Resurse și glosar privind conformitatea cu reglementările privind cookie-urile
Conformitatea în materie de cookie-uri presupune un vocabular specializat, provenit din reglementarea UE, legislația privind protecția datelor și tehnologia web. Acest glosar definește termenii-cheie pe care îi veți întâlni, urmat de o colecție selectată de resurse oficiale și referințe autoritare pentru aprofundare.
Glosar de termeni-cheie
A–C
CMP (Platformă de gestionare a consimțământului): Un instrument software sau serviciu care gestionează colectarea, stocarea și aplicarea consimțământului utilizatorilor pentru cookie-uri și alte tehnologii de urmărire. O platformă CMP oferă de obicei interfața bannerului de cookie-uri, stochează evidențele de consimțământ și controlează ce scripturi au voie să se execute în funcție de alegerile utilizatorului. Printre exemple se numără Cookiebot, OneTrust, Usercentrics și soluții open-source precum Klaro.
CNIL (Commission Nationale de l'Informatique et des Libertés): Autoritatea franceză pentru protecția datelor. CNIL a fost cel mai activ organism de reglementare european în ceea ce privește aplicarea legislației referitoare la cookie-uri, aplicând cele mai mari amenzi legate de cookie-uri și publicând cele mai detaliate orientări privind conformitatea în acest domeniu. Interpretările și acțiunile sale de aplicare a legii stabilesc frecvent standardul urmat de celelalte autorități de protecție a datelor.
Consimțământ: În contextul GDPR, o manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate, exprimată printr-o acțiune afirmativă clară. În cazul cookie-urilor, aceasta înseamnă că utilizatorul trebuie să aleagă în mod activ să permită cookie-urile neesențiale printr-o acțiune deliberată, cum ar fi apăsarea unui buton „Accept”. Tăcerea, casetele bifate în prealabil, inactivitatea și continuarea navigării nu constituie un consimțământ valid.
Cookie: Un mic fișier text plasat pe dispozitivul unui utilizator de către un site web. Cookie-urile sunt folosite într-o gamă largă de scopuri, de la menținerea sesiunilor de autentificare (strict necesare) până la urmărirea comportamentului de navigare pe întreg internetul (publicitate). Din punct de vedere tehnic, un cookie este o pereche nume-valoare cu metadate asociate, inclusiv domeniu, cale, expirare și indicatori de securitate.
Banner de cookie-uri: Elementul de interfață (de obicei o bară, o fereastră modală sau un pop-up) care apare la prima vizită a unui utilizator pe un site web, informându-l cu privire la utilizarea cookie-urilor de către site și solicitându-i consimțământul. Un banner de cookie-uri conform oferă informații clare, propune alegeri reale (acceptare, respingere, personalizare) și nu setează cookie-uri neesențiale până când utilizatorul nu răspunde.
Politica privind cookie-urile: Un document (de obicei o pagină web dedicată sau o secțiune a politicii de confidențialitate) care oferă informații detaliate despre toate cookie-urile utilizate pe un site web, inclusiv denumirile, scopurile, tipurile, durata acestora și furnizorii terți care le setează. Politica privind cookie-urile îndeplinește obligațiile de transparență prevăzute de GDPR și cerința Directivei ePrivacy privind „informații clare și complete”.
Zid de cookie-uri (cookie wall): Un mecanism care blochează accesul la conținutul unui site web dacă utilizatorul nu își dă consimțământul pentru toate cookie-urile. Zidurile de cookie-uri sunt controversate, iar legalitatea lor variază în funcție de jurisdicție. EDPB a afirmat că zidurile de cookie-uri subminează cerința ca consimțământul valid să fie „liber exprimat”, deoarece utilizatorul se confruntă cu o alegere de tipul „ia sau lasă”. Unele autorități naționale de protecție a datelor (în special Conseil d'Etat din Franța) au permis zidurile de cookie-uri în condiții limitate, atunci când utilizatorul dispune de un mijloc alternativ real de accesare a conținutului.
