IAB Europe TCF
Austria DSB TKG 2021 Moderat-ridicat Primele decizii privind Google Analytics
Danemarca Datatilsynet Cookiebekendtgørelsen Moderat Aplicare tot mai intensă din 2022
Suedia IMY LEK (2003:389) Moderat-ridicat Amenzi majore în 2023-2024
Irlanda DPC SI 336/2011 Moderat Centru pentru Big Tech; criticată pentru ritmul de aplicare
Polonia UODO Legea telecomunicațiilor Moderat Activitate de aplicare în creștere
Norvegia Datatilsynet Ekomloven Moderat Membru SEE; urmează îndeaproape orientările EDPB

Germania

Autoritatea de aplicare: Comisarul federal pentru protecția datelor (BfDI) la nivel federal, plus 16 autorități de protecție a datelor la nivel de land (Landesdatenschutzbehörden).

Legislația națională: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), intrată în vigoare la 1 decembrie 2021, a consolidat regulile Germaniei privind cookie-urile. Articolul 25 din TTDSG transpune articolul 5 alineatul (3) din Directiva ePrivacy, impunând consimțământul pentru stocarea sau accesarea informațiilor pe dispozitivele utilizatorilor finali, cu excepția cazului în care stocarea este strict necesară.

Cerințe-cheie: TTDSG a clarificat faptul că consimțământul pentru cookie-uri trebuie să respecte standardul GDPR. Curtea Federală de Justiție a Germaniei (BGH) confirmase deja acest lucru în punerea în aplicare a deciziei Planet49 (mai 2020), stabilind că bifările prealabile ale casetelor sunt insuficiente. TTDSG a introdus, de asemenea, prevederi pentru sistemele recunoscute de gestionare a informațiilor personale (PIMS), care ar permite utilizatorilor să își gestioneze preferințele de consimțământ centralizat, în loc să facă acest lucru pe fiecare site — deși normele de aplicare pentru PIMS au întârziat să apară.

Aplicare: Structura descentralizată de aplicare a Germaniei înseamnă că aplicarea conformității cookie-urilor variază de la un land la altul. Autoritățile de protecție a datelor din Berlin, Hamburg și Baden-Württemberg s-au numărat printre cele mai active. Conferința Autorităților de Protecție a Datelor (DSK) emite periodic poziții comune privind cerințele de consimțământ pentru cookie-uri.

Acțiuni notabile: Numeroase investigații privind bannerele de cookie-uri care utilizau tipare întunecate, în special modele de „împingere” în care butonul de acceptare era vizual proeminent, în timp ce opțiunea de respingere era estompată. Amenzile au fost în general mai mici decât în Franța, dar activitatea de aplicare a crescut constant de la intrarea în vigoare a TTDSG.

Franța

Autoritatea de aplicare: Commission Nationale de l'Informatique et des Libertés (CNIL).

Legislația națională: Loi Informatique et Libertés (Legea nr. 78-17), modificată pentru a pune în aplicare Directiva ePrivacy. CNIL a emis ghiduri cuprinzătoare privind cookie-urile în septembrie 2020, cu o perioadă de grație pentru conformare care s-a încheiat la 31 martie 2021.

Cerințe-cheie: Franța este cea mai strictă piață majoră din UE în ceea ce privește conformitatea cookie-urilor. Ghidurile CNIL impun: consimțământ înainte de plasarea oricărui cookie neesențial; o opțiune de respingere pe primul strat al bannerului, la fel de ușor de utilizat ca opțiunea de acceptare; interzicerea zidurilor de cookie-uri (cu excepții limitate confirmate de Conseil d'État); informații detaliate despre fiecare scop al cookie-urilor.

Excepția pentru măsurarea audienței: CNIL prevede o excepție limitată pentru cookie-urile de măsurare a audienței care îndeplinesc condiții stricte: instrumentul trebuie configurat astfel încât să producă doar date statistice anonime, cookie-urile trebuie limitate la site-ul editorului, durata de viață a cookie-ului nu trebuie să depășească 13 luni, iar datele nu trebuie combinate cu alte prelucrări. Instrumente precum Matomo (cu o configurație specifică) și AT Internet au fost recunoscute în cadrul acestei excepții. Google Analytics nu se califică.

Amenzi notabile: Franța a impus cele mai mari amenzi legate de cookie-uri din Europa. Google LLC a fost amendată cu 150 de milioane de euro în decembrie 2021 pentru că a făcut respingerea cookie-urilor mai dificilă decât acceptarea. Facebook a fost amendată cu 60 de milioane de euro în aceeași acțiune. Microsoft a fost amendată cu 60 de milioane de euro în decembrie 2022. TikTok a fost amendată cu 5 milioane de euro în decembrie 2022. Criteo a fost amendată cu 40 de milioane de euro în iunie 2023. În total, CNIL a impus amenzi de peste 400 de milioane de euro specifice cookie-urilor.

Italia

Autoritatea de aplicare: Garante per la protezione dei dati personali (Garante).

Legislația națională: Codul confidențialității (Decreto Legislativo 196/2003), modificat pentru a se alinia la GDPR. Garante a emis ghiduri cuprinzătoare privind cookie-urile la 10 iunie 2021, cu conformitate obligatorie până la 10 ianuarie 2022.

Cerințe-cheie: Ghidurile Garante din 2021 se numără printre cele mai detaliate din Europa. Acestea impun: un banner de prim strat cu un buton de acceptare și un buton de respingere afișat proeminent (marcat cu un „X” sau „Continuă fără a accepta”); un al doilea strat accesibil din primul banner, cu controale granulare pe categorii de cookie-uri; derularea paginii nu constituie explicit consimțământ; consimțământul pentru cookie-uri trebuie solicitat din nou după maximum 6 luni.

Element notabil: Garante a introdus conceptul de a impune un buton specific de „închidere” pe bannerele de cookie-uri, în loc să permită ca navigarea continuă să servească drept respingere. Ghidurile au abordat, de asemenea, problema analizei cookie-urilor, impunând consimțământ pentru toate instrumentele de analiză de la terți și permițând o excepție limitată doar pentru instrumentele de analiză de la prima parte, cu date corect anonimizate.

Spania

Autoritatea de aplicare: Agencia Española de Protección de Datos (AEPD).

Legislația națională: Ley de Servicios de la Sociedad de la Información (LSSI-CE) și Ley Orgánica de Protección de Datos (LOPDGDD).

Cerințe-cheie: Spania a adoptat inițial o abordare mai indulgentă în ceea ce privește conformitatea cookie-urilor, ghidul AEPD din 2013 sugerând că anumite cookie-uri de analiză ar putea fi utilizate în temeiul unui interes legitim. Totuși, AEPD s-a aliniat progresiv la consensul european mai strict, în urma orientărilor EDPB și a deciziei Planet49. Orientările actuale ale AEPD impun consimțământ prealabil pentru cookie-urile de analiză și marketing.

Acțiuni notabile: AEPD a amendat Vueling Airlines cu 30.000 de euro în 2020 pentru un banner de cookie-uri care oferea doar o opțiune de acceptare, fără posibilitatea de a respinge cookie-urile. CaixaBank a fost amendată cu 6 milioane de euro în 2021, parțial în legătură cu practici de prelucrare a datelor asociate urmăririi bazate pe cookie-uri. Mai recent, AEPD s-a concentrat pe zidurile de cookie-uri și pe tiparele întunecate din interfețele de consimțământ.

Țările de Jos

Autoritatea de aplicare: Autoriteit Persoonsgegevens (AP).

Legislația națională: Telecommunicatiewet (Legea telecomunicațiilor), articolul 11.7a.

Cerințe-cheie: Țările de Jos au adoptat una dintre cele mai stricte poziții privind zidurile de cookie-uri din Europa. AP a afirmat clar că a condiționa accesul la un site de acceptarea cookie-urilor nu reprezintă un consimțământ valabil, deoarece consimțământul nu este „acordat în mod liber” dacă alternativa este pierderea accesului la serviciu. AP impune, de asemenea, consimțământ explicit înainte de plasarea oricăror cookie-uri de urmărire și a criticat platformele de gestionare a consimțământului care utilizează design manipulator.

Acțiuni notabile: AP a investigat numeroase site-uri pentru neconformitate în privința cookie-urilor și a emis orientări care vizează în mod specific tiparele întunecate din bannerele de cookie-uri. Autoritatea a participat, de asemenea, la verificări coordonate ale site-urilor guvernamentale în privința conformității cookie-urilor. În 2024, AP și-a intensificat activitatea de aplicare împotriva organizațiilor mai mici, semnalând că cerințele de conformitate a cookie-urilor se aplică indiferent de dimensiunea companiei.

Belgia

Autoritatea de aplicare: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Legislația națională: Legea din 13 iunie 2005 privind comunicațiile electronice, modificată prin Legea din 10 iulie 2012.

Cerințe-cheie: Belgia respectă cerințele standard ale Directivei ePrivacy. Autoritatea belgiană de protecție a datelor a devenit relevantă la nivel global în reglementarea cookie-urilor atunci când s-a pronunțat asupra Cadrului de transparență și consimțământ (TCF) al IAB Europe în februarie 2022, constatând că șirul de consimțământ al TCF constituia date cu caracter personal și că IAB Europe era operator asociat. Această decizie, confirmată parțial de CJUE în martie 2024, are implicații pentru fiecare site care utilizează TCF pentru gestionarea consimțământului privind cookie-urile.