D–E
Model întunecat (dark pattern): O opțiune de design al interfeței care manipulează utilizatorii să ia decizii pe care altfel nu le-ar lua. În contextul cookie-urilor, modelele întunecate includ: evidențierea vizuală a butonului „Accept” în timp ce opțiunea „Respinge” este ascunsă, folosirea unui limbaj confuz, solicitarea mai multor clicuri pentru respingere decât pentru acceptare și recurgerea la tactici de „culpabilizare” a utilizatorului. EDPB a publicat orientări specifice privind modelele întunecate din interfețele de protecție a datelor în februarie 2023.
Operator de date: Entitatea care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Pentru cookie-urile setate de un site web, operatorul site-ului este de obicei operatorul de date. Pentru cookie-urile terților, poate exista o operare asociată între operatorul site-ului și terț, în funcție de gradul în care fiecare parte influențează scopurile și mijloacele colectării datelor.
Persoană împuternicită de operator: O entitate care prelucrează date cu caracter personal în numele unui operator de date, urmând instrucțiunile acestuia. Un furnizor de găzduire sau un furnizor de CMP care acționează exclusiv pe baza instrucțiunilor operatorului site-ului ar fi o persoană împuternicită de operator. Distincția contează, deoarece operatorii poartă responsabilitatea principală pentru conformitate, în timp ce persoanele împuternicite trebuie să respecte instrucțiunile operatorului și clauzele unui acord de prelucrare a datelor.
Persoană vizată: O persoană fizică ale cărei date cu caracter personal sunt prelucrate. În contextul cookie-urilor, persoanele vizate sunt vizitatorii site-ului ale căror date sunt colectate prin intermediul cookie-urilor. Persoanele vizate au drepturi în temeiul GDPR, inclusiv dreptul de acces, de rectificare, de ștergere, de restricționare a prelucrării, de portabilitate a datelor și dreptul de a se opune.
DPA (Autoritate pentru protecția datelor): Autoritatea publică independentă responsabilă cu monitorizarea și aplicarea legislației privind protecția datelor în fiecare stat membru al UE. Autoritățile de protecție a datelor au competența de a investiga plângeri, de a efectua audituri, de a emite orientări și de a aplica amenzi. Fiecare stat membru are cel puțin o autoritate de protecție a datelor (Germania are mai multe, câte una pentru fiecare land, plus BfDI la nivel federal). Exemple: CNIL (Franța), Garante (Italia), ICO (Regatul Unit), Datatilsynet (Danemarca/Norvegia).
DPO (Responsabil cu protecția datelor): O persoană desemnată de un operator sau de o persoană împuternicită de operator pentru a supraveghea conformitatea cu GDPR. GDPR impune anumitor organizații să desemneze un DPO, inclusiv autorităților publice și organizațiilor ale căror activități principale implică monitorizarea la scară largă a persoanelor vizate. Deși nu are legătură directă cu cookie-urile, DPO supraveghează de obicei programul de conformitate al organizației în materie de cookie-uri.
EDPB (Comitetul European pentru Protecția Datelor): Organismul independent al UE care asigură aplicarea consecventă a GDPR și promovează cooperarea între autoritățile naționale de protecție a datelor. EDPB (care a înlocuit Grupul de lucru „Articolul 29”) emite orientări, recomandări și decizii obligatorii. Orientările sale privind consimțământul (Orientările 05/2020) și cele privind modelele întunecate sunt referințe esențiale pentru conformitatea în materie de cookie-uri.
Directiva ePrivacy (Directiva 2002/58/CE): Directiva UE care reglementează confidențialitatea în comunicațiile electronice, inclusiv utilizarea cookie-urilor. Articolul 5 alineatul (3) constituie baza juridică principală a cerinței de consimțământ pentru cookie-uri. Fiind o directivă, aceasta trebuie transpusă în legislația națională de către fiecare stat membru, ceea ce duce la variații în implementare. Directiva urmează să fie înlocuită de Regulamentul ePrivacy, aflat încă în negociere.
F–G
Cookie de la prima parte (first-party): Un cookie setat de domeniul pe care îl vizitează utilizatorul. De exemplu, dacă un utilizator vizitează example.com și example.com setează un cookie, acesta este un cookie de la prima parte. Cookie-urile de la prima parte sunt de obicei folosite pentru funcții esențiale (sesiuni, preferințe) și pentru analiză proprie. Ele sunt considerate în general mai puțin intruzive decât cookie-urile terților, deoarece nu pot urmări utilizatorii pe diferite site-uri web.