Element notabil: Decizia privind IAB TCF a produs unde de șoc în industria publicității online, deoarece TCF este cel mai utilizat cadru de consimțământ pentru publicitatea programatică din Europa. Deși IAB Europe a implementat modificări pentru a răspunde preocupărilor autorității de protecție a datelor, cazul a evidențiat riscurile de a te baza pe cadre de consimțământ concepute de industrie, care ar putea să nu îndeplinească pe deplin cerințele GDPR.

Austria

Autoritatea de aplicare: Datenschutzbehörde (DSB).

Legislația națională: Telekommunikationsgesetz 2021 (TKG 2021), articolul 165.

Cerințe-cheie: Regulile Austriei privind cookie-urile urmează cadrul standard al Directivei ePrivacy. DSB din Austria a atras atenția internațională în ianuarie 2022, când a devenit prima autoritate europeană de protecție a datelor care a decis că utilizarea Google Analytics încălca GDPR, în special în ceea ce privește transferurile de date cu caracter personal către Statele Unite în urma deciziei Schrems II. Deși aceasta era în principal o problemă de transfer de date, a avut implicații directe pentru conformitatea cookie-urilor, deoarece cookie-urile Google Analytics au fost considerate date cu caracter personal transferate către o țară terță fără garanții adecvate.

Element notabil: Decizia privind Google Analytics a declanșat o cascadă de decizii similare în întreaga Europă (Franța, Italia și altele au urmat exemplul) și a accelerat dezvoltarea alternativelor de analiză care protejează confidențialitatea. DSB a continuat să fie activă pe teme legate de cookie-uri și tehnologii de urmărire.

Danemarca

Autoritatea de aplicare: Datatilsynet.

Legislația națională: Cookiebekendtgørelsen (Ordinul executiv privind informarea și consimțământul necesare pentru stocarea sau accesarea informațiilor în echipamentele terminale ale utilizatorilor finali), care pune în aplicare prevederile Directivei ePrivacy.

Cerințe-cheie: Danemarca impune consimțământ pentru toate cookie-urile, cu excepția celor strict necesare pentru un serviciu solicitat explicit de utilizator. Datatilsynet a emis orientări care confirmă că cookie-urile de analiză necesită consimțământ și că navigarea continuă nu constituie consimțământ valabil. Orientările daneze s-au aliniat tot mai mult la pozițiile mai stricte adoptate de CNIL și EDPB.

Acțiuni notabile: Datatilsynet și-a intensificat activitatea de aplicare privind cookie-urile din 2022, investigând site-uri atât din sectorul public, cât și din cel privat. În 2023, autoritatea a emis decizii împotriva mai multor site-uri daneze pentru mecanisme inadecvate de consimțământ privind cookie-urile, inclusiv cazuri în care opțiunea de respingere nu era suficient de vizibilă. Datatilsynet a abordat, de asemenea, utilizarea Google Analytics și a pixelilor de urmărire Meta pe site-urile daneze, dispunând mai multor organizații să înceteze utilizarea acestor instrumente fără consimțământ adecvat și fără garanții privind transferul de date.

Suedia

Autoritatea de aplicare: Integritetsskyddsmyndigheten (IMY).

Legislația națională: Lag om elektronisk kommunikation (LEK, 2003:389).

Cerințe-cheie: Suedia a trecut de la o aplicare relativ redusă a regulilor privind cookie-urile la acțiuni semnificative în ultimii ani. IMY a emis primele amenzi majore legate de cookie-uri în 2023, vizând patru companii (inclusiv Tele2, CDON, Dagens Industri și Coop) pentru un total combinat de peste 100 de milioane SEK (aproximativ 9 milioane de euro) pentru utilizarea Google Analytics și partajarea datelor cu caracter personal cu Google fără consimțământ valabil sau garanții adecvate privind transferul de date.

Element notabil: Acțiunile de aplicare din 2023 au semnalat o schimbare majoră în abordarea Suediei. IMY s-a coordonat cu alte autorități nordice de protecție a datelor și a urmat precedentele stabilite de DSB din Austria și CNIL din Franța în privința Google Analytics. Amenzile s-au numărat printre cele mai mari impuse de vreo autoritate nordică de protecție a datelor și au stabilit că aplicarea în Suedia se situează acum la nivelul celor mai stricte autorități europene.

Irlanda

Autoritatea de aplicare: Data Protection Commission (DPC).