GDPR (Regulamentul general privind protecția datelor): Regulamentul (UE) 2016/679, legislația cuprinzătoare a UE privind protecția datelor, în vigoare de la 25 mai 2018. GDPR oferă cadrul juridic pentru ceea ce constituie un consimțământ valid (aplicat cookie-urilor prin trimiterea din Directiva ePrivacy), pentru drepturile persoanelor vizate, obligațiile operatorilor și ale persoanelor împuternicite de operator, precum și pentru regimul de aplicare, care include amenzi de până la 4% din cifra de afaceri anuală globală sau 20 de milioane de euro.
GPC (Global Privacy Control): Un semnal la nivel de browser care comunică preferința unui utilizator de a se opune vânzării sau partajării informațiilor sale cu caracter personal. Spre deosebire de semnalul mai vechi Do Not Track (DNT), GPC beneficiază de recunoaștere juridică în temeiul CCPA/CPRA și al altor câteva legi privind confidențialitatea din statele americane. Când un utilizator activează GPC în browserul său, site-urile web care se supun acestor legi trebuie să îl trateze ca pe o cerere validă de renunțare. GPC este tot mai recunoscut și în Europa, deși nu este încă obligatoriu din punct de vedere legal în temeiul dreptului UE.
Google Consent Mode: O funcție a infrastructurii de etichete Google care ajustează comportamentul etichetelor Google (Analytics, Ads etc.) în funcție de starea consimțământului comunicată de platforma CMP a site-ului web. Consent Mode v2, obligatoriu pentru personalizarea reclamelor în SEE din martie 2024, introduce parametrii ad_user_data și ad_personalization alături de cei existenți, ad_storage și analytics_storage. Atunci când consimțământul este refuzat, etichetele Google își ajustează comportamentul pentru a evita setarea cookie-urilor, deși pot totuși trimite semnale limitate, fără cookie-uri, în funcție de configurare.
I–L
IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Un cadru dezvoltat de industrie pentru gestionarea consimțământului în ecosistemul publicității digitale. TCF oferă o modalitate standardizată prin care platformele CMP, agenții de publicitate și editorii pot comunica semnale de consimțământ de-a lungul lanțului de aprovizionare al tehnologiei publicitare. Versiunea 2.2 este standardul actual. TCF s-a confruntat cu provocări juridice, în special hotărârea din 2022 a autorității belgiene de protecție a datelor, potrivit căreia prelucrarea șirului TC de către IAB Europe a constituit o prelucrare de date cu caracter personal. Cadrul rămâne utilizat pe scară largă, dar statutul său juridic continuă să evolueze.
Interes legitim: Una dintre cele șase baze legale pentru prelucrarea datelor cu caracter personal în temeiul articolului 6 alineatul (1) litera (f) din GDPR. Interesul legitim necesită un test de echilibru între interesele operatorului și drepturile și libertățile persoanei vizate. În cazul cookie-urilor, utilizarea interesului legitim ca temei legal este puternic contestată. Opinia predominantă a autorităților de reglementare europene este că temeiul adecvat pentru cookie-urile neesențiale este consimțământul (nu interesul legitim), deoarece Directiva ePrivacy impune în mod specific consimțământul pentru stocarea pe dispozitivul utilizatorului.
O–P
Opt-in: Un model de consimțământ în care prelucrarea datelor cu caracter personal (sau setarea cookie-urilor) nu are loc decât dacă utilizatorul întreprinde o acțiune afirmativă pentru a o permite. Modelul UE privind cookie-urile este de tip opt-in: niciun cookie neesențial până când utilizatorul nu își dă consimțământul. Modelul opt-in oferă o protecție mai puternică a confidențialității, dar necesită un mecanism de consimțământ înainte de începerea oricărei urmăriri.
Opt-out: Un model de consimțământ în care prelucrarea datelor cu caracter personal (sau setarea cookie-urilor) are loc implicit, iar utilizatorul trebuie să întreprindă o acțiune pentru a o opri. Modelul american privind cookie-urile (în temeiul CCPA și al legilor similare din diferite state) este în general de tip opt-out: urmărirea are loc dacă utilizatorul nu se opune. Modelul opt-out plasează sarcina acțiunii asupra utilizatorului, nu asupra operatorului site-ului.
Cookie persistent: Un cookie care rămâne pe dispozitivul utilizatorului pentru o perioadă determinată după închiderea browserului. Cookie-urile persistente sunt folosite pentru memorarea preferințelor, menținerea sesiunilor de autentificare între vizite și urmărirea comportamentului în timp. Ele au o dată de expirare stabilită și rămân până la trecerea acelei date sau până când utilizatorul le șterge. Durata cookie-urilor persistente ar trebui să fie proporțională cu scopul lor.
Date cu caracter personal: În temeiul GDPR, orice informație referitoare la o persoană fizică identificată sau identificabilă. Acestea includ identificatori evidenți (nume, e-mail) și alții mai puțin evidenți (adrese IP, identificatori de cookie-uri, amprente ale dispozitivelor). Considerentul 30 din GDPR precizează în mod explicit că identificatorii online, cum ar fi identificatorii de cookie-uri, pot constitui date cu caracter personal. În practică, aproape toate cookie-urile care identifică în mod unic un browser sau un utilizator se califică drept date cu caracter personal.
Consimțământ prealabil: Consimțământul obținut înainte ca acțiunea pe care o autorizează să aibă loc. În cazul cookie-urilor, consimțământul prealabil înseamnă obținerea acordului utilizatorului înainte ca vreun cookie neesențial să fie setat pe dispozitivul său. Aceasta este o cerință fundamentală a articolului 5 alineatul (3) din Directiva ePrivacy. Setarea cookie-urilor mai întâi și solicitarea ulterioară a consimțământului, sau ștergerea retroactivă a cookie-urilor dacă se refuză consimțământul, nu îndeplinește cerința consimțământului prealabil.
S–T
Cookie de sesiune: Un cookie care există doar pe durata sesiunii de navigare a utilizatorului și este șters la închiderea browserului. Cookie-urile de sesiune sunt folosite în mod obișnuit pentru menținerea stării de autentificare, a conținutului coșului de cumpărături și a altor date temporare. Multe cookie-uri de sesiune se califică drept strict necesare și, prin urmare, sunt scutite de cerința de consimțământ, deși acest lucru depinde de scopul lor specific.
Cookie strict necesar: Un cookie esențial pentru funcționarea site-ului web și pentru furnizarea unui serviciu solicitat în mod explicit de utilizator. Cookie-urile strict necesare sunt scutite de cerința de consimțământ în temeiul articolului 5 alineatul (3) din Directiva ePrivacy. Printre exemple se numără cookie-urile de autentificare, cookie-urile de securitate (token-uri CSRF), cookie-urile de echilibrare a încărcării și cookie-urile de preferințe ale interfeței care sunt esențiale pentru serviciu. Cookie-urile de analiză, cele de publicitate și cele de rețele sociale nu sunt strict necesare, indiferent cât de utile le consideră operatorul site-ului.
Cookie de la terți (third-party): Un cookie setat de un domeniu diferit de cel pe care îl vizitează utilizatorul. De exemplu, dacă un utilizator vizitează example.com și un cookie este setat de facebook.com (printr-un Facebook Pixel încorporat pe example.com), cookie-ul Facebook este un cookie de la terți. Cookie-urile terților sunt folosite în principal pentru urmărirea între site-uri și publicitatea direcționată. Principalele browsere restricționează sau elimină cookie-urile terților: Safari și Firefox le blochează deja în mod implicit, iar Chrome a anunțat planuri de a le elimina treptat (deși calendarul s-a modificat de mai multe ori).