Legislația națională: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Cerințe-cheie: Irlanda respectă cadrul standard al Directivei ePrivacy. Totuși, rolul DPC ca autoritate de supraveghere principală pentru numeroase companii tehnologice majore cu sediul în Irlanda (inclusiv Meta, Google, Apple, Microsoft și TikTok) i-a conferit o importanță disproporționată în protecția datelor la nivel european. DPC a emis orientări privind conformitatea cookie-urilor și a efectuat audituri ale site-urilor atât din sectorul public, cât și din cel privat.

Element notabil: DPC a fost criticată de alte autorități europene de protecție a datelor și de Parlamentul European pentru ritmul perceput ca lent al aplicării împotriva Big Tech. Cu toate acestea, DPC a impus amenzi GDPR semnificative, inclusiv o amendă de 1,2 miliarde de euro împotriva Meta în 2023 pentru transferuri de date. În ceea ce privește cookie-urile în mod specific, DPC a efectuat verificări ale site-urilor în 2020 și 2021, emițând recomandări de conformitate pentru numeroase organizații. Amenzile specifice cookie-urilor emise de DPC au fost relativ modeste în comparație cu cele ale CNIL.

Polonia

Autoritatea de aplicare: Urząd Ochrony Danych Osobowych (UODO).

Legislația națională: Legea telecomunicațiilor (Prawo telekomunikacyjne), articolul 173.

Cerințe-cheie: Polonia impune consimțământ pentru cookie-uri în conformitate cu Directiva ePrivacy. UODO a emis orientări care confirmă că bifările prealabile și navigarea continuă nu constituie consimțământ valabil. Legislația poloneză include prevederi specifice privind informațiile care trebuie furnizate utilizatorilor despre cookie-uri, inclusiv scopurile, identitatea operatorului și instrucțiunile pentru gestionarea setărilor cookie-urilor.

Element notabil: Activitatea de aplicare a Poloniei în privința cookie-urilor a crescut, UODO investigând plângeri privind bannere de cookie-uri neconforme și colaborând cu autoritatea de reglementare a telecomunicațiilor. UODO a participat la verificări coordonate de aplicare la nivelul UE și și-a aliniat orientările la recomandările EDPB.

Norvegia

Autoritatea de aplicare: Datatilsynet (Autoritatea norvegiană de protecție a datelor — distinctă de autoritatea daneză cu același nume).

Legislația națională: Ekomloven (Legea comunicațiilor electronice).

Cerințe-cheie: Deși Norvegia nu este stat membru al UE, este membru al Spațiului Economic European (SEE) și a încorporat GDPR și Directiva ePrivacy în legislația națională prin Acordul SEE. Datatilsynet din Norvegia urmează îndeaproape orientările EDPB și a fost activă în aplicarea regulilor privind cookie-urile.

Acțiuni notabile: Datatilsynet din Norvegia a impus o amendă de 5 milioane de euro companiei Grindr în decembrie 2021 (redusă ulterior la 6,5 milioane de euro în urma unui recurs) pentru partajarea datelor utilizatorilor cu parteneri de publicitate fără consimțământ valabil. Deși a fost în principal un caz de consimțământ legat de partajarea datelor, mai degrabă decât de cookie-uri în mod specific, a stabilit precedente importante pentru cerințele de consimțământ în tehnologiile de urmărire. Autoritatea a investigat, de asemenea, utilizarea Google Analytics și a altor instrumente de urmărire pe site-urile norvegiene.

Concluzii-cheie

În ciuda variațiilor în implementarea și aplicarea la nivel național, mai multe principii sunt constante în toate țările din UE și SEE:

  • Consimțământul este obligatoriu înainte de plasarea oricărui cookie neesențial. Nicio țară europeană nu acceptă un model pur de renunțare (opt-out) pentru cookie-uri.
  • Consimțământul trebuie să respecte standardul GDPR: acordat în mod liber, specific, informat, lipsit de ambiguitate și demonstrat printr-o acțiune afirmativă clară.
  • Respingerea trebuie să fie la fel de ușoară ca acceptarea. Deși implementarea specifică poate varia (buton separat, X pentru închidere etc.), principiul conform căruia refuzul cookie-urilor nu trebuie să fie mai dificil decât acceptarea acestora este universal.
  • Aplicarea se intensifică peste tot. Țările care erau anterior indulgente impun acum amenzi și decizii formale. Nu există o jurisdicție europeană „sigură” pentru neconformitate.
  • Aplicarea coordonată este în creștere. Autoritățile de protecție a datelor cooperează tot mai mult prin EDPB și efectuează verificări coordonate, ceea ce înseamnă că neconformitatea într-o țară va atrage probabil atenția și în altele.

Site-ul tău respectă regulile privind cookie-urile?

Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.

Scanează-ți cookie-urile gratuit