Pixel de urmărire: O imagine minusculă, invizibilă (de obicei de 1x1 pixel) încorporată într-o pagină web sau într-un e-mail, care raportează unui server atunci când este încărcată. Deși nu este tehnic un cookie, pixelul de urmărire este o tehnologie de urmărire înrudită, care funcționează adesea în combinație cu cookie-urile pentru a urmări comportamentul utilizatorului. Este supus acelorași cerințe de consimțământ ca și cookie-urile în temeiul Directivei ePrivacy, deoarece implică accesarea informațiilor de pe dispozitivul utilizatorului (cererea HTTP transmite adresa IP a utilizatorului, informațiile despre browser și orice cookie-uri asociate).
Resurse oficiale
Legislație și orientări UE
- Textul integral al GDPR — Regulamentul (UE) 2016/679 pe EUR-Lex
- Textul integral al Directivei ePrivacy — Directiva 2002/58/CE pe EUR-Lex
- Modificarea Directivei ePrivacy (2009) — Directiva 2009/136/CE
- Orientările EDPB — Toate orientările, inclusiv Orientările 05/2020 privind consimțământul
- Consultările publice ale EDPB — Inclusiv orientările privind modelele întunecate
Orientări ale autorităților naționale de protecție a datelor privind cookie-urile
- Orientările CNIL privind cookie-urile (Franța) — Cele mai detaliate orientări naționale privind cookie-urile, inclusiv criteriile de scutire pentru măsurarea audienței
- Orientările Garante privind cookie-urile (Italia) — Orientări cuprinzătoare din 2021, cu cerințe specifice pentru bannere
- Orientările ICO privind cookie-urile (Regatul Unit) — Orientări practice detaliate, încă foarte relevante pentru conformitatea cu legislația UE în ciuda Brexitului
- Datatilsynet (Danemarca) — Orientările și deciziile autorității daneze de protecție a datelor
- BfDI (Germania) — Comisarul federal pentru protecția datelor
Google Consent Mode
- Documentația Google Consent Mode — Ghid oficial de implementare
- Cerințele Google Consent Mode v2 — Cerințele pentru SEE aferente Google Ads
- Configurarea Advanced Consent Mode — Detalii tehnice de implementare
IAB Transparency and Consent Framework
- Prezentare generală a IAB Europe TCF — Documentația cadrului și lista furnizorilor
- Specificațiile TCF 2.2 — Specificația tehnică pentru cei care implementează platforme CMP
Legi americane privind confidențialitatea
- Pagina CCPA a Procurorului General al Californiei — Resurse oficiale CCPA/CPRA
- California Privacy Protection Agency — Reglementările și aplicarea CPRA
- Global Privacy Control (GPC) — Specificație și suport în browsere
Jurisprudența CJUE
- Planet49 (Cauza C-673/17) — Casetele bifate în prealabil nu constituie un consimțământ valid
- IAB Europe TCF (Cauza C-604/22) — Șirul TC constituie date cu caracter personal
Lecturi suplimentare
- W3C Tracking Preference Expression (DNT) — Context privind Do Not Track și tehnologiile care i-au urmat
- RFC 6265: HTTP State Management Mechanism — Specificația tehnică pentru cookie-uri
- MDN: Using HTTP cookies — Referință cuprinzătoare pentru dezvoltatori
- SameSite cookies explained — Înțelegerea atributului SameSite și a impactului său asupra cookie-urilor terților
- Google Privacy Sandbox — Inițiativa Google de a înlocui cookie-urile terților cu alternative care protejează confidențialitatea
Instrumente pentru conformitatea în materie de cookie-uri
Menținerea conformității în materie de cookie-uri necesită instrumentele potrivite. Passiro oferă o scanare automată a cookie-urilor care parcurge întregul site web folosind un motor de browser real, identifică toate cookie-urile și tehnologiile de urmărire, le clasifică folosind o bază de date actualizată continuu și monitorizează modificările prin scanări programate și alerte. Combinat cu platforma de gestionare a consimțământului Passiro, acest lucru vă oferă o imagine completă și permanent actualizată a stării de conformitate a site-ului dumneavoastră în materie de cookie-uri.
Aflați mai multe despre capacitățile de scanare ale Passiro sau rulați o scanare gratuită a site-ului dumneavoastră pentru a vedea ce cookie-uri setează astăzi site-ul dumneavoastră.
Site-ul tău respectă regulile privind cookie-urile?
Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.
Scanează-ți cookie-urile gratuit